NBR ISO/IEC 27002
Código de Prática para a Gestão de Segurança da Informação
O objetivo deste código é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Anteriormente conhecida como NBR ISO/IEC 17799, desde 2007 esta foi incorporada ao novo esquema de numeração como ISO/IEC 27002.
Essa norma se refere á Segurança da Informação, ou seja, a proteção das informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio de uma organização. Ela está dividida em 11 seções, mas se inicia na seção 5:
Política de Segurança da Informação
Documento sobre a política de segurança contendo conceitos de segurança da informação, o comprometimento da direção da empresa ou organização com esta política, uma estrutura para estabelecer o objetivo de cada controle, uma estrutura de análise, avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Todos na organização devem estar cientes por meio de concordância desta política, que deve ser analisada e revisada constantemente e sempre que mudanças se fizerem necessárias.
Organizando a Segurança da Informação
Para implementar a Segurança da Informação, é necessário estabelecer uma estrutura que irá gerenciá-la. Como tal as atividades de segurança devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Essas responsabilidades devem estar claramente definidas, assim como acordos de confidencialidade para proteger os dados de caráter sigiloso: dados de como as informações são acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes.
Gestão de Ativos
Ativo é qualquer coisa que tenha valor para a organização. Gestão de Ativos, portanto, significa proteger e manter os ativos da organização, com a devida identificação e levantamento, assim como proprietários e designados. Esta estrutura passa a sofrer manutenção contínua, com classificação e nível de proteção recomendado para cada uma dessas classes, e com regras documentadas, que definem qual o tipo de uso é permitido para esses ativos.
Segurança em Recursos Humanos
Com a intenção de mitigar o risco de roubo, fraude ou mau uso dos recursos relacionados á segurança da informação, qualquer candidato precisa ser devidamente analisado.
Funcionários, fornecedores e terceiros precisam estar cientes da política de segurança, as ameaças, responsabilidades e obrigações durante todo o período que estiverem trabalhando na empresa, apoiando devidamente a política da informação. Treinamentos e procedimentos devem ser informados e executados de acordo com a política. Qualquer mudança de contratação deve ser feita de modo controlado e ordenado, de modo que a devolução de ativos e retirada de controles de acesso sejam concluídas.
Segurança Física
Níveis de controle de acesso, incluindo a proteção física, devem ser implementados e mantidos e compatíveis com os riscos previamente identificados.
Gestão das Operações e Comunicações
Gerenciamento seguro de redes, disponibilidade, capacidade, prevenção e detecção de riscos.
As trocas de informações entre usuários, organizações e terceiros devem ser baseadas em uma política formal, devendo ser efetuadas a partir de acordos e sempre relacionadas com a política da informação estabelecida.
Para monitoramento devem ser implementados mecanismos com registro de eventos.
Controle de Acesso
O acesso à informação, aos recursos de processamento das informações e aos processos de negócios devem ser controlados com base nos requisitos de negócio e na segurança da informação. Portanto, deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamento final do seu registro, garantindo assim que já não possuem mais acesso a sistemas de informação e serviços.
Os usuários sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários.
Aquisição, Desenvolvimento e Manutenção de Sistemas
Sistemas operacionais, infra-estrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário devem estar de acordo com a política da informação.
Um plano de aquisição deve ser traçado de acordo com a vigência da norma.
Gestão de Incidentes de Segurança da Informação
Procedimentos formais de registro e escalonamento dos incidentes, bem como políticas de SLA. Esta gestão deve abranger todos os funcionários da empresas, terceiros e fornecedores.
Gestão da Continuidade do Negócio
Deve-se impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hábil.
Planos de continuidade do negócio, incluindo controles para identificar e reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operações essenciais sejam rapidamente recuperadas.
Conformidade
Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
Caso necessário deve se contratar consultoria especializada para análise e verificação da conformidade, aderência e requisitos legais.
Referência:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação.
