Normas de Segurança ISO 27002

a conexão de sistemas às redes deve ser restrita, porém, nessas conexões, não é necessário autenticação.

mecanismos de segurança e níveis de serviço sejam identificados e incluídos somente em acordos de serviços de redes providos internamente, excluindo-se terceirizados

a responsabilidade operacional pelas redes nunca seja separada das operações dos demais recursos computacionais.

o controle de perímetro de domínio de rede seja feito por terceiros especializados.

grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes de computadores.

a disponibilidade de referências de caráter satisfatórias do usuário, por exemplo, uma profissional e uma pessoal.

verificações financeiras e verificações de registros criminais do usuário.

ações a serem tomadas no caso de o funcionário desrespeitar os requisitos de segurança da informação da organização.

a legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços.

a confirmação e documentação das qualificações acadêmicas e profissionais do usuário.

os direitos de acesso dos funcionários às informações e aos recursos de processamento devem ser retirados quando o funcionário for desligado, mas não precisam ser ajustados se o funcionário mudar de cargo.

os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares.

um processo de registro e cancelamento de usuário, mesmo que informal, deve ser implementado para permitir atribuição de direitos de acesso.

os usuários recebam acesso às redes e aos serviços de redes que necessitarem e/ou quiserem utilizar.

uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada apenas nos requisitos de segurança da informação.

ela indica a necessidade do uso do ciclo PDCA nos processos da organização

a revisão de 2013 criou uma seção específica para controles criptográficos

não é mais necessário o gerenciamento de ativos, cuja cláusula foi suprimida na revisão de 2013

organizações agora podem ser certificadas na última revisão (2013) da ISO 27002

ela tem foco no gerenciamento de risco na segurança da informação

controle de acessos.

segurança física e do ambiente.

gestão de incidentes da segurança da informação.

gerenciamento das operações e comunicações.

gestão de ativos.

diretrizes organizacionais

políticas de segurança

descrições de cargo

tendências profissionais

responsabilidades sociais

o plano de continuidade do negócio.

o equipamento de comunicação.

o serviço de iluminação.

a base de dados e arquivos.

a reputação da organização.

subcategorias relacionadas apresentando cada uma exemplos práticos de utilização dentro das organizações e os resultados obtidos.

uma introdução, uma ou mais recomendações de utilização, cuidados necessários na implementação dos controles de segurança da informação e casos de uso prático.

uma ou mais diretrizes para implementação dos controles de segurança da informação e metas e objetivos a serem alcançados para cada diretriz.

um objetivo de controle que define o que deve ser alcançado e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.

um conjunto de recomendações testadas e comprovadas em empresas de todos os tamanhos e segmentos que vivenciaram problemas relacionados a riscos de segurança da informação.

resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.

não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso.

garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil.

evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

I e III.

II e IV.

II, III e IV.

I e IV.

I, II e III.

cada plano especifique o plano de escalonamento e as condições para sua ativação, assim como as responsabilidades individuais para execução de cada uma das atividades do plano.

uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos sejam coerentes e que haja um único gestor para todos os planos evitando, assim, divergências nas decisões.

procedimentos de recuperação para serviços técnicos alternativos, como processamento de informação e meios de comunicação, sejam normalmente de responsabilidade dos provedores de serviços.

procedimentos de emergência, de recuperação, manual de planejamento e planos de reativação sejam de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos.

procedimentos do programa de gestão de mudança da organização sejam incluídos para assegurar que os assuntos de continuidade de negócios estejam sempre direcionados adequadamente.

da segurança em escritórios, salas e instalações.

da segurança de equipamentos.

do perímetro de segurança física.

de áreas seguras.

de trabalho em áreas seguras.

uma prática comum é indicar um responsável por cada ativo para torná-lo responsável por sua proteção no dia a dia.

a responsabilidade pela obtenção dos recursos e a implementação dos controles é do responsável do local.

os gestores da empresa devem assumir a responsabilidade global pela implantação da segurança da informação.

a atribuição das responsabilidades pela informação deve ser definida de forma independente da política de segurança da informação.

pessoas com responsabilidades definidas pela segurança da informação não podem delegar as tarefas para outros usuários.

Sejam mantidos registros de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção preventiva e corretiva realizadas.

A manutenção e os consertos dos equipamentos sejam realizados somente por pessoal terceirizado, indicado pelo fornecedor.

A manutenção seja realizada em intervalos seguindo a regra: equipamentos caros devem ter manutenção a cada 60 dias e equipamentos mais baratos a cada 6 meses.

Sejam implementados controles apropriados antes da manutenção, de forma que todas as informações sensíveis sempre sejam eliminadas do equipamento.

Sejam atendidas apenas as exigências estabelecidas nas apólices de seguro que não interfiram na programação interna de manutenção definida na empresa.

I.

II.

III.

I e III.

I, II e III.

NBR ISO/IEC 27004.

NBR ISO/IEC 27003.

NBR ISO/IEC 27002.

NBR ISO/IEC 27001.

NBR ISO/IEC 27000.

Gestão de incidentes de segurança da informação.

Gerenciamento das operações e comunicações.

Segurança física e do ambiente.

Controle de acessos.

Gestão de ativos.

os procedimentos assegurem que apenas funcionários explicitamente identificados e autorizados estejam liberados para acessar sistemas e dados em produção.

as ações de emergência sejam relatadas para a direção e analisadas criticamente de maneira ordenada.

a integridade dos sistemas do negócio e seus controles sejam validados na maior brevidade.

o planejamento da continuidade de negócios considere a identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio e identificação da perda aceitável de informações e serviços.

os mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados.

As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autori- zadas tenham acesso.

Devem ser utilizados perímetros de segurança para proteger as áreas que contenham informações e recursos de pro- cessamento da informação.

Pontos de acesso em que pessoas não autorizadas possam entrar nas instalações devem sempre ser isolados dos recursos de processamento da informação.

Deve ser projetada e aplicada proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.

Deve ser projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras.