Aula_04_politicadesegurança

Prévia do material em texto

Sistemas de Informação
Segurança e Auditoria de Sistemas
Norma ISO/IEC NBR 27002:2005
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Normas BS-7799, ISO/IEC NBR-17799
Histórico
1995 - Primeira publicação da norma BS 7799-1: Code of 
Practice for information security management
1998 - Primeira publicação da norma BS 7799:2 Specification 
for Information Security Management Systems.
1999 - Publicação conjunta das normas BS 7799-1 e BS 7799-
2, atualizadas e harmonizadas
OUT 1999 - BSI-U.K solicita à ISO/IEC que a norma BS 7799-
1 seja submetida a votação internacional
DEZ 2000 - Norma ISO/IEC 17799 foi oficialmente publicada 
em Genebra, como norma internacional
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Normas BS-7799, ISO/IEC NBR-17799
Histórico
DEZ 2000 - Decidida, na reunião do Comitê ABNT/CB21/SC02, 
a utilização da norma ISO/IEC 17799:2000 como norma 
brasileira e iniciados os trabalhos de tradução para o 
português
ABR 2001 - Projeto da norma NBR ISO/IEC 17799 colocado 
em consulta pública
19/SET/2001 - Lançamento da norma NBR ISO/IEC 17799 na 
sede da Brisa-SP (2a. norma mais vendida na ABNT, atrás 
somente da ISO 9000)
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Normas BS-7799, ISO/IEC NBR-17799
Histórico
SET 2002 - Publicação da norma BS7799-2:2002, 
completamente revisada por uma equipe internacional 
(IUG), que contou com a colaboração de vários países, 
inclusive o Brasil, e implementou as melhores práticas de 
gestão em uso (PDCA - ISO 9000 e 14000)
2005 – Publicação das normas 
NBR 17799:2005 
ISO/IEC 17799:2005
ISO/IEC 27001:2005 
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Normas BS-7799, ISO/IEC NBR-17799
Organismos Normalizadores
ISO (Internacional Organization for Standardization): 
Federação mundial dos organismos de normalização, 
fundada em 1947 e contando atualmente com 148 países 
membros, incluindo o Brasil. Já publicou mais de 14000 
normas internacionais e documentos normativos.
IEC (Internacional Electrotechnical Commission): 
Organização voltada para normalização de padrões 
relacionados com elétrica e eletrônica. Fundada em 1906.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Normas BS-7799, ISO/IEC NBR-17799
Organismos Normalizadores
ABNT (Associação Brasileira de Normas Técnicas): 
Entidade civil, sem fins lucrativos, credenciada como único 
Fórum Nacional de Normalização, responsável pela 
elaboração das Normas Brasileiras, de caráter voluntário. É 
a representante oficial da ISO no Brasil. 
Foi fundada em 1940 e participou da fundação da ISO 
como membro fundador. 
É composta por comitês técnicos de normalização (CB’s).
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
Objetivo
Proteger as informações de diversos tipos de ameaças para:
Garantir a continuidade dos negócios
Minimizar os danos aos negócios
Maximizar o retorno dos investimentos e as 
oportunidades de negócio
É caracterizada pela preservação da:
CONFIDENCIALIDADE
INTEGRIDADE
DISPONIBILIDADE
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
Como estabelecer requisitos de segurança
Três fontes principais:
Avaliação dos riscos dos ativos da organização
Atendimento aos requisitos legais, contratuais, 
estatutários dos envolvidos nos negócios
Conjunto de princípios, objetivos e requisitos para o 
processamento das informações, desenvolvidos para 
apoiar as operações da organização
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
Conteúdo
Capítulo 1 - Objetivo
Capítulo 2 - Termos e definições
Capítulo 3 - Política de Segurança
Capítulo 4 - Segurança Organizacional
Capítulo 5 - Classificação e controle de ativos de informação
Capítulo 6 - Segurança em pessoas
Capítulo 7 - Segurança física e do ambiente
Capítulo 8 - Gerenciamento das operações e comunicações
Capítulo 9 - Controle de Acesso
Capítulo 10 - Desenvolvimento e manutenção de sistemas
Capítulo 11 - Plano de Continuidade do Negócio
Capítulo 12 - Conformidade
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
1 - Objetivo
Fornecer recomendações para gestão da segurança da 
informação para uso por aqueles que são responsáveis pela 
introdução, implementação ou manutenção da segurança de 
suas organizações
Prover base comum para o desenvolvimento de normas de 
segurança organizacional e das práticas efetivas de gestão de 
segurança
Prover confiança nos relacionamentos entre organizações
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
2 - TERMOS E DEFINIÇÕES
Segurança da Informação: 
preservação da confidencialidade, disponibilidade e 
integridade da informação
Avaliação de Risco: 
avaliação das ameaças, impactos e vulnerabilidades da 
informação e das instalações de processamento da 
informação e da probabilidade de sua ocorrência
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
2 - TERMOS E DEFINIÇÕES
Gerenciamento de risco: 
Processo de identificação, controle e minimização ou 
eliminação dos riscos de segurança que podem afetar 
os sistemas de informação, a um custo aceitável
Ativo: 
Tudo que tenha valor para a organização, para a 
operação dos seus negócios e para a sua continuidade
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
Exemplos de ativos associados com sistemas de informação
ativos de informação: 
Base de dados e arquivos, procedimentos, planos de contingência, 
informações armazenadas;
ativos de software:
Aplicativos, sistemas e ferramentas de desenvolvimento;
ativos físicos: 
Processadores, monitores, notebooks, modems, roteadores, PABXs, 
fax, secretárias eletrônicas, celulares, fitas e discos, outros 
equipamentos técnicos (no-breaks, ar-condicionado);
serviços: 
Serviços de comunicação, utilidades gerais, por exemplo aquecimento, 
iluminação, eletricidade, refrigeração.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
Definições
Quais informações devem ser protegidas?
Armazenada em computadores
Transmitida através de rede
Impressa ou escrita em papel
Enviada através de fax
Armazenada em fitas ou disco
Falada em conversas ao telefone
Enviada por e-mail
Armazenada em banco de dados
Mantida em filmes e microfilmes ou digitalizadas
Apresentada em projetores ou outros métodos usados para 
transmitir conhecimento e idéias
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
3 - POLÍTICA DE SEGURANÇA
Definição de segurança, objetivo, escopo e importância da segurança para 
a organização
Deve haver um comprometimento explícito da alta direção
Explanação das políticas, princípios e requisitos de conformidade 
(treinamento, PCN, violações)
Definição das responsabilidades quanto à segurança
Deve ser divulgada para toda a organização
Devem ser realizadas análises críticas periodicamente
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
4 - SEGURANÇA ORGANIZACIONAL
Comitê de Segurança: 
deve direcionar as atividades de segurança da informação da 
organização e deve ser composto por membros da alta direção
Gestor da segurança da informação: 
responsável pelo desenvolvimento e implementação da segurança 
e pelo suporte à identificação dos controles
Autorização para as instalações de processamento da informação: 
gestão para novos recursos
Análisecrítica independente de segurança da informação:
garantir que práticas de segurança estão adequadas e eficientes
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
4 - SEGURANÇA ORGANIZACIONAL
Segurança no acesso de prestadores de serviços: 
manter a segurança de recursos de processamento e 
ativos da informação acessados por prestadores de 
serviços
Requisitos de segurança nos contratos de prestadores de 
serviço:
Política geral sobre segurança da informação 
proteção dos ativos da organização 
acordo de nível de serviços 
direitos de propriedade intelectual e direitos autorais 
direito de monitorar, revogar acessos e auditar 
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
5 - CLASSIFICAÇÃO E CONTROLE DOS ATIVOS
ativos de informação: 
Base de dados e arquivos, procedimentos, planos de contingência, 
