Com a apresentação desta terceira parte, será finalizada a sequência de post sobre a SGSI... fique firme, restam poucos controles a serem explorados!
Sistema de Gestão de Segurança da Informação
A.12 - Aquisição, desenvolvimento e manutenção de sistemas de informação
A.12.1 - Requisitos de segurança de sistemas de informação
Deve-se especificar, para novos sistemas de informação ou melhorias em sistemas existentes, os requisitos mínimos para os controles de segurança nas especificações de requisitos de negócios.
A.12.2 - Processamento correto de aplicações
Deve-se implementar políticas para que os dados de entrada de aplicações, o processamento interno, as transações, as integridades das mensagens e os dados de saída sejam validados para garantir que estão corretos e apropriados.
A.12.3 - Controles criptográficos
Deve-se implementar uma política para o uso de controles criptográficos para a proteção da informação levando em consideração o processo de gerenciamento de chaves - as tecnologias de criptografia devem ser implantadas em conformidade com uma política de classificação da informação.
A.12.4 - Segurança dos arquivos do sistema
Deve-se implementar politicas e procedimentos formais para controlar a instalação de software (mesmo os freeware) em sistemas operacionais.
Deve-se desenvolver e implementar politicas e procedimentos formais para que se use ferramentas geradoras de dados de testes ou que os dados de teste sejam selecionados com cuidado (subset), protegidos (descaracterizados) e controlados.
Deve-se controlar e restringir o acesso aos códigos-fontes, documentos, procedimentos e modelos de dados.
A.12.5 - Segurança em processos de desenvolvimento e de suporte
Deve-se implementar controles de mudanças utilizando procedimentos formais com a adoção de procedimentos para que as aplicações críticas de negócios sejam analisadas criticamente e testadas quanto à segurança da informação quando sistemas operacionais são mudados, controlar e restringir modificações desnecessárias em pacotes de software, evitando impacto nas operações.
Deve-se implementar políticas de prevenção de vazamento e perdas de dados na plataforma de DLP e adotar soluções de criptografia, apoiadas por uma política de classificação da informação.
Deve-se adotar a função de gestão de desenvolvimento de software terceirizado sob responsabilidade de um colaborador interno, baseando-se em normas formais sobre desenvolvimentos de software e implementando uma política de propriedade intelectual.
A.12.6 - Gestão de vulnerabilidades técnicas
Deve-se implementar processos adequados e periódicos para identificação e monitoração de vulnerabilidades técnicas dos sistemas de informação e posterior tratamento aos riscos identificados.
A.13 - Gestão de incidentes de Segurança da Informação
A.13.1 - Notificação de fragilidades e eventos de Segurança da Informação
Deve-se implantar procedimentos e canais apropriados para que os eventos de SI sejam relatados à direção, o mais rapidamente possível.
Deve-se implementar um canal de denúncias, com a adoção de mecanismo que garanta o anonimato (e isso deve estar explícito), para que os funcionários, fornecedores e terceiros possam ser formalmente instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços.
A.13.2 - Gestão de incidentes de Segurança da Informação e melhorias
Deve-se implantar normas, políticas e procedimentos que definam a responsabilidade e estabeleçam respostas rápidas, efetivas e ordenadas a incidentes de SI, que devem ser monitorados, mensurados e analisados criticamente e, também, deve considerar processos adequados para coleta e custódia legal de evidências.
A.14 - Gestão da continuidade do negócio
A.14.1 - Aspectos da gestão da continuidade do negócio, relativos à Segurança da Informação
Deve-se implantar normativos e processos formais para garantir a continuidade dos negócios da instituição. Estes processos devem: identificar os serviços críticos ao negócio; ser embasados em avaliações de risco e impacto; possuir plano de recuperação de interrupção/falhas (garantir a disponibilidade dos serviços); possuir níveis de serviços mínimos aceitáveis e ser testado/atualizado periodicamente, garantindo sua eficiência e eficácia.
A.15 - Conformidade
A.15.1 - Conformidade com requisitos legais
Deve-se implementar processo periódico formal para verificação de requisitos estatutários, regulamentares e contratuais relevantes e a definição de enfoque da instituição nestes.
Deve-se implementar políticas sobre direitos de propriedade intelectual e sobre o uso de produtos de software proprietários.
Deve-se implementar política de classificação da informação, com o uso de ferramentas como plataformas de criptografia e prevenção de perda de dados, refletindo os requisitos legais aplicáveis às informações protegidas.
Deve-se implantar processos formais de conscientização de SI para que os usuários evitem usar recursos de processamento da informação indevidamente.
Deve-se implementar uma política para o uso de controles criptográficos para a proteção da informação levando em consideração o processo de gerenciamento de chaves - as tecnologias de criptografia devem ser implantadas em conformidade com uma política de classificação da informação. No Brasil ainda não existe regulamentação ou lei aplicável à normatização de criptografia.
A.15.2 - Conformidade com normas e políticas de Segurança da Informação e conformidade técnica
Deve-se implementar norma que defina os gestores como responsáveis pela execução dos procedimentos de SI de forma correta e adequada, dentro de sua área, com a verificação de conformidade identificada através de processos. Deve-se realizar termos aditivos ao contrato de trabalho que descrever aos gestores a obrigação de conhecer e cumprir a PSI.
Deve-se implementar processo formal periódico para verificação de conformidade dos sistemas de informação às normas e à PSI.
A.15.3 Considerações quanto à auditoria de sistemas de informação
Deve-se implantar um processo formal para verificação de conformidade dos sistemas de informação (aplicativos e SO) às normas e PSI.
Deve-se implantar um processo formal para verificação de conformidade dos ferramentas de auditoria de sistema de informação às normas e à PSI, com o objetivo de proteger o acesso às mesmas e prevenir a possibilidade de uso indevido.
Após esta enxurrada de informação sobre Segurança da Informação, escolha o modelo ideal para sua instituição, planeje muito bem sua PSI e faça a implantação com todo apoio da Alta Administração - todas as pessoas envolvidas com a instituição devem estar comprometidas com a Segurança da Informação.
É isto aí... com este post encerra-se a explanação sobre a importante Norma ISO 27.001.
Mas, enquanto aguarda, como sabemos que os ativos de uma instituição necessitam estar bem protegidos e já conhecemos um pouco mais sobre Segurança da Informação, agora só depende de dar o primeiro passo para se iniciar a implantação do SGSI... o que você está esperando?
REFERÊNCIAS
ABNT
ISO 27.001
ISO 27.002
Sistema de Gestão de Segurança da Informação - 1/3
Sistema de Gestão de Segurança da Informação - 2/3
Sistema de Gestão de Segurança da Informação - 2/3
Abraços e até a próxima!
Nenhum comentário:
Postar um comentário