Faça suas buscas na internet pelo InfoAchei!
Esta será uma série de post onde colocarei os capitulos da norma de segurança iso 17799 em português.
Espero que gostem, e estudem pois esta norma é muito usado atualmente no mercado.
Abraços,
Eduardo Mioto
fonte: http://www.tj.es.gov.br/cfmx/portal/Novo/PDF/CPD/iso_iec_17799_portugues.pdf
PADRÃO ISO/IEC
INTERNACIONAL 17799
Tecnologia da Informação – Código de Prática
para Gestão da Segurança de Informações
ISO/IEC 17799:2000(E)
I
Índice
PREFÁCIO …………………………………………………………………………………………………………………………. V
INTRODUÇÃO …………………………………………………………………………………………………………………..VI
O QUE É SEGURANÇA DE INFORMAÇÕES? ………………………………………………………………………………..VI
POR QUE É NECESSÁRIA A SEGURANÇA DE INFORMAÇÕES ………………………………………………………….VI
COMO ESTABELECER OS REQUISITOS DE SEGURANÇA……………………………………………………………….VII
AVALIANDO OS RISCOS DE SEGURANÇA………………………………………………………………………………….VII
SELECIONANDO CONTROLES………………………………………………………………………………………………. VIII
PONTO DE PARTIDA PARA A SEGURANÇA DAS INFORMAÇÕES…………………………………………………… VIII
FATORES CRÍTICOS PARA O SUCESSO ………………………………………………………………………………………IX
DESENVOLVENDO SUAS PRÓPRIAS DIRETRIZES …………………………………………………………………………IX
1 ESCOPO……………………………………………………………………………………………………………………………. 1
2 TERMOS E DEFINIÇÕES …………………………………………………………………………………………………. 1
3 POLÍTICA DE SEGURANÇA…………………………………………………………………………………………….. 2
3.1 POLÍTICA DE SEGURANÇA DE INFORMAÇÕES………………………………………………………………………… 2
3.1.1 Documento da política de segurança de informações……………………………………………………. 2
3.1.2 Revisão e avaliação ……………………………………………………………………………………………. 2
4 SEGURANÇA ORGANIZACIONAL ………………………………………………………………………………….. 3
4.1 INFRA-ESTRUTURA PARA SEGURANÇA DE INFORMAÇÕES……………………………………………………….. 3
4.1.1 Fórum gerencial de segurança de informações ……………………………………………………………. 3
4.1.2 Coordenação da segurança de informações ………………………………………………………………… 4
4.1.3 Alocação de responsabilidades pela segurança das informações……………………………………. 4
4.1.4 Processo de autorização para facilidades de processamento de informações…………………… 5
4.1.5 Aconselhamento especializado sobre segurança de informações ……………………………………. 5
4.1.6 Cooperação entre organizações…………………………………………………………………………………. 6
4.1.7 Revisão independente da segurança das informações …………………………………………………… 6
4.2 SEGURANÇA PARA O ACESSO DE TERCEIROS………………………………………………………………………… 6
4.2.1 Identificação dos riscos no acesso de terceiros…………………………………………………………….. 7
4.2.2 Requisitos de segurança para contratos com terceiros………………………………………………….. 8
4.3 OUTSOURCING ……………………………………………………………………………………………………………….. 9
4.3.1 Requisitos de segurança em contratos de outsourcing…………………………………………………… 9
5 CLASSIFICAÇÃO E CONTROLE DOS ATIVOS……………………………………………………………… 10
5.1 RESPONSABILIDADE PELOS ATIVOS…………………………………………………………………………………… 10
5.1.1 Inventário dos ativos ………………………………………………………………………………………………. 10
5.2 CLASSIFICAÇÃO DAS INFORMAÇÕES …………………………………………………………………………………. 11
5.2.1 Diretrizes para a classificação…………………………………………………………………………………. 11
5.2.2 Rotulagem e manuseio de informações ……………………………………………………………………… 12
6 SEGURANÇA RELACIONADA AO PESSOAL………………………………………………………………… 13
6.1 SEGURANÇA NA DEFINIÇÃO DE FUNÇÕES E ALOCAÇÃO DE PESSOAL ………………………………………. 13
6.1.1 Incluindo a segurança nas responsabilidades dos serviços ………………………………………….. 13
6.1.2 Seleção e política de pessoal……………………………………………………………………………………. 13
6.1.3 Contratos de confidencialidade………………………………………………………………………………… 14
6.1.4 Termos e condições de emprego……………………………………………………………………………….. 14