informações armazenadas;
ativos de software: 
Aplicativos, sistemas e ferramentas de desenvolvimento;
ativos físicos: 
Processadores, monitores, notebooks, modems, roteadores, PABXs, 
fax, secretárias eletrônicas, celulares, fitas e discos, outros 
equipamentos técnicos (no-breaks, ar-condicionado);
serviços: 
Serviços de comunicação, utilidades gerais, por exemplo 
aquecimento, iluminação, eletricidade, refrigeração.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
5 - CLASSIFICAÇÃO E CONTROLE DOS ATIVOS
Um inventário de ativos para cada sistema de informação da organização 
deve ser estruturado e mantido para ajudar a assegurar que proteções 
estão sendo feitas de forma efetiva
Um sistema de classificação da informação deve ser estabelecido para 
definir o nível de proteção e necessidade de medidas especiais para 
tratamento
O sistema de classificação deve abranger os ativos físicos e eletrônicos da 
organização
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
5 - CLASSIFICAÇÃO E CONTROLE DOS ATIVOS
A classificação da informação não é necessariamente fixa
Documentos de outras organizações devem ser reclassificados 
Muitos níveis de classificação podem deixar o processo complexo e 
economicamente inviável
O proprietário da informação deve ser o responsável pela classificação e 
análise crítica
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
5 - CLASSIFICAÇÃO E CONTROLE DOS ATIVOS
Os ativos de informação da organização necessitam: 
Ser inventariados e identificados quanto valor e importância para que a 
proteção adequada seja estabelecida
Possuir um proprietário responsável
Classificados para indicar a importância, prioridade e nível de proteção
Manuseados de acordo com sua classificação (cópia, armazenamento, 
transmissão eletrônica, transmissão por canais de voz, destruição e 
impressão)
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
6 - SEGURANÇA EM PESSOAS
Reduzir os riscos de erro humano, fraude ou uso indevido das 
instalações
Segurança na definição e nos recursos de trabalho:
Responsabilidades atribuídas na fase de seleção, incluídas em 
contrato e monitoradas
Acordo de confidencialidade assinado por todos os funcionários e 
prestadores de serviço 
Verificações de controle para candidatos potenciais no momento da 
seleção
Treinamento de usuários em segurança e técnicos
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
6 - SEGURANÇA EM PESSOAS
Monitoração e resposta a incidentes de segurança
Incidentes devem ser reportados através de canais apropriados o 
mais rapidamente possível
Incidentes devem ser utilizados em treinamentos de 
conscientização 
Tipos, quantidades e custos dos incidentes e maus funcionamentos 
devem ser quantificados e monitorados para identificar re-
ocorrências e impactos
Processo disciplinar formal para funcionários quando da 
violações de políticas e procedimentos
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
7 - SEGURANÇA FÍSICA E DO AMBIENTE
Áreas de segurança: 
Prevenir acesso não autorizado, dano ou interferência 
às informações e instalações físicas da empresa
Perímetro da segurança física: 
qualquer coisa que estabeleça uma barreira em torno 
da propriedade física do negócio e de suas instalações 
de processamento.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
7 - SEGURANÇA FÍSICA E DO AMBIENTE
Áreas de segurança: 
Segurança de escritórios, salas e instalações de 
processamento devem ser considerados os seguintes 
pontos: fogo, inundação,explosão, manifestações civis, 
regulamentações de saúde e segurança, etc.;
cuidados com máquinas de fax e copiadoras; portas e 
janelas fechadas quando não utilizadas e proteção 
externa; sistemas de detecção de intrusos testado 
regularmente; backups guardados fora da instalação; 
áreas de expedição e carga controladas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
7 - SEGURANÇA FÍSICA E DO AMBIENTE
Segurança dos equipamentos: 
prevenir perda, dano ou comprometimento dos ativos e 
interrupção dos serviços.
