Zusammenfassung der Ressource
ISO 27002:2013
Anmerkungen:
- A norma está categorizada em seções, objetivos de controle e controles.
a) seções definindo os controles de segurança da informação;
b) um objetivo de controle declarando o que se espera ser alcançado;
c) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.
- 7. Segurança em recursos humanos
- 7.1 - Antes da Contratação
- 7.1.1 - Seleção
- 7.1.2 - Termos e condições de contratação
- 7.2 - Durante a Contratação
- 7.2.1 - Responsabilidade da contração
- 7.2.2 Conscientização, educação e treinamento em segurança da
informação
- 7.2.3 Processo Disciplinar
- 7.3 Encerramento e mudança de contratação
- 6 - Organização da segurança da informação
- 6.1 - Organização interna
Anmerkungen:
- Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a implementação e operação da segurança da informação dentro da organização.
- 6.1.1 - Responsabilidades e papéis pela segurança da informação
- 6.1.2 - Segregação de funções
- 6.1.3 - Contrato com autoridades
- 6.1.4 - Contratos com grupos especiais
- 6.1.5 - Segurança da informação em gerenciamento de projetos
- 6.2 - Dispositivos móveis e trabalho remoto
- 6.2.1 - Política para uso de dispositivo móvel
- 6.2.2 - Trabalho remoto
- 8. Gestão de Ativos
- 8.1 Responsabilidade pelos ativos
- 8.1.1 Inventário de ativos
- 8.1.2 Proprietário dos ativos
Anmerkungen:
- 8.1.3 Uso aceitável dos ativos
Anmerkungen:
- Conscientização pelo uso dos ativos.
- 8.1.4 Devolução de ativos
- 8.2 Classificação da informação
- 8.2.1 Classificação da informação
- 8.2.2 Rótulo e tratamento da informação
- 8.2.3 Tratamento dos ativos
Anmerkungen:
- Definição de procedimentos para tratamento dos ativos conforme a classificação de cada um.
- 8.3 Tratamento de mídias
- 8.3.1 Gerenciamento de mídias removíveis
- 8.3.2 Descarte de mídias
- 8.3.3 Transferência de mídias
- 9. Controle de Acesso
- 9.1 Requisitos do negócio para controle de acesso
- 9.1.1 Política de Controle de Acesso
- 9.1.2 Acesso às redes e aos serviços de rede
- 9.2 Gerenciamento de acesso do usuário
- 9.2.1 Registro e cancelamento de usuário
- 9.2.2 Provisionamento de acesso do usuário
Anmerkungen:
- Definição de um procedimento formal para provisionamento dos privilégios de acesso dos usuários.
- 9.2.3 Gerenciamento de direitos de acesso privilegiados
- 9.2.4 Gerenciamento da informação de autenticação secreta de usuário
Anmerkungen:
- Senhas são normalmente usadas como um tipo de informação de autenticação secreta, e é uma forma comum de verificar a identidade de um usuário. Outros tipos de informação de autenticação secreta são chaves criptográficas e outros dados armazenados em tokens (por exemplo, smart cards), que produzem códigos de autenticação.
- 9.2.5 Análise crítica dos direitos de acesso dos usuários
Anmerkungen:
- Este controle compensa possíveis vulnerabilidades na execução dos controles 9.2.1, 9.2.2 e 9.2.6.
- 9.2.6 Retirada ou ajuste de direitos de acesso
Anmerkungen:
- A ação deve sempre ser executada após mudança de qualquer natureza dos usuários de acesso (atividade, lotação, demissão) sejam usuários internos sejam externos.
- 9.3 Responsabilidade dos usários
- 9.3.1 Uso da informação de autenticação secreta
- 9.4 Controle de acesso ao sistema e à aplicação
- 9.4.1 Restrição de acesso à informação
- 9.4.2 Procedimentos seguros de entrada no sistema (logon)
- 9.4.3 Sistema de gerenciamento de senha
- 9.4.4 Uso de programas utilitários privilegiados
- 9.4.5 Controle de acesso ao código-fonte de programas
- 10. Criptografia
- 10.1 Controles criptográficos
- 10.1.1 Política para o uso de controles criptográficos
- 10.1.2 Gerenciamento de chaves
- 11. Segurança física do ambiente
- 12. Segurança nas operações
- 12.1 Responsabilidades e procedimentos operacionais
- 12.1.1 Documentação dos procedimentos de operação
- 12.1.2 Gestão de mudanças
- 12.1.3 Gestão de capacidade
- 12.1.4 Separação dos ambientes de desenvolvimento, testes e produção
- 12.2 Proteção contra código maliciosos
- 12.2.1 Controle contra códigos maliciosos
- 12.3 Cópia de segurança
- 12.3.1 Cópia de segurança das informações
- 12.4 Registros e Monitoramento
- 12.4.1 Registro de eventos
- 12.4.2 Proteção das informações de registros de eventos
- 12.4.3 Registro de eventos (log) de administrador e operador
- 12.4.4 Sincronização dos relógios
- 12.5 Controle de software operacional
- 12.5.1 Instalação de software nos sistemas operacionais
- 12.6 Gestão de vulnerabilidades técnicas
Anmerkungen:
- Prevenir a exploração de vulnerabilidades técnicas
- 12.6.1 Gestão de vulnerabilidades técnicas
Anmerkungen:
- Tratativas necessárias para evitar e corrigir vulnerabilidades técnicas. Deve ser observado outros processos tais como gestão de mudança e incidentes. Convém atentar se os procedimentos de correção não irão impactar mais negativamente nos serviços. Deve-se ponderar tanto a correção quanto a prevenção (instalação de pacthes), pois a ação pode prejudicar os serviços relacionados. Convém que testes sejam realizados e avaliados.
- 12.6.2 Restrições quanto à instalação de software
Anmerkungen:
- Deve-se definir quais softwares podem ser instalados em dispositivos computacionais, uma vez que existem softwares que podem causar danos à organização (abertura de portas, execução de códigos maliciosos). Isto pode gerar incidentes de segurança da informação (vazamento de informações, perda de integridade de dados). Convém observar também a instalação de produtos nas quais a organização não possui licença, isto é, deve-se observar a questão de direitos autorais.
- 12.7 Considerações quanto à auditoria de sistemas de informação
Anmerkungen:
- Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
- 12.7.1 Controles de auditoria de sistemas de informações
Anmerkungen:
- Procedimentos necessários para reduzir o impacto da auditoria nos ambiente de produção de modo a não prejudicar os processos de negócio da organização. Vários controles devem ser aplicados para atender tais propósitos como está descrito a seguir:
* Criação de perfil somente de leitura;
* Segregação dos dados quando for necessário acesso com perfis que possam alterar dados dos sistemas operacionais.
* Definição de regras e procedimentos quanto a execução da auditoria, horário de realização.
- 13 Segurança nas comunicações
- 13.1 Gerenciamento da segurança em redes
Anmerkungen:
- Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam.
Sumário executivo: Garantir a proteção de dados que trafegam em redes e dos ativos envolvidos.
- 13.1.1 Controle de redes
Anmerkungen:
- Controle: Convém que as redes sejam gerenciadas e controladas para proteger as informações nos sistemas e aplicações.
Resumo executivo: Aplicação de um conjunto de controles capazes que garantir a disponibilidade, confidencialidade e integridades das informações trafegadas na rede. Deve-se atentar para as redes públicas e wi-fi, bem como os sistemas que operam neste contexto. A monitoração do trafego na rede deve ser constante para prevenir o acesso indevido à ela.
- 13.1.2 Segurança de serviços de rede
Anmerkungen:
- Controle: Convém que mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede, sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados.
Resumo executivo: Aplicação de técnicas, métodos e tecnologias tais como firewall, encriptação, serviços de monitoramento com o intuito de garantir a segurança de serviços de rede.
- 13.1.3 Segregação de redes
Anmerkungen:
- Controle: Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes.
Resumo executivo: Segregação de redes em domínios diferentes com o intuito de garantir a segurança da informação e minimizar os riscos. Deve ser observado o acesso à rede por entes externos à organização e o tipo de acesso wireless, considerado fraco.
- 13.2 Transferência de informação
Anmerkungen:
- Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas.
- 13.2.1 Políticas e procedimentos para transferência de informações
Anmerkungen:
- Controle: Convém que políticas, procedimentos e controles de transferências formais, sejam estabelecidos para proteger a transferência de informações, por meio do uso de todos os tipos de recursos de comunicação.
Resumo executivo: Além das tratativas necessárias para transferência de informações pelo uso de tecnologias, convém observar a comunicação dos funcionários da organização em locais públicos. Os funcionários devem ser orientados a respeito disto.
- 13.2.2 Acordos para transferência de informações
Anmerkungen:
- Controle: Convém que sejam estabelecidos acordos para transferência segura de informações do negócio entre a organização e partes externas.
- 13.2.3 Mensagens eletrônicas
Anmerkungen:
- Controle: Convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas.