Objetivo: Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
Controle
Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
Diretrizes para implementação
Convém que no mais alto nível a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação.
Convém que as políticas de segurança da informação contemplem requisitos oriundos da:
Convém que a política de segurança da informação contenha declarações relativas a:
No nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas de tópicos específicos, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização ou para cobrir tópicos específicos.
São exemplos de políticas com tópicos específicos:
Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação.
Informações adicionais
A necessidade de políticas internas de segurança da informação varia entre organizações. Políticas internas são especialmente úteis em organizações maiores e mais complexas onde aqueles que definem e aprovam os níveis esperados de controle são segregados daqueles que implementam os controles, ou em situações onde uma política se aplica a muitas pessoas ou funções diferentes na organização. Políticas de segurança da informação podem ser emitidas em um único documento, “política de segurança da informação” ou como um conjunto de documentos individuais, relacionados.
Se qualquer uma das políticas de segurança da informação é distribuída fora da organização, convém que cuidados sejam tomados para não divulgar informações confidenciais.
Algumas organizações usam outros termos para estes documentos da política, como “Normas”, “Diretrizes” ou “Regras”.
Controle
Convém que as políticas para a segurança da informação sejam analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
Diretrizes para implementação
Convém que cada política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas de segurança da informação. Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao ambiente de tecnologia.
Convém que a análise crítica das políticas de segurança da informação leve em consideração os resultados da análise crítica pela direção.
Convém que seja obtida a aprovação da direção para a política revisada.
A Política de Segurança da INFOVIA se aplica a todos os seus recursos humanos, administrativos e tecnológicos. A abrangência dos recursos citados referem-se tanto àqueles ligados a ela em caráter permanente quanto temporário.
Esta política é divulgada para todo o pessoal envolvido na INFOVIA, garantindo que todos tenham consciência da mesma e a pratiquem na organização.
Todo o pessoal recebe as informações necessárias para cumprir adequadamente o que está determinado nesta política de segurança, assinando um termo de compromisso dando conformidade e ciência à mesma.
Um programa de conscientização sobre segurança da informação será implementado para assegurar que todo o pessoal seja informado sobre os potenciais riscos de segurança e exposição a que estão submetidos os sistemas e operações da INFOVIA. Especialmente, o pessoal envolvido ou que se relaciona com os usuários e são treinados sobre ataques típicos de engenharia social e como se proteger deles.
Os procedimentos são documentados e implementados para garantir que quando o pessoal contratado ou prestadores de serviços sejam transferidos, remanejados, promovidos ou demitidos, todos os privilégios de acesso aos sistemas, informações e recursos sejam devidamente revistos, modificados ou revogados.
Previsão de mecanismo e repositório centralizado para ativação e manutenção de trilhas, logs e demais notificações de incidentes. Este mecanismo é incluído nas medidas tomadas por um grupo encarregado de responder a este tipo de ataque, para promover uma defesa ativa e corretiva contra os mesmos.
Os processos de aquisição de bens e serviços, especialmente de Tecnologia da Informação (TI), estão em conformidade com esta Política de Segurança.
No que se refere a segurança da informação, considera-se proibido tudo aquilo que não esteja previamente autorizado pelo responsável da área de segurança da INFOVIA.
Para o cumprimento da finalidade supramencionada são estabelecidos os objetivos a seguir.
Abrange os seguintes aspectos:
Para os efeitos deste documento, aplicam-se os termos e definições da ISO IEC 27000:
Esta Norma contém XX seções de controles de segurança da informação, XX Objetivos de controles e XX controles.
Cada seção definindo os controles de segurança da informação contém um ou mais objetivos de controle.
A ordem em que se encontram as seções não implica nem significa o seu grau de importância.
A relação dos controles não está em ordem de prioridade.
Cada seção principal contém:
As descrições do controle estão estruturadas da seguinte forma:
Controle - Define a declaração específica do controle, para atender ao objetivo de controle.
Diretrizes para implementação - Apresenta informações mais detalhadas para apoiar a implementação do controle e alcançar o objetivo do controle. As diretrizes podem não ser totalmente adequada ou suficiente em todas as situações e podem, portanto, não atender completamente os requisitos de controle específicos da organização.
Informações adicionais - Apresenta mais dados que podem ser considerados, como por exemplo, questões legais e referências normativas. Se não existem informações adicionais, esta parte não é mostrada no controle.
Aplicam-se os conceitos abaixo no que se refere à Política de Segurança:
Análise de Riscos - uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005]
Análise/Avaliação de Riscos - processo completo de análise e avaliação de riscos. [ABNT ISO/IEC Guia 73:2005]
Ameaça - causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. [ISO/IEC 13335-1:2004]
Avaliação de Riscos - processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005]
Ativo - qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]
Ativo de Informação - é o patrimônio composto por todos os dados e informações geradas e manipuladas durante a execução dos sistemas e processos da INFOVIA.
Ativo de Processamento - é o patrimônio composto por todos os elementos de hardware e software necessários para a execução dos sistemas e processos da INFOVIA, tanto os produzidos internamente quanto os adquiridos.
Controle - forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. (NOTA - Controle é também usado como um sinônimo para proteção ou contramedida.)
Controle de Acesso - são restrições ao acesso às informações de um sistema exercido pela Segurança da Informação da INFOVIA.
Correio eletrônico - é um método que permite compor, enviar e receber mensagens através de sistemas eletrônicos de comunicação. O termo “e-mail” é aplicado tanto aos sistemas que utilizam a Internet e que são baseados nos protocolos POP3, IMAP e SMTP, como àqueles sistemas conhecidos como intranets, que permitem a troca de mensagens dentro de uma empresa ou organização e que são, normalmente, baseados em protocolos proprietários.
Custódia - consiste na responsabilidade de se guardar um ativo para terceiros. Entretanto, a custódia não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros.
Direito de Acesso - é o privilégio associado a um cargo, pessoa ou processo para ter acesso a um ativo.
Diretriz - descrição que orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos nas políticas. [ISO/IEC 13335-1:2004]
Download/Upload - Obtenção de cópia, em microcomputador local, de um arquivo originalmente armazenado em computador remoto ou em rede. Em inglês, download e upload, em português descarregar/transferir e carregar (são termos, no âmbito da comunicação em redes de computadores, utilizados para referenciar a transmissão de dados de um dispositivo para outro através de um canal de comunicação previamente estabelecido.
Evento de Segurança da Informação - ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044:2004]
Ferramentas - é um conjunto de equipamentos, programas, procedimentos, normas e demais recursos através dos quais se aplica a Política de Segurança da Informação da INFOVIA.
Gestão de Riscos - atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. (NOTA - A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.) [ABNT ISO/IEC Guia 73:2005]
Hardware - Microcomputador e seus componentes internos, tais como processador, memórias, unidades de disco rígido, leitores/gravadores de CD/DVD, ou de seus periféricos, como monitor, teclado, mouse, impressoras, scanners, no-breaks, estabilizadores e outros. Também se incluem nesta definição computadores portáteis (notebooks), equipamentos de rede, servidores de discos e projetores.
Incidente de Segurança da Informação - é qualquer evento ou ocorrência que promova uma ou mais ações que comprometa ou que seja uma ameaça à integridade, autenticidade, ou disponibilidade de qualquer ativo da INFOVIA, é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044:2004]
Internet - Conjunto de computadores interligados em uma rede de abrangência mundial, que se comunicam utilizando um endereço de domínio único.
Intranet - É uma rede de computadores privada que assenta sobre a suíte de protocolos da Internet, porém, de uso exclusivo de um determinado local, como, por exemplo, a rede de uma empresa, que só pode ser acessada pelos seus utilizadores ou colaboradores internos.
Login - (derivado do inglês log in) ou logon ou signin, é o processo para acessar um sistema informático restrito feita através da autenticação ou identificação do utilizador, usando credenciais previamente cadastradas no sistema por esse utilizador. Essas credenciais são normalmente constituídas por um nome-de-usuário (do inglês username) ou identificador e uma palavra-passe (do inglês password) ou senha.
Política de Segurança - é um conjunto de diretrizes destinadas a definir a proteção adequada dos ativos da INFOVIA, intenções e diretrizes globais formalmente expressas pela direção.
Proteção dos Ativos - é o processo pelo qual os ativos devem receber classificação quanto ao grau de sensibilidade. O meio de registro de um ativo de informação deve receber a mesma classificação de proteção dada ao ativo que o contém.
Recursos de Processamento da Informação - qualquer sistema de processamento da informação, serviço ou infra-estrutura, ou as instalações físicas que os abriguem.
Rede Corporativa de Computadores - Conjunto de servidores de rede, estações de trabalho e demais equipamentos interligados com o objetivo de disponibilizar serviços aos usuários das entidades que compõem a INFOVIA e usuários externos.
Responsabilidade - é definida como as obrigações e os deveres da pessoa que ocupa determinada função em relação ao acervo de informações.
Risco - combinação da probabilidade de um evento e de suas consequências. [ABNT ISO/IEC Guia 73:2005]
Segurança da Informação - preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
Senha Fraca ou Óbvia - é aquela onde se utilizam caracteres de fácil associação com o dono da senha, ou que seja muito simples ou pequenas, tais como: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, sequências numéricas simples, palavras e unidades léxicas que constem de dicionários de qualquer língua, dentre outras.
Site - Um sítio, mais conhecido pelo equivalente inglês site, de website ou web site, é uma coleção de páginas web, isto é, hipertextos acessíveis geralmente pelo protocolo HTTP ou pelo HTTPS na internet. O conjunto de todos os sítios públicos existentes compõe a World Wide Web . São alcançadas a partir de um URL que aponta para a página principal e, geralmente, residem no mesmo diretório de um servidor.
Software - São as instruções e programas, bem como os dados a eles associados, empregados durante a utilização do sistema.
Tratamento do Risco - processo de seleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005]
Terceira Parte - pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado assunto. [ABNT ISO/IEC Guia 2:1998]
Usuários - são pessoas ou organizações que utilizam um determinado tipo de serviço e podem ser classificados segundo a área de interesse. Os usuários em sistemas de informação são agentes externos ao sistema que usufruem da tecnologia para realizar determinado trabalho. Podem ser desde os usuários comuns do sistema até administradores, programadores ou analistas de sistemas.
Usuários Externos - outras entidades ou usuários que utilizam os recursos de informática, que não fazem parte da INFOVIA.
Vulnerabilidade - fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a implementação da segurança da informação dentro da organização.
§ 1 - Responsabilidades e papéis pela segurança da informação
§ 2 - Segregação de funções
§ 3 - Contato com autoridades
§ 4 - Contato com grupos especiais
§ 5 - Segurança da informação no gerenciamento de projetos
Objetivo: Garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis.
§ 1 - Política para o uso de dispositivo móvel
§ 2 - Trabalho remoto
Objetivo: Assegurar que funcionários e partes externas entendam suas responsabilidades e estejam em conformidade com os papéis para os quais eles foram selecionados.
§ 1 - Seleção
§ 2 - Termos e condições de contratação
Objetivo: Assegurar que os funcionários e partes externas estão conscientes e cumprem as suas responsabilidades pela segurança da informação.
§ 1 - Responsabilidades da direção
§ 2 - Conscientização, educação e treinamento em segurança da informação
§ 3 - Processo disciplinar
Objetivo: Proteger os interesses da organização como parte do processo de mudança ou encerramento da contratação.
§ único - Responsabilidades pelo encerramento ou mudança da contratação
Objetivo: Identificar os ativos da organização e definir as responsabilidades apropriadas para a proteção dos ativos.
§ 1 - Inventário dos ativos
§ 2 - Proprietário dos ativos
§ 3 - Uso aceitável dos ativos
§ 4 - Devolução de ativos
Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.
§ 1 - Propriedade da informação
§ 2 - Classificação da informação
§ 3 - Rótulos e tratamento da informação
§ 4 - Tratamento dos ativos
Objetivo: Prevenir a divulgação não autorizada, modificação, remoção ou destruição da informação armazenada nas mídias.
§ 1 - Gerenciamento de mídias removíveis
§ 2 - Descarte de mídias
§ 3 - Transferência física de mídias
Objetivo: Limitar o acesso à informação e aos recursos de processamento da informação.
§ 1 - Política de controle de acesso
§ 2 - Acesso às redes e aos serviços de rede
Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços.
§ 1 - Registro e cancelamento de usuário
§ 2 - Provisionamento para acesso de usuário
§ 3 - Gerenciamento de direitos de acesso privilegiados
§ 4 - Gerenciamento da informação de autenticação secreta de usuários
§ 5 - Análise crítica dos direitos de acesso de usuário
§ 6 - Retirada ou ajuste de direitos de acesso
Objetivo: Tornar os usuários responsáveis pela proteção das suas informações de autenticação.
§ único - Uso da informação de autenticação secreta
Objetivo: Prevenir o acesso não autorizado aos sistemas e aplicações.
§ 1 - Restrição de acesso à informação
§ 2 - Procedimentos seguros de entrada no sistema (log-on)
§ 3 - Sistema de gerenciamento de senha
§ 4 - Uso de programas utilitários privilegiados
§ 5 - Controle de acesso ao código-fonte de programas
Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação.
§ 1 - Política para o uso de controles criptográficos
§ 2 - Gerenciamento de chaves
Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com os recursos de processamento das informações e as informações da organização.
§ 1 - Perímetro de segurança física
§ 2 - Controles de entrada física
§ 3 - Segurança em escritórios, salas e instalações
§ 4 - Proteção contra ameaças externas e do meio-ambiente
§ 5 - Trabalhando em áreas seguras
§ 6 - Áreas de entrega e de carregamento
Objetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupção das operações da organização.
§ 1 - Escolha do local e proteção do equipamento
§ 2 - Utilidades
§ 3 - Segurança do cabeamento
§ 4 - Manutenção dos equipamentos
§ 5 - Remoção de ativos
§ 6 - Segurança de equipamentos e ativos fora das dependências da organização
§ 7 - Reutilização e alienação segura de equipamentos
§ 8 - Equipamento de usuário sem monitoração
§ 9 - Política de mesa limpa e tela limpa
Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.
§ 1 - Documentação dos procedimentos de operação
§ 2 - Gestão de mudanças
§ 3 - Gestão de capacidade
§ 4 - Separação dos ambientes de desenvolvimento, teste e de produção
Objetivo: Assegurar que as informações e os recursos de processamento da informação estão protegidos contra códigos maliciosos.
§ único - Controles contra códigos maliciosos
Objetivo: Proteger contra a perda de dados.
§ único - Cópias de segurança das informações
Objetivo: Registrar eventos e gerar evidências.
§ 1 - Registros de eventos
§ 2 - Proteção das informações dos registros de eventos (logs)
§ 3 - Registros de eventos (log) de administrador e operador
§ 4 - Sincronização dos relógios
Objetivo: Assegurar a integridade dos sistemas operacionais.
§ único - Instalação de software nos sistemas operacionais
Objetivo: Prevenir a exploração de vulnerabilidades técnicas.
§ 1 - Gestão de vulnerabilidades técnicas
§ 2 - Restrições quanto à instalação de software
Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
§ único - Controles de auditoria de sistemas de informação
Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam.
§ 1 - Controles de redes
§ 2 - Segurança dos serviços de rede
§ 3 - Segregação de redes
Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas.
§ 1 - Políticas e procedimentos para transferência de informações
§ 2 - Acordos para transferência de informações
§ 3 - Mensagens eletrônicas
§ 4 - Acordos de confidencialidade e não divulgação
Objetivo: Garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos para sistemas de informação que fornecem serviços sobre as redes públicas.
§ 1 - Análise e especificação dos requisitos de segurança da informação
§ 2 - Serviços de aplicação seguros em redes públicas
§ 3 - Protegendo as transações nos aplicativos de serviços
Objetivo: Garantir que a segurança da informação está projetada e implementada no desenvolvimento do ciclo de vida dos sistemas de informação.
§ 1 - Política de desenvolvimento seguro
§ 2 - Procedimentos para controle de mudanças de sistemas
§ 3 - Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
§ 4 - Restrições sobre mudanças em pacotes de Software
§ 5 - Princípios para projetar sistemas seguros
§ 6 - Ambiente seguro para desenvolvimento
§ 7 - Desenvolvimento terceirizado
§ 8 - Teste de segurança do sistema
§ 9 - Teste de aceitação de sistemas
Objetivo: Assegurar a proteção dos dados usados para teste.
§ único - Proteção dos dados para teste
Objetivo: Garantir a proteção dos ativos da organização que são acessíveis pelos fornecedores.
§ 1 - Política de segurança da informação no relacionamento com os fornecedores
§ 2 - Identificando segurança da informação nos acordos com fornecedores
§ 3 - Cadeia de suprimento na tecnologia da comunicação e informação
Objetivo: Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com fornecedores.
§ 1 - Monitoramento e análise crítica de serviços com fornecedores
§ 2 - Gerenciamento de mudanças para serviços com fornecedores
Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação sobre fragilidades e eventos de segurança da informação.
§ 1 - Responsabilidades e procedimentos
§ 2 - Notificação de eventos de segurança da informação
§ 3 - Notificando fragilidades de segurança da informação
§ 4 - Avaliação e decisão dos eventos de segurança da informação
§ 5 - Resposta aos incidentes de segurança da informação
§ 6 - Aprendendo com os incidentes de segurança da informação
§ 7 - Coleta de evidências
Objetivo: É recomendado que a continuidade da segurança da informação seja considerada nos sistemas de gestão da continuidade do negócio da organização.
§ 1 - Planejando a continuidade da segurança da informação
§ 2 - Implementando a continuidade da segurança da informação
§ 3 - Verificação, análise crítica e avaliação da continuidade da segurança da informação
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informação.
§ único - Disponibilidade dos recursos de processamento da informação
Objetivo: Evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas á segurança da informação e de quaisquer requisitos de segurança.
§ 1 - Identificação da legislação aplicável e de requisitos contratuais
§ 2 - Direitos de propriedade intelectual
§ 3 - Proteção de registros
§ 4 - Proteção e privacidade de informações de identificação pessoal
§ 5 - Regulamentação de controles de criptografia
Objetivo: Garantir que a segurança da informação está implementada e operada de acordo com as políticas e procedimentos da organização.
§ 1 - Análise crítica independente da segurança da informação
§ 2 - Conformidade com as políticas e procedimentos de segurança da informação
§ 3 - Análise crítica da conformidade técnica