Abnt NBR Iso Iec 27002 2022
Abnt NBR Iso Iec 27002 2022
Abnt NBR Iso Iec 27002 2022
790/0001-95
Número de referência
ABNT NBR ISO/IEC 27002:2022
191 páginas
© ISO/IEC 2022
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT 2022
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av. Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
[email protected]
www.abnt.org.br
Sumário Página
Prefácio Nacional................................................................................................................................vi
Introdução............................................................................................................................................ix
1 Escopo.................................................................................................................................1
2 Referências normativas......................................................................................................1
3 Termos e definições............................................................................................................1
4 Estrutura deste documento................................................................................................9
4.1 Seções..................................................................................................................................9
4.2 Temas e atributos................................................................................................................9
4.3 Layout dos controles........................................................................................................10
5 Controles organizacionais............................................................................................... 11
5.1 Políticas de segurança da informação............................................................................ 11
5.2 Papéis e responsabilidades pela segurança da informação........................................13
5.3 Segregação de funções....................................................................................................15
5.4 Responsabilidades da direção.........................................................................................16
5.5 Contato com autoridades.................................................................................................17
5.6 Contato com grupos de interesse especial....................................................................18
5.7 Inteligência de ameaças...................................................................................................19
5.8 Segurança da informação no gerenciamento de projetos............................................20
5.9 Inventário de informações e outros ativos associados................................................22
5.10 Uso aceitável de informações e outros ativos associados...........................................24
5.11 Devolução de ativos..........................................................................................................26
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
A.1 Geral.................................................................................................................................163
A.2 Visões organizacionais...................................................................................................175
Anexo B (informativo) Correspondência com a ABNT NBR ISO/IEC 27002:2013........................177
Bibliografia........................................................................................................................................188
Tabelas
Tabela 1 – Diferenças entre a política de segurança da informação e a política específica
por tema.............................................................................................................................13
Tabela A.1 – Matriz de controles e valores de atributos...............................................................163
Tabela A.2 – Visão de controles #Corretivo...................................................................................173
Tabela B.1 – Correspondência entre os controles deste documento e os controles
da ABNT NBR ISO/IEC 27002:2013................................................................................177
Tabela B.2 – Correspondência entre os controles da ABNT NBR ISO/IEC 27002:2013 e
os controles deste documento......................................................................................181
Prefácio Nacional
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos
de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT
a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não
substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência
sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar
as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
A ABNT NBR ISO/IEC 27002 foi elaborada no Comitê Brasileiro de Tecnologias da Informação e
Transformação Digital (ABNT/CB-021), pela Comissão de Estudo de Segurança da Informação,
Segurança Cibernética e Proteção da Privacidade (CE-021:004.027). O Projeto de Revisão circulou
em Consulta Nacional conforme Edital nº 07, de 19.07.2022 a 17.08.2022.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
A ABNT NBR ISO/IEC 27002 é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à
ISO/IEC 27002:2022, que foi elaborada pelo Joint Technical Committee Information Technology
(ISO/JTC 1), Subcommittee Information security, Cybersecurity and Privacy Protection (SC 27).
A ABNT NBR ISO/IEC 27002:2022 cancela e substitui a ABNT NBR ISO/IEC 27002:2012, a qual
foi tecnicamente revisada.
A ABNT NBR ISO/IEC 27002:2022 relaciona a seguir os termos que foram mantidos integral ou
parcialmente na língua inglesa, com a sua descrição, por não possuírem tradução equivalente para
a língua portuguesa, e por serem de uso comum no âmbito da segurança da informação, segurança
cibernética e proteção da privacidade.
— Ataques de scripting entre sites: tipo de ataque de injeção de código ou script malicioso em sites
— Buffer overflow: qualquer técnica de ataque que explore uma vulnerabilidade de software ou
hardware de computador em que não é verificada a ultrapassagem dos limites de uma área de
armazenamento quando os dados são gravados nessa área.
— Firewall: dispositivo ou sistema que controla o tráfego de entrada e saída de informações entre
as redes conectadas em suas interfaces.
— Gateway: dispositivo ou sistema que permite interligar redes distintas. Por exemplo, conectar
à rede interna da organização à Internet.
— Hashing: processo de geração de um código de tamanho fixo a partir da aplicação de uma fórmula
matemática (função hash) a um dado de tamanho variável. É usado, por exemplo, no controle de
senhas, permitindo que se possa validar uma senha sem a necessidade de armazená-la (o que
fica na base de dados é o resultado da função hash).
— Wipe: método que visa destruir completamente todos os dados que residem em uma unidade
de disco rígido ou outra mídia digital, usando “0 e 1” para sobrescrever os dados em todos os setores
do dispositivo, em um processo irreversível.
— Malware: termo genérico para se referir a software criado com intenção maliciosa, projetado para
infiltrar um sistema computacional com a intenção de roubar dados ou danificar aplicativos ou
o sistema operacional
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
— Phishing: técnica de ataque cibernético utilizada para tentar adquirir dados confidenciais dos
usuários, como números e senhas de contas bancárias, por meio de uma solicitação fraudulenta
por mensagens de e-mail ou em sites da web, na qual o perpetrador se disfarça de empresa
— Bollards: barreiras físicas que impedem o acesso a determinadas áreas que necessitam desse
tipo de proteção.
— Programas de recompensa por bugs: programa que autoriza terceiros a realizarem avaliações
de segurança em seus ativos tecnológicos, com o intuito de identificar falhas e, em troca, oferecem
recompensas.
— Refactoring: processo de melhoria no sistema de software, de forma que sua estrutura interna
seja aprimorada, sem que o comportamento ou funcionalidades do sistema sejam alterados.
— Salt function: valor único adicionado a uma senha, normalmente em seu final, para alterar e,
consequentemente, proteger o resultado do hash contra-ataques de força bruta que visem descobrir
as senhas armazenadas em uma base.
— Scripts: conjunto de instruções, em geral escritos para automatizar alguma atividade. São também
conhecidos como linguagem de scripting ou linguagem de extensão.
— Single Sign On (SSO): processo de autenticação que permite o acesso a diversos sistemas
com o uso das mesmas credenciais de acesso.
— Slots de cartão SD: dispositivos que permitem a leitura e escrita em cartões do tipo SD (Secure
Digital), muito comuns em dispositivos portáteis.
Scope
This document provides a reference set of generic information security controls including implementation
guidance. This document is designed to be used by organizations:
b) for implementing information security controls based on internationally recognized best practices;
Introdução
Este documento é projetado para organizações de todos os tipos e tamanhos. É para ser usado
como referência para determinar e implementar controles para tratamento de riscos de segurança
da informação em um sistema de gestão de segurança da informação (SGSI) baseado na
ABNT NBR ISO/IEC 27001. Também pode ser usado como um documento de orientação para
organizações determinando e implementando controles de segurança da informação comumente
aceitos. Além disso, este documento é destinado a ser utilizado no desenvolvimento de diretrizes de
gestão de segurança da informação específicas para a indústria e a organização, considerando seu
ambiente específico de riscos de segurança da informação. Controles organizacionais ou específicos
do ambiente que não sejam os incluídos neste documento podem ser determinados através do
processo de avaliação de riscos, conforme necessário.
Organizações de todos os tipos e tamanhos (incluindo setor público e privado, comercial e sem fins
lucrativos) criam, coletam, tratam, armazenam, transmitem e descartam informações de diversas
formas, incluindo eletrônica, física e verbal (por exemplo, conversas e apresentações).
O valor da informação vai além das palavras, escritas, números e imagens: conhecimentos, conceitos,
ideias e marcas são exemplos de formas intangíveis de informação. Em um mundo interconectado,
informações e outros ativos associados merecem ou requerem proteção contra várias fontes de risco,
sejam naturais, acidentais ou deliberadas.
que a organização defina, implemente, monitore, analise criticamente e aprimore esses controles
quando necessário. Um SGSI como o especificado na ABNT NBR ISO/IEC 27001 tem uma visão
holística e coordenada dos riscos de segurança da informação da organização, a fim de determinar
e implementar um conjunto abrangente de controles de segurança da informação na estrutura geral
de um sistema de gestão coerente.
Muitos sistemas de informação, incluindo de gestão e operações, não foram projetados para serem
seguros em termos de um SGSI conforme especificado na ABNT NBR ISO/IEC 27001 e neste
documento. O nível de segurança que só pode ser alcançado por meio de medidas tecnológicas é
limitado e convém que seja apoiado por atividades de gestão e processos organizacionais adequados.
Identificar quais controles convém que estejam implementados requer um planejamento cuidadoso e
atenção aos detalhes durante a realização do tratamento de riscos.
Um SGSI bem-sucedido requer o apoio de todo o pessoal da organização. Também pode requerer
a participação de outras partes interessadas, como acionistas ou fornecedores. Assessoria de
especialistas no assunto também pode ser necessária.
É essencial que a organização determine seus requisitos de segurança da informação. Existem três
principais fontes de requisitos de segurança da informação:
c) o conjunto de princípios, objetivos e requisitos de negócios para todas as etapas do ciclo de vida
de informações que uma organização desenvolveu para apoiar suas operações.
0.3 Controles
Um controle é definido como uma medida que modifica ou mantém o risco. Alguns dos controles deste
documento são controles que modificam o risco, enquanto outros mantêm o risco. Uma política de
segurança da informação, por exemplo, só pode manter o risco, enquanto o cumprimento da política
de segurança da informação pode modificar o risco. Além disso, alguns controles descrevem a mesma
medida genérica em diferentes contextos de riscos. Este documento fornece uma mistura genérica de
controles organizacionais, de pessoas e de segurança da informação física e tecnológica derivados
de melhores práticas reconhecidas internacionalmente.
Convém que exista um equilíbrio entre os recursos alocados para a implementação de controles e o
potencial impacto nos negócios resultantes de incidentes de segurança na ausência desses controles.
Convém que os resultados de uma avaliação de riscos ajude a orientar e determinar as ações de gestão
adequadas, as prioridades para gerenciar riscos de segurança da informação e para implementar
os controles determinados para proteger contra esses riscos.
Alguns dos controles deste documento podem ser considerados como princípios orientadores para
a gestão da segurança da informação e como aplicáveis para a maioria das organizações. Mais
informações sobre a determinação de controles e outras opções de tratamento de risco podem ser
encontradas na ABNT NBR ISO/IEC 27005.
Este documento pode ser considerado como um ponto de partida para o desenvolvimento de diretrizes
específicas da organização. Nem todos os controles e orientações deste documento podem ser
aplicáveis a todas as organizações. Controles e diretrizes adicionais não incluídas neste documento
também podem ser necessários para atender às necessidades específicas da organização e aos
riscos identificados. Quando documentos são elaborados contendo diretrizes ou controles adicionais,
pode ser útil incluir referências cruzadas às seções deste documento para referência futura.
A informação tem um ciclo de vida natural, da criação ao descarte. O valor e os riscos para as
informações podem variar ao longo deste ciclo de vida (por exemplo, divulgação indevida ou roubo
dos resultados financeiros de uma empresa não é significativa depois de serem publicadas, mas
a integridade permanece crítica) portanto, a segurança da informação permanece importante em
alguma medida em todas as etapas.
Embora este documento ofereça orientações sobre uma ampla gama de controles de segurança da
informação que são comumente aplicados em muitas organizações diferentes, outros documentos da
família ISO/IEC 27000 fornecem orientações ou requisitos complementares sobre outros aspectos do
processo global de gestão da segurança da informação.
Ver a ISO/IEC 27000 para uma introdução geral ao SGSI e à família de documentos. A ISO/IEC 27000
fornece um glossário, definindo a maioria dos termos utilizados em toda a família de documentos
ISO/IEC 27000, e descreve o escopo e objetivos para cada membro da família.
Existem normas setoriais específicas que têm controles adicionais que visam abordar áreas específicas
(por exemplo, ABNT NBR ISO/IEC 27017, para serviços em nuvem, ABNT NBR ISO/IEC 27701, para
privacidade, ISO/IEC 27019, para energia, ISO/IEC 27011, para organizações de telecomunicações
e ISO 27799, para saúde). Estas normas estão incluídas na Bibliografia e algumas delas são
referenciadas nas seções de orientação e outras informações nas Seções 5 a 8.
1 Escopo
Este documento fornece um conjunto de referência de controles genéricos de segurança da
informação, incluindo orientação para implementação. Este documento foi projetado para ser usado
pelas organizações:
2 Referências normativas
Não há referências normativas neste documento.
3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
O ISO e a IEC mantêm bases de dados terminológicos para uso na normalização nos seguintes
endereços:
3.1.1
controle de acesso
significa assegurar que o acesso físico e lógico aos ativos (3.1.2) seja autorizado e restrito com base
em requisitos de negócio e de segurança da informação
3.1.2
ativo
qualquer coisa que tenha valor para a organização
Nota 1 de entrada: No contexto da segurança da informação, dois tipos de ativos podem ser distinguidos:
— os ativos primários:
— informação;
— os ativos de suporte (dos quais os ativos primários dependem) de todos os tipos, por exemplo:
— hardware;
— software;
— rede;
— pessoal (3.1.20);
— local;
— estrutura da organização.
3.1.3
ataque
tentativa não autorizada, bem-sucedida ou malsucedida, de destruir, alterar, desabilitar, obter acesso
a um ativo (3.1.2) ou qualquer tentativa de expor, roubar ou fazer uso não autorizado de um ativo (3.1.2)
3.1.4
autenticação
provisão de garantia de que uma característica alegada de uma entidade (3.1.11) está correta
3.1.5
autenticidade
propriedade que uma entidade (3.1.11) é o que ela alega ser
3.1.6
cadeia de custódia
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
demonstrável posse, movimento, manuseio e localização de material de um ponto no tempo até outro
Nota 1 de entrada: Material inclui informações e outros ativos (3.1.2) associados no contexto da
ABNT NBR ISO/IEC 27002.
3.1.7
informações confidenciais
informações que não se destinam a ser disponibilizadas ou divulgadas a indivíduos, entidades (3.1.11)
ou processos (3.1.27) não autorizados
3.1.8
controle
medida que mantém e/ou modifica o risco
Nota 1 de entrada: Controles incluem, mas não estão limitados a, qualquer processo (3.1.27), política (3.1.24),
dispositivo, prática ou outras condições e/ou ações que mantêm e/ou modificam o risco.
Nota 2 de entrada: Controles podem nem sempre exercer o efeito modificador pretendido ou presumido.
3.1.9
disrupção
incidente, seja previsto ou imprevisto, que causa um desvio, não planejado e negativo da expectativa
de entrega de produtos e serviços de acordo com os objetivos da organização
3.1.10
dispositivo endpoint
dispositivo de hardware de tecnologia da informação e comunicação (TIC) conectado à rede
Nota 1 de entrada: Dispositivo endpoint pode se referir a computadores desktop, laptops, smartphones,
tablets, thin clients, impressoras ou outros hardwares especializados, incluindo medidores inteligentes e
dispositivos de Internet das Coisas (IoT).
3.1.11
entidade
item relevante para o propósito de operação de um domínio que tem existência reconhecidamente
distinta
Nota 1 de entrada: Uma entidade pode ter uma personificação física ou lógica.
EXEMPLO Uma pessoa, uma organização, um dispositivo, um grupo desses itens, um assinante humano
de um serviço de telecomunicações, um cartão SIM, um passaporte, um cartão de interface de rede, uma
aplicação de software, um serviço ou um website.
3.1.12
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
[FONTE: ISO/IEC 27000:2018, 3.27, modificado – “facilities” foi substituído por ambiente.]
3.1.13
violação de segurança da informação
comprometimento de segurança da informação que leva à destruição indesejada, perda, alteração,
divulgação de, ou acesso a, informações protegidas transmitidas, armazenadas ou tratadas de
diversas formas
3.1.14
evento de segurança da informação
ocorrência indicando uma possível violação de segurança da informação (3.1.13) ou falha de
controles (3.1.8)
NOTA BRASILEIRA A informação de substituição do termo “breach of information security” por “information
security breach” foi excluída tendo em vista que não é aplicável na língua portuguesa.
3.1.15
incidente de segurança da informação
um ou múltiplos eventos de segurança da informação (3.1.14) relacionados e identificados que podem
prejudicar os ativos (3.1.2) da organização ou comprometer suas operações
3.1.16
gestão de incidentes de segurança da informação
exercício de uma abordagem consistente e eficaz para o manuseio de incidentes de segurança da
informação (3.1.15)
3.1.17
sistema de informação
conjunto de aplicações, serviços, ativos (3.1.2) de tecnologia da informação ou outros componentes
de manuseio de informações
3.1.18
parte interessada
stakeholder
pessoa ou organização interessada que pode afetar, ser afetada ou perceber-se afetada por, uma
decisão ou atividade
3.1.19
não repúdio
capacidade de comprovar a ocorrência de um evento ou ação declarada e suas entidades (3.1.11)
originárias
3.1.20
pessoal
pessoas que executam trabalho sob a direção da organização
Nota 1 de entrada: O conceito de pessoal inclui os membros da organização, como o órgão diretivo, a Alta
Direção, os funcionários, a equipe de temporários, os fornecedores e os voluntários.
3.1.21
dados pessoais
DP
qualquer informação que (a) possa ser usada para identificar a pessoa natural à qual tal informação
se relaciona ou (b) é ou pode ser direta ou indiretamente vinculada a uma pessoa natural
Nota 1 de entrada: A “pessoa natural” na definição é o titular de DP (3.1.22). Para determinar se um titular
de DP é identificável, convém que sejam considerados todos os meios que possam ser razoavelmente
usados pela parte interessada privacidade, detentora dos dados, ou por qualquer outra parte, para identificar
a pessoa natural.
3.1.22
titular de DP
pessoa natural a quem se referem os dados pessoais (DP) (3.1.21)
3.1.23
operador de DP
parte interessada na privacidade, que faz o tratamento dos dados pessoais (DP) (3.1.21) em benefício
e de acordo com as instruções de um controlador de DP
3.1.24
política
intenções e direção de uma organização, expressa formalmente por sua Alta Direção
3.1.25
análise de impacto de privacidade
PIA
processo (3.1.27) geral de identificação, análise, avaliação, consultoria, comunicação e planejamento
do tratamento de potenciais impactos à privacidade com relação ao tratamento de DP (3.1.21), contidos
em uma estrutura mais ampla de gestão de riscos da organização
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
[FONTE: ABNT NBR ISO/IEC 29134:2020, 3.7, modificado – Nota 1 de entrada removida.]
3.1.26
procedimento
modo especificado de realizar uma atividade ou um processo (3.1.27)
3.1.27
processo
conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um
resultado pretendido
[FONTE: ABNT NBR ISO 9000:2015, 3.4.1, modificado – Notas de entrada removidas.]
3.1.28
registro
informações criadas, recebidas e mantidas como evidência e como um ativo (3.1.2) por uma
organização ou pessoa, em busca de obrigações legais ou na transação de negócios
Nota 1 de entrada: As obrigações legais neste contexto incluem todos os requisitos legais, estatutários,
regulamentares e contratuais.
3.1.29
ponto objetivado de recuperação
RPO
ponto em uma linha de tempo em que os dados sejam recuperados após a ocorrência de uma
disrupção (3.1.9)
[FONTE: ISO/IEC 27031:2011, 3.12, modificado – “devem ser (must)” substituído por “sejam (are to be)”.]
3.1.30
tempo objetivado de recuperação
RTO
período de tempo dentro do qual os níveis mínimos de serviços e/ou produtos e os sistemas de
suporte, aplicações ou funções sejam recuperados após a ocorrência de uma disrupção (3.1.9)
[FONTE: ISO/IEC 27031:2011, 3.13, modificado – “devem ser (must)” substituído por “sejam (are to be)”.]
3.1.31
confiabilidade
propriedade de comportamento e resultados pretendidos consistentes
3.1.32
regra
princípio ou instrução aceita que declara as expectativas da organização sobre o que é necessário
que seja feito, o que é permitido ou não permitido
Nota 1 de entrada: Regras podem ser expressas formalmente em políticas específicas por tema (3.1.35)
e em outros tipos de documentos.
3.1.33
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
informações sensíveis
informações que precisam ser protegidas contra indisponibilidade, acesso, modificação ou divulgação
pública não autorizada devido a potenciais efeitos adversos em um indivíduo, organização, segurança
nacional ou segurança pública
3.1.34
ameaça
causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização
3.1.35
política específica por tema
intenções e direção sobre um assunto ou tema específico, como formalmente expressos pelo nível
apropriado de gestão
Nota 1 de entrada: As políticas específicas por tema podem expressar formalmente regras (3.1.32) ou normas
da organização.
Nota 2 de entrada: Algumas organizações usam outros termos para essas políticas específicas por tema.
Nota 3 de entrada: As políticas específicas por tema neste documento estão relacionadas à segurança
da informação.
EXEMPLO A política específica para o controle de acesso (3.1.1), política específica de mesa e tela limpa.
3.1.36
usuário
partes interessadas (3.1.18) com acesso aos sistemas de informação (3.1.17) da organização
3.1.37
dispositivo endpoint do usuário
dispositivo endpoint (3.1.10) usado pelos usuários para acessar serviços de tratamento de informações
Nota 1 de entrada: O dispositivo endpoint do usuário pode se referir a computadores desktop, laptops,
smartphones, tablets, thin clients etc.
3.1.38
vulnerabilidade
fraqueza de um ativo (3.1.2) ou controle (3.1.8) que pode ser explorado por uma ou mais ameaças (3.1.34)
CAPTCHA teste de Turing (completely automated public Turing test to tell computers and humans
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
apart)
ID identificador (identifier)
SD-WAN rede WAN definida por software (software-defined wide area networking)
UEBA análise de comportamento do usuário e da entidade (user and entity behaviour analytics)
O Anexo A explica como uma organização pode usar atributos (ver 4.2) para criar suas próprias visões
com base nos atributos de controle definidos neste documento ou de sua própria criação.
O Anexo B mostra a correspondência entre os controles nesta edição da ABNT NBR ISO/IEC 27002
e da edição anterior de 2013.
A categorização dos controles dados nas Seções 5 a 8 é referida como temas. Os controles são
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
categorizados como:
A organização pode usar atributos para criar diferentes visões que são categorizações diferentes dos
controles, vistas de uma perspectiva diferente dos temas. Atributos podem ser usados para filtrar,
classificar ou apresentar controles em diferentes pontos de vista para diferentes públicos. O Anexo A
explica como isso pode ser alcançado e fornece um exemplo de uma visão.
Por exemplo, cada controle neste documento foi associado a cinco atributos com valores de atributo
correspondentes (precedidos por “#” para torná-los pesquisáveis), da seguinte forma:
a) Tipo de controle
O tipo de controle é um atributo para visualizar controles sob a perspectiva de quando e como
o controle modifica o risco em relação à ocorrência de um incidente de segurança da informação.
Os valores de atributo consistem em Preventivo (o controle que se destina a evitar a ocorrência de
um incidente de segurança da informação), Detectivo (o controle age quando ocorre um incidente
Os conceitos de segurança cibernética são um atributo para visualizar os controles sob a perspectiva
da associação de controles aos conceitos de segurança cibernética definidos no quadro de
segurança cibernética descrito no ISO/IEC TS 27110. Os valores dos atributos consistem em
Identificar, Proteger, Detectar, Responder e Recuperar.
d) Capacidades operacionais
e) Domínios de segurança
Os atributos dados neste documento são selecionados porque são considerados genéricos o suficiente
para serem usados por diferentes tipos de organizações. As organizações podem optar por ignorar
um ou mais dos atributos dados neste documento. Eles também podem criar atributos próprios (com
os valores de atributo correspondentes) para criar suas próprias visões organizacionais. A Seção A.2
inclui exemplos destes atributos.
— Tabela de atributos: Uma tabela mostra o(s) valor(es) de cada atributo para o controle dado;
Subtítulos são usados no texto de orientação para alguns controles para auxiliar a legibilidade onde a
orientação é longa e aborda vários tópicos. Tais títulos não são necessariamente usados em todos os
textos de orientação. Subtítulos são sublinhados.
5 Controles organizacionais
5.1 Políticas de segurança da informação
Controle
Convém que a política de segurança da informação e as políticas específicas por tema sejam definidas,
aprovadas pela direção, publicadas, comunicadas e reconhecidas pelo pessoal pertinente e partes
interessadas pertinentes, e analisadas criticamente em intervalos planejados e se ocorrer mudanças
significativas.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Propósito
Orientação
No mais alto nível, convém que a organização defina uma “política de segurança da informação”
aprovada pela Alta Direção e que estabeleça a abordagem da organização para gerenciar sua
segurança da informação.
Convém que a Alta Direção aprove quaisquer alterações na política de segurança da informação.
Em um nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas
específicas por tema, conforme necessário para obrigar ainda mais a implementação de controles
de segurança da informação. As políticas específicas por tema são tipicamente estruturadas para
atender às necessidades de determinados grupos-alvo dentro de uma organização ou para cobrir
determinadas áreas de segurança. Convém que as políticas específicas por tema sejam alinhadas e
complementares à política de segurança da informação da organização.
a) controle de acesso;
c) gestão de ativos;
d) transferência de informações;
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
f) segurança de redes;
h) backup;
l) desenvolvimento seguro.
Convém que a responsabilidade pelo desenvolvimento, análise crítica e aprovação das políticas
específicas por tema seja atribuída ao pessoal pertinente com base no seu nível adequado de
autoridade e competência técnica. Convém que a análise crítica inclua a avaliação de oportunidades
de melhoria da política de segurança da informação da organização e das políticas de específicas por
tema e a gestão da segurança da informação em resposta às mudanças no seguinte:
Convém que a análise crítica da política de segurança da informação e das políticas específicas
por tema considere os resultados das análises críticas pela direção e das auditorias. Convém que
a análise crítica e atualização de outras políticas relacionadas sejam consideradas quando uma
política é alterada para manter a consistência.
Convém que a política de segurança da informação e as políticas específicas por tema sejam
comunicadas ao pessoal pertinente e às partes interessadas de forma pertinente, acessível e
compreensível ao leitor pretendido. Convém que os destinatários das políticas sejam requeridos a
reconhecer que entendem e concordam em cumprir as políticas quando aplicável. A organização pode
determinar os formatos e nomes desses documentos de políticas que atendam às necessidades da
organização. Em algumas organizações, a política de segurança da informação e políticas específicas
por tema podem estar em um único documento. A organização pode nomear essas políticas específicas
por tema para tópicos como normas, diretivas, políticas ou outras.
Se a política de segurança da informação ou qualquer política específica por tema for distribuída fora
da organização, convém que os cuidados sejam tomados para não divulgar informações confidenciais.
Tabela 1 – Diferenças entre a política de segurança da informação e a política específica por tema
Política de segurança Política específica por tema
da informação
Nível de detalhamento Geral ou de alto nível Específico ou detalhado
Formalmente aprovado e Alta Direção Nível apropriado de direção
documentado por
Outras informações
Controle
Convém que os papéis e responsabilidades pela segurança da informação sejam definidos e alocados
de acordo com as necessidades da organização.
Propósito
Orientação
Convém que a alocação de papéis e responsabilidades pela segurança da informação seja feita de
acordo com a política de segurança da informação e as políticas específicas por tema (ver 5.1).
Convém que a organização defina e gerencie as responsabilidades por:
Convém que essas responsabilidades sejam suplementadas, quando necessário, com orientações
mais detalhadas para locais específicos e instalações de tratamento de informações. Indivíduos com
responsabilidades definidas de segurança da informação podem atribuir tarefas de segurança a outras
pessoas. No entanto, eles permanecem responsabilizáveis e convém que determinem que quaisquer
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que cada área de segurança para a qual os indivíduos são responsáveis seja definida,
documentada e comunicada. Convém que os níveis de autorização sejam definidos e documentados.
Convém que os indivíduos que assumem um papel específico de segurança da informação sejam
competentes nos conhecimentos e habilidades requeridos pela função e sejam apoiados para se
manterem atualizados com os desenvolvimentos relacionados ao papel e que sejam necessários para
cumprir as responsabilidades do papel.
Outras informações
Dependendo do tamanho e recursos de uma organização, a segurança da informação pode ser coberta
por papéis dedicados ou ter as responsabilidades realizadas de forma adicional por papéis existentes.
Controle
Propósito
Orientação
Convém que a organização determine quais funções e áreas de responsabilidade precisam ser
segregadas. Os seguintes são exemplos de atividades que podem exigir segregação:
Convém que a possibilidade de conluio seja considerada na concepção dos controles de segregação.
Pequenas organizações podem achar difícil alcançar a segregação de funções, mas convém que o
princípio seja aplicado na medida do possível e praticável. Sempre que for difícil segregar, convém
considerar outros controles, como monitoramento de atividades, trilhas de auditoria e supervisão da
direção.
Convém que seja tomado cuidado ao usar sistemas de controle de acesso baseados em papéis
para assegurar que não sejam concedidos papéis conflitantes para o pessoal. Quando há um grande
número de funções, convém que as organizações considerem o uso de ferramentas automatizadas para
identificar conflitos e facilitar sua remoção. Convém que os papéis sejam cuidadosamente definidos
e provisionados para minimizar os problemas de acesso se um papel for removido ou redesignado.
Outras informações
Controle
Convém que a direção requeira que todo o pessoal aplique a segurança da informação de acordo
com a política de segurança da informação estabelecida, com as políticas específicas por tema e com
os procedimentos da organização.
Propósito
Assegurar que a direção entenda seu papel na segurança da informação e realize ações com o objetivo
de assegurar que todo o pessoal esteja ciente e cumpra suas responsabilidades pela segurança da
informação.
Orientação
Convém que a direção demonstre apoio à política de segurança da informação, políticas específicas
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
c) seja obrigado a cumprir a política de segurança da informação e políticas específicas por tema
da organização;
e) esteja de acordo com os termos e condições de trabalho, contrato ou acordo, incluindo a política
de segurança da informação da organização e os métodos apropriados de trabalho;
g) sempre que possível, seja fornecido com um canal confidencial para relatar violações da política
de segurança da informação, políticas específicas por temas ou procedimentos para segurança
da informação (“denúncia”). Isso pode permitir denúncias anônimas ou ter disposições para
assegurar que o conhecimento da identidade do denunciante seja conhecido apenas por aqueles
que precisam lidar com estes relatórios;
h) seja fornecido com recursos adequados e tempo de planejamento de projetos para a implementação
dos processos e controles relacionados à segurança da organização.
Outras informações
Controle
Propósito
Orientação
Convém que a organização especifique quando e por quem é recomendado que as autoridades
(por exemplo, os representantes da lei, os órgãos reguladores, as autoridades de supervisão) sejam
contatadas e como é recomendado que os incidentes identificados de segurança da informação sejam
relatados em tempo hábil.
Convém que os contatos com autoridades também sejam usados para facilitar o entendimento sobre
as expectativas atuais e futuras dessas autoridades (por exemplo, regulamentações de segurança
da informação aplicáveis).
Outras informações
As organizações sob ataque podem solicitar que as autoridades tomem medidas contra a fonte
de ataque.
Manter esses contatos pode ser um requisito para apoiar a gestão de incidentes de segurança da
informação (ver 5.24 a 5.28) ou o processo de planejamento de contingência e continuidade de
negócios (ver 5.29 e 5.30). Os contatos com órgãos reguladores também são úteis para antecipar e se
preparar para as próximas mudanças nas leis ou regulamentos relevantes que afetam a organização.
Os contatos com outras autoridades incluem serviços públicos, serviços de emergência, fornecedores
de energia elétrica e de saúde e segurança [por exemplo, corpo de bombeiros (em conexão com
Controle
Convém que a organização estabeleça e mantenha contato com grupos de interesse especial ou
outros fóruns de especialistas em segurança e associações profissionais.
Propósito
Orientação
Convém que a adesão a grupos ou fóruns de interesse especial seja considerada como um meio para:
f) fornecer contatos adequados quando lidar com incidentes de segurança da informação (ver 5.24
a 5.28).
Outras informações
Controle
Propósito
Orientação
Informações sobre ameaças existentes ou emergentes são coletadas e analisadas com objetivo de:
a) facilitar ações informadas para evitar que as ameaças causem danos à organização;
A inteligência de ameaças pode ser dividida em três camadas, e convém que todas sejam consideradas:
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
b) perspicaz (ou seja, fornecendo à organização uma compreensão precisa e detalhada do cenário
de ameaças);
c) contextual, para proporcionar consciência situacional (ou seja, agregar contexto às informações
com base na sequência dos eventos, onde eles ocorreram, experiências anteriores e prevalência
em organizações semelhantes);
d) acionável (ou seja, a organização pode agir sobre as informações de forma rápida e eficazmente).
b) identificar, vetar e selecionar fontes de informação internas e externas que sejam necessárias e
adequadas para fornecer as informações necessárias para a produção de inteligência de ameaças;
d) tratar informações coletadas para prepará-las para análise (por exemplo, traduzindo, formatando
ou corroborando as informações);
e) analisar a informação para entender como ela se relaciona e é significativa para a organização;
f) comunicar e compartilhá-la para indivíduos relevantes em um formato que possa ser entendido.
a) por meio da implementação de processos para incluir informações coletadas de fontes de inteligência
de ameaças nos processos de gestão de riscos de segurança da informação da organização;
b) como entrada adicional para controles técnicos preventivos e de detectivos, como firewalls,
sistema de detecção de intrusões ou soluções anti-malware;
Convém que as organizações compartilhem informações sobre inteligência de ameaças com outras
organizações em uma base mútua, a fim de melhorar a inteligência geral de ameaças.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Outras informações
As organizações podem usar a inteligência de ameaças para prevenir, detectar ou responder a ameaças.
As organizações podem produzir inteligência de ameaças, mas normalmente recebem e fazem uso
de inteligência de ameaças produzida por outras fontes.
A eficácia de controles como 5.25, 8.7, 8.16 ou 8.23, depende da qualidade da informação disponível
sobre as ameaças.
Controle
Propósito
Orientação
Convém que a segurança da informação seja integrada ao gerenciamento de projetos para assegurar
que os riscos de segurança da informação sejam abordados como parte do gerenciamento do projeto.
Isso pode ser aplicado a qualquer tipo de projeto, independentemente de sua complexidade, tamanho,
duração, disciplina ou área de aplicação (por exemplo, um projeto para um processo de negócios
principal, TIC, gerenciamento de instalações ou outros processos de apoio).
Convém que a adequação das considerações e atividades de segurança da informação seja acompanhada
por pessoas ou órgãos diretivos adequados, como o comitê gestor do projeto, em etapas predefinidas.
Convém que os requisitos de segurança da informação para produtos ou serviços sejam entregues pelo
projeto e sejam determinados usando vários métodos, incluindo requisitos de conformidade derivados
da política de segurança da informação, políticas específicas por tema e regulamentos específicos.
Outros requisitos de segurança da informação podem ser derivados de atividades como modelagem
de ameaças, análises criticas de incidentes, uso de limiares de vulnerabilidade ou planejamento de
contingência, assegurando assim que a arquitetura e o projeto dos sistemas de informação sejam
protegidos contra ameaças conhecidas com base no ambiente operacional.
Convém que os requisitos de segurança da informação sejam determinados para todos os tipos de
projetos, não apenas para projetos de desenvolvimento de TIC. Convém que sejam considerados
os seguintes requisitos:
a) quais informações estão envolvidas (determinação da informação), qual é o seu valor de segurança
correspondente (classificação; ver 5.12) e o potencial impacto negativo nos negócios que podem
resultar da falta de segurança adequada;
c) o nível de confiança ou garantia necessário para a identidade reivindicada das entidades, a fim de
derivar os requisitos de autenticação;
g) os requisitos exigidos por outros controles de segurança da informação (por exemplo, interfaces
para sistemas de registro e monitoramento ou sistemas de detecção de vazamento de dados);
i) o nível de confiança ou garantia necessárias para que terceiros atendam à política de segurança
da informação da organização e políticas de tópicos específicos, incluindo cláusulas de segurança
relevantes em quaisquer acordos ou contratos.
Outras informações
Convém que a abordagem de desenvolvimento de projetos, como ciclo de vida em cascata ou ciclo
de vida ágil, apoie a segurança da informação de forma estruturada que possa ser adaptada para se
adequar à gravidade avaliada dos riscos de segurança da informação, com base no caráter do projeto.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
A consideração antecipada dos requisitos de segurança da informação para o produto ou serviço (por
exemplo, nas etapas de planejamento e projeto), pode levar a soluções mais eficazes e econômicas
para a qualidade e segurança da informação. A ISO 21500 e a ISO 21502 fornecem orientações sobre
conceitos e processos de gerenciamento de projetos que são importantes para o desempenho de projetos.
A ABNT NBR ISO/IEC 27005 fornece orientações sobre o uso de processos de gestão de riscos para
identificar controles para atender aos requisitos de segurança da informação.
Controle
Convém que um inventário de informações e outros ativos associados, incluindo proprietários, seja
desenvolvido e mantido.
Propósito
Orientação
Inventário
Convém que a organização identifique suas informações e outros ativos associados e determine sua
importância em termos de segurança da informação. Convém que a documentação seja mantida em
inventários dedicados ou existentes, conforme apropriado.
Convém que o inventário de informações e outros ativos associados seja preciso, atualizado, consistente
e alinhado com outros inventários. As opções para assegurar a exatidão de um inventário de informações
e outros ativos associados incluem:
O inventário não precisa ser uma única lista de informações e outros ativos associados. Convém que
o inventário seja mantido pelas funções relevantes, que pode ser visto como um conjunto de inventários
dinâmicos, como inventários de ativos de informação, hardware, software, máquinas virtuais (VM),
instalações, pessoal, competências, capacidades e registros.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que cada ativo seja classificado de acordo com a classificação das informações (ver 5.12)
associadas a esse ativo.
Propriedade
Convém que para as informações identificadas e outros ativos associados, a propriedade do ativo seja
atribuída a um indivíduo ou a um grupo e a classificação seja identificada (ver 5.12, 5.13). Convém que
um processo para assegurar a cessão oportuna de propriedade de ativos seja implementada. Convém
que a propriedade seja atribuída quando os ativos são criados ou quando os ativos são transferidos
para a organização. Convém que a propriedade de ativos seja reatribuída conforme necessário quando
os atuais proprietários de ativos deixarem ou mudarem de atribuições.
Deveres do proprietário
Convém que o proprietário do ativo seja responsável pela gestão adequada de um ativo ao longo de
todo o ciclo de vida útil do ativo, assegurando que:
d) os componentes que apoiam os ativos tecnológicos estejam listados e vinculados, como banco
de dados, armazenamento, componentes de software e subcomponentes;
e) os requisitos para o uso aceitável de informações e outros ativos associados (ver 5.10) estejam
estabelecidos;
h) eles estejam envolvidos na identificação e gestão de riscos associados com o(s) seu(s) ativo(s);
i) eles apoiem o pessoal que tem os papéis e responsabilidades de gerenciar suas informações.
Outras informações
Inventários de informações e outros ativos associados são muitas vezes necessários para assegurar
a proteção efetiva das informações e podem ser requeridos para outros fins, como saúde e segurança,
seguros ou razões financeiras. Inventario de informações e outros ativos associados também apoiam
a gestão de riscos, atividades de auditoria, gerenciamento de vulnerabilidades, resposta a incidentes
e planejamento de recuperação.
Tarefas e responsabilidades podem ser delegadas (por exemplo, a um custodiante que cuida dos
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Pode ser útil designar grupos de informações e outros ativos associados que atuam em conjunto para
fornecer um determinado serviço. Neste caso, o proprietário deste serviço é responsabilizado pela
prestação do serviço, incluindo a operação de seus ativos.
Ver a ISO/IEC 19770-1, para obter informações adicionais sobre gestão de ativos de TI. Ver a
ABNT NBR ISO 55001, para obter informações adicionais sobre gestão de ativos.
Controle
Convém que regras para o uso aceitável e procedimentos para o manuseio de informações e outros
ativos associados sejam identificados, documentados e implementados.
Propósito
Assegurar que as informações e outros ativos associados sejam devidamente protegidos, usados
e manuseados.
Orientação
Convém que pessoas e usuários externos que usem ou tenham acesso às informações da organização
e outros ativos associados estejam conscientes dos requisitos de segurança da informação para
proteger e lidar com as informações da organização e outros ativos associados. Convém que eles
sejam responsáveis pelo uso de qualquer recurso de tratamento das informações.
Convém que a organização estabeleça uma política específica por tema sobre o uso aceitável de
informações e outros ativos associados e comunique a qualquer pessoa que use ou manuseie
informações e outros ativos associados. Convém que a política específica por tema sobre uso aceitável
forneça uma direção clara sobre como espera-se que os indivíduos usem as informações e outros
ativos associados. Convém que a política específica por tema declare:
Convém que os procedimentos de uso aceitáveis sejam elaborados para o ciclo de vida completo
das informações de acordo com sua classificação (ver 5.12) e os riscos determinados. Convém que
os seguintes itens sejam considerados:
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
a) restrições de acesso que apoiam os requisitos de proteção para cada nível de classificação;
Outras informações
Pode ser o caso de que os ativos em questão não pertençam diretamente à organização, como serviços
públicos em nuvem. Convém que o uso desses ativos de terceiros e quaisquer ativos da organização
associados a estes ativos externos (por exemplo, informações, software) sejam identificados como
aplicáveis e controlados, por exemplo, por meio de acordos com provedores de serviços em nuvem.
Convém que cuidados também sejam tomados quando um ambiente colaborativo de trabalho é usado.
Controle
Convém que o pessoal e outras partes interessadas, conforme apropriado, devolvam todos os ativos
da organização em sua posse após a mudança ou encerramento da contratação ou acordo.
Propósito
Orientação
Convém que o processo de alteração ou rescisão seja formalizado para incluir a devolução de todos
os ativos físicos e eletrônicos previamente emitidos, de propriedade ou confiados à organização.
Nos casos em que o pessoal e outras partes interessadas comprem os equipamentos da organização
ou utilizem seus próprios equipamentos pessoais, convém que sejam seguidos procedimentos para
assegurar que todas as informações relevantes sejam rastreadas e transferidas para a organização
e excluídas com segurança do equipamento (ver 7.14).
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Nos casos em que o pessoal e outras partes interessadas tenham conhecimento importante das
operações em andamento, convém que essas informações sejam documentadas e transferidas para
a organização.
Durante o período de aviso prévio e posteriormente, convém que a organização impeça a cópia não
autorizada de informações relevantes (por exemplo, propriedade intelectual) pelo pessoal que está
sob aviso de rescisão.
Convém que a organização identifique e documente claramente todas as informações e outros ativos
associados a serem devolvidos, que podem incluir:
c) equipamentos especializados;
d) hardware de autenticação (por exemplo, chaves mecânicas, tokens físicos e smartcards) para
sistemas de informação, sites e arquivos físicos;
Outras informações
Pode ser difícil devolver informações sobre ativos que não pertencem à organização. Nesses casos,
é necessário restringir o uso de informações utilizando outros controles de segurança da informação,
como gestão de direitos de acesso (5.18) ou uso de criptografia (8.24).
Controle
Propósito
Orientação
Convém que organização estabeleça uma política específica por tema sobre classificação e comunicação
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que o regime de classificação inclua convenções para classificação e critérios para análise
crítica da classificação ao longo do tempo. Convém que os resultados da classificação sejam
atualizados de acordo com as alterações do valor, sensibilidade e criticidade das informações ao longo
de seu ciclo de vida.
Convém que o esquema esteja alinhado à política específica por tema sobre controle de acesso
(ver 5.1) e seja capaz de atender às necessidades específicas de negócios da organização.
A classificação pode ser determinada pelo nível de impacto que seu comprometimento teria para
a organização. Convém que a cada nível definido no esquema seja dado um nome que faça sentido
no contexto da aplicação do regime de classificação.
Convém que o esquema seja consistente em toda a organização e esteja incluído em seus
procedimentos para que todos classifiquem as informações e apliquem outros ativos associados da
mesma forma. Desta forma, todos têm uma compreensão comum dos requisitos de proteção e para
que todos apliquem a proteção adequada.
O esquema de classificação utilizado dentro da organização pode ser diferente dos esquemas
utilizados por outras organizações, mesmo que os nomes para níveis sejam semelhantes. Além disso,
as informações que se movem entre as organizações podem variar de classificação dependendo de
seu contexto em cada organização, mesmo que seus esquemas de classificação sejam idênticos.
Portanto, os acordos com outras organizações que incluem o compartilhamento de informações
podem incluir procedimentos para identificar a classificação dessas informações e interpretar os
níveis de classificação de outras organizações. A correspondência entre diferentes esquemas pode
ser determinada buscando equivalência nos métodos de manuseio e proteção associados.
Outras informações
A classificação fornece às pessoas que lidam com informações com uma indicação concisa de como
manuseá-la e protegê-la. Criar grupos de informações com necessidades de proteção semelhantes
e especificar procedimentos de segurança da informação que se aplicam a todas as informações
em cada grupo facilita isso. Esta abordagem reduz as necessidades de avaliar riscos caso a caso
e customizar o projeto de controles.
As informações podem deixar de ser sensíveis ou críticas após um determinado período de tempo.
Por exemplo, quando as informações forem tornadas públicas, ela não tem mais requisitos de
confidencialidade, mas ainda pode requerer proteção para suas propriedades de integridade e
disponibilidade. Convém que esses aspectos sejam levados em conta, pois a superclassificação pode
levar à implementação de controles desnecessários que resultem em despesas adicionais ou, pelo
contrário, a subclassificação pode levar a controles insuficientes para proteger as informações de
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
comprometimento.
c) a divulgação tem um impacto significativo de curto prazo nas operações ou objetivos de negócios;
Controle
Propósito
Orientação
a) casos em que a rotulagem é omitida (por exemplo, rotulagem de informações não confidenciais
para reduzir cargas de trabalho);
c) como lidar com casos em que a rotulagem não é possível (por exemplo, devido a restrições técnicas).
a) rótulos físicos;
b) cabeçalhos e rodapés;
c) metadados;
d) marca d’água;
e) carimbos de borracha.
Convém que as informações digitais utilizem metadados para identificar, gerenciar e controlar as
informações, especialmente no que diz respeito à confidencialidade. Convém que os metadados
também permitam a busca eficiente e correta das informações. Convém que os metadados facilitem
os sistemas para interagir e tomar decisões com base nos rótulos de classificação anexados.
Convém que os procedimentos descrevam como anexar metadados às informações, quais rótulos
usar e como convém que os dados sejam tratados, de acordo com o modelo de informações da
organização e a arquitetura de TIC.
Convém que os metadados adicionais relevantes sejam incorporados pelos sistemas quando eles
tratam informações dependendo de suas propriedades de segurança da informação.
Convém que o pessoal e outras partes interessadas estejam cientes dos procedimentos de rotulagem.
Convém que todo o pessoal tenha treinamento necessário para assegurar que as informações sejam
corretamente rotuladas e tratadas adequadamente.
Convém que a saída de sistemas que contenham informações classificadas como sensíveis ou críticas
contenham um rótulo de classificação adequado.
Outras informações
Outro metadado útil que pode ser anexado às informações é qual processo organizacional criou
as informações e em que momento.
A rotulagem de informações e outros ativos associados às vezes pode ter efeitos negativos. Ativos
classificados podem ser mais fáceis de identificar por pessoas mal intencionadas, para potencial
uso indevido.
Alguns sistemas não rotulam arquivos individuais ou registros de banco de dados com sua classificação,
mas protegem todas as informações no mais alto nível de classificação de qualquer uma das
informações que contém ou são permitidas para conter. É comum nesses sistemas determinar e, em
seguida, rotular informações quando são exportadas.
Controle
Propósito
Manter a segurança das informações transferidas dentro de uma organização e com qualquer parte
interessada externa.
Orientação
Geral
Convém que a organização estabeleça e comunique uma política específica por tema sobre transferência
de informações para todas as partes interessadas pertinentes. Convém que regras, procedimentos e
acordos para proteger informações em trânsito reflitam a classificação das informações envolvidas.
Convém que quando as informações forem transferidas entre a organização e terceiros, os acordos
de transferência (incluindo a autenticação do destinatário) sejam estabelecidos e mantidos para
proteger as informações em todas as formas em trânsito (ver 5.10).
Convém que para todos os tipos de transferência de informações, regras, procedimentos e acordos
incluam:
b) controles para assegurar a rastreabilidade e não repúdio, incluindo a manutenção de uma cadeia
de custódia de informações durante o trânsito;
g) política específica por tema ou diretrizes sobre o uso aceitável de recursos de transferência
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Transferência eletrônica
Convém que regras, procedimentos e acordos também considerem os seguintes itens ao usar
instalações de comunicação eletrônica para transferência de informações:
a) detecção e proteção contra malware que pode ser transmitido através do uso de comunicações
eletrônicas (ver 8.7);
d) obtenção de aprovação antes do uso de serviços públicos externos, como mensagens instantâneas,
redes sociais, compartilhamento de arquivos ou armazenamento em nuvem;
e) níveis mais fortes de autenticação ao transferir informações através de redes de acesso público;
Convém que ao transferir mídia de armazenamento físico (incluindo papel), regras, procedimentos
e acordos também sejam incluídos:
c) embalagem protegendo o conteúdo de qualquer dano físico que possa surgir durante o trânsito e
de acordo com as especificações de qualquer fabricante, por exemplo, protegendo contra quaisquer
fatores ambientais que podem reduzir a eficácia da restauração de meios de armazenamento,
como exposição ao calor, umidade ou campo eletromagnéticos; utilizando normas técnicas mínimas
para embalagem e transmissão (por exemplo, o uso de envelopes opacos);
Transferência verbal
Convém que para proteger a transferência verbal de informações, o pessoal e outras partes interessadas
sejam lembrados de:
a) não ter conversas verbais confidenciais em locais públicos ou por canais de comunicação inseguros,
uma vez que estes podem ser ouvidos por pessoas não autorizadas;
d) assegurar que os controles apropriados de sala sejam implementados (por exemplo, à prova
de som, porta fechada);
e) iniciar quaisquer conversas sensíveis com um aviso para que os presentes saibam o nível de
classificação e quaisquer requisitos de tratamento do que estão prestes a ouvir.
Outras informações
da informação cibernética
#Preventivo #Confidencialidade #Proteger #Gestão_de_ #Proteção
#Integridade identidade_e_acesso
#Disponibilidade
Controle
Convém que as regras para controlar o acesso físico e lógico às informações e outros ativos associados
sejam estabelecidas e implementadas com base nos requisitos de segurança da informação e de negócios.
Propósito
Assegurar o acesso autorizado e evitar o acesso não autorizado a informações e outros ativos
associados.
Orientação
Convém que esses requisitos e a política específica por tema considerem o seguinte:
a) determinação de quais entidades requerem qual tipo de acesso às informações e outros ativos
associados;
c) acesso físico, que precisa ser apoiado por controles de entradas físicas adequados (ver 7.2, 7.3, 7.4);
h) segregação das funções de controle de acesso (por exemplo, solicitação de acesso, autorização
de acesso, administração de acesso);
Convém que as regras de controle de acesso sejam implementadas definindo e mapeando os direitos
e as restrições de acesso adequados às entidades pertinentes (ver 5.16). Uma entidade pode representar
um usuário humano, bem como um item técnico ou lógico (por exemplo, uma máquina, dispositivo ou
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
um serviço). Para simplificar o gerenciamento de controle de acesso, funções específicas podem ser
atribuídas a grupos de entidades.
Convém que o seguinte seja considerado ao definir e implementar regras de controle de acesso:
c) considerar todos os tipos de conexões disponíveis em ambientes distribuídos para que as entidades
só tenham acesso a informações e outros ativos associados, incluindo redes e serviços de rede,
que estejam autorizados a usar;
d) considerar como os elementos ou fatores relevantes para o controle de acesso dinâmico podem
ser refletidos.
Outras informações
Muitas vezes existem princípios abrangentes usados no contexto do controle de acesso. Dois dos
princípios mais frequentemente usados são:
a) necessidade de conhecer: uma entidade só tem acesso às informações que essa entidade requer
para executar suas tarefas (diferentes tarefas ou papéis significam diferentes informações de
necessidade de conhecer e, portanto, diferentes perfis de acesso);
Convém que sejam tomados cuidado ao especificar as regras de controle de acesso a considerar:
b) alterações nos rótulos de informações (ver 5.13) que são iniciadas automaticamente pelos
recursos de tratamento de informações e aquelas iniciadas a critério de um usuário;
c) alterações nas permissões do usuário que são iniciadas automaticamente pelo sistema de
informações e aquelas iniciadas por um administrador;
Convém que as regras de controle de acesso sejam apoiadas por procedimentos documentados
(ver 5.16, 5.17, 5.18, 8.2, 8.3, 8.4, 8.5, 8.18) e responsabilidades definidas (ver 5.2 e 5.17).
Existem várias maneiras de implementar o controle de acesso, como MAC (controle de acesso
obrigatório), DAC (controle de acesso discricionário), RBAC (controle de acesso baseado em papel)
e ABAC (controle de acesso baseado em atributos).
As regras de controle de acesso também podem conter elementos dinâmicos (por exemplo, uma
função que avalia acessos passados ou valores específicos do ambiente). As regras de controle
de acesso podem ser implementadas em diferentes granularidades, desde a cobertura de redes ou
sistemas inteiros até campos de dados específicos e também podem considerar propriedades como
a localização do usuário ou o tipo de conexão de rede que é usada para acesso. Esses princípios e
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
a forma como o controle de acesso granular é definido podem ter um impacto significativo nos custos.
Regras mais fortes e mais granularidade normalmente levam a um custo mais alto. Convém que os
requisitos de negócios e considerações de risco sejam usados para definir quais regras de controle
de acesso são aplicadas e qual granularidade é requerida.
Controle
Propósito
Orientação
a) para identidades atribuídas às pessoas, uma identidade específica está vinculada apenas a uma
única pessoa para ser capaz de responsabilizar a pessoa por ações realizadas com essa identidade
específica;
b) identidades atribuídas a várias pessoas (por exemplo, identidades compartilhadas) só são permitidas
quando forem necessárias por razões de negócios ou operacionais e estão sujeitas à aprovação
e documentação dedicadas;
d) identidades são desativadas ou removidas em tempo hábil se não forem mais necessárias (por
exemplo, se suas entidades associadas forem excluídas ou não mais utilizadas, ou se a pessoa
ligada a uma identidade deixou a organização ou mudou o de papel);
e) em um domínio específico, uma única identidade é mapeada para uma única entidade [ou seja,
o mapeamento de múltiplas identidades para a mesma entidade dentro do mesmo contexto
(identidades duplicadas) é evitado];
Convém que as organizações tenham um processo de apoio para lidar com alterações nas informações
relacionadas a identidades de usuário. Esses processos podem incluir a reverificação de documentos
confiáveis relacionados à pessoa.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Ao usar identidades fornecidas ou emitidas por terceiros (por exemplo, credenciais de mídia social),
convém que a organização assegure que as identidades de terceiros forneçam o nível de confiança
necessário e quaisquer riscos associados sejam conhecidos e suficientemente tratados. Isso pode
incluir controles relacionados a terceiros (ver 5.19) bem como controles relacionados às informações
de autenticação associadas (ver 5.17).
Outras informações
b) verificar a identidade de uma entidade antes de alocá-las como uma identidade lógica;
d) configurar e ativar a identidade. Isso também inclui configuração e configuração inicial de serviços
de autenticação relacionados;
Controle
Convém que a alocação e a gestão de informações de autenticação sejam controladas por uma
gestão de processo, incluindo aconselhar o pessoal sobre o manuseio adequado de informações de
autenticação.
Propósito
Orientação
Responsabilidades do usuário
Convém que qualquer pessoa com acesso ou usando informações de autenticação seja avisada para
assegurar que:
c) quando senhas são usadas como informações de autenticação, senhas fortes de acordo com
as melhores práticas recomendadas são selecionadas, por exemplo:
1) as senhas não se baseiam em qualquer coisa que outra pessoa possa facilmente adivinhar
ou obter usando informações relacionadas à pessoa (por exemplo, nomes, números de telefone
e datas de nascimento);
3) usar frases de senha fáceis de lembrar e tentar incluir caracteres alfanuméricos e especiais;
e) a obrigação de seguir essas regras também são incluídas em termos e condições de emprego
(ver 6.2).
Convém que quando as senhas forem usadas como informações de autenticação, o sistema de
gerenciamento de senhas considere:
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
a) permitir que os usuários selecionem e alterem suas próprias senhas e incluam um procedimento
de confirmação para resolver erros de entrada;
d) impor alterações de senha conforme necessário, por exemplo, após um incidente de segurança,
ou após a rescisão ou mudança de emprego quando um usuário tiver senhas conhecidas para
identidades que permanecem ativas (por exemplo, identidades compartilhadas);
Convém que a criptografia de senha e o hashing sejam realizados de acordo com técnicas criptográficas
aprovadas para senhas (ver 8.24).
Outras informações
Senhas ou frases são um tipo de informação de autenticação comumente usada e são um meio
comum de verificar a identidade de um usuário. Outros tipos de informações de autenticação são
chaves criptográficas, dados armazenados em tokens de hardware (por exemplo, cartões inteligentes)
que produzem códigos de autenticação e dados biométricos, como varreduras de íris ou impressões
digitais. Informações adicionais podem ser encontradas na série ISO/IEC 24760.
Requerer mudança frequente de senhas pode ser problemático porque os usuários podem ficar
irritados com as mudanças frequentes, esquecer novas senhas, anotar em locais inseguros ou
escolher senhas inseguras. A provisão de sinal único (SSO) ou outras ferramentas de gestão de
autenticação (por exemplo, cofres de senha) reduz a quantidade de informações de autenticação
que os usuários são requeridos a proteger e, assim, pode aumentar a eficácia deste controle. No
entanto, essas ferramentas também podem aumentar o impacto da divulgação de informações de
autenticação.
Algumas aplicações exigem que senhas de usuário sejam atribuídas por uma autoridade independente.
Nesses casos, a), c) e d) de “Sistema de gerenciamento de senhas” não se aplicam.
Controle
Convém que os direitos de acesso às informações e outros ativos associados sejam provisionados,
analisados criticamente, modificados e removidos de acordo com a política de tema específico e
regras da organização para o controle de acesso.
Propósito
Assegurar que o acesso às informações e outros ativos associados esteja definido e autorizado de
acordo com os requisitos do negócio.
Orientação
Convém que o processo de provisionamento para atribuição ou revogação de direitos de acesso físico
e lógico concedidos à identidade autenticada de uma entidade inclua:
b) consideração dos requisitos do negócio e as regras e política específica por tema da organização
sobre controle de acesso;
d) garantia de que os direitos de acesso sejam removidos quando alguém não precisar acessar
as informações e outros ativos associados, em particular assegurando que os direitos de acesso
dos usuários que deixaram a organização sejam removidos em tempo hábil;
f) verificação de se o nível de acesso concedido está de acordo com as políticas específicas por
tema sobre controle de acesso (ver 5.15) e é consistente com outros requisitos de segurança da
informação, como a segregação de funções (ver 5.3);
g) garantia de que os direitos de acesso sejam ativados (por exemplo, por prestadores de serviços)
somente após a conclusão dos procedimentos de autorização bem sucedido;
i) modificação dos direitos de acesso dos usuários que mudaram de função ou emprego;
j) remoção ou ajuste dos direitos de acesso físico e lógico, que podem ser feitos por remoção,
revogação ou substituição de chaves, informações de autenticação, cartões de identificação ou
assinaturas;
k) manutenção de um registro de alterações nos direitos lógicos e físicos de acesso dos usuários.
Convém que as análises críticas regulares dos direitos de acesso físico e lógico considerem o seguinte:
a) direitos de acesso dos usuários após qualquer alteração dentro da mesma organização (por
exemplo, mudança de emprego, promoção, rebaixamento) ou rescisão do emprego (ver 6.1 a 6.5);
Convém que os direitos de acesso de um usuário às informações e outros ativos associados sejam
analisados criticamente e ajustados ou removidos antes de qualquer alteração ou rescisão de emprego
com base na avaliação de fatores de risco como:
Outras informações
Convém que seja considerado o estabelecimento de funções de acesso ao usuário com base nos
requisitos de negócios que resumem uma série de direitos de acesso em perfis típicos de acesso ao
usuário. Solicitações de acesso e análise critica dos direitos de acesso são mais fáceis de gerenciar
ao nível de tais funções do que no nível de direitos particulares.
Convém que seja dada consideração à inclusão de cláusulas em contratos de pessoal e contratos
de serviços que especifique sanções se o acesso não autorizado for tentado por pessoal (ver 5.20,
6.2, 6.4, 6.6).
Em casos de rescisão iniciada pela direção, pessoas descontentes ou usuários de partes externas
podem deliberadamente corromper informações ou sabotar os recursos de tratamento de informações.
Em casos de pessoas que se demitem ou são demitidas, elas podem ser tentadas a coletar informações
para uso futuro.
A clonagem é uma maneira eficiente de as organizações atribuirem acesso aos usuários. No entanto,
convém que seja feito com cuidado com base em funções distintas identificadas pela organização, em
vez de apenas clonar uma identidade com todos os direitos de acesso associados. A clonagem tem um
risco inerente de resultar em direitos excessivos de acesso à informação e outros ativos associados.
Controle
Convém que processos e procedimentos sejam definidos e implementados para gerenciar a segurança
da informação e os riscos associados com o uso dos produtos ou serviços dos fornecedores.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Propósito
Orientação
Convém que a organização estabeleça e comunique uma política específica por tema sobre
relacionamentos com fornecedores a todas as partes interessadas pertinentes.
Convém que a organização identifique e implemente processos e procedimentos para enfrentar riscos
de segurança associados ao uso de produtos e serviços prestados pelos fornecedores. Convém que
isso também se aplique ao uso da organização de recursos de provedores de serviços em nuvem.
Convém que esses processos e procedimentos incluam aqueles a serem implementados pela
organização, bem como aqueles que a organização requer que o fornecedor implemente para o início
do uso de produtos ou serviços de um fornecedor ou para o término do uso de produtos e serviços
de um fornecedor, como:
a) identificar e documentar os tipos de fornecedores (por exemplo, serviços de TIC, logística, utilidades,
serviços financeiros, componentes de infraestrutura de TIC) que podem afetar a confidencialidade,
integridade e disponibilidade das informações da organização;
1) o uso das informações da organização pelos fornecedores e outros ativos associados, incluindo
riscos originário de potenciais fornecedores maliciosos;
h) mitigar a não conformidade de um fornecedor, seja ela detectada por meio de monitoramento
ou por outros meios;
2) tratamento de informações;
5) gerenciamento de registros;
6) devolução de ativos;
Outras informações
Nos casos em que não seja possível para uma organização colocar requisitos em um fornecedor,
convém que a organização:
As informações podem ser colocadas em risco por fornecedores com uma gestão inadequada de
segurança da informação. Convém que os controles sejam determinados e aplicados para gerenciar
o acesso do fornecedor às informações e outros ativos associados. Por exemplo, se houver uma
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Os riscos também podem ser causados por controles inadequados de componentes de infraestrutura
de TIC ou serviços prestados pelos fornecedores. Componentes ou serviços defeituosos ou vulneráveis
podem causar violações de segurança da informação na organização ou em outra entidade (por
exemplo, eles podem causar infecção por malware, ataques ou outros danos a entidades que não
a organização).
Controle
Propósito
Orientação
Convém que os acordos com fornecedores sejam estabelecidos e documentados para assegurar que
haja um entendimento claro entre a organização e o fornecedor sobre as obrigações de ambas as partes
de cumprir com os requisitos relevantes de segurança da informação.
Os seguintes termos podem ser considerados para inclusão nos acordos, a fim de atender aos requisitos
identificados de segurança da informação:
f) regras de uso aceitável de informações e outros ativos associados, incluindo uso inaceitável,
se necessário;
g) procedimentos ou condições para autorização e remoção da autorização para uso das informações
da organização e outros ativos associados por pessoal fornecedor (por exemplo, por meio de uma
lista explícita de fornecedores autorizados a usar as informações da organização e outros ativos
associados);
m) contatos relevantes, incluindo uma pessoa de contato para problemas de segurança da informação;
Convém que as organizações estabeleçam e mantenham um registro de acordos com partes externas
(por exemplo, contratos, memorando de entendimento, acordos de compartilhamento de informações)
para acompanhar para onde suas informações estão indo. Convém que as organizações também
analisem criticamente, validem e atualizem regularmente seus acordos com partes externas para
assegurar que ainda sejam necessárias e adequadas para o propósito com cláusulas relevantes de
segurança da informação.
Outras informações
Os acordos podem variar consideravelmente para diferentes organizações e entre os diferentes tipos
de fornecedores. Portanto, convém que seja tomado cuidado para incluir todos os requisitos relevantes
para lidar com os riscos de segurança da informação.
Para obter detalhes sobre os contratos de fornecedores, ver a série ISO/IEC 27036. Para contratos
de serviços em nuvem, ver a série ISO/IEC 19086.
Controle
Convém que processos e procedimentos sejam definidos e implementados para gerenciar riscos
de segurança da informação associados à cadeia de fornecimento de produtos e serviços de TIC.
Propósito
Orientação
Convém que os seguintes tópicos sejam considerados para abordar a segurança da informação
dentro da segurança da cadeia de fornecimento de TIC, além dos requisitos gerais de segurança
da informação para as relações com fornecedores:
h) obter garantia de que componentes críticos e sua origem podem ser rastreados em toda a cadeia
de fornecimento;
i) obter garantia de que os produtos de TIC entregues estão funcionando como esperado sem
quaisquer características inesperadas ou indesejadas;
j) implementando processos para garantir que os componentes dos fornecedores sejam genuínos
e sem alteração de sua especificação. As medidas de exemplo incluem rótulos antiadulteração,
verificações de hash, criptográficos ou assinaturas digitais. O monitoramento para o desempenho
fora da especificação pode ser um indicador de adulteração ou falsificações. Convém que a
prevenção e detecção de adulteração seja implementada durante múltiplas etapas do ciclo de
vida do desenvolvimento do sistema, incluindo projeto, desenvolvimento, integração, operações
e manutenção;
k) obter garantia de que os produtos de TIC atingem níveis de segurança necessários, por exemplo,
através de certificação formal ou um esquema de avaliação, como o Acordo de Reconhecimento
de Critérios Comuns;
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
m) implementar processos específicos para a gestão do ciclo de vida dos componentes de TIC
e disponibilidade e riscos de segurança associados. Isso inclui gerenciar os riscos de os componentes
não estarem mais disponíveis devido aos fornecedores não estarem mais no negócio ou fornecedores
não mais fornecerem esses componentes devido aos avanços tecnológicos. Convém que seja
considerada a identificação de um fornecedor alternativo e o processo de transferência de software
e competência para o fornecedor alternativo.
Outras informações
As práticas específicas de gestão de riscos da cadeia de fornecimento de TIC são construídas em cima
das práticas gerais de segurança da informação, qualidade, gerenciamento de projetos e engenharia
de sistemas, mas não as substituem.
As organizações são aconselhadas a trabalhar com fornecedores para entender a cadeia de fornecimento
de TIC e quaisquer assuntos que tenham um efeito importante sobre os produtos e serviços que estão
sendo prestados. A organização pode influenciar as práticas de segurança da informação da cadeia
de fornecimento de TIC, deixando claro em acordos com seus fornecedores os assuntos que convém
que sejam abordados por outros fornecedores da cadeia de fornecimento de TIC.
Convém que as TIC sejam adquiridas a partir de fontes confiáveis. A confiabilidade do software e do
hardware é uma questão de controle de qualidade. Embora geralmente não seja possível para uma
organização inspecionar os sistemas de controle de qualidade de seus fornecedores, ela pode fazer
julgamentos confiáveis com base na reputação do fornecedor.
As cadeias de fornecimento de TIC, conforme abordado neste controle, incluem serviços em nuvem.
Exemplos de cadeias de fornecimento de TIC são:
a) provisão de serviços em nuvem, onde o provedor de serviços em nuvem confia nos desenvolvedores
de software, provedores de serviços de telecomunicações, provedores de hardware;
c) serviços de hospedagem, onde o provedor conta com service desks externos, incluindo primeiro,
segundo e terceiro níveis de apoio.
Ver a ISO/IEC 27036-3 para obter mais detalhes, incluindo orientação para o processo de avaliação
de risco.
As tags de identificação de software (SWID) também podem ajudar a alcançar uma melhor segurança
da informação na cadeia de fornecimento, fornecendo informações sobre procedência de software.
Ver a ISO/IEC 19770-2 para obter mais detalhes.
Controle
Convém que a organização monitore, analise criticamente, avalie e gerencie regularmente a mudança
nas práticas de segurança da informação dos fornecedores e na prestação de serviços.
Propósito
Orientação
Convém que o monitoramento, a análise crítica e a gestão de mudanças dos serviços de fornecedores
assegurem que os termos e condições de segurança da informação dos acordos estejam conformes,
incidentes de segurança da informação e problemas sejam gerenciados adequadamente e mudanças
nos serviços de fornecedores ou status de empresa não afetem a prestação de serviços.
Convém que isso envolva um processo para gerenciar a relação entre a organização e o fornecedor
para:
6) mudança de subfornecedores;
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
j) analisar criticamente aspectos de segurança da informação das relações do fornecedor com seus
próprios fornecedores;
k) assegurar que o fornecedor mantenha a capacidade de serviço suficiente, juntamente com planos
viáveis projetados para assegurar que os níveis de continuidade de serviço acordados sejam
mantidos após grandes falhas de serviço ou desastre (ver 5.29, 5.30, 5.35, 5.36 e 8.14) ;
Outras informações
Controle
Convém que os processos de aquisição, uso, gestão e saída de serviços em nuvem sejam estabelecidos
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Propósito
Orientação
Convém que a organização estabeleceça e comunique políticas específicas por tema sobre o uso
de serviços em nuvem para todas as partes interessadas relevantes.
Convém que a organização defina e comunique como pretende gerenciar riscos de segurança da
informação associados ao uso de serviços em nuvem. Pode ser uma extensão ou parte da abordagem
existente de como a organização gerencia os serviços prestados por partes externas (ver 5.21 e 5.22).
e) como obter e utilizar recursos de segurança da informação fornecidos pelo provedor de serviços
em nuvem;
f) como obter garantia sobre controles de segurança da informação implementados por provedores
de serviços em nuvem;
g) como gerenciar controles, interfaces e mudanças nos serviços quando uma organização usa
vários serviços em nuvem, particularmente de diferentes provedores de serviços em nuvem;
i) sua abordagem para monitorar, analisar criticamente e avaliar o uso contínuo de serviços em
nuvem para gerenciar riscos de segurança da informação;
j) como alterar ou parar o uso de serviços em nuvem, incluindo estratégias de saída para serviços
em nuvem.
Os contratos de serviços em nuvem são muitas vezes predefinidos e não estão abertos à negociação.
Para todos os serviços em nuvem, convém que a organização analise criticamente os contratos
de serviços em nuvem com o provedor de serviços em nuvem. Convém que um acordo de serviço
em nuvem aborde os requisitos de confidencialidade, integridade, disponibilidade e manuseio de
informações da organização, com objetivos apropriados de nível de serviço em nuvem e objetivos
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
qualitativos de serviço em nuvem. Convém que a organização também realize processos de avaliação
de risco pertinentes para identificar os riscos associados ao uso do serviço em nuvem. Convém que
quaisquer riscos residuais ligados ao uso do serviço em nuvem sejam claramente identificados e
aceitos pela gestão apropriada da organização.
Convém que um acordo entre o provedor de serviços em nuvem e a organização, atuando como cliente
do serviço em nuvem, inclua as seguintes disposições para a proteção dos dados da organização e
disponibilidade de serviços:
b) gerenciar controles de acesso dos serviços em nuvem que atendam aos requisitos da organização;
j) fornecer e retornar informações como arquivos de configuração, código-fonte e dados que pertencem
à organização, atuando como cliente de serviço em nuvem, quando solicitado durante a prestação
do serviço ou no término do serviço.
Convém que a organização, atuando como cliente do serviço em nuvem, considere se é recomendado
que o acordo requeira que os provedores de serviços em nuvem forneçam notificação antecipada
antes de quaisquer alterações de impacto substantivo para o cliente, na forma como o serviço é
entregue à organização, incluindo:
c) uso de provedores de serviços em nuvem por pares ou outros subcontratados (incluindo alterar
partes existentes ou usar novas partes).
Convém que a organização que utiliza serviços em nuvem mantenha contato próximo com seus
provedores de serviços em nuvem. Esses contatos permitem a troca mútua de informações sobre
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
segurança da informação para o uso dos serviços em nuvem, incluindo um mecanismo tanto para
o provedor de serviços em nuvem quanto para a organização, atuando como cliente do serviço em
nuvem, para monitorar cada característica do serviço e relatar falhas nos compromissos contidos
nos acordos.
Outras informações
Este controle considera a segurança na nuvem do ponto de vista do cliente do serviço em nuvem.
Podem ser encontradas informações adicionais relacionadas aos serviços de nuvem nas
ABNT NBR ISO/IEC 17788, ISO/IEC 17789 e ISO/IEC 22123-1. As especificidades relacionadas à
portabilidade no apoio no suporte às estratégias de saída podem ser encontradas na ISO/IEC 19941.
As especificidades relacionadas à segurança da informação e serviços de nuvem pública estão
descritas na ABNT NBR ISO/IEC 27017. As especificidades relacionadas à proteção de dados
pessoais em nuvens públicas que atuam como operador de dados pessoais são descritas na
ABNT NBR ISO/IEC 27018. As relações com fornecedores para serviços em nuvem são cobertas
pela ISO/IEC 27036-4 e os contratos de serviços em nuvem e seus conteúdos são tratados na série
ISO/IEC 19086, com segurança e privacidade especificamente cobertas pela ISO/IEC 19086-4.
Controle
Convém que a organização planeje e se prepare para gerenciar incidentes de segurança da informação
definindo, estabelecendo e comunicando processos, papéis e responsabilidades de gestão de incidentes
de segurança da informação.
Propósito
Assegurar uma resposta rápida, eficaz, consistente e ordenada aos incidentes de segurança da
informação, incluindo a comunicação sobre eventos de segurança da informação.
Orientação
Papéis e responsabilidades
a) estabelecer um método comum para relatar eventos de segurança da informação, incluindo ponto
de contato (ver 6.8);
d) permitir apenas que o pessoal competente lide com as questões relacionadas a incidentes de
segurança da informação dentro da organização. Convém que este pessoal seja provido com
documentação do procedimento e treinamento periódico;
Convém que os objetivos para a gestão de incidentes de segurança da informação sejam acordados
com a gestão da organização e que seja assegurado que os responsáveis pela gestão de incidentes
Convém que a gestão da organização assegure que um plano de gestão de incidentes de segurança
da informação seja criado, considerando diferentes cenários e que procedimentos sejam desenvolvidos
e implementados para as seguintes atividades:
a) avaliação de eventos de segurança da informação de acordo com critérios para o que constitui
um incidente de segurança da informação;
b) monitoramento (ver 8.15 e 8.16), detecção (ver 8.16), classificação (ver 5.25), análise e relatório
(ver 6.8) de eventos e incidentes de segurança da informação (por meios humanos ou automáticos);
d) coordenação com partes interessadas internas e externas, como autoridades, interesse externo
grupos e fóruns, fornecedores e clientes (ver 5.5 e 5.6);
b) uso de formulários de incidentes para apoiar o pessoal a realizar todas as ações necessárias
ao relatar incidentes de segurança da informação;
c) processos de feedback adequados para assegurar que essas pessoas que relatam eventos
de segurança da informação sejam notificadas, na medida do possível, dos resultados após o
incidente ter sido tratado e encerrado;
Convém que quaisquer requisitos externos sobre relato de incidentes às partes interessadas pertinentes
dentro do prazo definido (por exemplo, requisitos de notificação de violação aos reguladores) sejam
considerados na implementação de procedimentos de gestão de incidentes.
Outras informações
Controle
Propósito
Orientação
Convém que os resultados da avaliação e da decisão sejam registrados em detalhes para fins de
referência futura e verificação.
Outras informações
Controle
Propósito
Orientação
Convém que os incidentes de segurança da informação sejam respondidos por uma equipe designada
com a competência necessária (ver 5.24).
d) garantia de que todas as atividades de resposta envolvidas sejam devidamente registradas para
análise posterior;
f) coordenação com partes internas e externas, como autoridades, grupos de interesse externo
e fóruns, fornecedores e clientes para melhorar a eficácia da resposta e ajudar a minimizar
as consequências para outras organizações;
g) uma vez que o incidente foi tratado com sucesso, formalmente fechá-lo e registrá-lo;
i) análise pós-incidente para identificar a causa-raiz. Assegurar que seja documentada e comunicada
de acordo com os procedimentos definidos (ver 5.27);
Outras informações
Controle
Convém que o conhecimento adquirido com incidentes de segurança da informação seja usado para
fortalecer e melhorar os controles de segurança da informação.
Propósito
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Orientação
Convém que a organização estabeleça procedimentos para quantificar e monitorar os tipos, volumes
e custos dos incidentes de segurança da informação.
Convém que as informações obtidas com a avaliação dos incidentes de segurança da informação
sejam utilizadas para:
b) identificar incidentes recorrentes ou graves e suas causas para atualizar o processo de avaliação
de risco de segurança da informação da organização e determinar e implementar controles
adicionais necessários para reduzir a probabilidade ou as consequências de futuros incidentes
semelhantes. Mecanismos para permitir que incluam a coleta, a quantificação e o monitoramento
de informações sobre custos, volumes e tipos de incidentes;
Outras informações
Controle
Propósito
Assegurar uma gestão consistente e eficaz das evidências relacionadas a incidentes de segurança
da informação para fins de ações disciplinares e legais.
Orientação
Em geral, convém que esses procedimentos para o gerenciamento de evidências forneçam instruções
para a identificação, coleta, aquisição e preservação de evidências de acordo com diferentes tipos
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
de mídia de armazenamento, dispositivos e status dos dispositivos (ou seja, ligados ou desligados).
As evidências normalmente precisam ser coletadas de forma admissível nos tribunais nacionais
apropriados ou em outro fórum disciplinar. Convém que seja possível demonstrar que:
c) qualquer sistema de informação a partir do qual as evidências foram coletadas estava operando
corretamente no momento em que a evidência foi registrada.
Convém que, quando disponível, certificação ou outros meios relevantes de qualificação de pessoal
e ferramentas sejam empregados, de modo a fortalecer o valor das evidências preservadas.
Outras informações
Quando um evento de segurança da informação é detectado pela primeira vez, nem sempre é
óbvio se o evento resultará ou não em ação judicial. Portanto, existe o perigo de que as evidências
necessárias sejam destruídas intencionalmente ou acidentalmente antes que a gravidade do incidente
seja realizada. É aconselhável envolver assessoria jurídica ou aplicação da lei no início de qualquer
ação legal contemplada e tomar conselhos sobre as provas necessárias.
A ISO/IEC 27037 fornece definições e diretrizes para identificação, coleta, aquisição e preservação
de evidências digitais.
A série ISO/IEC 27050 trata da descoberta eletrônica, que envolve o tratamento de informações
armazenadas eletronicamente como evidência.
Controle
Convém que a organização planeje como manter a segurança da informação em um nível apropriado
durante a disrupção.
Propósito
Orientação
Convém que a organização determine seus requisitos para adaptar os controles de segurança da
informação durante a disrupção. Convém que os requisitos de segurança da informação sejam
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
c) controles de compensação para controles de segurança da informação que não podem ser
mantidos durante a disrupção.
Outras informações
Controle
Convém que a prontidão da TIC seja planejada, implementada, mantida e testada com base nos
objetivos de continuidade de negócios e nos requisitos de continuidade da TIC.
Propósito
Orientação
Os requisitos de continuidade das TIC são o resultado da análise de impacto nos negócios (BIA).
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que o processo BIA utilize tipos e critérios de impacto para avaliar os impactos ao longo
do tempo decorrentes da disrupção das atividades empresariais que fornecem produtos e serviços.
Convém que a magnitude e duração do impacto resultante sejam utilizadas para identificar atividades
priorizadas que convém que sejam atribuídas a um objetivo de tempo de recuperação (RTO). Convém
que a BIA então determine quais recursos são necessários para apoiar as atividades priorizadas.
Convém que um RTO também seja especificado para esses recursos. Convém que um subconjunto
desses recursos inclua serviços de TIC.
A BIA envolvendo serviços de TIC pode ser expandida para definir os requisitos de desempenho e
capacidade dos sistemas de TIC e dos objetivos de ponto de recuperação (RPO) das informações
necessárias para apoiar as atividades durante a disrupção.
Com base nas saídas da BIA e no processo de avaliação de risco envolvendo serviços de TIC, convém
que a organização identifique e selecione estratégias de continuidade de TIC que considerem opções
para antes, durante e após a disrupção. As estratégias de continuidade de negócios podem incluir
uma ou mais soluções. Convém que, com base nas estratégias, os planos sejam desenvolvidos,
implementados e testados para atender ao nível de disponibilidade requerido dos serviços de TIC
e nos prazos requeridos após disrupção ou falha de processos críticos.
a) existe uma estrutura organizacional adequada para preparar, mitigar e responder a uma disrupção,
suportada por pessoal com a necessária responsabilidade, autoridade e competência;
3) RPO dos recursos priorizados de TIC definidos como informações e procedimentos para
restauração da informação.
Outras informações
Gerenciar a continuidade de TIC forma uma parte fundamental dos requisitos de continuidade de
negócios em relação à disponibilidade para ser capaz de:
b) assegurar que a continuidade das atividades priorizadas são apoiadas pelos serviços de TIC
necessários;
c) responder antes que ocorra uma disrupção nos serviços de TIC, e após a detecção de pelo
menos um incidente que pode resultar em uma disrupção nos serviços de TIC.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Orientações adicionais podem ser encontradas sobre a prontidão de TIC para a continuidade dos
negócios na ISO/IEC 27031.
Orientações adicionais podem ser encontradas sobre o sistema de gestão de continuidade de negócios
na ABNT NBR ISO 22301 e na ABNT NBR ISO 22313.
Orientações adicionais podem ser encontradas sobre BIA na ABNT ISO/TS 22317.
Controle
Propósito
Orientação
Geral
Legislação e regulamentos
— usar produtos e serviços de outros países onde leis e regulamentos podem afetar a organização;
Criptografia
Criptografia é uma área que muitas vezes tem requisitos legais específicos. Convém que o compliance
com acordos, leis e regulamentos pertinentes relativos aos seguintes itens considere:
Contratos
c) contratos de seguro.
Outras informações
Controle
Propósito
Orientação
Convém que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa
ser considerado propriedade intelectual:
a) definir e comunicar uma política específica por tema sobre proteção dos direitos de propriedade
intelectual;
b) publicar procedimentos para o compliance dos direitos de propriedade intelectual que definam
o uso adequado de software e produtos de informação;
c) adquirir software somente por meio de fontes conhecidas e confiáveis, para assegurar que
os direitos autorais não sejam violados;
d) manter registros apropriados de ativos e identificar todos os ativos com requisitos de proteção
de direitos de propriedade intelectual;
f) assegurar que qualquer número máximo de usuários ou recursos (por exemplo, CPU) permitidos
dentro da licença não seja excedido;
g) realizar análises críticas para assegurar que apenas softwares autorizados e produtos licenciados
sejam instalados;
j) manter o compliance dos termos e condições de software e informações obtidas de redes públicas
e fontes externas;
k) não duplicar, converter para outro formato ou extrair de gravações comerciais (vídeo, áudio) outro
além do permitido pela lei de direitos autorais e as licenças aplicáveis;
l) não copiar, total ou parcialmente, normas (por exemplo, normas internacionais ISO/IEC), livros,
artigos, relatórios ou outros documentos, além do permitido pela lei de direitos autorais e as licenças
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
aplicáveis.
Outras informações
Os produtos de software proprietários geralmente são fornecidos sob um contrato de licença que
especifica termos e condições de licença, por exemplo, limitando o uso dos produtos a máquinas
especificadas ou limitando a cópia apenas à criação de cópias de backup. Ver a ISO/IEC 19770 para
obter detalhes sobre a gestão de ativos de TI.
Os dados podem ser adquiridos de fontes externas. É geralmente o caso de que estes dados são
obtidos nos termos de um acordo de compartilhamento de dados ou instrumento legal semelhante.
Convém que esses acordos de compartilhamento de dados deixem claro qual o tratamento permitido
para os dados adquiridos. Também é aconselhável que a procedência dos dados seja claramente
declarada. Ver a ISO/IEC 23751 para obter detalhes sobre acordos de compartilhamento de dados.
Além da organização que precisa cumprir suas obrigações em relação aos direitos de propriedade
intelectual de terceiros, convém que os riscos de pessoal e terceiros não cumprirem os direitos de
propriedade intelectual da própria organização também sejam gerenciados.
Controle
Convém que os registros sejam protegidos contra perdas, destruição, falsificação, acesso não
autorizado e liberação não autorizada.
Propósito
Assegurar o compliance dos requisitos legais, estatutários, regulamentares e contratuais, bem como
expectativas comunitárias ou sociais relacionadas à proteção e disponibilidade de registros.
Orientação
Convém que a organização tome as seguintes medidas para proteger a autenticidade, confiabilidade,
integridade e usabilidade dos registros, enquanto seu contexto de negócios e os requisitos para a sua
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
b) elaborar um cronograma de retenção definindo registros e o período de tempo pelo qual convém
que eles sejam retidos.
Convém que o sistema de armazenamento e manuseio assegure a identificação dos registros e do seu
período de retenção levando em consideração a legislação ou regulamentos nacionais ou regionais,
bem como as expectativas comunitárias ou sociais, se aplicável. Convém que este sistema permita
a destruição adequada dos registros após esse período, se eles não forem necessários pela organização.
Ao decidir sobre a proteção de registros organizacionais específicos, convém considerar sua classificação
correspondente de segurança da informação, com base no esquema de classificação da organização.
Convém que os registros sejam categorizados em tipos de registros (por exemplo, registros contábeis,
registros de transações comerciais, registros pessoais, registros legais), cada um com detalhes de
períodos de retenção e tipo de mídia de armazenamento permitida, que pode ser física ou eletrônica.
Convém que os sistemas de armazenamento de dados sejam escolhidos de forma que os registros
necessários possam ser recuperados em um período e formato aceitáveis, dependendo dos requisitos
a serem cumpridos.
Convém que, quando as mídias de armazenamento eletrônico forem escolhidas, procedimentos para
assegurar a capacidade de acessar registros (mídia de armazenamento e legibilidade de formato),
durante todo o período de retenção, sejam estabelecidos, para proteger contra perdas devido à futura
mudança de tecnologia. Convém que quaisquer chaves criptográficas e programas relacionados
associados a arquivos criptografados ou assinaturas digitais também sejam retidos para permitir a
descriptografia dos registros pelo tempo que os registros são retidos (ver 8.24).
Outras informações
Os registros documentam eventos ou transações individuais ou podem formar agregações que foram
projetadas para documentar processos de trabalho, atividades ou funções. Ambos são evidências de
atividade empresarial e ativos de informação. Qualquer conjunto de informações, independentemente
de sua estrutura ou forma, pode ser gerenciado como um registro. Isso inclui informações na forma
de um documento, uma coleta de dados ou outros tipos de informações digitais ou analógicas que
são criadas, capturadas e gerenciadas no decorrer dos negócios.
Na gestão dos registros, metadados são dados que descrevem o contexto, conteúdo e estrutura
dos registros, bem como sua gestão ao longo do tempo. Metadados são componentes essenciais de
qualquer registro.
Pode ser necessário reter alguns registros com segurança para atender aos requisitos legais, estatutários,
regulamentares ou contratuais, bem como apoiar atividades comerciais essenciais. A lei ou regulamento
nacional pode definir o período de tempo e o conteúdo dos dados para retenção de informações. Mais
informações sobre o gerenciamento de registros podem ser encontradas na ISO 15489.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Controle
Convém que a organização identifique e atenda aos requisitos relativos à preservação da privacidade
e proteção de DP de acordo com as leis e regulamentos aplicáveis e requisitos contratuais.
Propósito
Orientação
Convém que a organização estabeleça e comunique uma política específica por tema sobre privacidade
e proteção de DP para todas as partes interessadas relevantes.
Convém que a responsabilidade de lidar com os DP seja tratada de acordo com a legislação e
os regulamentos pertinentes.
Convém que medidas técnicas e organizacionais adequadas para proteger DP sejam implementadas.
Outras informações
Vários países introduziram legislação que coloca controles sobre a coleta, tratamento, transmissão
e exclusão de DP. Dependendo da respectiva legislação nacional, tais controles podem impor deveres
àqueles que coletam, tratam e divulgam DP e também podem restringir a autoridade para transferir DP
para outros países.
A ABNT NBR ISO/IEC 29100 fornece uma estrutura de alto nível para a proteção de DP dentro dos
sistemas de TIC. Mais informações sobre sistemas de gestão da privacidade de informações podem
ser encontradas na ABNT NBR ISO/IEC 27701. Informações específicas sobre a gestão de privacidade
de informações para nuvens públicas que atuam como operadores de DP podem ser encontradas na
ABNT NBR ISO/IEC 27018.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
A ABNT NBR ISO/IEC 29134 fornece diretrizes para avaliação de impacto de privacidade
(PIA) e um exemplo da estrutura e conteúdo de um relatório PIA. Em comparação com a
ABNT NBR ISO/IEC 27005, ela é focada no tratamento de DP e pertinente para as organizações
que tratam DP. Isso pode ajudar a identificar riscos de privacidade e possíveis mitigações para reduzir
esses riscos a níveis aceitáveis.
Controle
Propósito
Orientação
Convém que a organização tenha processos para realizar análises críticas independentes.
Convém que a direção planeje e inicie análises críticas periódicas. Convém que as análises críticas
incluam a avaliação de oportunidades de melhoria e a necessidade de mudanças na abordagem
da segurança da informação, incluindo a política de segurança da informação, políticas de temas
específicos e outros controles.
Convém que essas análises críticas sejam realizadas por indivíduos independentes da área em análise
(por exemplo, a função de auditoria interna, um gestor independente ou uma organização externa
especializada em tais análises críticas). Convém que os indivíduos que realizam essas análises
críticas tenham a competência adequada. Convém que a pessoa que conduz as análises críticas não
esteja na linha de autoridade para assegurar que ela tenha a independência para fazer uma avaliação.
Convém que os resultados das análises críticas independentes sejam informados ao gestor que iniciou
as análises críticas e, se for o caso, à Alta Direção. Convém que esses registros sejam mantidos.
Convém que a gestão implemente as ações corretivas, se as análises críticas independentes identificarem
que a abordagem e a implementação da organização para a gestão da segurança da informação são
inadequadas [por exemplo, objetivos e requisitos documentados não são atendidos ou não estão
de acordo com o direcionamento de segurança da informação indicado na política de segurança da
informação e políticas de temas específicos (ver 5.1)],
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Além das análises críticas independentes periódicas, convém que a organização considere a realização
de análises críticas independentes quando:
d) a organização começar a usar um novo produto ou serviço, ou alterar o uso de um produto atual
ou serviço;
Outras informações
A ABNT NBR ISO/IEC 27007 e a ISO/IEC TS 27008 fornecem orientações para a realização de
análises críticas independentes.
Controle
Propósito
Assegurar que a segurança da informação seja implementada e operada de acordo com a política
de segurança da informação da organização, políticas, regras e normas específicas por tema.
Orientação
Convém que gestores, proprietários de serviços, produtos ou informações identifiquem como analisar
criticamente os requisitos de segurança da informação definidos na política de segurança da informação,
políticas específicas por tema, regras, normas e outras regulamentações aplicáveis. Convém que
ferramentas automáticas de medição e emissão de relatórios sejam consideradas para uma análise
crítica regular eficiente.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Se qualquer não compliance for encontrado como resultado da análise crítica, convém que os gestores:
d) analisem criticamente as ações corretivas tomadas para verificar sua eficácia e identificar quaisquer
deficiências ou fragilidades.
Convém que os resultados das análises críticas e ações corretivas realizadas pelos gestores, proprietários
de serviços, produtos ou informações sejam registrados e que registros sejam mantidos. Convém que
os gestores informem os resultados às pessoas que realizam análises críticas independentes (ver
5.35) quando uma análise crítica independente ocorre na área de sua responsabilidade.
Convém que as ações corretivas sejam concluídas em tempo hábil, conforme apropriado ao risco.
Se não for concluída até a próxima análise crítica programada, convém que o progresso, pelo menos,
seja abordado nessa análise crítica.
Outras informações
Controle
Propósito
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Orientação
a) quando a atividade precisa ser realizada da mesma forma por muitas pessoas;
b) quando a atividade é realizada raramente e na próxima vez que tiver que ser realizada
provavelmente foi esquecida;
a) as responsabilidades individuais;
f) as instruções para o manuseio de erros ou outras condições excepcionais [por exemplo, restrições
ao uso de programas utilitários (ver 8.18)], que podem surgir durante a execução do trabalho;
j) a gestão das informações de trilha de auditoria e log do sistema (ver 8.15 e 8.17) e monitoramento
de sistemas de vídeo (ver 7.4);
l) as instruções de manutenção.
Outras informações
6 Controles de pessoas
6.1 Seleção
Controle
Convém que verificações de antecedentes de todos os candidatos a serem contratados sejam realizadas
antes de ingressarem na organização e de modo contínuo, de acordo com as leis, regulamentos e
ética aplicáveis e que sejam proporcionais aos requisitos do negócio, à classificação das informações
a serem acessadas e aos riscos percebidos.
Propósito
Assegurar que todo o pessoal seja elegível e adequado para os papéis para os quais são considerados
e permaneça elegível e adequado durante sua contratação.
Orientação
Convém que um processo de seleção seja realizado para todo o pessoal, incluindo pessoas em tempo
integral, meio período e temporários. Convém que quando esses indivíduos forem contratados por
meio de fornecedores de serviços, os requisitos de validação sejam incluídos nos acordos contratuais
entre a organização e os fornecedores.
Convém que as informações sobre todos os candidatos que estão sendo considerados para cargos
dentro da organização sejam coletadas e tratadas de acordo com qualquer legislação adequada
existente na jurisdição competente. Em algumas jurisdições, a organização pode ser legalmente
requerida a informar os candidatos antecipadamente sobre as atividades de seleção.
e) verificação mais detalhada, como análise crítica de crédito ou análise crítica de registros criminais,
se o candidato for admitido para uma função crítica.
b) possa ser confiável para assumir a função, especialmente se a função é fundamental para
a organização.
Convém que a organização considere realizar verificações mais detalhadas onde um trabalho envolva
pessoas, seja na contratação ou em promoção, que tenham acesso a recursos de tratamento de
informações e, em particular, se isso envolve o manuseio de informações confidenciais (por exemplo,
informações financeiras, informações pessoais ou informações de saúde).
Convém que os procedimentos definam critérios e limitações para análises críticas de verificação (por
exemplo, quem é elegível para selecionar pessoas e como, quando e por que as análises críticas
de verificação são realizadas).
Em situações em que não é possível concluir a verificação em tempo hábil, convém que os controles
mitigadores sejam implementados até que a análise crítica seja concluída, por exemplo:
a) atraso na integração;
d) rescisão de emprego.
Convém que as verificações sejam repetidas periodicamente para confirmar a adequação contínua
do pessoal, dependendo da criticidade das funções de cada pessoa.
Outras informações
Controle
Propósito
Assegurar que o pessoal entenda suas responsabilidades de segurança da informação para os papéis
para os quais eles são considerados.
Orientação
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que as cláusulas contratuais para o pessoal considerem a política de segurança da informação
da organização e políticas de temas específicos relevantes. Além disso, os seguintes pontos podem
ser esclarecidos e declarados:
a) convém que acordos de confidencialidade ou não divulgação sejam assinados antes de o pessoal
que tem acesso a informações confidenciais ter acesso a informações e outros ativos associados
(ver 6.6);
b) responsabilidades e direitos legais [por exemplo, sobre leis de direitos autorais ou legislação
de proteção de dados (ver 5.32 e 5.34)];
Convém que a organização assegure que o pessoal concorde com os termos e condições relativos
à segurança da informação. Convém que esses termos e condições sejam adequados à natureza
e extensão do acesso que eles terão aos ativos da organização associados a sistemas e serviços
de informação. Convém que os termos e condições relativos à segurança da informação sejam
analisados criticamente quando leis, regulamentos, política de segurança da informação ou políticas
específicas por tema mudarem.
Onde apropriado, convém que as responsabilidades contidas nos termos e condições da contratação
continuem por um período definido após o término da contratação (ver 6.5).
Outras informações
Um código de conduta pode ser usado para declarar as responsabilidades de segurança da informação
do pessoal em relação à confidencialidade, proteção de DP, ética, uso adequado das informações
da organização e outros ativos associados, bem como práticas respeitáveis esperadas pela organização.
Uma entidade externa, com a qual o pessoal do fornecedor está associado, pode ser solicitada
a celebrar acordos contratuais em nome do indivíduo contratado.
Se a organização não é uma pessoa jurídica e não tem empregados, o equivalente ao acordo contratual
e aos termos e condições podem ser considerados em linha com a orientação deste controle.
Controle
Convém que o pessoal da organização e partes interessadas relevantes recebam treinamento, educação
e conscientização em segurança da informação apropriados e atualizações regulares da política de
segurança da informação da organização, políticas e procedimentos específicas por tema, pertinentes
para as suas funções.
Propósito
Assegurar que o pessoal e as partes interessadas pertinentes estejam cientes e cumpram suas
responsabilidades de segurança da informação.
Orientação
Geral
Convém que o entendimento do pessoal seja avaliado ao final de uma atividade de conscientização,
educação ou treinamento para testar a transferência de conhecimentos e a eficácia do programa
de conscientização, educação e treinamento.
Conscientização
Convém que um programa de conscientização sobre segurança da informação tenha como objetivo
conscientizar o pessoal sobre suas responsabilidades pela segurança da informação e os meios pelos
quais essas responsabilidades são cumpridas.
Convém que o programa de conscientização seja planejado de acordo com os papéis do pessoal
na organização, incluindo pessoal interno e pessoal externo (por exemplo, consultores externos,
fornecedores). Convém que as atividades no programa de conscientização sejam agendadas ao longo
do tempo, preferencialmente regularmente, para que as atividades se repitam e abranjam pessoal
novo. Convém que seja elaborado também com lições aprendidas dos incidentes de segurança da
informação.
Convém que o programa de conscientização inclua uma série de atividades de conscientização através
de canais físicos ou virtuais apropriados, como campanhas, folhetos, cartazes, boletins informativos,
websites, sessões informativas, briefings, módulos de e-learning e e-mails.
Convém que a conscientização sobre a segurança da informação abranja aspectos gerais, como:
e) pontos de contato e recursos para informações adicionais e orientações sobre questões de segurança
da informação, incluindo mais materiais de conscientização sobre segurança da informação.
Educação e treinamento
Convém que o programa de educação e treinamento considere diferentes formas [por exemplo,
palestras ou autoestudo, mentoria por especialistas ou consultores (treinamento on-the-job),
Outras informações
Controle
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que um processo disciplinar seja formalizado e comunicado, para tomar ações contra pessoal
e outras partes interessadas relevantes que tenham cometido uma violação da política de segurança
da informação.
Propósito
Orientação
Convém que o processo disciplinar não seja iniciado sem a confirmação prévia de que ocorreu uma
violação da política de segurança da informação (ver 5.28).
Convém que o processo disciplinar formal forneça uma resposta categorizada, que considere fatores
como:
Convém que a resposta considere requisitos legais, estatutários, contratuais, regulamentares e comerciais
relevantes, bem como outros fatores, conforme requerido. Convém que o processo disciplinar também
seja usado como um impedimento para evitar que pessoal viole a política de segurança da informação,
políticas específicas por tema e procedimentos para a segurança da informação. Violações deliberadas
da política de segurança da informação podem requerer ações imediatas.
Outras informações
Convém que sempre que possível, a identidade dos indivíduos sujeitos a ações disciplinares seja
protegida de acordo com os requisitos aplicáveis.
Controle
Propósito
Orientação
Convém que seja estabelecido um processo para a comunicação das mudanças e dos procedimentos
operacionais ao pessoal, demais partes interessadas e pessoas de contato pertinentes (por exemplo,
aos clientes e fornecedores).
Outras informações
Em muitas organizações, a função de recursos humanos é comumente responsável por todo o processo
de encerramento da contratação e trabalha em conjunto com o gestor da pessoa em transição para
gerenciar os aspectos de segurança da informação dos procedimentos relevantes. No caso de um
prestador de serviço fornecido por uma parte externa (por exemplo, através de um fornecedor), esse
processo de encerramento é realizado pela parte externa de acordo com o contrato entre a organização
e a parte externa.
#Disponibilidade #Proteção_da_informação
#Segurança_nas_
relações_com_fornecedores
Controle
Convém que acordos de confidencialidade ou não divulgação que reflitam as necessidades da organização
para a proteção das informações sejam identificados, documentados, analisados criticamente em
intervalos regulares e assinados por pessoal e outras partes interessadas pertinentes.
Propósito
Manter a confidencialidade das informações acessíveis pelo pessoal ou por partes externas.
Orientação
a) uma definição das informações a serem protegidas (por exemplo, informações confidenciais);
b) a duração esperada de um acordo, incluindo casos em que a confidencialidade pode ser mantida
indefinidamente ou até que as informações se tornam publicamente disponíveis;
g) o direito de auditar e monitorar atividades que envolvam informações confidenciais para circunstâncias
altamente sensíveis;
Convém que os requisitos para acordos de confidencialidade e não divulgação sejam analisados
criticamente, de forma periódica, e quando ocorrem mudanças que influenciem esses requisitos.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Outras informações
Controle
Convém que medidas de segurança sejam implementadas quando as pessoas estiverem trabalhando
remotamente para proteger as informações acessadas, tratadas ou armazenadas fora das instalações
da organização.
Propósito
Orientação
O trabalho remoto ocorre sempre que o pessoal da organização trabalha em um local fora das
instalações da organização, acessando informações seja em cópias impressas ou eletronicamente
via equipamento de TIC. Os ambientes de trabalho remoto incluem aqueles chamados de “trabalho
remoto”, “teletrabalho”, “local de trabalho flexível”, “ambientes de trabalho virtuais” e “manutenção remota”.
NOTA É possível que nem todas as recomendações nesta orientação possam ser aplicadas em razão
de regulamentações e legislação locais e em diferentes jurisdições.
Convém que as organizações que permitem atividades de trabalho remotas emitam uma política
específica por tema sobre trabalho remoto que define as condições e restrições pertinentes. Convém
que, se julgar aplicável, sejam consideradas as seguintes questões:
b) as regras e os mecanismos de segurança para o ambiente físico remoto, como armários trancados
de arquivos, transporte seguro entre locais e regras para acesso remoto, mesa limpa, impressão
e descarte de informações e outros ativos associados e relatórios de eventos de segurança da
informação (ver 6.8);
e) o uso de acesso remoto, como acesso a “desktop virtual”, que estabelece o tratamento e
armazenamento adequado de informações em equipamentos de propriedade particular;
b) uma definição do trabalho permitido, a classificação das informações que podem ser mantidas
e os sistemas e serviços internos que o trabalhador remoto está autorizado a acessar;
c) a provisão de treinamento para aqueles que trabalham remotamente e aqueles que fornecem
suporte. Convém que isso inclua como conduzir negócios de forma segura enquanto trabalha
remotamente;
e) a segurança física;
h) a provisão de seguro;
Outras informações
Controle
Convém que a organização forneça um mecanismo para que as pessoas relatem eventos de segurança
da informação observados ou suspeitos através de canais apropriados em tempo hábil.
Propósito
Orientação
Convém que todo o pessoal e os usuários estejam conscientes de suas responsabilidades de relatar
eventos de segurança da informação o mais rápido possível, a fim de prevenir ou minimizar o efeito
dos incidentes de segurança da informação.
Convém que eles também estejam cientes do procedimento de relato de eventos de segurança da
informação e do ponto de contato para o qual convém que os eventos sejam relatados. Convém
que o mecanismo de relato seja o mais fácil, acessível e disponível possível. Eventos de segurança
da informação incluem incidentes, violações e vulnerabilidades.
c) erros humanos;
d) não compliance com a política de segurança da informação, políticas específicas por tema ou
normas aplicáveis;
h) violações de acesso;
i) vulnerabilidades;
Convém que o pessoal e os usuários sejam aconselhados a não tentar provar suspeitas de
vulnerabilidades de segurança da informação. Testar vulnerabilidades pode ser interpretado como
um potencial uso indevido do sistema e também pode causar danos ao sistema de informações ou
serviço, podendo corromper ou tornar incompreensível as evidências digitais. Em última análise, isso
pode resultar em responsabilidade legal para o indivíduo que realiza o teste.
Outras informações
7 Controles físicos
7.1 Perímetros de segurança física
Controle
Convém que perímetros de segurança sejam definidos e usados para proteger áreas que contenham
informações e outros ativos associados.
Propósito
Evitar acesso físico não autorizado, danos e interferências nas informações da organização e outros
ativos associados.
Orientação
Convém que as seguintes diretrizes sejam consideradas e implementadas, quando apropriado, para
perímetros de segurança física:
b) ter perímetros fisicamente sólidos para um edifício ou local contendo instalações de tratamento
da informação (ou seja, convém que não haja lacunas no perímetro ou áreas onde um arrombamento
pode ocorrer facilmente). Convém que os telhados externos, paredes, tetos e pisos do local sejam
de construção sólida e todas as portas externas sejam adequadamente protegidas contra acesso
não autorizado por meio de mecanismos de controle (por exemplo, barras, alarmes, fechaduras).
Convém que portas e janelas sejam trancadas quando estiverem sem monitoração e uma proteção
externa seja considerada para janelas, particularmente no andar térreo; convém que os pontos
de ventilação também sejam considerados;
Outras informações
Proteção física pode ser alcançada criando uma ou mais barreiras físicas em torno das instalações
da organização e dos recursos de tratamento da informação.
Uma área segura pode ser um escritório trancável ou várias salas cercadas por uma barreira interna
contínua de segurança física. Barreiras adicionais e perímetros para controlar o acesso físico podem
ser necessários entre áreas com diferentes requisitos de segurança dentro do perímetro de segurança.
Convém que a organização considere ter medidas de segurança física que possam ser reforçadas
durante o aumento de situações de ameaça.
Controle
Convém que as áreas seguras sejam protegidas por controles de entrada e pontos de acesso
apropriados.
Propósito
Assegurar que ocorra apenas acesso físico autorizado às informações da organização e outros ativos
associados.
Orientação
Geral
Convém que os pontos de acesso, como áreas de entrega e carregamento e outros pontos onde
pessoas não autorizadas podem entrar nas instalações, sejam controlados e, se possível, isolados
dos recursos de tratamento da informação, para evitar acesso não autorizado.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
a) restringir o acesso aos locais e edifícios apenas ao pessoal autorizado. Convém que o processo
de gestão dos direitos de acesso às áreas físicas inclua o fornecimento, análise crítica periódica,
atualização e revogação das autorizações (ver 5.18);
b) manter e monitorar de forma segura um livro de registro físico ou trilha de auditoria eletrônica
de todos os acessos e proteger todos os registros (ver 5.33) e informações de autenticação
sensíveis;
d) implantar uma área de recepção monitorada pelo pessoal ou outros meios para controlar o acesso
físico ao local ou edifício;
f) requerer que todo o pessoal e as partes interessadas usem algum tipo visível de identificação e
notifiquem imediatamente o pessoal de segurança se encontrarem visitantes não acompanhados
e qualquer pessoa que não esteja usando uma identificação visível. Convém que crachás facilmente
distinguíveis sejam considerados para melhor identificar funcionários permanentes, fornecedores
e visitantes;
h) dar atenção especial à segurança de acesso físico no caso de edifícios que detêm ativos para
várias organizações;
i) elaborar medidas de segurança física que possam ser reforçadas quando a probabilidade de
incidentes físicos aumentar;
j) proteger outros pontos de entrada contra acesso não autorizado, como saídas de emergência;
Visitantes
c) permitir o acesso apenas para visitantes para fins específicos e autorizados e com instruções
sobre os requisitos de segurança da área e procedimentos de emergência;
d) supervisionar todos os visitantes, a menos que uma exceção explícita seja concedida.
a) restringir o acesso a áreas de entrega e carregamento da área exterior do prédio para o pessoal
identificado e autorizado;
b) projetar as áreas de entrega e carregamento para que as entregas possam ser carregadas e
descarregadas sem que o entregador obtenha acesso não autorizado a outras partes do edifício;
c) proteger as portas externas das áreas de entrega e carregamento quando as portas para as áreas
restritas são abertas;
e) registrar as entregas recebidas de acordo com os procedimentos de gestão de ativos (ver 5.9
e 7.10) quando da sua entrada no local;
Outras informações
Controle
Convém que seja projetada e implementada segurança física para escritórios, salas e instalações.
Propósito
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Evitar acesso físico não autorizado, danos e interferências nas informações da organização e outros
ativos associados em escritórios, salas e instalações.
Orientação
Convém que as seguintes diretrizes sejam consideradas para proteger escritórios, salas e instalações:
b) quando aplicável, assegurar que os edifícios sejam discretos e dar indicação mínima de seu
propósito, sem letreiros evidentes, fora ou dentro do edifício, identificando a presença de atividades
de tratamento de informações;
c) projetar as instalações para evitar que informações ou atividades confidenciais sejam visíveis e
possam ser ouvidas da parte externa. Convém que a blindagem eletromagnética seja considerada
conforme apropriado;
d) não tornar listas de pessoas, guias telefônicos internos e mapas acessíveis on-line identificando
locais de instalações de tratamento de informações confidenciais facilmente acessíveis para
qualquer pessoa não autorizada.
Outras informações
Controle
Convém que as instalações sejam monitoradas continuamente para acesso físico não autorizado.
Propósito
Orientação
Convém que as instalações físicas sejam monitoradas por sistemas de vigilância, que podem incluir
guardas, alarmes de intrusos, sistemas de videomonitoramento, como de circuito fechado de TV e
software de gerenciamento de informações de segurança física, gerenciados internamente ou por
um provedor de serviços de monitoramento.
Convém que o acesso a edifícios que abrigam sistemas críticos seja monitorado continuamente para
detectar acesso não autorizado ou comportamento suspeito por:
registrar acesso a áreas sensíveis dentro e fora das instalações de uma organização;
3) instalação de sensores sensíveis ao som de vidro quebrando, que podem ser usados para
acionar um alarme para alertar o pessoal de segurança;
c) uso desses alarmes para cobrir todas as portas externas e janelas acessíveis. Convém que áreas
desocupadas fiquem alarmadas o tempo todo; convém que a cobertura também seja fornecida
para outras áreas (por exemplo, computador ou salas de comunicação).
Convém que o projeto dos sistemas de monitoramento seja mantido em sigilo porque a divulgação
pode facilitar arrombamentos não detectados.
Convém que os sistemas de monitoramento sejam protegidos contra acesso não autorizado, a fim
de evitar que informações de vigilância, como feeds de vídeo, sejam acessadas por pessoas não
autorizadas ou sistemas sejam desativados remotamente.
Convém que o painel de controle do sistema de alarme seja colocado em uma zona alarmada e,
para alarmes de segurança, em um lugar que permite uma rota de saída fácil para a pessoa que
define o alarme. Convém que o painel de controle e os detectores tenham mecanismos à prova
de adulteração. Convém que o sistema seja testado regularmente para garantir que esteja funcionando
como planejado, especialmente se seus componentes forem alimentados por bateria.
Convém que qualquer mecanismo de monitoramento e gravação seja usado levando em consideração
as leis e regulamentos locais, incluindo a legislação de proteção de dados e proteção de DP,
especialmente em relação ao monitoramento de pessoal e períodos de retenção de vídeo gravados.
Outras informações
Controle
Convém que a proteção contra ameaças físicas e ambientais, como desastres naturais e outras
ameaças físicas intencionais ou não intencionais à infraestrutura, seja projetada e implementada.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Propósito
Orientação
Convém que processos de avaliação de risco para identificar as potenciais consequências das
ameaças físicas e ambientais sejam realizadas antes do início das operações críticas em um local
físico e em intervalos regulares. Convém que as salvaguardas necessárias sejam implementadas e
as mudanças nas ameaças sejam monitoradas. Convém que sejam obtidos conselhos especializados
sobre como gerenciar riscos decorrentes de ameaças físicas e ambientais, como incêndio, inundação,
terremoto, explosão, manifestação civil, resíduos tóxicos, emissões ambientais e outras formas de
desastres naturais ou desastres causados por seres humanos.
a) a topografia local, como elevação apropriada, cursos de água e linhas de falha tectônica;
b) as ameaças urbanas, como locais com alto perfil para atrair manifestação política, atividade
criminosa ou ataques terroristas.
Convém que com base nos resultados do processo avaliação de riscos, sejam identificadas ameaças
físicas e ambientais relevantes e controles apropriados considerados nos seguintes contextos como
exemplos:
Outras informações
ambientais ao projetar os controles para proteger seu meio ambiente e reduzir as ameaças urbanas.
Por exemplo, em vez de usar postes de amarração (bollards), estátuas ou recursos de água podem
servir como um detalhe e uma barreira física.
Controle
Convém que medidas de segurança para trabalhar em áreas seguras sejam projetadas e implementadas.
Propósito
Proteger as informações e outros ativos associados em áreas seguras contra danos e interferência
não autorizada do pessoal que trabalha nessas áreas.
Orientação
Convém que as medidas de segurança para trabalhar em áreas seguras sejam aplicadas a todo
o pessoal e abranjam todas as atividades ocorrendo na área segura.
a) conscientizar o pessoal apenas sobre a existência ou atividades dentro de uma área segura
baseado na necessidade de saber;
b) evitar trabalhos não supervisionados em áreas seguras, tanto por razões de segurança quanto
para reduzir as chances de atividades maliciosas;
Outras informações
Controle
Convém que regras de mesa limpa para documentos impressos e mídia de armazenamento removível e
regras de tela limpa para os recursos de tratamento das informações sejam definidas e adequadamente
aplicadas.
Propósito
Reduzir os riscos de acesso não autorizado, perda e danos às informações em mesas, telas e em
outros locais acessíveis durante e fora do horário comercial.
Orientação
Convém que a organização estabeleça e comunique uma política específica por tema sobre mesa
limpa e tela limpa para todas as partes interessadas relevantes.
c) encerrar sessões nos dispositivos endpoint do usuário ou proteger por um mecanismo de bloqueio
de tela e de teclado, controlado por um mecanismo de autenticação do usuário quando sem
supervisão. Convém que os computadores e sistemas sejam configurados com um recurso de
tempo-limite ou encerramento de sessão automáticos;
d) fazer com que o autor colete saídas de impressoras ou multifuncionais imediatamente. Usar
impressoras com uma função de autenticação, de modo que os autores são os únicos que podem
obter suas impressões e somente quando estão ao lado da impressora;
f) estabelecer e comunicar regras e orientações para a configuração de alertas nas telas (por
exemplo, desligar os novos alertas de e-mail e mensagens, se possível, durante apresentações,
compartilhamento de tela ou em área pública);
Outras informações
Controle
Propósito
Orientação
c) adotar controles para minimizar o risco de potenciais ameaças físicas e ambientais [por exemplo,
roubo, incêndio, explosivos, fumaça, água (ou falha no fornecimento de água), poeira, vibração,
efeitos químicos, interferência de fornecimento elétrico, interferência nas comunicações, radiação
eletromagnética e vandalismo];
d) estabelecer diretrizes sobre comer, beber e fumar nas proximidades das instalações de tratamento
de informações;
e) monitorar condições ambientais, como temperatura e umidade, para condições que possam afetar
negativamente o funcionamento de instalações de tratamento de informações;
f) aplicar proteção contra raios em todos as edificações e instalar filtros de proteção contra raios
em todas as linhas de entrada de energia e comunicação;
g) considerar o uso de métodos de proteção especial, como teclado de membranas, para equipamentos
em ambientes industriais;
h) proteger equipamentos que tratam informações confidenciais para minimizar o risco de vazamento
de informações devido à emanação eletromagnética;
Outras informações
Controle
Propósito
Evitar perdas, danos, roubos ou comprometimento de ativos fora das instalações da organização
e interrupção da operação da organização.
Orientação
Qualquer dispositivo usado fora das instalações da organização que armazene ou trate informações
(por exemplo, dispositivo móvel), incluindo dispositivos pertencentes à organização e dispositivos de
propriedade privada e usados em nome da organização (BYOD) necessita estar protegido. Convém
que o uso desses dispositivos seja autorizado pela direção.
Convém que sejam consideradas as seguintes diretrizes para a proteção de equipamentos que
armazenam ou tratam informações fora das instalações da organização:
a) não deixar sem vigilância os equipamentos e meios de armazenamento retirados das instalações
da organização, em locais públicos e inseguros;
b) observar as instruções dos fabricantes para proteger os equipamentos o tempo todo (por exemplo,
proteção contra exposição a fortes campos eletromagnéticos, água, calor, umidade, poeira);
c) quando equipamentos fora das instalações forem transferidos entre diferentes indivíduos ou
partes interessadas, manter um registro que defina a cadeia de custódia dos equipamentos,
incluindo pelo menos nomes e organizações dos responsáveis pelo equipamento. Convém que
as informações que não precisam ser transferidas com o ativo sejam excluídas com segurança
antes da transferência;
d) quando necessário e possível, exigir autorização para que equipamentos e mídias sejam removidos
das instalações da organização e manter um registro dessas remoções a fim de manter uma trilha
de auditoria (ver 5.14);
A instalação permanente de equipamentos fora das instalações da organização [como antenas e caixas
eletrônicos (ATM)] pode estar sujeita ao risco de danos, roubo ou espionagem. Esses riscos podem
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
variar consideravelmente entre os locais e convém que sejam levados em conta na determinação
das medidas mais adequadas. Convém que as seguintes diretrizes sejam consideradas ao posicionar
este equipamento fora das instalações da organização:
Outras informações
Controle
Convém que as mídias de armazenamento sejam gerenciadas por seu ciclo de vida de aquisição, uso,
transporte e descarte, de acordo com o esquema de classificação e com os requisitos de manuseio
da organização.
Propósito
Orientação
a) estabelecer uma política específica por tema sobre o gerenciamento de mídia de armazenamento
removível e comunicar essa política específica por tema para qualquer pessoa que use ou
manuseie mídia de armazenamento removível;
b) quando necessário e possível, exigir autorização para que os meios de armazenamento sejam
removidos da organização e manter um registro dessas remoções, a fim de manter uma trilha
de auditoria;
d) usar técnicas criptográficas para proteger informações nas mídias de armazenamento removíveis,
se a confidencialidade ou a integridade das informações forem considerações importantes;
g) considerar o registro das mídias de armazenamento removível para limitar a chance de perda
de informações;
h) somente habilitar as portas de mídia de armazenamento removíveis (por exemplo, slots de cartão
SD e portas USB) se houver uma razão organizacional para seu uso;
j) informações podem ser vulneráveis a acesso não autorizado, uso indevido ou alteração indevida
durante o transporte físico, por exemplo, ao enviar mídia de armazenamento pelos serviços
postais ou por mensageiros.
Neste controle, a mídia inclui documentos em papel. Ao transferir a mídia de armazenamento físico,
aplicar as medidas de segurança de 5.14.
c) ter procedimentos implementados para identificar os itens que podem exigir descarte seguro;
f) ao acumular mídia de armazenamento para descarte, considerar o efeito de agregação, que pode
fazer com que uma grande quantidade de informações não sensíveis se torne sensível.
Convém que um processo de avaliação de risco seja realizado em dispositivos danificados contendo
dados sensíveis, para determinar se convém que os itens sejam fisicamente destruídos em vez de
enviados para reparo ou descartados (ver 7.14).
Outras informações
Controle
Convém que as instalações de tratamento de informações sejam protegidas contra falhas de energia
e outras disrupções causadas por falhas nos serviços de infraestrutura.
Propósito
Orientação
b) assegurar que os serviços de infraestrutura sejam avaliados regularmente frente à sua capacidade
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
e) se necessário, assegurar que a infraestrutura tenha múltiplas fontes com roteamento físico
diversificado;
f) assegurar que os equipamentos dos serviços de infraestrutura estejam em uma rede separada
dos recursos de tratamento de informações, caso conectados a uma rede;
Convém que iluminação e comunicação de emergência sejam fornecidas. Convém que interruptores
e válvulas de emergência para cortar energia, água, gás ou outras utilidades estejam localizados
perto de saídas de emergência ou em salas de equipamentos. Convém que os detalhes de contato
de emergência sejam registrados e disponibilizados para o pessoal em caso de paralisação.
Outras informações
Redundância adicional para conectividade de rede pode ser obtida por meio de múltiplas rotas com
uso de mais um provedor de serviços de infraestrutura.
Controle
Convém que os cabos que transportam energia ou dados ou que sustentam serviços de informação
sejam protegidos contra interceptação, interferência ou danos.
Propósito
Orientação
3) varreduras técnicas periódicas e inspeções físicas para detectar dispositivos não autorizados
sendo anexados aos cabos;
4) acesso controlado aos quadros de distribuição e salas de cabeamento (por exemplo, com
chaves mecânicas ou PIN);
d) rotular os cabos em cada extremidade com detalhes suficientes de origem e destino, para permitir
a identificação física e inspeção do cabo.
Convém procurar orientação especializada sobre como gerenciar riscos decorrentes de incidentes
ou mau funcionamento do cabeamento.
Outras informações
Controle
Propósito
Orientação
Convém que sejam consideradas as seguintes diretrizes para a manutenção dos equipamentos:
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
h) aplicação de medidas de segurança para ativos fora das instalações da organização (ver 7.9),
se os equipamentos contendo informações forem retirados das dependências da organização
para manutenção;
k) aplicação de medidas para descarte seguro ou reutilização de equipamentos (ver 7.14), se for
determinado que é necessário descartar o equipamento.
Outras informações
Controle
Convém que sejam verificados os itens dos equipamentos que contenham mídia de armazenamento,
para assegurar que quaisquer dados confidenciais e software licenciado tenham sido removidos ou
substituídos com segurança antes do descarte ou reutilização.
Propósito
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Orientação
Convém que os equipamentos sejam verificados para garantir se as mídias de armazenamento estão
ou não presentes antes do descarte ou reutilização.
Convém que a organização considere a remoção de controles de segurança, como controles de acesso
ou equipamentos de vigilância, ao fim do contrato de locação ou ao sair do controle da organização.
Isso depende de fatores como:
Outras informações
Adicionalmente à exclusão segura do disco, a criptografia completa do disco reduz o risco de divulgação
de informações confidenciais quando o equipamento é descartado ou reutilizado, desde que:
a) o processo de criptografia seja suficientemente forte e abranja todo o disco (incluindo espaço
livre, arquivos de paginação);
b) as chaves criptográficas sejam longas o suficiente para resistir a ataques de força bruta;
c) as chaves criptográficas sejam mantidas em sigilo (por exemplo, nunca armazenadas no mesmo
disco).
As técnicas para sobrepor com segurança as mídias de armazenamento diferem de acordo com
a tecnologia de mídia de armazenamento e o nível de classificação das informações na mídia de
armazenamento. Convém que as ferramentas de sobreposição sejam analisadas criticamente para
assegurar que elas sejam aplicáveis à tecnologia da mídia de armazenamento.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Ver a ISO/IEC 27040 para obter detalhes sobre métodos para higienizar a mídia de armazenamento.
8 Controles tecnológicos
8.1 Dispositivos endpoint do usuário
Controle
Convém que as informações armazenadas, tratadas ou acessíveis por meio de dispositivos endpoint
do usuário sejam protegidas.
Propósito
Proteger informações contra os riscos introduzidos pelo uso de dispositivos endpoint do usuário.
Orientação
Geral
Convém que a organização estabeleça uma política específica por tema sobre configuração segura
e manuseio de dispositivos endpoint do usuário. Convém que a política específica por tema seja
comunicada a todo o pessoal relevante e que considere o seguinte:
f) regras de conexão com serviços de informação, redes públicas ou qualquer outra rede fora das
instalações (por exemplo, exigindo o uso de firewall pessoal);
g) controles de acesso;
k) backup;
o) uso de capacidade de particionamento, se apoiado pelo dispositivo endpoint do usuário, que pode
separar com segurança as informações da organização e outros ativos associados (por exemplo,
software) de outras informações e outros ativos associados no dispositivo.
Convém considerar se certas informações são tão sensíveis que só podem ser acessadas por meio
de dispositivos endpoint do usuário, mas não ser armazenadas em tais dispositivos. Nesses casos,
técnicas adicionais de proteção podem ser necessárias no dispositivo. Por exemplo, assegurar que
o download de arquivos para trabalho off-line seja desativado e que o armazenamento local, como
cartão SD, seja desativado.
Na medida do possível, convém que as recomendações sobre este controle sejam aplicadas pela
gestão de configuração (ver 8.9) ou por ferramentas automatizadas.
Responsabilidade do usuário
Convém que todos os usuários estejam cientes dos requisitos e procedimentos de segurança para
proteger os dispositivos endpoint do usuário, bem como de suas responsabilidades para implementar
tais medidas de segurança. Convém aconselhar os usuários a:
a) encerrar sessões ativas e finalizar serviços quando não forem mais necessários;
b) proteger dispositivos endpoint do usuário contra uso não autorizado com um controle físico (por
exemplo, bloqueio de teclas ou fechaduras especiais) e controle lógico (por exemplo, acesso
à senha), quando não estiverem em uso; não deixar dispositivos portadores de informações
importantes, sensíveis ou críticas de negócios sem supervisão;
c) utilizar dispositivos com cuidados especiais em locais públicos, escritórios abertos, locais de encontro
e outras áreas desprotegidas (por exemplo, evitar ler informações confidenciais se as pessoas
podem ler por trás, usar filtros de tela de privacidade);
d) proteger fisicamente dispositivos endpoint do usuário contra roubo (por exemplo, em carros e
outras formas de transporte, quartos de hotel, centros de conferência e locais de reuniões).
Convém estabelecer um procedimento específico que leve em conta requisitos legais, estatutários,
regulamentares, contratuais (incluindo seguro) e outros requisitos de segurança da organização para
casos de roubo ou perda de dispositivos endpoint do usuário.
Quando a organização permite o uso de dispositivos pessoais (às vezes conhecidos como BYOD),
além da orientação dada neste controle, convém que seja considerado o seguinte:
a) separação do uso pessoal e empresarial dos dispositivos, incluindo o uso de software para apoiar
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
c) políticas e procedimentos específicos por tema para evitar disputas relativas a direitos de propriedade
intelectual desenvolvidos em equipamentos de propriedade privada.
b) uso de conexões sem fio ou com fio com largura de banda apropriada, de acordo com as políticas
específicas por tema (por exemplo, porque cópias de segurança ou atualizações de software
são necessárias).
Outras informações
As conexões sem fio para dispositivos endpoint do usuário são semelhantes a outros tipos de conexões
de rede, mas têm diferenças importantes que convém que sejam consideradas ao identificar controles.
Em particular, o backup das informações armazenadas em dispositivos endpoint do usuário às vezes
pode falhar, devido à largura de banda de rede limitada ou porque os dispositivos endpoint do usuário
não estão conectados nos momentos em que os backups são agendados.
Para algumas portas USB, como USB-C, desativar a porta USB não é possível porque ela é usada
para outros propósitos (por exemplo, fornecimento de energia e saída de monitor).
Controle
Propósito
Assegurar que apenas usuários, componentes de software e serviços autorizados recebam direitos
de acessos privilegiados.
Orientação
Convém que a atribuição de direitos de acesso privilegiado seja controlada por meio de um processo
de autorização de acordo com a política específica por tema de controle de acessos (ver 5.15). Convém
considerar:
a) identificar usuários que precisem de direitos de acesso privilegiados para cada sistema ou processo
(por exemplo, sistemas operacionais, sistemas de gerenciamento de banco de dados e aplicações);
c) manter um processo de autorização (ou seja, determinar quem pode aprovar direitos de acesso
privilegiado, ou não conceder direitos de acesso privilegiado até que o processo de autorização
seja concluído) e um registro de todos os privilégios alocados;
e) tomar medidas para assegurar que os usuários estejam cientes de seus direitos de acesso
privilegiados e quando estão no modo de acesso privilegiado. As medidas possíveis incluem o
uso de identidades específicas do usuário, configurações de interface do usuário ou até mesmo
equipamentos específicos;
f) os requisitos de autenticação para direitos de acesso privilegiados podem ser maiores do que
os requisitos para os direitos normais de acesso. Reautenticação ou reforço na autenticação
podem ser necessários antes de fazer o trabalho com direitos de acesso privilegiados;
i) conceder acesso privilegiado temporário apenas pelo período necessário para implementar
alterações ou atividades aprovadas (por exemplo, para atividades de manutenção ou algumas
mudanças críticas), em vez de conceder permanentemente direitos de acesso privilegiado. Isso
é frequentemente referido como procedimento de “quebre o vidro” e, muitas vezes, automatizado
por tecnologias de gerenciamento de acesso privilegiado;
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
k) não compartilhar ou vincular identidades com direitos de acesso privilegiados a várias pessoas,
atribuindo a cada pessoa uma identidade separada que permita atribuir direitos específicos de
acesso privilegiado. As identidades podem ser agrupadas (por exemplo, definindo um grupo
administrador), a fim de simplificar a gestão dos direitos de acesso privilegiados;
l) usar identidades com direitos de acesso privilegiados apenas para a realização de tarefas
administrativas e não para tarefas gerais do dia a dia [ou seja, verificar e-mails, acessar a web
(convém que os usuários tenham uma identidade de rede normal separada para essas atividades)].
Outras informações
Direitos de acesso privilegiados são direitos de acesso fornecidos a uma identidade, um papel ou um
processo, que permitem a realização de atividades que usuários ou processos típicos não estão aptos
a realizar. Os papéis de administrador do sistema normalmente exigem direitos de acesso privilegiados.
Mais informações relacionadas à gestão de acesso e à gestão segura dos recursos de tecnologias
de informação e informação e comunicação podem ser encontradas na ISO/IEC 29146.
Controle
Convém que o acesso às informações e outros ativos associados seja restrito de acordo com a política
específica por tema sobre controle de acesso.
Propósito
Assegurar apenas o acesso autorizado e impedir o acesso não autorizado a informações e a outros
ativos associados.
Orientação
Convém restringir o acesso a informações e a outros ativos associados, de acordo com as políticas
específicas por tema. Para apoiar os requisitos de restrição de acesso, convém considerar:
d) controlar quais identidades ou grupo de identidades têm acesso, como ler, escrever, excluir e
executar;
e) fornecer controles de acesso físico ou lógico para o isolamento de aplicações sensíveis, dados
de aplicações sensíveis ou sistemas sensíveis.
Além disso, convém considerar técnicas e processos dinâmicos de gestão de acesso para proteger
informações confidenciais que tenham alto valor para a organização, quando:
a) precisar de controle granular sobre quem pode acessar tais informações, durante qual o período
e de que forma;
b) quiser compartilhar tais informações com pessoas fora da organização e manter o controle sobre
quem pode acessá-lo;
d) quiser proteger essas informações contra alterações não autorizadas, cópia e distribuição
(incluindo impressão);
f) quiser registrar quaisquer alterações que ocorram nessas informações, para o caso de uma futura
investigação, se necessária.
Convém que as técnicas dinâmicas de gestão de acesso protejam as informações durante todo o seu
ciclo de vida (ou seja, criação, tratamento, armazenamento, transmissão e descarte), incluindo:
a) estabelecer regras sobre a gestão de acesso dinâmico com base em casos específicos de uso,
considerando:
Convém que os sistemas dinâmicos de gestão de acesso protejam as informações por meio de:
b) restrição do acesso, por exemplo, por um prazo especificado (por exemplo, após uma determinada
data ou até uma data específica);
Outras informações
As técnicas dinâmicas de gestão de acesso não substituem a gestão clássica de acesso [por exemplo,
usando listas de controle de acesso (ACL)], mas podem adicionar mais fatores para condicionalidade,
avaliação em tempo real, redução de dados just-in-time e outros aprimoramentos que podem ser
úteis para as informações mais sensíveis. Elas oferecem uma maneira de controlar o acesso fora
do ambiente da organização. A resposta a incidentes pode ser apoiada por técnicas dinâmicas de
gestão de acesso, pois as permissões podem ser modificadas ou revogadas a qualquer momento.
Informações adicionais sobre uma estrutura para gestão de acesso são fornecidas na ISO/IEC 29146.
Controle
Propósito
Orientação
Convém que o acesso ao código-fonte e aos itens associados (como projetos, especificações, planos
de verificação e planos de validação) e ferramentas de desenvolvimento (por exemplo, compiladores,
construtores, ferramentas de integração, plataformas de teste e ambientes) seja estritamente controlado.