6.2 TREINAMENTO DOS USUÁRIOS…………………………………………………………………………………………. 14
6.2.1 Educação e treinamento sobre segurança de informações …………………………………………… 15
ISO/IEC 17799:2000(E)
II
6.3 RESPONDENDO A INCIDENTES DE SEGURANÇA E MAL FUNCIONAMENTOS ……………………………….. 15
6.3.1 Reportando incidentes de segurança…………………………………………………………………………. 15
6.3.2 Reportando pontos fracos na segurança ……………………………………………………………………. 15
6.3.3 Reportando mal funcionamento de softwares……………………………………………………………… 16
6.3.4 Aprendendo com os incidentes …………………………………………………………………………………. 16
6.3.5 Processo disciplinar ……………………………………………………………………………………………….. 16
7 SEGURANÇA FÍSICA E AMBIENTAL ……………………………………………………………………………. 17
7.1 ÁREAS DE SEGURANÇA…………………………………………………………………………………………………… 17
7.1.1 Perímetro de segurança física ………………………………………………………………………………….. 17
7.1.2 Controles para entrada física…………………………………………………………………………………… 18
7.1.3 Segurança nos escritórios, salas e instalações……………………………………………………………. 18
7.1.4 Trabalhando em áreas de segurança ………………………………………………………………………… 19
7.1.5 Áreas isoladas de carga e descarga ………………………………………………………………………….. 19
7.2 SEGURANÇA DOS EQUIPAMENTOS…………………………………………………………………………………….. 20
7.2.1 Disposição física e proteção dos equipamentos………………………………………………………….. 20
7.2.2 Suprimento de energia…………………………………………………………………………………………….. 21
7.2.3 Segurança para o cabeamento …………………………………………………………………………………. 22
7.2.4 Manutenção dos equipamentos ………………………………………………………………………………… 22
7.2.5 Segurança de equipamentos fora da empresa …………………………………………………………….. 22
7.2.6 Segurança para descarte ou reutilização de equipamentos ………………………………………….. 23
7.3 CONTROLES GERAIS……………………………………………………………………………………………………….. 23
7.3.1 Política de mesa limpa e tela limpa…………………………………………………………………………… 24
7.3.2 Remoção de propriedade…………………………………………………………………………………………. 24
8 GERENCIAMENTO DE COMUNICAÇÕES E OPERAÇÕES ………………………………………….. 25
8.1 PROCEDIMENTOS OPERACIONAIS E RESPONSABILIDADES……………………………………………………… 25
8.1.1 Procedimentos operacionais documentados ………………………………………………………………. 25
8.1.2 Controle das mudanças operacionais ……………………………………………………………………….. 26
8.1.3 Procedimentos para gerenciamento de incidentes ………………………………………………………. 26
8.1.4 Segregação de tarefas …………………………………………………………………………………………….. 27
8.1.5 Separação das facilidades de desenvolvimento e de produção……………………………………… 27
8.1.6 Gerenciamento de facilidades externas……………………………………………………………………… 28
8.2 PLANEJAMENTO E ACEITAÇÃO DE SISTEMAS………………………………………………………………………. 29
8.2.1 Capacity planning ………………………………………………………………………………………………….. 29
8.2.2 Aceitação de sistemas……………………………………………………………………………………………… 29
8.3 PROTEÇÃO CONTRA SOFTWARE MALICIOSO……………………………………………………………………….. 30
8.3.1 Controles contra software malicioso…………………………………………………………………………. 30
8.4 HOUSEKEEPING …………………………………………………………………………………………………………….. 31
8.4.1 Backup das informações………………………………………………………………………………………….. 31
8.4.2 Logs de operador……………………………………………………………………………………………………. 32
8.4.3 Log de falhas …………………………………………………………………………………………………………. 32
8.5 GERENCIAMENTO DE REDES ……………………………………………………………………………………………. 33
8.5.1 Controles para redes ………………………………………………………………………………………………. 33
8.6 MANUSEIO E SEGURANÇA DE MÍDIA………………………………………………………………………………….. 33
8.6.1 Gerenciamento de mídia removível …………………………………………………………………………… 33
8.6.2 Descarte de mídia…………………………………………………………………………………………………… 34
8.6.3 Procedimentos para manuseio de informações …………………………………………………………… 34
8.6.4 Segurança da documentação dos sistemas…………………………………………………………………. 35
8.7 INTERCÂMBIO DE INFORMAÇÕES E SOFTWARE……………………………………………………………………. 35
8.7.1 Contratos para intercâmbio de informações e softwares ……………………………………………… 36
8.7.2 Segurança de mídia em trânsito ……………………………………………………………………………….. 36
8.7.3 Segurança para comércio eletrônico ………………………………………………………………………… 37
8.7.4 Segurança para correio eletrônico……………………………………………………………………………. 38
8.7.5 Segurança de sistemas de automação de escritórios……………………………………………………. 39
8.7.6 Sistemas disponibilizados publicamente…………………………………………………………………….. 39
8.7.7 Outras formas de intercâmbio de informações……………………………………………………………. 40
9 CONTROLE DE ACESSO………………………………………………………………………………………………… 41
ISO/IEC 17799:2000(E)
III
9.1 NECESSIDADES DE CONTROLE DE ACESSO …………………………………………………………………………. 41
9.1.1 Política de controle de acesso ………………………………………………………………………………….. 41
9.2 GERENCIAMENTO DO ACESSO DE USUÁRIOS ………………………………………………………………………. 42
9.2.1 Cadastramento de usuários ……………………………………………………………………………………… 42
9.2.2 Gerenciamento de privilégios…………………………………………………………………………………… 43
9.2.3 Gerenciamento de senhas de usuário ………………………………………………………………………… 43
9.2.4 Revisão dos direitos de acesso dos usuários ………………………………………………………………. 44
9.3 RESPONSABILIDADES DOS USUÁRIOS ………………………………………………………………………………… 44
9.3.1 Uso de senhas………………………………………………………………………………………………………… 45
9.3.2 Equipamentos de usuário desassistidos……………………………………………………………………… 45
9.4 CONTROLE DE ACESSO À REDE ………………………………………………………………………………………… 46
9.4.1 Política sobre o uso de serviços em rede……………………………………………………………………. 46
9.4.2 Path obrigatório …………………………………………………………………………………………………….. 46
9.4.3 Autenticação de usuário para conexões externas ……………………………………………………….. 47
9.4.4 Autenticação de nodo ……………………………………………………………………………………………… 48
9.4.5 Proteção de porta de diagnóstico remoto ………………………………………………………………….. 48
9.4.6 Segregação em redes………………………………………………………………………………………………. 48
9.4.7 Controle das conexões de rede…………………………………………………………………………………. 49
9.4.8 Controle de roteamento da rede……………………………………………………………………………….. 49
9.4.9 Segurança de serviços em rede ………………………………………………………………………………… 49
9.5 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL……………………………………………………………… 50
9.5.1 Identificação automática de terminal………………………………………………………………………… 50
9.5.2 Procedimentos de logon em terminais……………………………………………………………………….. 50
9.5.3 Identificação e autenticação de usuários …………………………………………………………………… 51
9.5.4 Sistema de gerenciamento de senhas…………………………………………………………………………. 51
9.5.5 Uso de utilitários do sistema ……………………………………………………………………………………. 52
9.5.6 Alarme de coação para salvaguardar usuários ………………………………………………………….. 52
9.5.7 Time-out no terminal ………………………………………………………………………………………………. 53
9.5.8 Limitação de tempo de conexão ……………………………………………………………………………….. 53
9.6 CONTROLE DE ACESSO ÀS APLICAÇÕES ……………………………………………………………………………. 53
9.6.1 Restrição de acesso às informações ………………………………………………………………………….. 54
9.6.2 Isolamento de sistemas sensíveis ………………………………………………………………………………. 54
9.7 MONITORANDO O ACESSO E O USO DO SISTEMA………………………………………………………………….. 54
9.7.1 Registro de eventos em log ………………………………………………………………………………………. 55
9.7.2 Monitorando o uso do sistema………………………………………………………………………………….. 55
9.7.3 Sincronização de relógios ……………………………………………………………………………………….. 56
9.8 COMPUTAÇÃO MÓVEL E TRABALHO À DISTÂNCIA……………………………………………………………….. 57
9.8.1 Computadores portáteis ………………………………………………………………………………………….. 57
9.8.2 Trabalho à distância……………………………………………………………………………………………….. 58