Instalação e proteção: 
controles devem ser adotados para evitar espionagem, acessos não 
autorizados, roubo, fogo, explosões, fumaça, água(falta de), 
poeira, etc. Política de alimentação, bebida e fumo nas instalações 
de processamento
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
7 - SEGURANÇA FÍSICA E DO AMBIENTE
Manutenção de equipamentos: 
deve ser feita conforme as especificações do fabricante, com pessoal 
autorizado e todas as falhas suspeitas e ocorridas e registradas
Segurança de equipamentos fora das instalações: 
laptops, agendas, telefones móveis, papéis etc. não devem ser 
deixados desprotegidos em áreas públicas. Computadores devem ser 
bagagem de mão
Alienação e reutilização de equipamentos: 
os dispositivos de armazenamento (fitas, HD) devem ser destruídos 
fisicamente ou devidamente sobrepostos antes da alienação ou 
reutilização
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
7 - SEGURANÇA FÍSICA E DO AMBIENTE
Segurança do cabeamento: 
linhas e cabos elétricos e de telecomunicações devem ser 
separados, devem haver rotas e meios alternativas de transmissão 
previstos
Fornecimento de energia: 
alimentação múltipla, nobreak, geradores (revisados e testados 
periodicamente), iluminação de emergência
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
7 - SEGURANÇA FÍSICA E DO AMBIENTE
Controles Gerais: 
evitar exposição ou roubo de informações e de recursos 
Política de mesa e tela limpas: 
Mesa limpa para papéis e mídias; tela limpa para recursos de 
processamento; guardar papéis confidenciais em armários 
trancados; tela de proteção com senha p/ inatividade;
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
7 - SEGURANÇA FÍSICA E DO AMBIENTE
Controles Gerais: 
Copiadoras e impressoras:
informações sensíveis devem ser retiradas imediatamente das 
impressoras; fax protegidos e copiadoras travadas
Remoção de propriedade:
autorização formal e inspeções pontuais
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Objetivo: 
Garantir a operação segura dos recursos de 
processamento da informação
Procedimentos operacionais: 
documentados, atualizados, formais e aprovados peladireção. 
Devem ter instruções detalhadas para a execução das atividades 
(sincronismo, processamento e tratamento da informação, 
tratamento de erros, falhas, atividades de housekeeping);
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Mudanças nos sistemas e aplicativos: 
controladas para evitar indisponibilidades e falhas, formalizadas, 
documentadas;
Gerenciamento de incidentes: 
procedimentos para garantir resposta rápida, efetiva e ordenada 
aos incidentes (cobrindo todos os tipos), prever trilhas de auditoria 
e servir como “aprendizado”; 
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Segregação de funções: 
reduzir riscos de mau uso acidental ou deliberado dos sistemas; 
separar administração da execução de determinadas funções; 
evitar fraudes;
Separação dos ambientes de desenvolvimento e produção: 
segregar funções; transferência de programas de desenvolvimento 
para produção controladas; ambientes de produção, 
desenvolvimento e teste separados; acessos a produção pelos 
desenvolvedores controlados; 
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Gestão de recursos terceirizados: 
procedimentos e responsabilidades atribuídas, implicações no PCN, 
normas de segurança e processo de verificação de conformidade. 
Planejamento de capacidade e aceitação de sistemas: 
minimizar risco de falhas nos sistemas para garantir disponibilidade 
adequada de capacidade e recursos. Critérios devem ser 
estabelecidos para aceitação de novos sistemas, atualizações e 
novas versões. Testes devem ser efetuados.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Proteção contra software malicioso: 
proteger a integridade do software e da informação. Política de 
licenças de uso e proibição de software não autorizado; utilização 
de software antivírus; treinamento e conscientização de usuários.
Housekeeping: 
manter a integridade e disponibilidade dos serviços de 
comunicação e processamento.
Cópias de segurança: 
feitas e testadas regularmente; protegidas fisicamente; 
procedimentos de recuperação testados e verificados 
regularmente.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Registros de operação (trilhas de auditoria): 
registro das atividades do pessoal de operação com data/hora, 
erros e correções efetuadas. Checagens regulares das atividades 
efetuadas.
Registros de falhas
falhas relatadas, ações corretivas tomadas e registradas; análise 
crítica das falhas
Gerenciamento da rede: 
implementar controles para obter e preservar a segurança das 
redes
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Segurança e tratamento de mídias: 
prevenir danos aos ativos de processamento da informação 
(papéis, vídeos, carbono, relatórios, fitas magnéticas, fitas para 
impressoras, discos e cassetes, etc.)
Gerenciamento de mídias removíveis: 
procedimentos para remoção, reutilização e guarda das mídias
Descarte de mídias: 
descarte de forma segura e protegida; procedimentos formais e 
registros de auditoria.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Troca de informação e software entre organizações: 
prevenir perda, modificação ou mau uso das informações trocadas 
entre organizações
Acordo para a troca de informações e softwares: 
devem incluir procedimentos de segurança, tais como normas e 
padrões a serem utilizados; 
Segurança de mídias em trânsito: 
procedimentos para evitar mau uso, acessos não autorizados e 
alterações;
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Segurança no comércio eletrônico (EDI, email, transações 
online): 
processos para autenticação, autorização, responsabilização, entre 
outros; contratos formais.
Segurança de sistemas e informações disponíveis 
publicamente (como por exemplo os disponíveis via Internet):
prevenir modificações não autorizadas que possam prejudicar a 
imagem da empresa. Autorização formal antes de publicar 
informações.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Segurança do correio eletrônico:
Riscos de segurança: 
vulnerável a erros, repúdio, modificação de mensagens, 
indisponibilidade de serviços; 
Política de uso do correio eletrônico: 
utilização de antivírus, orientações gerais de uso e 
responsabilidades, criptografia. 
Segurança dos sistemas eletrônicos de escritório: 
procedimentos para controlar os riscos de segurança associados 
aos sistemas eletrônicos de escritório
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Necessidades dos negócios:
Políticas e regras de controle de acesso: 
deve conter os requisitos de segurança para os 
negócios, políticas para autorização e distribuição da 
informação, classificação da informação.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Gerenciamento de acessos:
Registro de usuários: 
formal e com registro da solicitação; ID único; aprovação do 
gestor; remoção imediata de acessos em transferências ou 
desligamento; verificação periódica para remoção de inativos
Gerenciamento de privilégios: 
restritos e controlados através de solicitação formal; autorização 
para indivíduos.
Gerenciamento de senhas (senhas pessoais e confidenciais, senhas 
temporárias seguras, armazenamento, autenticação forte)
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Uso de senhas: 
confidencialidade, evitar registro em papéis, alterar a senha, 
senhas fortes, não reutilizar senhas, não compartilhar, etc;
Proteção para equipamentos sem monitoração: 
encerrar sessões, bloqueio de terminal ou estação, proteção de 
tela, etc.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Controle de acesso à rede: proteção dos serviços de rede.
Política de utilização dos serviços de rede (internos e 
externos): 
usuários com acesso somente aos serviços necessários; 
procedimentos para acesso aos serviços;
Autenticação para conexões externas de usuários: 
usuários remotos devem ser autenticados (tokens, smart-cards, 
etc.);
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Controle de acesso à rede: proteção dos serviços de rede.
Segregação de redes: 
prevenir acessos não autorizados a partir de outras redes 
conectadas à rede da empresa; divisão da rede em domínios lógicos 
(interno e externo) através de gateways (firewall);
Controle de conexões de rede: 
limitar número de conexões dos usuários em aplicações acessadas 
fora dos limites da organização (ex. correio eletrônico, transferência 
de arquivos)
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Controle de acesso ao sistema operacional: preveniracesso 
não autorizado ao computador.
Identificação automática de terminal: 
sessão só é inicializada a partir de uma localização ou determinado 
terminal;
Procedimentos de entrada no sistema: 
processo seguro, divulgando o mínimo de informações possíveis a 
respeito do sistema e evitando fornecimento de informações 
pessoais;
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Identificação e autenticação de usuários: 
ID único de uso pessoal e exclusivo para permitir rastreamento de 
atividades;
Sistema de gerenciamento de senhas: 
sistema deve obrigar o uso de senhas; permitir a troca a qualquer 
momento, obrigar trocas periódicas; não permitir a reutilização;
Limitação de data e hora de conexão:
para aplicações de alto risco, limitar uso a horários normais de 
expediente
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Uso de utilitários do sistema: 
podem permitir sobrepor controles dos sistemas e aplicações. Uso 
deve ser restrito e controlado através de autenticação, limitação do 
uso, autorização prévia
Desconexão de terminais por inatividade: 
terminais fora dos limites da empresa ou em áreas públicas devem 
ser desligados automaticamente para evitar acessos indevidos 
(limpar a tela e encerrar sessão);
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Controle de acesso às aplicações: 
prevenir acesso não autorizado à informação contida 
nos sistemas.
Restrição de acesso à informação: 
controlar acesso do usuário através de menus, 
segregação dos direitos de acesso ( leitura, alteração, 
exclusão); somente mostrar as informações relevantes 
em relatórios;
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Monitoração do uso e acesso ao sistema: descobrir atividades 
não autorizadas.
Registro de eventos (logs): 
trilhas de auditoria para investigações futuras, monitoração e 
controle de acessos. Identificar usuário, terminal, data/hora, 
tentativas de acesso rejeitadas;
Armazenamento dos registros: 
controlado para evitar alterações, perdas ou acessos indevidos;
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Monitoração do uso e acesso ao sistema: descobrir atividades 
não autorizadas.
Planejamento, geração e revisão dos eventos: 
procedimentos para monitoração dos registros, para garantir que 
usuários executam somente atividades autorizadas; revisões 
regulares (frequência depende do risco envolvido);
Sincronia dos relógios dos computadores: 
para garantir a exatidão dos registros de auditoria (podem ser 
requeridos numa investigação).
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
9 - CONTROLE DE ACESSO
Computação móvel: 
Política deve incluir proteção física (roubo), criptografia de dados, 
cópias de segurança e antivírus;
Trabalho remoto: 
proteção adequada do local para evitar roubo de equipamentos e 
de informações, divulgação não autorizada de informações, uso 
impróprio de recursos. Definição de data/hora de acesso, regras e 
orientações para acesso de familiares, procedimentos para cópias 
de segurança, auditoria e monitoração.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Objetivo: Garantir que a segurança seja parte integrante dos 
sistemas de informação.
Análise e especificação dos requisitos e controles de 
segurança de sistemas: 
Controles de segurança devem ser especificados quando da 
confecção de novos sistemas ou alterações;
Considerar pacotes de software;
Controles introduzidos no desenvolvimento são mais baratos. 
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Segurança nos sistemas de aplicação: 
prevenir perda, modificação ou uso impróprio de dados 
do usuário nos sistemas de aplicação
Validação dos dados de entrada e saída: 
garantir que dados estão corretos e que são apropriados. 
Tipos de validação: dupla entrada para detectar valores fora de 
limites, caracteres inválidos, dados ausentes, checagem de 
integridade de dados, totais de registros e arquivos.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Controle do processamento interno: 
reduzir erros de processamento. Procedimentos para prevenir 
execução de programas fora de ordem ou após falhas, uso correto 
de programas para correção de falhas para assegurar 
processamento correto dos dados.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Criptografia: Proteger a confidencialidade, autenticidade ou 
integridade das informações
Política de utilização: 
baseada em análise de riscos; enfoque para quando deve ser 
utilizada; gerenciamento das chaves(métodos para tratar a 
recuperação de informações em caso de chaves perdidas, expostas 
ou danificadas); normas para efetiva implementação;
Gerenciamento e proteção das chaves: 
essencial para o processo. Deve haver procedimentos para 
proteção contra perda, comprometimento, destruição.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Criptografia: 
proteger a confidencialidade da informação. Deve ser considerada 
para a proteção de informações críticas ou sensíveis;
Assinatura digital: 
proteger a integridade e autenticidade de documentos eletrônicos. 
Pode ser utilizada no comércio eletrônico; 
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Segurança dos arquivos do sistema: 
garantir que projetos de TI e as atividades de suporte serão 
conduzidas de maneira segura. O acesso a arquivos do 
sistema deve ser controlado.
Gerenciamento das mudanças de softwares: 
mudanças devem ser controladas, com registros de auditoria, 
manutenção de versões anteriores, evidência de testes e aceitação 
do usuário;
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Proteção dos dados de teste: 
devem ser protegidos e controlados (na maioria das vezes refletem 
dados de produção);
Controle de acesso a bibliotecas de programas fonte: 
devem ser controladas rigidamente. Não devem ser manipuladas 
em ambiente de produção. Devem possuir responsável pela 
atualização e distribuição. Registros de auditoria
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Segurança nos processos de desenvolvimento e suporte: 
manter a segurança do software e da informação do sistema 
de aplicação.