Para o código-fonte, isso pode ser alcançado controlando o armazenamento central de tal código,
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Acesso de leitura e acesso de escrita ao código-fonte podem diferir com base no papel do pessoal. Por
exemplo, o acesso de leitura ao código-fonte pode ser amplamente fornecido dentro da organização,
mas o acesso à gravação ao código-fonte só é disponibilizado para pessoas privilegiadas ou
proprietários designados. Quando os componentes de código são usados por vários desenvolvedores
dentro de uma organização, convém que um acesso de leitura a um repositório centralizado de código
seja implementado. Além disso, se o código-fonte aberto ou componentes de código de terceiros
forem usados dentro de uma organização, o acesso de leitura a esses repositórios de código externo
pode ser amplamente fornecido. No entanto, convém que o acesso de gravação ainda seja restrito.
Convém que as seguintes diretrizes sejam consideradas para controlar o acesso às bibliotecas de
código do programa, a fim de reduzir o potencial de corrupção de programas de computador:
b) conceder acesso de leitura e de escrita ao código-fonte com base nos requisitos de negócio e
na gestão de tratativas de riscos de alteração ou uso indevido e de acordo com procedimentos
estabelecidos;
d) não conceder aos desenvolvedores acesso direto ao repositório de código-fonte, mas sim por
meio de ferramentas de desenvolvedor que controlem atividades e autorizações no código-fonte;
e) armazenar listagem dos programas em um ambiente seguro, onde o acesso à leitura e escrita
seja devidamente gerenciado e atribuído;
Se o código-fonte do programa for destinado a ser publicado, convém que sejam considerados
controles adicionais para fornecer garantia sobre a sua integridade (por exemplo, assinatura digital).
Outras informações
Se o acesso ao código-fonte não for devidamente controlado, o código-fonte pode ser modificado
ou alguns dados no ambiente de desenvolvimento (por exemplo, cópias de dados de produção, detalhes
de configuração) podem ser recuperados por pessoas não autorizadas.
Controle
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que sejam implementadas tecnologias e procedimentos de autenticação seguros, com base
em restrições de acesso à informação e à política específica por tema de controle de acesso.
Propósito
Assegurar que um usuário ou uma entidade seja autenticada com segurança, quando o acesso
a sistemas, aplicações e serviços é concedido.
Orientação
Convém que seja escolhida uma técnica de autenticação adequada para comprovar a identidade
alegada de um usuário, software, mensagens e outras entidades.
Convém que a força da autenticação seja adequada para a classificação das informações a serem
acessadas. Quando for necessária uma autenticação forte e verificação de identidade, convém usar
métodos de autenticação alternativos a senhas, como certificados digitais, cartões inteligentes, tokens
ou meios biométricos.
Convém que as informações de autenticação biométrica sejam invalidadas se alguma vez forem
comprometidas. A autenticação biométrica pode estar indisponível, dependendo das condições de
uso (por exemplo, umidade ou envelhecimento). Para se preparar para essas questões, convém que
a autenticação biométrica seja acompanhada de pelo menos uma técnica alternativa de autenticação.
Convém que o procedimento para entrada em um sistema ou aplicativo seja projetado para minimizar
o risco de acesso não autorizado. Convém que os procedimentos e tecnologias de acesso ao sistema
sejam implementados considerando o seguinte:
a) não exibir informações sensíveis do sistema ou do aplicativo até que o processo de log-on
no sistema tenha sido concluído com sucesso, a fim de evitar fornecer a um usuário não autorizado
qualquer assistência desnecessária;
b) exibir um aviso público de que convém que o sistema, aplicativo ou serviço só sejam acessados
por usuários autorizados;
c) não fornecer mensagens de ajuda durante o procedimento de acesso ao sistema que auxiliariam
um usuário não autorizado (por exemplo, se houver uma condição de erro, não convém que
o sistema indique qual parte dos dados está correta ou incorreta);
e) proteger contra tentativas de log-on com força bruta em nomes de usuário e senhas (por exemplo,
usando o CAPTCHA, exigindo redefinição de senha após um número predefinido de tentativas
fracassadas ou bloqueando o usuário após um número máximo de erros);
g) criar um evento de segurança, se for detectada uma possível tentativa ou violação bem-sucedida
de controles de acesso ao sistema (por exemplo, enviando um alerta para o usuário e os
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
i) não exibir a senha em texto claro quando ela estiver sendo inserida; em alguns casos, pode ser
necessário desativar essa funcionalidade para facilitar o acesso ao sistema pelo usuário (por
exemplo, por razões de acessibilidade ou para evitar o bloqueio de usuários por causa de erros
repetidos);
j) não transmitir senhas em texto claro pela rede para evitar a captura por um programa de “sniffer”
de rede;
l) restringir os tempos de duração da conexão para fornecer segurança adicional para aplicações
de alto risco e reduzir a janela de oportunidade para acesso não autorizado.
Outras informações
Controle
Convém que o uso dos recursos seja monitorado e ajustado de acordo com os requisitos atuais
e esperados de capacidade.
Propósito
Orientação
Convém que sejam identificados os requisitos de capacidade para recursos de tratamento de informações,
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
recursos humanos, escritórios e outros serviços de infraestrutura, levando em conta a criticidade dos
negócios dos sistemas e processos em questão.
Convém que sejam aplicados ajuste e monitoramento do sistema para assegurar e, se necessário,
melhorar a disponibilidade e a eficiência dos sistemas.
Convém que a organização realize testes de estresse de sistemas e serviços para confirmar que a
capacidade suficiente do sistema está disponível para atender aos requisitos de desempenho máximo.
Convém que os controles detectivos sejam colocados em prática para indicar problemas no devido
tempo.
Para projeções dos requisitos futuros de capacidade, convém levar em conta os novos requisitos
de negócios e sistemas, tendências atuais e projetadas nos recursos de tratamento de informações
da organização.
Convém dar atenção especial a quaisquer recursos com prazos de aquisição longos ou custos
elevados. Portanto, convém que os gestores, proprietários de serviços ou produtos monitorem a
utilização dos principais recursos do sistema.
Convém que os gestores usem informações de capacidade para identificar e evitar possíveis limitações
de recursos e dependência de pessoas-chave que possam apresentar uma ameaça à segurança do
sistema ou serviços e planejar ações apropriadas.
d) uso da computação em nuvem, que possui características inerentes que abordam diretamente
as questões de capacidade. A computação em nuvem tem elasticidade e escalabilidade que
permitem a rápida expansão sob demanda e a redução dos recursos disponíveis para aplicações
e serviços específicos.
Convém que seja considerado o seguinte, para reduzir a demanda sobre os recursos da organização:
b) descartar registros impressos que tenham cumprido seu período de retenção (liberar espaço
para prateleiras);
f) negar ou restringir a largura de banda para serviços com consumo de recursos, se estes não
forem críticos (por exemplo, streaming de vídeo).
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Para sistemas de missão crítica, convém que seja considerado um plano de gestão de capacidade
documentado.
Outras informações
Para obter mais detalhes sobre a elasticidade e escalabilidade da computação em nuvem, ver a
ISO/IEC TS 23167.
Controle
Convém que a proteção contra malware seja implementada e apoiada pela conscientização adequada
do usuário.
Propósito
Assegurar que informações e outros ativos associados estejam protegidos contra malware.
Orientação
Convém que a proteção contra malware seja baseada em software de detecção e reparo de malware,
conscientização sobre segurança da informação, acesso adequado aos sistemas e controles de
gestão de mudanças. O uso de software de detecção e reparo de malware sozinho não costuma ser
adequado. Convém considerar as seguinte orientações:
a) implementar regras e controles que impeçam ou detectem o uso de software não autorizado
[por exemplo, lista de aplicações permitidos (ou seja, uso de uma lista que fornece aplicações
autorizadas)] (ver 8.19 e 8.32);
c) reduzir vulnerabilidades que possam ser exploradas por malware [por exemplo, por meio de
gestão de vulnerabilidades técnicas (ver 8.8 e 8.19)];
1) varrer quaisquer dados recebidos por meio de redes ou de qualquer forma de mídia de
armazenamento eletrônico para identificar malware antes do uso;
1) princípios de defesa em profundidade onde possam ser mais efetivos. Por exemplo, isso pode
levar à detecção de malware em um gateway de rede (em vários protocolos de aplicações,
como e-mail, transferência de arquivos e web), bem como dispositivos endpoint do usuário
e servidores;
2) as técnicas evasivas dos atacantes (por exemplo, o uso de arquivos criptografados) para
fornecer malware ou o uso de protocolos de criptografia para transmitir malware;
h) ter cuidado para proteger contra a introdução de malware durante os procedimentos de manutenção
e emergência, que podem contornar controles normais contra malware;
m) prover conscientização ou treinamento (ver 6.3) a todos os usuários sobre como identificar e
potencialmente mitigar o recebimento, envio ou instalação de e-mails, arquivos ou programas
infectados por malware [as informações coletadas em n) e em o) podem ser usadas para assegurar
que a conscientização e o treinamento sejam mantidos atualizados];
n) implementar procedimentos para coletar regularmente informações sobre novos malwares, por
exemplo, assinar listas de discussão ou analisar criticamente websites relevantes;
Outras informações
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Nem sempre é possível instalar software que proteja contra malware em alguns sistemas (por exemplo,
alguns sistemas de controle industrial). Algumas formas de malware infectam sistemas operacionais
de computador e o firmware de computador de tal forma que os controles comuns de malware não
estão aptos a limpar o sistema por completo, e uma reinstalação completa do software do sistema
operacional, e às vezes do firmware do computador, pode ser necessária para retornar a um estado
seguro.
Controle
Convém que informações sobre vulnerabilidades técnicas dos sistemas de informação em uso sejam
obtidas, a exposição da organização a tais vulnerabilidades sejam avaliadas e medidas apropriadas
sejam tomadas.
Propósito
Orientação
Convém que a organização tenha um inventário preciso de ativos (ver 5.9 a 5.14) como pré-requisito
para a gestão eficaz de vulnerabilidade técnica; convém que o inventário inclua o fornecedor de
software, nome do software, números de versão, estado atual de implantação (por exemplo, qual
software está instalado em quais sistemas) e a(s) pessoa(s) dentro da organização responsável(is)
pelo software.
b) para software e outras tecnologias (com base na lista de inventário de ativos, ver 5.9), identificar
recursos de informações que serão utilizados para identificar vulnerabilidades técnicas relevantes
e manter a conscientização sobre elas. Atualizar a lista de recursos de informação com base em
alterações no inventário ou quando outros recursos novos ou úteis forem encontrados;
c) exigir fornecedores de sistema de informação (incluindo seus componentes) para garantir relatórios,
manuseio e divulgação de vulnerabilidades, incluindo os requisitos nos contratos aplicáveis
(ver 5.20);
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
f) rastrear o uso de bibliotecas de terceiros e código-fonte para vulnerabilidades. Convém que isso
seja incluído em codificação segura (ver 8.28).
Convém que a organização forneça um ponto de contato público como parte de uma política específica
por tema sobre a vulnerabilidade da divulgação, para que pesquisadores e outros sejam capazes de
relatar problemas. Convém que as organizações estabeleçam procedimentos de emissão de relatórios de
vulnerabilidade, formulários de emissão de relatórios on-line e uso de fóruns apropriados de inteligência
de ameaças ou compartilhamento de informações. Convém que as organizações também considerem
programas de recompensa por bugs em que as recompensas sejam oferecidas como um incentivo
para ajudar as organizações na identificação de vulnerabilidades, a fim de corrigi-las adequadamente.
Convém que a organização também compartilhe informações com órgãos competentes do setor
ou outras partes interessadas.
a) analisar e verificar relatórios para determinar qual atividade de resposta e remediação é necessária;
b) uma vez identificada uma potencial vulnerabilidade técnica, identificar os riscos associados e
as ações a serem tomadas. Tais ações podem envolver a atualização de sistemas vulneráveis
ou a aplicação de outros controles.
Convém que as seguintes orientações sejam consideradas para abordar vulnerabilidades técnicas:
b) dependendo da urgência de uma vulnerabilidade técnica a ser tratada, realizar a ação de acordo
com os controles relacionados à gestão de mudanças (ver 8.32) ou seguir os procedimentos
de resposta a incidentes de segurança da informação (ver 5.26);
c) apenas usar atualizações de fontes legítimas (que podem ser internas ou externas para a
organização);
d) testar e avaliar as atualizações antes de serem instaladas, para assegurar que sejam eficazes e não
resultem em efeitos colaterais que não podem ser tolerados [ou seja, se houver uma atualização
disponível, avaliar os riscos associados à instalação da atualização (convém que os riscos
representados pela vulnerabilidade sejam comparados com o risco de instalação da atualização)];
i) se nenhuma atualização estiver disponível ou a atualização não puder ser instalada, considerar
outros controles, como:
1) aplicar qualquer solução alternativa sugerida pelo fornecedor de software ou outras fontes
relevantes;
3) adaptar ou adicionar controles de acesso (por exemplo, firewalls) nas bordas da rede
(ver 8.20 a 8.22);
Outras considerações
Convém que um registro de auditoria seja mantido para todas as etapas empreendidas na gestão
de vulnerabilidade técnica.
Convém que o processo técnico de gestão de vulnerabilidades seja regularmente monitorado e avaliado
para assegurar sua eficácia e eficiência.
Convém que um processo técnico eficaz de gestão de vulnerabilidade esteja alinhado com as
atividades de gestão de incidentes, para comunicar dados sobre vulnerabilidades à função de resposta
a incidentes e fornecer procedimentos técnicos a serem realizados no caso de um incidente ocorrer.
Quando a organização usa um serviço em nuvem fornecido por um provedor de serviços em nuvem
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
de terceiros, convém que a gestão de vulnerabilidade técnica dos recursos do provedor de serviços
em nuvem seja assegurada pelo provedor de serviços em nuvem. Convém que as responsabilidades
do provedor de serviços em nuvem para a gestão de vulnerabilidades técnicas façam parte do contrato
de serviços em nuvem e que isso inclua os processos para relatar as ações do provedor de serviços
em nuvem relacionadas a vulnerabilidades técnicas (ver 5.23). Para alguns serviços em nuvem,
existem responsabilidades respectivas para o provedor de serviços em nuvem e para o cliente de
serviços em nuvem. Por exemplo, o cliente de serviços em nuvem é responsável pela gestão de
vulnerabilidades de seus próprios ativos usados para os serviços em nuvem.
Outras informações
A gestão de vulnerabilidades técnicas pode ser vista como uma subfunção da gestão de mudanças e,
como tal, pode aproveitar os processos e procedimentos de gestão de mudanças (ver 8.32).
Existe a possibilidade de uma atualização não resolver o problema adequadamente e ter efeitos
colaterais negativos. Além disso, em alguns casos, a desinstalação de uma atualização não pode ser
facilmente alcançada, uma vez que a atualização tenha sido aplicada.
Se não for possível o teste adequado das atualizações (por exemplo, por causa de custos ou falta
de recursos), pode ser considerado um atraso na atualização para avaliar os riscos associados, com
base na experiência relatada por outros usuários. O uso da ISO/IEC 27031 pode ser benéfico.
Quando patches de software ou atualizações são produzidos, a organização pode considerar fornecer
um processo de atualização automatizado em que essas atualizações sejam instaladas em sistemas
Uma fragilidade na varredura de vulnerabilidade é que existe a possibilidade de que ela não responda
totalmente para a defesa em profundidade: duas contramedidas que são sempre aplicadas em
sequência podem ter vulnerabilidades que são mutuamente mascaradas por pontos fortes. A contramedida
composta não é vulnerável, enquanto uma varredura de vulnerabilidade pode informar que ambos os
componentes são vulneráveis. Convém que as organizações, portanto, tenham cuidado na análise
crítica e atuação em relatórios de vulnerabilidade.
Muitas organizações fornecem softwares, sistemas, produtos e serviços não apenas dentro da
organização, mas também para as partes interessadas, como clientes, parceiros ou outros usuários.
Esses softwares, sistemas, produtos e serviços podem ter vulnerabilidades de segurança da informação
que afetam a segurança dos usuários.
Para obter mais informações relacionadas à gestão de vulnerabilidades técnicas ao usar a computação
em nuvem, ver a série ISO/IEC 19086 e a ABNT NBR ISO/IEC 27017.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Controle
Propósito
Orientação
Geral
Convém que a organização defina e implemente processos e ferramentas para impor as configurações
definidas (incluindo configurações de segurança) para hardware, software, serviços (por exemplo,
serviços em nuvem) e redes, para sistemas recém-instalados, bem como para sistemas operacionais
ao longo de sua vida útil.
Convém que papéis, responsabilidades e procedimentos estejam em vigor para assegurar o controle
satisfatório de todas as alterações de configuração.
Modelos-padrão
Convém que os modelos-padrão para a configuração segura de hardware, software, serviços e redes
sejam definidos:
Convém que os modelos sejam analisados criticamente de forma periódica e atualizados quando
novas ameaças ou vulnerabilidades precisarem ser abordadas, ou quando novas versões de software
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que sejam considerados, para estabelecer modelos-padrão para a configuração segura de
hardware, software, serviços e redes:
e) relógios sincronizados;
Gerenciando configurações
Convém que configurações estabelecidas de hardware, software, serviços e redes sejam registradas
e que um registro seja mantido de todas as alterações de configuração. Convém que esses registros
sejam armazenados com segurança. Isso pode ser alcançado de várias maneiras, como bancos de
dados de configuração ou modelos de configuração.
Convém que as alterações nas configurações sigam o processo de gestão de mudanças (ver 8.32).
Monitoramento de configurações
Outras informações
A gestão de configuração pode ser integrada aos processos de gestão de ativos e ferramentas
associadas.
A automação geralmente é mais eficaz para gerenciar a configuração de segurança (por exemplo,
usando a infraestrutura como código).
Modelos de configuração e alvos podem ser informações confidenciais e convém que sejam protegidos
contra acesso não autorizado em conformidade.
Controle
Propósito
Orientação
Geral
Convém que informações sensíveis não sejam mantidas por mais tempo do que é necessário para
reduzir o risco de divulgação indesejável.
Ao excluir informações sobre sistemas, aplicações e serviços, convém que seja considerado o seguinte:
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Quando terceiros armazenarem as informações da organização em seu nome, convém que a organização
considere a inclusão de requisitos sobre exclusão de informações nos acordos de terceiros para
aplicá-los durante e mediante a rescisão de tais serviços.
Métodos de exclusão
De acordo com a política específica de tópicos da organização sobre retenção de dados e levando
em consideração a legislação e os regulamentos relevantes, convém que informações confidenciais
sejam excluídas quando não forem mais necessárias, por:
a) configuração de sistemas para destruir informações com segurança, quando não forem mais
necessárias (por exemplo, após um período definido sujeito à política específica do tópico sobre
retenção de dados ou por solicitação de acesso ao assunto);
b) exclusão de versões obsoletas, cópias e arquivos temporários onde quer que estejam localizados;
e) uso de mecanismos de descarte apropriados para o tipo de mídia de armazenamento que está
sendo descartada (por exemplo desmagnetizando o disco rígido e outros meios de armazenamento
magnético).
Convém que, quando os serviços em nuvem forem usados, a organização verifique se o método
de exclusão fornecido pelo provedor de serviços em nuvem é aceitável e, se for o caso, convém que
a organização use ou solicite que o provedor de serviços em nuvem exclua as informações. Convém
que esses processos de exclusão sejam automatizados de acordo com políticas específicas por tema,
quando disponíveis e aplicáveis. Dependendo da sensibilidade das informações excluídas, os logs
podem rastrear ou verificar se esses processos de exclusão aconteceram.
Para evitar a exposição não intencional de informações sensíveis quando o equipamento estiver sendo
enviado de volta aos fornecedores, convém que informações sensíveis sejam protegidas removendo
armazenamentos auxiliares (por exemplo, discos rígidos) e memória antes que o equipamento deixe
as instalações da organização.
Considerando que a exclusão segura de alguns dispositivos (por exemplo, smartphones) só pode ser
alcançada pela destruição ou pelo uso das funções incorporadas nesses dispositivos (por exemplo,
“restaurar configurações de fábrica”), convém que a organização escolha o método apropriado de
acordo com a classificação das informações manuseadas por tais dispositivos.
Convém que as medidas de controle descritas em 7.14 sejam aplicadas para destruir fisicamente
o dispositivo de armazenamento e excluir simultaneamente as informações que ele contém.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Outras informações
Informações sobre exclusão de dados do usuário em serviços em nuvem podem ser encontradas
na ABNT NBR ISO/IEC 27017.
Controle
Convém que o mascaramento de dados seja usado de acordo com a política específica por tema
da organização sobre controle de acesso e outros requisitos específicos por tema relacionados e
requisitos de negócios, levando em consideração a legislação aplicável.
Propósito
Limitar a exposição de dados confidenciais, incluindo DP, e cumprir requisitos legais, estatutários,
regulamentares e contratuais.
Orientação
Quando a proteção de dados sensíveis (por exemplo, DP) for uma preocupação, convém que as
organizações considerem esconder tais dados utilizando técnicas como mascaramento de dados,
pseudonimização ou anonimização.
b) anulação ou exclusão de caracteres (impedindo que usuários não autorizados vejam mensagens
completas);
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
a) não conceder a todos os usuários o acesso a todos os dados, projetando consultas e máscaras,
a fim de mostrar apenas os dados mínimos necessários ao usuário;
b) há casos em que convém que alguns dados não sejam visíveis ao usuário para alguns registros
de um conjunto de dados; neste caso, projetar e implementar um mecanismo de ofuscação de
dados (por exemplo, se um paciente não quiser que os funcionários do hospital possam ver todos
os seus registros, mesmo em caso de emergência, então a equipe do hospital é apresentada
com dados e dados parcialmente ofuscados, e dados só podem ser acessados por funcionários
com papéis específicos se contiverem informações úteis para o tratamento adequado);
c) quando os dados são ofuscados, dando ao titular de DP a possibilidade de exigir que os usuários
não possam ver se os dados são ofuscados (ofuscação da ofuscação; isso é usado em unidades
de saúde, por exemplo, se o paciente não quiser que o pessoal veja que informações sensíveis,
como gravidez ou resultados de exames de sangue, foram ofuscadas);
d) proibição de colagem dos dados tratados com outras informações para identificar o titular de DP;
Outras informações
A anonimização altera irreversivelmente o DP de tal forma que o titular de DP não pode mais ser
identificado direta ou indiretamente.
Embora a pseudonimização seja, portanto, mais fraco que a anonimização, os conjuntos de dados
pseudononimizados podem ser mais úteis em pesquisas estatísticas.
mascarados no banco de dados original), dinâmico (usando automação e regras para proteger dados
em tempo real) ou em tempo real (com dados mascarados na memória de uma aplicação).
Funções hash podem ser usadas para anonimizar os DP. Para evitar ataques de enumeração, convém
que eles sejam sempre combinados com uma salt function.
Convém que DP em identificadores de recursos e seus atributos [por exemplo, nomes de arquivos,
localizadores de recursos uniformes (URL)] sejam evitados ou apropriadamente anonimizados.
Controle
Convém que medidas de prevenção de vazamento de dados sejam aplicadas a sistemas, redes e
quaisquer outros dispositivos que tratem, armazenem ou transmitam informações sensíveis.
Propósito
Detectar e prevenir a divulgação e extração não autorizadas de informações por indivíduos ou sistemas.
Orientação
Convém que a organização considere o seguinte para reduzir o risco de vazamento de dados:
a) identificar e classificar informações para proteger contra vazamentos (por exemplo, informações
pessoais, modelos de preços e projetos de produtos);
c) agir de modo a evitar que informações vazem (por exemplo, e-mails de quarentena contendo
informações sensíveis).
a) identificar e monitorar informações sensíveis em risco de divulgação não autorizada (por exemplo,
em dados não estruturados no sistema de um usuário);
b) detectar a divulgação de informações sensíveis (por exemplo, quando as informações são enviadas
para serviços em nuvem de terceiros não confiáveis ou são enviadas por e-mail);
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Se for necessária a exportação de dados, convém que o proprietário de dados autorize a aprovação
da exportação e mantenha os usuários responsáveis por suas ações.
Convém que a realização de capturas de tela ou fotografias da tela seja abordada por meio de termos
e condições de uso, treinamento e auditoria.
Quando os dados forem armazenados em backup, convém que seja tomado o cuidado para assegurar
que informações sensíveis sejam protegidas, usando medidas como criptografia, controle de acesso
e proteção física da mídia de armazenamento que mantenha o backup.
Convém que a prevenção de vazamentos de dados também seja considerada para proteger contra
as ações de inteligência de um adversário ao obter informações confidenciais ou secretas (geopolítica,
humana, financeira, comercial, científica ou qualquer outra) que possam ser de interesse da espionagem
ou possam ser críticas para a comunidade. Convém que as ações de prevenção de vazamento de
dados sejam orientadas a confundir as decisões do adversário, por exemplo, substituindo informações
autênticas por informações falsas, seja como uma ação independente ou como resposta às ações
de inteligência do adversário. Exemplos desse tipo de ações são a engenharia social reversa ou o uso
de honeypots para atrair atacantes.
Outras informações
As ferramentas de prevenção de vazamento de dados são projetadas para identificar dados, monitorar
o uso e a movimentação de dados e tomar medidas para evitar que os dados vazem (por exemplo,
alertar os usuários sobre seu comportamento de risco e bloquear a transferência de dados para
dispositivos de armazenamento portáteis).
A prevenção de vazamentos de dados pode ser apoiada por controles de segurança-padrão, como
políticas específicas por temas no controle de acesso e gerenciamento seguro de documentos (ver
5.12 e 5.15).
Controle
Convém que cópias de backup de informações, software e sistemas sejam mantidas e testadas
regularmente de acordo com a política específica por tema acordada sobre backup.
Propósito
Orientação
Convém que uma política específica de tema sobre backup seja estabelecida para atender aos
requisitos de retenção de dados e segurança da informação da organização.
Convém que instalações de backup adequadas sejam fornecidas para assegurar que todas as
informações e softwares essenciais possam ser recuperados após um incidente ou falha ou perda
de mídia de armazenamento.
Convém que planos sejam desenvolvidos e implementados sobre como a organização fará cópia de
segurança das informações, software e sistemas, para abordar a política específica por tema sobre
backup.
Ao projetar um plano de backup, convém que os seguintes itens sejam levados em consideração:
c) armazenamento de backup em um local remoto e seguro, a uma distância suficiente para escapar
de qualquer dano causado por um desastre no local principal;
e) teste regular de mídias de backup para assegurar que elas possam ser confiadas para uso
emergencial, quando necessário. Teste da capacidade de restaurar dados apoiados em um sistema
de teste, não substituindo a mídia de armazenamento original no caso de o processo de backup
ou restauração falhar e causar danos ou perdas irreparáveis de dados;
f) proteção do backup por meio da criptografia, de acordo com os riscos identificados (por exemplo,
em situações em que a confidencialidade seja importante);
g) cuidado para assegurar que a perda inadvertida de dados seja detectada antes que a backup seja
tomada.
Convém que as medidas de backup para sistemas e serviços individuais sejam testadas regularmente
para assegurar que elas atendam aos objetivos dos planos de resposta a incidentes e continuidade de
negócios (ver 5.30). Convém que isto seja combinado com o procedimento de restauração e checado
em relação ao tempo de restauração requerido pelo plano de continuidade de negócios. No caso
de sistemas e serviços críticos, convém que as medidas de backup abranjam todas as informações
do sistema, aplicações e dados necessários para recuperar o sistema completo em caso de desastre.
Convém que, quando a organização usar um serviço em nuvem, cópias de backups de informações,
aplicações e sistemas da organização no ambiente de serviços em nuvem sejam feitas. Convém que
a organização determine se e como os requisitos de backup são cumpridos ao usar o serviço de
backup fornecido como parte do serviço em nuvem.
Convém que o período de retenção de informações essenciais do negócio seja determinado, levando
em conta qualquer exigência de retenção de cópias de arquivo. Convém que a organização considere
a exclusão de informações (ver 8.10) em mídia de armazenamento usada para backup assim que
o período de retenção das informações expirar, e convém que leve em consideração a legislação e
os regulamentos.
Outras informações
Para obter mais informações sobre segurança de armazenamento, incluindo consideração de retenção,
ver a ISO/IEC 27040.
Controle
Propósito
Orientação
Convém que os mecanismos estejam em vigor para alertar a organização sobre qualquer falha
nos recursos de tratamento de informações e permitam a execução do procedimento planejado e
a disponibilidade contínua enquanto os recursos de tratamento de informações são reparadas ou
substituídas.
f) componentes duplicados em sistemas (por exemplo, CPU, discos rígidos, memórias) ou em redes
(por exemplo, firewalls, roteadores, switches).
Outras informações
Há uma forte relação entre redundância e prontidão de TIC para a continuidade de negócios
(ver 5.30), especialmente se forem necessários tempos curtos de recuperação. Muitas das medidas
de redundância podem fazer parte das estratégias e soluções de continuidade da TIC.
Com o uso da computação em nuvem pública, é possível ter várias versões ativas de recursos de
tratamento de informações, existentes em vários locais físicos separados com a transferência de
operação automático e balanceamento de carga entre eles.
8.15 Log
Controle
Convém que logs que registrem atividades, exceções, falhas e outros eventos relevantes sejam
produzidos, armazenados, protegidos e analisados.
Propósito
Registrar eventos, gerar evidências, assegurar a integridade das informações de registro, prevenir
contra acesso não autorizado, identificar eventos de segurança da informação que possam levar a um
incidente de segurança da informação e apoiar investigações.
Orientação
Geral
Convém que a organização determine a finalidade para a qual os logs são criados, quais dados são
coletados e registrados e quaisquer requisitos específicos para proteger e manusear os dados de log.
Convém que isso seja documentado em uma política específica por tema sobre log.
Convém que os logs de eventos incluam para cada evento, conforme aplicável:
a) ID do usuário;
b) atividades do sistema;
c) datas, horários e detalhes dos eventos relevantes (por exemplo, log-on e log-off);
d) uso de privilégios;
É importante que todos os sistemas tenham fontes de tempo sincronizadas (ver 8.17), pois isso permite
correlação de registros entre sistemas para análise, alerta e investigação de um incidente.
Proteção de logs
Convém que os usuários, incluindo aqueles com direitos de acesso privilegiados, não tenham permissão
para excluir ou desativar logs de suas próprias atividades. Eles podem potencialmente manipular
os logs dos recursos de tratamento de informações que estão sob seu controle direto. Portanto, é
necessário proteger e analisar criticamente os logs para manter a responsabilização das contas
dos usuários privilegiados.
Convém que os controles visem proteger contra mudanças não autorizadas em informações de log
e de problemas operacionais com os recursos de log, incluindo:
Para a proteção de logs, convém considerar o uso das seguintes técnicas: hashing criptográfico,
gravação em um arquivo somente de inclusão e somente leitura, gravação em um arquivo de
transparência pública.
Alguns logs de auditoria podem ser obrigados a ser arquivados devido a requisitos sobre retenção
de dados ou requisitos para coletar e reter evidências (ver 5.28).
Quando a organização precisar enviar logs de sistema ou aplicativo para um fornecedor para ajudar
a depurar ou solucionar problemas, convém que os logs sejam anonimizados, sempre que possível,
usando técnicas de mascaramento de dados (ver 8.11) para informações como nomes de usuário,
endereços IP, nomes de host ou nome da organização, antes de serem enviados ao fornecedor.
Os logs de eventos podem conter dados confidenciais e dados pessoais. Convém que a privacidade
adequada e as medidas de proteção sejam tomadas (ver 5.34).
Análise de log
Convém que a análise de log abranja a análise e interpretação de eventos de segurança da informação,
para ajudar a identificar atividade incomum ou comportamento anômalo, o que pode representar indicadores
de comprometimento.
d) as exceções identificadas pelo uso de regras predeterminadas (por exemplo, regras de gestão
da segurança da informação e eventos (SIEM) ou firewall, e assinaturas de IDS ou malware);
Convém que a análise de log seja apoiada por atividades específicas de monitoramento para ajudar
a identificar e analisar comportamento anômalo, incluindo:
b) verificar registros de DNS para identificar conexões de rede de saída para servidores
mal-intencionados, como aqueles associados aos servidores de comando e controle de botnet;
d) incluir registros de eventos de monitoramento físico, como entrada e saída, para assegurar uma
detecção e análise de incidentes mais precisas;
Convém que incidentes suspeitos e reais de segurança da informação sejam identificados (por
exemplo, infecção por malware ou sondagem de firewalls) e estejam sujeitos a uma investigação mais
aprofundada (por exemplo, como parte de um processo de gestão de incidentes de segurança da
informação, ver 5.25).
Outras informações
Os registros do sistema geralmente contêm um grande volume de informações, sendo muitas das
quais irrelevantes para o monitoramento de segurança da informação. Para ajudar a identificar eventos
significativos para fins de monitoramento de segurança da informação, o uso de programas utilitários
adequados ou ferramentas de auditoria para realizar interrogatórios de arquivos pode ser considerado.
O log de eventos estabelece as bases para sistemas de monitoramento automatizados (ver 8.16)
que são capazes de gerar relatórios consolidados e alertas sobre a segurança do sistema.
Os arquivos de transparência pública para o registro de logs são usados, por exemplo, em sistemas de
transparência de certificados. Esses arquivos podem fornecer um mecanismo de detecção adicional
útil para proteger contra adulteração de log.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Controle
Convém que redes, sistemas e aplicações sejam monitorados por comportamentos anômalos e por
ações apropriadas, tomadas para avaliar possíveis incidentes de segurança da informação.
Propósito
Orientação
Convém que o escopo e o nível de monitoramento sejam determinados de acordo com os requisitos
de segurança do negócio e da informação, e levando em consideração leis e regulamentos relevantes.
Convém que os registros de monitoramento sejam mantidos para períodos de retenção definidos.
d) logs de ferramentas de segurança [por exemplo, antivírus, IDS, sistema de prevenção de intrusão
(IPS), filtros web, firewalls, prevenção de vazamento de dados];
f) verificação que o código que está em execução está autorizado a ser executado no sistema e
que ele não foi adulterado (por exemplo, por recompilação para adicionar código indesejado
adicional);
g) uso dos recursos (por exemplo, CPU, discos rígidos, memória, largura de banda) e seu
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
desempenho.
Convém que a organização estabeleça uma linha de base de comportamento normal e monitore
esta linha de base para anomalias. Ao estabelecer uma linha de base, convém que seja considerado
o seguinte:
b) tempo habitual de acesso, local de acesso, frequência de acesso para cada usuário ou grupo
de usuários.
Convém que o sistema de monitoramento seja configurado contra a linha de base estabelecida para
identificar comportamentos anômalos, como:
e) gargalos e sobrecargas (por exemplo, fila de rede, níveis de latência e instabilidade de rede);
Convém que seja utilizado o monitoramento contínuo por meio de uma ferramenta de monitoramento.
Convém que o monitoramento seja feito em tempo real ou em intervalos periódicos, sujeitos à
necessidade organizacional e às capacidades. Convém que as ferramentas de monitoramento incluam
a capacidade de lidar com grandes quantidades de dados, adaptar-se a um cenário de ameaças em
constante mudança e permitir uma notificação em tempo real. Convém que as ferramentas também
sejam capazes de reconhecer assinaturas específicas e dados ou padrões de comportamento de rede
ou aplicações.
Convém que o software de monitoramento automatizado seja configurado para gerar alertas (por
exemplo, por meio de consoles de gerenciamento, mensagens de e-mail ou sistemas de mensagens
instantâneas) com base em limites predefinidos. Convém que o sistema de alerta seja ajustado e
treinado na linha de base da organização para minimizar falsos positivos. Convém que haja pessoal
dedicado para responder aos alertas e convém que seja devidamente treinado para interpretar com
precisão possíveis incidentes. Convém que haja sistemas e processos redundantes para receber e
responder às notificações de alerta.
Convém que eventos anormais sejam comunicados às partes relevantes para melhorar as seguintes
atividades: auditoria, avaliação de segurança, varredura e monitoramento de vulnerabilidades (ver
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
5.25). Convém que os procedimentos sejam realizados para responder a indicadores positivos do
sistema de monitoramento em tempo hábil, a fim de minimizar o efeito de eventos adversos (ver
5.26) na segurança da informação. Também convém que sejam estabelecidos procedimentos para
identificar e abordar falsos positivos, incluindo o ajuste do software de monitoramento, para reduzir
o número de futuros falsos positivos.
Outras informações
Controle
Convém que os relógios dos sistemas de tratamento de informações utilizados pela organização
sejam sincronizados com fontes de tempo aprovadas.
Propósito
Orientação
Convém que os requisitos externos e internos para representação do tempo, sincronização confiável e
precisão sejam documentados e implementados. Tais requisitos podem ser de necessidades legais,
estatutárias, regulamentares, contratuais, de normas e de monitoramento interno. Convém que um
tempo de referência padrão seja definido para uso dentro da organização e considerado para todos
os sistemas, incluindo sistemas de gerenciamento de edifícios, sistemas de entrada e saída e outros
que possam ser usados para auxiliar as investigações.
Convém que um relógio ligado a um relógio atômico nacional por transmissão de rádio ou sistema
de posicionamento global (GPS) seja usado como o relógio de referência para sistemas de registro,
com uma fonte de data e hora consistente e confiável para assegurar carimbos de tempo precisos.
Convém que protocolos como o protocolo de tempo de rede (NTP) ou o protocolo de tempo de precisão
(PTP) sejam usados para manter todos os sistemas em rede em sincronização com um relógio de
referência.
A organização pode usar duas fontes de tempo externas ao mesmo tempo, a fim de melhorar a
confiabilidade dos relógios externos e gerenciar adequadamente qualquer variação.
A sincronização do relógio pode ser difícil ao se usarem vários serviços de nuvem ou ao se usarem
serviços de nuvem e locais. Neste caso, convém que o relógio de cada serviço seja monitorado e a
diferença registrada para mitigar riscos decorrentes de discrepâncias.
Outras informações
A configuração correta dos relógios de computador é importante para assegurar a exatidão dos logs
de eventos, que podem ser necessários para investigações ou como evidência em casos legais e
disciplinares. Logs de auditoria imprecisos podem dificultar tais investigações e prejudicar a credibilidade
de tais evidências.
Controle
Convém que o uso de programas utilitários que possam ser capazes de substituir os controles de
sistema e aplicações seja restrito e rigorosamente controlado.
Propósito
Assegurar que o uso de programas utilitários não prejudique os controles do sistema e das aplicações
para a segurança da informação.
Orientação
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que as seguintes diretrizes para o uso de programas utilitários que podem ser capazes
de substituir o sistema e os controles de aplicação sejam consideradas:
e) não disponibilização de programas utilitários para usuários que tenham acesso a aplicações em
sistemas em que a segregação de funções seja necessária;
Outras informações
A maioria dos sistemas de informação tem um ou mais programas utilitários que podem ser capazes
de substituir controles de sistema e aplicações, por exemplo, diagnósticos, patches, antivírus,
desfragmentadores de disco, depuradores, ferramentas de backup e rede.
Controle
Convém que procedimentos e medidas sejam implementados para gerenciar com segurança a
instalação de software em sistemas operacionais.
Propósito
Orientação
Convém que as seguintes diretrizes sejam consideradas para gerenciar com segurança as alterações
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
c) somente a instalar e atualizar o software após testes completos e bem-sucedidos (ver 8.29 e 8.31);
h) arquivar versões antigas do software, juntamente com todas as informações e parâmetros necessários,
procedimentos, detalhes de configuração e software de suporte como medida de contingência e
enquanto o software for necessário para ler ou tratar os dados arquivados.
Convém que qualquer decisão de atualização para uma nova versão leve em conta os requisitos de
negócios para a alteração e a segurança da versão (por exemplo, a introdução de novas funcionalidades
O software de computador pode contar com softwares e pacotes fornecidos externamente (por exemplo,
programas de software usando módulos hospedados em sites externos), sendo conveniente que
sejam monitorados e controlados para evitar alterações não autorizadas, pois podem introduzir
vulnerabilidades de segurança da informação.
Convém que o software fornecido por partes externas para uso em sistemas operacionais seja mantido
em um nível apoiado pelo fornecedor. Com o tempo, os fornecedores de software deixarão de apoiar
versões mais antigas do software. Convém que a organização considere os riscos de confiar em
softwares sem suporte. Convém que o software de código aberto usado em sistemas operacionais
seja mantido até a sua versão mais recente apropriada. Com o tempo, o código-fonte aberto pode
deixar de ser mantido, mas ainda está disponível em um repositório de software de código aberto.
Também convém que a organização considere os riscos de depender de um software de código
aberto não mantido, quando usado em sistemas operacionais.
Convém que a organização defina e imponha regras rígidas sobre quais tipos de software os usuários
podem instalar.
Convém que o princípio do menor privilégio seja aplicado à instalação de software em sistemas
operacionais. Convém que a organização identifique quais tipos de instalações de software são permitidos
(por exemplo, atualizações e patches de segurança para softwares existentes) e quais tipos de instalações
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
são proibidas (por exemplo, software que é apenas para uso pessoal e software cuja origem em
relação a ser potencialmente malicioso é desconhecida ou suspeita). Convém que esses privilégios
sejam concedidos com base nas funções dos usuários em causa.
Outras informações
Controle
Convém que redes e dispositivos de rede sejam protegidos, gerenciados e controlados para proteger
as informações em sistemas e aplicações.
Propósito
Proteger as informações nas redes e seus recursos de tratamento de informações de suporte contra
o comprometimento por rede.
Orientação
Convém que os controles sejam implementados para assegurar a segurança das informações nas
redes e para proteger os serviços conectados de acesso não autorizado. Em particular, convém que
sejam considerados os seguintes itens:
d) separação da responsabilidade operacional das redes das operações dos sistemas de TIC,
quando apropriado (ver 5.3);
f) registro e monitoramento adequados para permitir o registro e a detecção de ações que possam
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
g) coordenação de perto das atividades de gerenciamento de rede, tanto para otimizar o serviço
à organização, quanto para assegurar que os controles sejam aplicados de forma consistente
em toda a infraestrutura de tratamento de informações;
i) restrição e filtragem da conexão dos sistemas à rede (por exemplo, usando firewalls);
Convém que a organização assegure que os controles de segurança apropriados sejam aplicados
ao uso de redes virtualizadas. As redes virtualizadas também abrangem redes definidas por software
(SDN, SD-WAN). As redes virtualizadas podem ser desejáveis do ponto de vista da segurança, pois
podem permitir a separação lógica da comunicação que ocorre em redes físicas, especialmente para
sistemas e aplicações que são implementadas por meio da computação distribuída.
Outras informações
Podem ser encontradas informações adicionais sobre segurança de rede na série ISO/IEC 27033.
Mais informações sobre redes virtualizadas podem ser encontradas na ISO/IEC TS 23167.
Controle
Propósito
Orientação
Convém que as regras sobre o uso de redes e serviços de rede sejam formuladas e implementadas
para abranger:
e) os meios utilizados para acessar redes e serviços de rede [por exemplo, uso de rede virtual
privada (VPN) ou rede sem fio];
Convém que os seguintes recursos de segurança dos serviços de rede sejam considerados:
b) parâmetros técnicos necessários para a conexão segura com os serviços de rede, de acordo
com as regras de segurança e conexão de rede;
c) cache (por exemplo, em uma rede de entrega de conteúdo) e seus parâmetros, que permitem
aos usuários escolher o uso de cache de acordo com os requisitos de desempenho, disponibilidade
e confidencialidade;
d) procedimentos para o uso do serviço de rede para restringir o acesso a serviços ou aplicações
de rede, quando necessário.
Outras informações
Os serviços de rede incluem a prestação de conexões, serviços de rede privada e soluções gerenciadas
de segurança de rede, como firewalls e sistemas de detecção de intrusões. Esses serviços podem
variar desde um serviço não gerenciado de provimento de banda até ofertas complexas com alto valor
agregado.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Mais orientações sobre uma estrutura para gestão de acesso são dadas na ISO/IEC 29146.
Controle
Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados
nas redes da organização.
Propósito
Dividir a rede em perímetros de segurança e controlar o tráfego entre eles com base nas necessidades
de negócios.
Orientação
Convém que o perímetro de cada domínio seja bem definido. Se o acesso entre domínios de rede for
permitido, convém que ele seja controlado no perímetro usando um gateway (por exemplo, firewall,
roteador filtrante). Convém que os critérios de segregação de redes em domínios e o acesso permitido
pelos gateways sejam baseados em uma avaliação dos requisitos de segurança de cada domínio.
Convém que a avaliação esteja de acordo com a política específica por tema sobre controle de acesso
(ver 5.15), requisitos de acesso, valor e classificação de informações tratadas, e que leve em conta
o impacto relativo de custo e desempenho da incorporação de tecnologia de gateway adequada.
As redes sem fio requerem tratamento especial devido ao perímetro de rede mal definido. Convém que
o ajuste da cobertura de rádio seja considerado para a segregação de redes sem fio. Para ambientes
sensíveis, convém que todo o acesso sem fio seja considerado como conexão externa e que este
acesso seja segregado de redes internas até que o acesso passe por um gateway de acordo com os
controles de rede (ver 8.20), antes de conceder acesso a sistemas internos. Convém que a rede de
acesso sem fio para convidados seja separada daquelas para pessoal interno, se o pessoal interno
usar apenas endpoints com controle de usuário em conformidade com as políticas específicas por
tema da organização. Convém que o wi-fi para visitantes tenha pelo menos as mesmas restrições que
o wi-fi para o pessoal interno, a fim de desencorajar o uso de wi-fi de visitantes pelo pessoal interno.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Outras informações
Muitas vezes, as redes vão além dos limites organizacionais, à medida que são formadas parcerias
comerciais que requerem a interconexão ou o compartilhamento de recursos de tratamento de
informações e redes. Essas extensões podem aumentar o risco de acesso não autorizado aos sistemas
de informação da organização que usam a rede, e alguns dos quais requerem proteção de outros
usuários da rede devido à sua sensibilidade ou criticidade.
Controle
Convém que o acesso a sites externos seja gerenciado para reduzir a exposição a conteúdo malicioso.
Propósito
Proteger os sistemas de serem comprometidos por malware e impedir o acesso a recursos web
não autorizados.
Orientação
Convém que a organização reduza os riscos de seu pessoal acessar sites que contenham informações
ilegais ou que sejam conhecidos por conter vírus ou material de phishing. Uma técnica para conseguir
isso funciona bloqueando o endereço IP ou o domínio do site em questão. Alguns navegadores e
tecnologias anti-malware fazem isso automaticamente ou podem ser configurados para fazê-lo.
Convém que a organização identifique os tipos de sites aos quais o seu pessoal pode ou não ter
acesso. Convém que a organização considere bloquear o acesso aos seguintes tipos de sites:
a) sites que possuem uma função de upload de informações, a menos que seja permitido por razões
comerciais válidas;
b) sites maliciosos conhecidos ou suspeitos (por exemplo, aqueles que distribuem conteúdo de
malware ou phishing);
Antes de implantar esse controle, convém que as organizações estabeleçam regras para o uso seguro
e adequado de recursos on-line, incluindo qualquer restrição a sites indesejáveis ou inadequados e
aplicações baseadas na web. Convém que as regras sejam mantidas atualizadas.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Convém que um treinamento seja dado ao pessoal sobre o uso seguro e adequado de recursos on-line,
incluindo acesso à web. Convém que o treinamento inclua as regras da organização, ponto de contato
para levantar preocupações de segurança e processo de exceção quando recursos restritos da web
precisarem ser acessados por razões comerciais legítimas. Convém também que o treinamento seja
dado ao pessoal para assegurar que eles não sobrepassem qualquer aviso do navegador que informe
que um site não é seguro, mas permite que o usuário prossiga.
Outras informações
A filtragem da web pode incluir uma série de técnicas, incluindo assinaturas, heurísticas, lista de sites
ou domínios aceitáveis, lista de sites ou domínios proibidos e configuração sob medida para ajudar
a evitar que softwares maliciosos e outras atividades maliciosas ataquem a rede e os sistemas da
organização.
Controle
Convém que sejam definidas e implementadas regras para o uso efetivo da criptografia, incluindo
o gerenciamento de chaves criptográficas.
Propósito
Orientação
Geral
a) a política específica por tema sobre criptografia definida pela organização, incluindo os princípios
gerais para a proteção das informações. Uma política específica por tema sobre o uso de criptografia
é necessária para maximizar os benefícios e minimizar os riscos do uso de técnicas criptográficas
e evitar seu uso inadequado ou incorreto;
c) uso de criptografia para proteção de informações mantidas em endpoints móveis do usuário ou mídia
de armazenamento e transmitidas por redes para tais dispositivos ou mídia de armazenamento;
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
d) abordagem do gerenciamento de chaves, incluindo métodos para lidar com a geração e proteção
de chaves criptográficas e com a recuperação de informações criptografadas no caso de chaves
perdidas, comprometidas ou danificadas;
f) normas a serem adotadas, bem como algoritmos criptográficos, força da criptografia, soluções
criptográficas e práticas de uso que são aprovadas ou necessárias para uso na organização;
Convém que o conteúdo de contratos ou acordos de nível de serviço com fornecedores externos de
serviços criptográficos (por exemplo, com autoridade de certificação) abranja questões de responsabilidade,
confiabilidade dos serviços e tempos de resposta para a prestação de serviços (ver 5.22).
Gerenciamento de chaves
O gerenciamento adequado de chaves requer processos seguros para gerar, armazenar, arquivar,
recuperar, distribuir, retirar e destruir chaves criptográficas.
c) distribuir chaves para entidades pretendidas, incluindo como ativar chaves quando recebidas;
e) alterar ou atualizar chaves, incluindo regras sobre quando alterar chaves e como isso será feito;
g) revogar chaves, incluindo como retirar ou desativar chaves [por exemplo, quando as chaves
foram comprometidas ou quando um usuário deixar uma organização (nesse caso, convém que
as chaves também sejam arquivadas)];
j) destruir chaves;
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
l) definir datas de ativação e desativação para chaves, para que as chaves só possam ser usadas
pelo período de tempo estabelecido conforme as regras da organização sobre gerenciamento
de chaves;
m) lidar com pedidos legais de acesso a chaves criptográficas (por exemplo, informações criptografadas
podem ser necessárias para serem disponibilizadas de forma não criptografada como evidência
em um processo judicial).
Convém que todas as chaves criptográficas sejam protegidas contra modificações e perdas. Além
disso, chaves secretas e privadas precisam de proteção contra uso não autorizado, bem como divulgação.
Convém que os equipamentos usados para gerar, armazenar e arquivar chaves sejam protegidos
fisicamente.
Além da integridade, convém, para muitos casos de uso, que a autenticidade das chaves públicas
também seja considerada.
Outras informações
A autenticidade das chaves públicas geralmente é abordada por processos públicos de gerenciamento
de chaves usando autoridades de certificação e certificados de chaves públicas, mas também é
possível endereçá-las usando tecnologias como a aplicação de processos manuais para um pequeno
número de chaves.
A criptografia pode ser usada para alcançar diferentes objetivos de segurança da informação, por
exemplo:
c) não repúdio: utilizar técnicas criptográficas para comprovar a ocorrência ou não ocorrência de
um evento ou ação;
d) autenticação: usar técnicas criptográficas para autenticar usuários e outras entidades do sistema,
solicitando acesso a ou transacionando com usuários, entidades e recursos do sistema.
Controle
Convém que regras para o desenvolvimento seguro de software e sistemas sejam estabelecidas e
aplicadas.
Propósito
Assegurar que a segurança da informação seja projetada e implementada dentro do ciclo de vida de
desenvolvimento seguro de software e sistemas.
Orientação
2) diretrizes de codificação seguras para cada linguagem de programação utilizada (ver 8.28);
i) capacidade dos desenvolvedores para prevenir, encontrar e corrigir vulnerabilidades (ver 8.28);
Se o desenvolvimento for terceirizado, convém que a organização obtenha a garantia de que o fornecedor
está de acordo com as regras da organização para o desenvolvimento seguro (ver 8.30).
Outras informações
O desenvolvimento também pode ocorrer aplicações internas, como aplicações de escritório, scripting,
navegadores e bases de dados.
Controle
Propósito
Orientação
Geral
Os requisitos de segurança de aplicações podem abranger uma ampla gama de tópicos, dependendo
do propósito da aplicação.
a) nível de confiança na identidade das entidades [por exemplo, por meio da autenticação (ver 5.17,
8.2 e 8.5)];
d) resiliência contra ataques maliciosos ou disrupções não intencionais [por exemplo, proteção contra
buffer overflow ou SQL injections [inserções de linguagem estruturada de consulta (SQL)];
l) controles de saída, considerando também quem pode acessar as saídas e sua autorização;
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
m) restrições em torno do conteúdo de campos de “texto livre”, pois estes podem levar ao armazenamento
descontrolado de dados confidenciais (por exemplo, dados pessoais);
o) requisitos exigidos por outros controles de segurança (por exemplo, interfaces para sistemas
de registro e monitoramento ou detecção de vazamento de dados);
Serviços transacionais
Além disso, para aplicações que oferecem serviços transacionais entre a organização e um parceiro,
convém que o seguinte seja considerado ao se identificarem requisitos de segurança da informação:
a) nível de confiança que cada parte requer em cada identidade declarada pela outra parte;
c) processos de autorização associados a quem pode aprovar conteúdos, emitir ou assinar documentos
transacionais importantes;
Além disso, para aplicações envolvendo pedidos eletrônicos e pagamento, convém que o seguinte
seja considerado:
a) requisitos para manter a confidencialidade e integridade das informações das ordens de pagamento;
e) quando uma autoridade confiável é usada (por exemplo, para fins de emissão e manutenção de
assinaturas digitais ou certificados digitais), a segurança é integrada e incorporada durante todo
o processo de gerenciamento de certificados ou assinaturas de ponta a ponta.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Várias considerações acima podem ser abordadas pela aplicação da criptografia (ver 8.24), levando
em consideração os requisitos legais (ver 5.31 a 5.36, especialmente 5.31 para a legislação de
criptografia).
Outras informações
As aplicações acessíveis por redes estão sujeitas a uma série de ameaças relacionadas à rede, como
atividades fraudulentas, disputas contratuais ou divulgação de informações ao público; transmissão
incompleta, roteamento errado, alteração não autorizada de mensagem, duplicação ou repetição. Portanto,
processos de avaliação de risco detalhados e determinação cuidadosa dos controles são indispensáveis.
Os controles necessários muitas vezes incluem métodos criptográficos para autenticação e proteção
da transferência de dados.
Mais informações sobre a segurança de aplicações podem ser encontradas na série ISO/IEC 27034.
Controle
Convém que princípios de engenharia para sistemas de segurança sejam estabelecidos, documentados,
mantidos e aplicados a qualquer atividade de desenvolvimento de sistemas.
Propósito
Assegurar que os sistemas de informação sejam projetados, implementados e operados com segurança
dentro do ciclo de vida de desenvolvimento.
Orientação
d) onde e como os controles de segurança devem ser aplicados (por exemplo, integrando-se a uma
arquitetura de segurança e à infraestrutura técnica);
b) uma análise crítica de design orientada à segurança para ajudar a identificar vulnerabilidades
de segurança da informação e assegurar que os controles de segurança sejam especificados
e atendam aos requisitos de segurança;
d) hardening de sistemas.
a) assumir que os sistemas de informação da organização já estão violados e, portanto, não depender
apenas da segurança do perímetro de rede;
b) empregar uma abordagem “nunca confie e sempre verifique” para o acesso aos sistemas de
informação;
c) assegurar que as solicitações aos sistemas de informação sejam criptografadas de ponta a ponta;
e) utilizar técnicas de controle de acesso “menos privilegiado” e dinâmica (ver 5.15, 5.18 e 8.2). Isso
inclui autenticar e autorizar solicitações de informações ou sistemas baseados em informações
contextuais, como informações de autenticação (ver 5.17), identidades do usuário (ver 5.16),
dados sobre o endpoint do usuário e classificação de dados (ver 5.12);
Convém que os princípios estabelecidos de engenharia de segurança sejam aplicados, quando aplicável,
ao desenvolvimento terceirizado de sistemas de informação por meio dos contratos e outros acordos
vinculativos entre a organização e o fornecedor a quem a organização terceiriza. Convém que a
organização assegure que as práticas de engenharia de segurança dos fornecedores estejam alinhadas
com as necessidades da organização.
Outras informações
Princípios de engenharia segura podem ser aplicados ao projeto ou à configuração de uma série
de técnicas, como:
— resistência a adulteração.
Técnicas seguras de virtualização podem ser usadas para evitar interferências entre aplicações em
execução no mesmo dispositivo físico. Se uma instância virtual de uma aplicação for comprometida
por um invasor, apenas essa instância será afetada. O ataque não tem efeito em qualquer outro
aplicativo ou dados.
Técnicas de resistência a adulteração podem ser usadas para detectar adulteração de contêineres
de informações, seja físico (por exemplo, um alarme de roubo) ou lógico (por exemplo, um arquivo
de dados). Uma característica de tais técnicas é que há um registro da tentativa de adulteração do
contêiner. Além disso, o controle pode impedir a extração bem-sucedida de dados por meio de sua
destruição (por exemplo, a memória do dispositivo pode ser excluída).
#Integridade de_aplicação
#Segurança_de_
#Disponibilidade
sistemas_e_rede
Controle
Propósito
Assegurar que o software seja escrito com segurança, reduzindo assim o número de potenciais
vulnerabilidades de segurança da informação no software.
Orientação
Geral
Convém que a organização estabeleça processos em toda a organização para fornecer uma boa
governança para uma codificação segura. Convém que uma linha de base segura mínima seja
estabelecida e aplicada. Além disso, convém que tais processos e governança sejam estendidos para
abranger componentes de software de terceiros e software de código aberto.
Convém que a organização monitore ameaças do mundo real e conselhos e informações atualizados
sobre vulnerabilidades de software, para orientar seus princípios de codificação segura por meio da
melhoria e do aprendizado contínuos. Isso pode ajudar a assegurar que práticas eficazes de codificação
segura sejam implementadas para combater o cenário de ameaças em rápida mudança.
Convém que princípios de codificação segura sejam usados tanto em novos desenvolvimentos
quanto em cenários de reutilização. Convém que estes princípios sejam aplicados às atividades de
desenvolvimento tanto dentro da organização quanto em produtos e serviços fornecidos por ela a
terceiros. Convém que o planejamento e os pré-requisitos antes da codificação incluam:
Durante a codificação
a) práticas de codificação seguras específicas das linguagens e técnicas de programação que estão
sendo utilizadas;
e) proibição do uso de técnicas de design inseguras (por exemplo, uso de senhas no código-fonte,
amostras de código não aprovadas e serviços web não autenticados).
Convém que os testes sejam realizados durante e após o desenvolvimento (ver 8.29). Os processos de
teste de segurança de aplicações estáticas (SAST) podem identificar vulnerabilidades de segurança
no software.
b) condução de uma análise dos erros de programação mais comuns e documentação de como
estes erros foram mitigados.
b) convém que vulnerabilidades de segurança da informação relatadas sejam tratadas (ver 8.8);
c) convém que erros e suspeitas de ataques sejam registrados e que os logs sejam analisados
criticamente de forma regular, para fazer ajustes no código conforme necessário;
d) convém que o código-fonte seja protegido contra acesso e adulteração não autorizados (por
exemplo, usando ferramentas de gerenciamento de configuração, que normalmente fornecem
recursos como controle de acesso e controle de versão).
a) assegurar que as bibliotecas externas sejam gerenciadas (por exemplo, mantendo um inventário
de bibliotecas utilizadas e suas versões) e atualizadas regularmente com ciclos de lançamento;
d) assegurar que o software seja mantido, rastreado e originário de fontes comprovadas e respeitáveis;
Quando um pacote de software precisar ser modificado, convém que sejam considerados os seguintes
pontos:
Outras informações
Um princípio norteador é assegurar que o código relevante para a segurança seja invocado quando
necessário e seja resistente a adulterações. Os programas instalados a partir do código binário
compilado também têm essas propriedades, mas apenas para dados mantidos dentro do aplicativo.
O código da aplicação é melhor projetado na suposição de que ele está sempre sujeito a ataque
por erro ou ação maliciosa. Além disso, aplicações críticas podem ser projetadas para serem tolerantes
a falhas internas. Por exemplo, a saída de um algoritmo complexo pode ser verificada para assegurar
que ele esteja dentro de limites seguros antes que os dados sejam usados em uma aplicação, como
uma aplicação crítica de segurança ou financeira. O código que executa as verificações de limites é
simples e, portanto, muito mais fácil de provar que está correto.
Algumas aplicações da web são suscetíveis a uma variedade de vulnerabilidades que são introduzidas
por design e codificação ruins, como injeção em banco de dados e ataques de scripting entre sites.
Nesses ataques, as solicitações podem ser manipuladas para abusar da funcionalidade do servidor web.
Mais informações sobre a avaliação de segurança de TIC podem ser encontradas na série
ISO/IEC 15408.
da informação cibernética
#Preventivo #Confidencialidade #Identificar #Segurança_de_aplicação #Proteção
#Integridade #Garantia_de_segurança_
#Disponibilidade da_informação
#Segurança_de_sistemas_
e_rede
Controle
Convém que os processos de teste de segurança sejam definidos e implementados no ciclo de vida
do desenvolvimento.
Propósito
Orientação
Convém que novos sistemas de informação, upgrades e novas versões sejam exaustivamente testados
e verificados durante os processos de desenvolvimento. Convém que os testes de segurança sejam
parte integrante dos testes para sistemas ou seus componentes.
Convém que os testes de segurança sejam realizados com um conjunto de requisitos, que podem ser
expressos como funcionais ou não funcionais. Convém que os testes de segurança incluam testes de:
a) funções de segurança [por exemplo, autenticação do usuário (ver 8.5), restrição de acesso
(ver 8.3) e uso de criptografia (ver 8.24)];
c) configurações seguras (ver 8.9, 8.20 e 8.22), incluindo a de sistemas operacionais, firewalls e
outros componentes de segurança.
Convém que os planos de teste sejam determinados usando um conjunto de critérios. Convém que
a extensão dos testes seja proporcional à importância, à natureza do sistema e ao impacto potencial
da mudança que está sendo introduzida. Convém que o plano de testes inclua:
Para a evolução interna, convém que esses testes sejam realizados inicialmente pela equipe de
desenvolvimento. Convém, então, que testes de aceitação independentes sejam realizados para
assegurar que o sistema funcione como esperado e apenas como esperado (ver 5.8). Convém que
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
a) realização de atividades de análise crítica de códigos como elemento relevante para testes de
falhas de segurança, incluindo insumos e condições não antecipadas;
Para componentes terceirizados de desenvolvimento e compras, convém que seja seguido um processo
de aquisição. Convém que os contratos com o fornecedor atendam aos requisitos de segurança
identificados (ver 5.20). Convém que os produtos e serviços sejam avaliados em relação a esses
critérios antes da aquisição.
Convém que os testes sejam realizados em um ambiente de teste que seja o mais similar possível
ao ambiente-alvo de produção, para assegurar que o sistema não introduza vulnerabilidades ao ambiente
da organização e que os testes sejam confiáveis (ver 8.31).
Outras informações
Podem ser estabelecidos vários ambientes de teste, que podem ser usados para diferentes tipos
de testes (por exemplo, testes funcionais e de desempenho). Esses diferentes ambientes podem
ser virtuais, com configurações individuais que simulem uma variedade de ambientes operacionais.
Controle
Propósito
Orientação
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
b) requisitos contratuais para práticas seguras de projeto, codificação e teste (ver 8.25 a 8.29);
f) provisão de evidências de que testes suficientes foram aplicados para proteger contra a presença
de conteúdo malicioso (intencional e não intencional) após a entrega;
g) provisão de evidências de que testes suficientes foram aplicados para proteger contra a presença
de vulnerabilidades conhecidas;
h) contratos de custódia para o código-fonte do software (por exemplo, se o fornecedor sair do negócio);
Outras informações
Mais informações sobre relacionamentos com fornecedores podem ser encontradas na série
ISO/IEC 27036.
Controle
Propósito
Orientação
Convém que o nível de separação entre ambientes de produção, testes e desenvolvimento necessários
para evitar problemas de produção seja identificado e implementado.
d) não testar em ambientes de produção, exceto em circunstâncias que foram definidas e aprovadas;
f) exibir de etiquetas de identificação de ambiente adequadas nos menus para reduzir o risco de erro;
g) não copiar informações sensíveis nos ambientes de desenvolvimento e teste do sistema, a menos
que sejam fornecidos controles equivalentes para os sistemas de desenvolvimento e teste.
Em todos os casos, convém que os ambientes de desenvolvimento e teste sejam protegidos considerando:
Convém que uma única pessoa não tenha a capacidade de fazer alterações tanto no desenvolvimento
quanto na produção sem uma análise crítica e aprovação prévias. Isso pode ser alcançado, por
exemplo, pela segregação de direitos de acesso ou por regras que são monitoradas. Em situações
excepcionais, convém que sejam implementadas medidas adicionais como registro detalhado e
monitoramento em tempo real para detectar e agir sobre alterações não autorizadas.
Outras informações
Em alguns casos, a distinção entre ambientes de desenvolvimento, teste e produção pode ser
deliberadamente acobertada, e os testes podem ser realizados em um ambiente de desenvolvimento
ou por meio de planos de implantação controlados para usuários ou servidores ativos (por exemplo,
pequena população de usuários-piloto). Em alguns casos, os testes de produtos podem ocorrer pelo
uso ao vivo do produto dentro da organização. Além disso, para reduzir o tempo de inatividade das
implantações ao vivo, dois ambientes de produção idênticos podem ser apoiados, em que apenas
um está ao vivo ao mesmo tempo.
As organizações também podem considerar as orientações fornecidas nesta Seção para ambientes
de treinamento, ao realizar o treinamento do usuário final.
Controle
Convém que mudanças nos recursos de tratamento de informações e sistemas de informação estejam
sujeitas a procedimentos de gestão de mudanças.
Propósito
Orientação
Convém que a introdução de novos sistemas e grandes mudanças nos sistemas existentes sigam
as regras acordadas e um processo formal de documentação, especificação, testes, controle de qualidade
e implementação gerenciada. Convém que as responsabilidades e os procedimentos de gestão estejam
em vigor para assegurar o controle satisfatório de todas as mudanças.
Convém que, sempre que possível, os procedimentos de controle de alteração para infraestrutura
e software de TIC sejam integrados.
b) autorização de mudanças;
Outras informações
A boa prática inclui o teste de componentes de TIC em um ambiente segregado de ambos os ambientes
de produção e desenvolvimento (veja 8.31). Isto provê um meio de ter controle sobre um novo software
e permitir proteção adicional de informações operacionais que são usadas para fins de teste. Convém
que isso inclua patches, pacotes de serviço e outras atualizações.
Controle
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Propósito
Assegurar a relevância dos testes e a proteção das informações operacionais utilizadas para testes.
Orientação
Convém que as informações de teste sejam selecionadas para assegurar a confiabilidade dos
resultados dos testes e a confidencialidade das informações operacionais relevantes. Convém que
as informações sensíveis (incluindo dados pessoais) não sejam copiadas para os ambientes de
desenvolvimento e teste (ver 8.31).
Convém que as seguintes diretrizes sejam aplicadas para proteger as cópias das informações
operacionais, quando usadas para fins de teste, quer o ambiente de teste seja construído internamente
ou em um serviço em nuvem:
a) aplicar os mesmos procedimentos de controle de acesso para testar ambientes como os aplicados
aos ambientes operacionais;
b) ter uma autorização separada cada vez que as informações operacionais forem copiadas para
um ambiente de teste;
c) registrar a cópia e o uso de informações operacionais para fornecer uma trilha de auditoria;
d) proteger informações sensíveis por remoção ou mascaramento (ver 8.11), se usadas para testes;
Convém que as informações de teste sejam armazenadas com segurança (para evitar adulteração,
o que pode levar a resultados inválidos) e usadas apenas para fins de teste.
Outras informações
Testes de sistema e aceitação podem requerer volumes substanciais de informações de teste que
são tão próximos quanto possível das informações operacionais.
Controle
Convém que testes de auditoria e outras atividades de garantia envolvendo a avaliação de sistemas
operacionais sejam planejados e acordados entre o testador e a gestão apropriada.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Propósito
Orientação
c) limitar testes de auditoria a acesso somente para leitura de software e dados. Se o acesso somente
para leitura não estiver disponível para obter as informações necessárias, executar o teste por
um administrador experiente que tenha os direitos de acesso necessários em nome do auditor;
d) se o acesso for concedido, estabelecer e verificar os requisitos de segurança (por exemplo, antivírus
e patches) dos dispositivos utilizados para acessar os sistemas (por exemplo, laptops ou tablets)
antes de permitir o acesso;
e) permitir acesso além de somente leitura apenas para cópias isoladas de arquivos do sistema,
excluí-las quando a auditoria for concluída ou fornecer proteção adequada, se houver a obrigação
de manter tais arquivos de acordo com os requisitos de documentação de auditoria;
g) executar testes de auditoria que podem afetar a disponibilidade do sistema fora do horário comercial;
Outras informações
Anexo A
(informativo)
Uso de atributos
A.1 Geral
Este Anexo fornece uma tabela para demonstrar o uso de atributos como forma de criar diferentes
visões dos controles. Os cinco exemplos desses atributos são os seguintes (ver 4.2):
A Tabela A.1 contém uma matriz de todos os controles neste documento, com seus valores de atributos
dados.
A filtragem ou classificação da matriz pode ser alcançada usando uma ferramenta como uma planilha
simples ou um banco de dados, que pode incluir mais informações, como texto de controle, orientação,
orientação específica da organização ou atributos (ver A.2).
#Disponibilidade identidade_e_acesso
#Disponibilidade
#Disponibilidade #Responder
#Restaurar
#Disponibilidade
#Disponibilidade
#Disponibilidade
#Disponibilidade informação
#Disponibilidade
#Disponibilidade
#Disponibilidade
#Integridade identidade_e_acesso
#Disponibilidade
#Disponibilidade #Proteção
fornecedores
#Disponibilidade #Proteção_da_
informação
#Disponibilidade #Leis_e_compliance
#Disponibilidade
_sistemas_e_rede
#Defesa
#Segurança_
de_aplicações
#Configuração_
segura #Gestão_de_
identidade_e_acesso
#Gestão_de_
ameaças_e_
vulnerabilidades
#Continuidade
#Gestão_de_
eventos_de_
segurança_da_
informação
#Disponibilidade
#Disponibilidade
#Segurança_nas_
relações_com_
fornecedores
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
#Integridade #Proteção_
da_informação
#Disponibilidade
#Segurança_física
#Segurança_de_
sistemas_e_rede
#Disponibilidade
#Integridade #Gestão_de_
identidades_e_
#Disponibilidade
acesso
#Disponibilidade
#Disponibilidade
#Disponibilidade
#Disponibilidade
#Disponibilidade
#Disponibilidade
#Disponibilidade
#Legal_e_
compliance
#Integridade eventos_de_
segurança_da_
#Disponibilidade
informação
#Segurança_de_
aplicações
#Disponibilidade
#Disponibilidade
#Disponibilidade
#Integridade sistemas_e_rede
#Disponibilidade
#Integridade segura
#Disponibilidade
#Integridade aplicações
#Disponibilidade #Segurança_de_
sistemas_e_rede
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
#Segurança_de_
sistemas_e_rede
#Segurança_nas_
relações_com_
fornecedores
#Disponibilidade #Segurança_de_
aplicações
A Tabela A.2 mostra um exemplo de como criar uma exibição, filtrando por um determinado valor
de atributo, neste caso #Corretivo.
#Disponibilidade #Responder
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
#Recuperar
#Segurança_de_
aplicações
#Configurações de
Segurança
#Gestão de
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
identidade e de
acessos #Gestão
de ameaças e de
vulnerabilidade
#Continuidade
#Segurança da
Informação – gestão
de eventos
#Disponibilidade
Uma vez que o propósito e os benefícios são conhecidos, o próximo passo é determinar os valores
de atributo. Por exemplo, a organização pode identificar nove eventos:
5) fraude;
6) hacking;
7) divulgação;
8) violação da lei;
9) engenharia social.
A segunda etapa pode, portanto, ser realizada atribuindo identificadores a cada evento (por exemplo, E1,
E2,..., E9).
O passo final é classificar a planilha ou consultar o banco de dados para extrair as informações
necessárias. Outros exemplos de atributos organizacionais (e possíveis valores) incluem:
d) áreas organizacionais envolvidas (segurança, TIC, recursos humanos, Alta Direção etc.);
e) eventos;
f) ativos envolvidos;
g) construção e execução, para diferenciar controles utilizados nas diferentes etapas do ciclo de
vida útil;
h) outras metodologias com as quais a organização trabalha ou pode estar em transição para.
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
Anexo B
(informativo)
O objetivo deste Anexo é fornecer compatibilidade inversa com a ABNT NBR ISO/IEC 27002:2013
para organizações que atualmente a utilizam e agora desejam fazer a transição para esta edição.
A Tabela B.1 fornece a correspondência dos controles especificados nas Seções 5 a 8 com os da
ABNT NBR ISO/IEC 27002:2013.
A Tabela B.2 fornece a correspondência de controles especificados na ABNT NBR ISO/IEC 27002:2013
com os deste documento.
Bibliografia
[1] ABNT NBR ISO 9000, Sistemas de gestão da qualidade – Fundamentos e vocabulário
[3] ISO/IEC 15408 (all parts), Information technology – Security techniques – Evaluation criteria for
IT security
[4] ISO 15489 (all parts), Information and documentation – Records management
[5] ABNT NBR ISO/IEC 17788, Tecnologia da informação – Computação em nuvem – Visão geral
e vocabulário
[7] ISO/IEC 19086 (all parts), Cloud computing – Service level agreement (SLA) framework
[9] ISO/IEC 19941, Information technology – Cloud computing – Interoperability and portability
[10] ISO/IEC 20889, Privacy enhancing data de-identification terminology and classification of
techniques
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
[11] ABNT NBR ISO 21500, Gerenciamento de projeto, programa e portfólio – Contexto e conceitos
[12] ABNT NBR ISO 21502, Gerenciamento de projetos, programas e portfólios – Orientação sobre
gerenciamento de projetos
[13] ABNT NBR ISO 22301, Segurança e resiliência – Sistema de gestão de continuidade de
negócios – Requisitos
[14] ABNT NBR ISO 22313, Segurança e resiliência – Sistemas de gestão de continuidade de
negócios – Orientações para o uso da ABNT NBR ISO 22301
[16] ISO 22396, Security and resilience – Community resilience – Guidelines for information exchange
between organizations
[17] ISO/IEC/TS 23167, Information technology – Cloud computing – Common technologies and
techniques
[18] ISO/IEC 23751:–2), Information technology – Cloud computing and distributed platforms – Data
sharing agreement (DSA) framework
[19] ISO/IEC 24760 (all parts), IT Security and Privacy – A framework for identity management
[20] ABNT NBR ISO/IEC 27001:2013, Tecnologia da Informação – Técnicas de segurança – Sistemas
de gestão da segurança da informação– Requisitos
[21] ABNT NBR ISO/IEC 27005, Tecnologia da informação – Técnicas de segurança – Gestão de
riscos de segurança da informação
[22] ABNT NBR ISO/IEC 27007, Segurança da informação, segurança cibernética e proteção da
privacidade – Diretrizes para auditoria de sistemas de gestão da segurança da informação
[23] ISO/IEC/TS 27008, Information technology – Security techniques – Guidelines for the assessment
of information security controls
[24] ISO/IEC 27011, Information technology – Security techniques – Code of practice for Information
security controls based on ISO/IEC 27002 for telecommunications organizations
[26] ABNT NBR ISO/IEC 27017, Tecnologia da informação – Técnicas de segurança – Código de
prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para
serviços em nuvem
[27] ABNT NBR ISO/IEC 27018, Tecnologia da informação – Técnicas de segurança – Código de
prática para proteção de dados pessoais (DP) em nuvens públicas que atuam como operadores
de DP
[28] ISO/IEC 27019, Information technology – Security techniques – Information security controls for
the energy utility industry
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
[29] ISO/IEC 27031, Information technology – Security techniques – Guidelines for information and
communication technology readiness for business continuity
[30] ISO/IEC 27033 (all parts), Information technology – Security techniques – Network security
[32] ISO/IEC 27035 (all parts), Information technology – Security techniques – Information security
incident management
[33] ISO/IEC 27036 (all parts), Information technology – Security techniques – Information security for
supplier relationships
[34] ABNT NBR ISO/IEC 27037, Tecnologia da informação – Técnicas de segurança – Diretrizes para
identificação, coleta, aquisição e preservação de evidência digital
[37] ISO/IEC/TS 27110, Information technology, cybersecurity and privacy protection – Cybersecurity
framework development guidelines
[38] ABNT NBR ISO/IEC 27701, Técnicas de segurança – Extensão das ABNT NBR ISO/IEC 27001
e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes
[39] ABNT NBR ISO 27799, Informática em saúde – Gestão de segurança da informação em saúde
utilizando a ISO/IEC 27002
[40] ABNT NBR ISO/IEC 29100, Tecnologia da informação – Técnicas de segurança – Estrutura de
Privacidade
[41] ISO/IEC 29115, Information technology – Security techniques – Entity authentication assurance
framework
[42] ABNT NBR ISO/IEC 29134, Tecnologia da informação – Técnicas de segurança – Avaliação de
impacto de privacidade – Diretrizes
[43] ISO/IEC 29146, Information technology – Security techniques – A framework for access management
[45] ISO 30000, Ships and marine technology – Ship recycling management systems – Specifications
for management systems for safe and environmentally sound ship recycling facilities
[46] ISO/IEC 30111, Information technology – Security techniques – Vulnerability handling processes
[48] ABNT NBR IEC 31010, Gestão de riscos – Técnicas para o processo de avaliação de riscos
Exemplar para uso exclusivo - Convênio Sistema CONFEA/CREA/MUTUA - ABNT -
[50] ISO/IEC 27555, Information security, cybersecurity and privacy protection – Guidelines on
personally identifiable information deletion
[51] Information Security Forum (ISF). The ISF Standard of Good Practice for Information Security
2020, August 2018. Available at https: /www.securityforum.org/tool/standard-of-good-practice-for-
information-security-2020/
[52] ITIL® Foundation, ITIL 4 edition, AXELOS, February 2019, ISBN: 9780113316076
[53] National Institute of Standards and Technology (NIST), SP 800-53B, Control Baselines for
Information Systems and Organizations, Revision 5 (Draft). July 2020 [viewed 2020-07-31].
Available at https://doi.org/10.6028/NIST.SP.800-53B-draft
[54] National Institute of Standards and Technology (NIST), SP 800-37, Risk Management Framework
for Information Systems and Organizations: A System Life Cycle Approach for Security and
Privacy, Revision 2. December 2018 [viewed 2020-07-31]. Available at https://doi.org/10.6028/
NIST.SP.800-37r2
[55] Open Web Application Security Project (OWASP). OWASP Top Ten - 2017, The Ten Most Critical
Web Application Security Risks, 2017 [viewed 2020-07-31]. Available at https://owasp.org/www-
project-top-ten/OWASP_Top_Ten_2017/
[56] Open Web Application Security Project (OWASP). OWASP Developer Guide, [online] [viewed
2020-10-22]. Available at https://github.com/OWASP/DevGuide
[57] National Institute of Standards and Technology (NIST), SP 800-63B, Digital Identity Guidelines;
Authentication and Lifecycle Management. February 2020 [viewed 2020-07-31]. Available at
https://doi.org/10.6028/NIST.SP.800-63b