ISO 27002:2013

Annotations:

• A norma está categorizada em seções, objetivos de controle e controles.  a) seções definindo os controles de segurança da informação; b) um objetivo de controle declarando o que se espera ser alcançado;  c) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.

1. 7. Segurança em recursos humanos
   1. 7.1 - Antes da Contratação
      1. 7.1.1 - Seleção
      2. 7.1.2 - Termos e condições de contratação
   2. 7.2 - Durante a Contratação
      1. 7.2.1 - Responsabilidade da contração
      2. 7.2.2 Conscientização, educação e treinamento em segurança da informação
      3. 7.2.3 Processo Disciplinar
   3. 7.3 Encerramento e mudança de contratação
2. 6 - Organização da segurança da informação
   1. 6.1 - Organização interna

      Annotations:

      • Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a implementação e operação da segurança da informação dentro da organização. 
      1. 6.1.1 - Responsabilidades e papéis pela segurança da informação
      2. 6.1.2 - Segregação de funções
      3. 6.1.3 - Contrato com autoridades
      4. 6.1.4 - Contratos com grupos especiais
      5. 6.1.5 - Segurança da informação em gerenciamento de projetos
   2. 6.2 - Dispositivos móveis e trabalho remoto
      1. 6.2.1 - Política para uso de dispositivo móvel
      2. 6.2.2 - Trabalho remoto
3. 8. Gestão de Ativos
   1. 8.1 Responsabilidade pelos ativos
      1. 8.1.1 Inventário de ativos
      2. 8.1.2 Proprietário dos ativos

         Annotations:

         • Q855648
      3. 8.1.3 Uso aceitável dos ativos

         Annotations:

         • Conscientização pelo uso dos ativos.
      4. 8.1.4 Devolução de ativos
   2. 8.2 Classificação da informação
      1. 8.2.1 Classificação da informação
      2. 8.2.2 Rótulo e tratamento da informação
      3. 8.2.3 Tratamento dos ativos

         Annotations:

         • Definição de procedimentos para tratamento dos ativos conforme a classificação de cada um.
   3. 8.3 Tratamento de mídias
      1. 8.3.1 Gerenciamento de mídias removíveis
      2. 8.3.2 Descarte de mídias
      3. 8.3.3 Transferência de mídias
4. 9. Controle de Acesso
   1. 9.1 Requisitos do negócio para controle de acesso
      1. 9.1.1 Política de Controle de Acesso
      2. 9.1.2 Acesso às redes e aos serviços de rede
   2. 9.2 Gerenciamento de acesso do usuário
      1. 9.2.1 Registro e cancelamento de usuário
      2. 9.2.2 Provisionamento de acesso do usuário

         Annotations:

         • Definição de um procedimento formal para provisionamento dos privilégios de acesso dos usuários.
      3. 9.2.3 Gerenciamento de direitos de acesso privilegiados
      4. 9.2.4 Gerenciamento da informação de autenticação secreta de usuário

         Annotations:

         • Senhas são normalmente usadas como um tipo de informação de autenticação secreta, e é uma forma comum de verificar a identidade de um usuário. Outros tipos de informação de autenticação secreta são chaves criptográficas e outros dados armazenados em tokens (por exemplo, smart cards), que produzem códigos de autenticação.
      5. 9.2.5 Análise crítica dos direitos de acesso dos usuários

         Annotations:

         • Este controle compensa possíveis vulnerabilidades na execução dos controles 9.2.1, 9.2.2 e 9.2.6.
      6. 9.2.6 Retirada ou ajuste de direitos de acesso

         Annotations:

         • A ação deve sempre ser executada após mudança de qualquer natureza dos usuários de acesso (atividade, lotação, demissão) sejam usuários internos sejam externos.
   3. 9.3 Responsabilidade dos usários
      1. 9.3.1 Uso da informação de autenticação secreta
   4. 9.4 Controle de acesso ao sistema e à aplicação
      1. 9.4.1 Restrição de acesso à informação
      2. 9.4.2 Procedimentos seguros de entrada no sistema (logon)
      3. 9.4.3 Sistema de gerenciamento de senha
      4. 9.4.4 Uso de programas utilitários privilegiados
      5. 9.4.5 Controle de acesso ao código-fonte de programas
5. 10. Criptografia
   1. 10.1 Controles criptográficos
      1. 10.1.1 Política para o uso de controles criptográficos
      2. 10.1.2 Gerenciamento de chaves
6. 11. Segurança física do ambiente
7. 12. Segurança nas operações
   1. 12.1 Responsabilidades e procedimentos operacionais
      1. 12.1.1 Documentação dos procedimentos de operação
      2. 12.1.2 Gestão de mudanças
      3. 12.1.3 Gestão de capacidade
      4. 12.1.4 Separação dos ambientes de desenvolvimento, testes e produção
   2. 12.2 Proteção contra código maliciosos
      1. 12.2.1 Controle contra códigos maliciosos
   3. 12.3 Cópia de segurança
      1. 12.3.1 Cópia de segurança das informações
   4. 12.4 Registros e Monitoramento
      1. 12.4.1 Registro de eventos
      2. 12.4.2 Proteção das informações de registros de eventos
      3. 12.4.3 Registro de eventos (log) de administrador e operador
      4. 12.4.4 Sincronização dos relógios
   5. 12.5 Controle de software operacional
      1. 12.5.1 Instalação de software nos sistemas operacionais
   6. 12.6 Gestão de vulnerabilidades técnicas

      Annotations:

      • Prevenir a exploração de vulnerabilidades técnicas
      1. 12.6.1 Gestão de vulnerabilidades técnicas

         Annotations:

         • Tratativas necessárias para evitar e corrigir vulnerabilidades técnicas. Deve ser observado outros processos tais como gestão de mudança e incidentes. Convém atentar se os procedimentos de correção não irão impactar mais negativamente nos serviços. Deve-se ponderar tanto a correção quanto a prevenção (instalação de pacthes), pois a ação pode prejudicar os serviços relacionados. Convém que testes sejam realizados e avaliados.
      2. 12.6.2 Restrições quanto à instalação de software

         Annotations:

         • Deve-se definir quais softwares podem ser instalados em dispositivos computacionais, uma vez que existem softwares que podem causar danos à organização (abertura de portas, execução de códigos maliciosos). Isto pode gerar incidentes de segurança da informação (vazamento de informações, perda de integridade de dados). Convém observar também a instalação de produtos nas quais a organização não possui licença, isto é, deve-se observar a questão de direitos autorais.
   7. 12.7 Considerações quanto à auditoria de sistemas de informação

      Annotations:

      • Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
      1. 12.7.1 Controles de auditoria de sistemas de informações

         Annotations:

         • Procedimentos necessários para reduzir o impacto da auditoria nos ambiente de produção de modo a não prejudicar os processos de negócio da organização. Vários controles devem ser aplicados para atender tais propósitos como está descrito a seguir: * Criação de perfil somente de leitura; * Segregação dos dados quando for necessário acesso com perfis que possam alterar dados dos sistemas operacionais. * Definição de regras e procedimentos quanto a execução da auditoria, horário de realização.
8. 13 Segurança nas comunicações
   1. 13.1 Gerenciamento da segurança em redes

      Annotations:

      • Objetivo: Garantir a proteção das informações em redes e dos recursos de processamento da informação que os apoiam. Sumário executivo: Garantir a proteção de dados que trafegam em redes e dos ativos envolvidos.
      1. 13.1.1 Controle de redes

         Annotations:

         • Controle: Convém que as redes sejam gerenciadas e controladas para proteger as informações nos sistemas e aplicações. Resumo executivo: Aplicação de um conjunto de controles capazes que garantir a disponibilidade, confidencialidade e integridades das informações trafegadas na rede. Deve-se atentar para as redes públicas e wi-fi, bem como os sistemas que operam neste contexto. A monitoração do trafego na rede deve ser constante para prevenir o acesso indevido à ela.
      2. 13.1.2 Segurança de serviços de rede

         Annotations:

         • Controle: Convém que mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os serviços de rede, sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados. Resumo executivo: Aplicação de técnicas, métodos e tecnologias tais como firewall, encriptação, serviços de monitoramento com o intuito de garantir a segurança de serviços de rede.
      3. 13.1.3 Segregação de redes

         Annotations:

         • Controle: Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes. Resumo executivo: Segregação de redes em domínios diferentes com o intuito de garantir a segurança da informação e minimizar os riscos. Deve ser observado o acesso à rede por entes externos à organização e o tipo de acesso wireless, considerado fraco.
   2. 13.2 Transferência de informação

      Annotations:

      • Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas.
      1. 13.2.1 Políticas e procedimentos para transferência de informações

         Annotations:

         • Controle: Convém que políticas, procedimentos e controles de transferências formais, sejam estabelecidos para proteger a transferência de informações, por meio do uso de todos os tipos de recursos de comunicação. Resumo executivo: Além das tratativas necessárias para transferência de informações pelo uso de tecnologias, convém observar a comunicação dos funcionários da organização em locais públicos. Os funcionários devem ser orientados a respeito disto.
      2. 13.2.2 Acordos para transferência de informações

         Annotations:

         • Controle: Convém que sejam estabelecidos acordos para transferência segura de informações do negócio entre a organização e partes externas.
      3. 13.2.3 Mensagens eletrônicas

         Annotations:

         • Controle: Convém que as informações que trafegam em mensagens eletrônicas sejam adequadamente protegidas.