10 DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS ……………………………………………. 59
10.1 REQUISITOS DE SEGURANÇA NOS SISTEMAS……………………………………………………………………… 59
10.1.1 Análise e especificação dos requisitos de segurança …………………………………………………. 59
10.2 SEGURANÇA EM SISTEMAS APLICATIVOS …………………………………………………………………………. 59
10.2.1 Validação dos dados de entrada …………………………………………………………………………….. 60
10.2.2 Controle do processamento interno…………………………………………………………………………. 60
10.2.3 Autenticação de mensagens……………………………………………………………………………………. 61
10.2.4 Validação dos dados de saída ………………………………………………………………………………… 61
10.3 CONTROLES CRIPTOGRÁFICOS ……………………………………………………………………………………….. 62
10.3.1 Política para o uso de controles criptográficos ………………………………………………………… 62
10.3.2 Criptografia………………………………………………………………………………………………………… 63
10.3.3 Assinaturas digitais ………………………………………………………………………………………………. 63
10.3.4 Serviços de não-repudiação …………………………………………………………………………………… 64
10.3.5 Gerenciamento de chaves………………………………………………………………………………………. 64
10.4 SEGURANÇA DE ARQUIVOS DO SISTEMA ………………………………………………………………………….. 66
10.4.1 Controle de software operacional …………………………………………………………………………… 66
10.4.2 Proteção de dados usados em teste de sistemas ………………………………………………………… 66
10.4.3 Controle de acesso à biblioteca-fonte de programas …………………………………………………. 67
10.5 SEGURANÇA NOS PROCESSOS DE DESENVOLVIMENTO E SUPORTE………………………………………… 68
ISO/IEC 17799:2000(E)
IV
10.5.1 Procedimentos para controle de alterações ……………………………………………………………… 68
10.5.2 Revisão técnica de alterações em sistemas operacionais……………………………………………. 69
10.5.3 Restrições para alterações em pacotes de software …………………………………………………… 69
10.5.4 Covert channels e código troiano……………………………………………………………………………. 69
10.5.5 Desenvolvimento terceirizado de software ……………………………………………………………….. 70
11 GERENCIAMENTO DA CONTINUIDADE DO NEGÓCIO ……………………………………………. 70
11.1 ASPECTOS DO GERENCIAMENTO DA CONTINUIDADE DO NEGÓCIO………………………………………… 70
11.1.1 Processo de gerenciamento da continuidade do negócio……………………………………………. 71
11.1.2 Continuidade do negócio e análise de impacto…………………………………………………………. 71
11.1.3 Definição e implementação de planos de continuidade ……………………………………………… 72
11.1.4 Estrutura para o planejamento da continuidade do negócio ………………………………………. 72
11.1.5 Testes, manutenção e reavaliação dos planos para continuidade do negócio……………….. 73
12 OBEDIÊNCIA A EXIGÊNCIAS………………………………………………………………………………………. 74
12.1 OBEDIÊNCIA ÀS EXIGÊNCIAS LEGAIS ……………………………………………………………………………….. 74
12.1.1 Identificação da legislação aplicável ………………………………………………………………………. 75
12.1.2 Direitos de propriedade industrial (IPR) …………………………………………………………………. 75
12.1.3 Salvaguarda de registros organizacionais ……………………………………………………………….. 76
12.1.4 Proteção de dados e privacidade de informações pessoais ………………………………………… 77
12.1.5 Prevenção da utilização indevida das facilidades de processamento de informações……………. 77
12.1.6 Regulamentação de controles criptográficos ………………………………………………………………….. 78
12.1.7 Coleta de provas………………………………………………………………………………………………………… 78
12.2 REVISÕES DA POLÍTICA DE SEGURANÇA E OBEDIÊNCIA TÉCNICA………………………………………….. 79
12.2.1 Obediência à política de segurança ……………………………………………………………………………… 79
12.2.2 Verificação da obediência técnica ………………………………………………………………………………… 79
12.3 CONSIDERAÇÕES PARA AUDITORIA DE SISTEMAS………………………………………………………………. 80
12.3.1 Controles para auditoria de sistemas………………………………………………………………………. 80
12.3.2 Proteção das ferramentas de auditoria de sistemas…………………………………………………… 81