Gerenciamento de mudanças em sistemas, sistemas 
terceirizados e pacotes: 
controle rígido e procedimentos para mudanças, com aprovação 
formal, aceite do usuário, controle de versões, documentação 
atualizada, trilha de auditoria;
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Segurança nos processos de desenvolvimento e suporte: 
Cavalos de Tróia e Covert Channels: 
programas maliciosos que permitem acesso indevido aosistema e 
informações. Programas devem ser adquiridos de fontes confiáveis 
e devem ser avaliados antes de entrar em produção. Deve haver 
controle para acesso ao código fonte.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
11 - GESTÃO DA CONTINUIDADE DOS NEGÓCIOS
Gerenciamento de continuidade dos negócios: 
não permitir a interrupção das atividades do negócio e 
proteger os processos críticos contra falhas e desastres.
Planejamento estratégico: 
o processo deve envolver toda a organização, incluindo a alta 
direção. Deve ser verificado o impacto que as possíveis 
interrupções trarão aos negócios;
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
11 - GESTÃO DA CONTINUIDADE DOS NEGÓCIOS
Gerenciamento de continuidade dos negócios: 
Identificação dos eventos e avaliação dos riscos que podem 
causar interrupções nos negócios. 
Ex: falhas de equipamentos, inundações, incêndios, etc. Deve 
haver avaliação dos riscos para verificar impactos e probabilidade 
de ocorrência;
Elaboração do plano: 
desenvolvidos para manutenção ou recuperação das operações, na 
escala de tempo requerida. Deve haver procedimentos, 
documentação, treinamento adequado do pessoal envolvido, lista 
de acionamento e testes.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
11 - GESTÃO DA CONTINUIDADE DOS NEGÓCIOS
Gerenciamento de continuidade dos negócios: 
Teste e manutenção do plano: 
executados regularmente para detectar falhas nas documentações, 
garantir a permanente atualização do plano e sua efetividade. 
Devem ser mantidos por meio de análises críticas periódicas. Ex: 
mudanças que podem ocasionar alteração no plano - pessoal, 
endereços e telefones, estratégia do negócio, etc.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
12 - CONFORMIDADE
Conformidade com requisitos legais: 
evitar violação de qualquer lei criminal ou civil, estatutos, 
regulamentações ou obrigações contratuais.
Identificação da legislação vigente: 
devem estar definidas e documentadas para cada sistema de 
informação. 
Direitos autorais e de software: 
deve haver política de conformidade de direito autoral de software, 
procedimentos para aquisição de software, manter provas e 
evidências de licenças de uso, discos mestres.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
12 - CONFORMIDADE
Salvaguarda de registros organizacionais: 
registros importantes para a organização devem ser protegidos 
contra perda, destruição e falsificação. Procedimentos 
documentados para retenção, armazenamento, tratamento e 
disposição dos registros e implementação de controles apropriados 
para proteção.
Proteção de dados e privacidade da informação pessoal: 
informações de dados pessoais devem ser protegidas e controladas 
no processamento e transmissão.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
12 - CONFORMIDADE
Prevenção contra uso indevido de recursos de processamento 
da informação: 
recursos devem ser utilizados para propósito dos negócios. Devem 
ser autorizados pelo responsável. Sem autorização deve ser 
considerado uso impróprio e devem ser aplicadas ações 
disciplinares cabíveis.
Controles de criptografia: 
deve haver assessoria jurídica para garantir a conformidade com a 
legislação nacional vigente.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
12 - CONFORMIDADE
Coletas de evidências: 
devem haver coletas de evidências para apoiar um processo 
jurídico contra uma pessoa ou organização.
Análise crítica da Política de Segurança e de conformidade 
técnica: 
garantir conformidade dos sistemas com as políticas e normas 
organizacionais de segurança.
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Norma ISO/IEC NBR-17799
12 - CONFORMIDADE
Auditoria de Sistemas: 
maximizar a eficácia e minimizar a interferência no processo de 
auditoria de sistema.
Controles de auditoria de sistemas: 
requisitos e atividades de auditoria devem ser planejados e 
acordados - escopo, acessos somente leitura, acessos monitorados 
e registrados para produzir trilhas, procedimentos documentados;
Proteção das ferramentas de auditoria de sistemas: 
softwares e dados de auditoria devem ser protegidos contra uso 
impróprio ou comprometimento.