Páginas

quarta-feira, 15 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Identificando segurança da informação nos acordos com terceiros

   Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamentos da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes.
Termos considerados para inclusão no acordo:
  • Política de segurança da informação;
  • Procedimentos para proteger os ativos da organização;
  • Mecanismos e controles para proteção física;
  • Proteção contra software malicioso;
  • Confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante aos ativos;
  • Restrições em relação a cópias ou divulgação de informação;
  • Treinamento dos usuários e administradores, procedimentos e segurança da informação;
  • Conscientização dos usuários;
  • Responsabilidade com relação a manutenção de software e hardware;
  • Processo claro e definido de gestão de mudanças;
  • Políticas de controle de acesso;
  • Descrição do produto ou serviço que esta sendo oferecido;
  • Direito de monitorar e revogar qualquer atividade relacionada com os ativos da organização;
  • Respectivas obrigações das partes com o acordo;
  • Condições de renegociação ou encerramento de acordos
      Os acordos podem variar consideravelmente para diferentes organizações e entre os diferentes tipos de terceiros. Portanto, convém que seja tomados cuidados para incluir nos acordos todos os riscos identificados e os requisitos de segurança da informação.
Postado por às Nenhum comentário:

segunda-feira, 13 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Identificando a segurança da informação, quando tratando com cliente

  Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou informações da organização.
Proteção dos ativos incluindo:
  • Procedimentos para proteger os ativos da organização;
  • Procedimentos para determinar se ocorreu qualquer comprometimento de ativo;
  • Integridade;
  • Restrições em relação as cópias e divulgação de informações;
  • Descrição do serviço ou produto a ser fornecido;
  • Diferentes razões, requisitos e benefícios para o acesso do cliente;
  • Políticas de controle de acesso;
  • Descrição de cada serviço que deve estar disponível;
  • Os níveis de serviços acordados e os níveis de serviços inaceitáveis;
  • Direito de monitorar e revogar qualquer atividade relacionada com os ativos da organização;
  • Responsabilidades legais dos clientes e da organização;
  • Direitos de propriedade intelectual e direitos autorais e proteção de qualquer trabalho colaborativo.
    Os requisitos de segurança da informação relacionados com o acesso dos clientes aos ativos da organização podem variar consideravelmente, dependendo dos recursos de processamento da informação e das informações que estão sendo acessadas. Estes requisitos de segurança da informação podem ser contemplados, usando-se os acordos com o cliente, os quais contêm todos os riscos identificados e os requisitos de segurança da informação.
Postado por às Nenhum comentário:

sexta-feira, 10 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Identificação dos riscos relacionados com partes externas

  Convém que os riscos para os recursos de processamentos da informação e da informação da organização oriundos de processos de negócio que envolvam as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso. 
Aspectos a serem seguidos:
  • Os recursos de processamentos da informação que uma parte externa esteja autorizada a acessar;
  • Tipo de acesso que a parte externa terá aos recursos de processamento da informação, como por exemplo, acesso a salas,computadores, arquivos de papéis, banco de dados, sistemas de informação, rede de conexão, acesso remoto, etc;
  • Valor e a sensibilidade da informação envolvida, e a sua criticidade para as operações do negócio;
  • Controles necessários para proteger a informação que não deva ser acessada pelas partes externas;
  • Como a organização ou pessoal autorizado a ter acesso pode ser identificado;
  • As diferentes formas e controles empregado pela parte externa quando estiver armazenando, processando, comunicando, compartilhando informações;
  • Impacto do acesso não está disponível para a parte externa, quando requerido, e a entrada ou o recebimento incorreto ou por engano da informação;
  • Práticas e procedimentos para tratar com incidentes  de segurança da informação e danos potenciais, e os termos e condições para que a parte externa continue acessando, no caso que ocorra um incidente de segurança da informação;
       Convém que o acesso às informações da organização pela parte externa não seja fornecido até que os controles apropriados tenha sido implementados e, onde for viável, um contrato tenha sido assinado definindo os termos e condições para a conexão ou o acesso e os preparativos para o trabalho.
    A informação pode ser colocada em risco por partes externas com uma gestão inadequada da segurança da informação. Convém que os controles sejam identificados e aplicados para administrar o acesso da parte externa aos recursos de processamento da informação.  
Postado por às Nenhum comentário:

quinta-feira, 9 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Partes externas

  O objetivos é manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados comunicados ou gerenciados por partes externas. O acesso aos recursos de processamento da informação da organização e ao processamento e comunicação da informação por partes externas deve ser controlado.
  Convém que seja feita uma análise/avaliação dos riscos envolvidos para determinar as possíveis implicações na segurança e os controles necessários, onde existir uma necessidade de negócio para trabalhar como parte externas, que possa requerer acesso aos recursos de processamento da informação e à informação da organização, ou na obtenção ou fornecimento de um produto e serviço de uma parte externa ou para ela.
   
Postado por às Nenhum comentário:

quarta-feira, 8 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Análise crítica independente de segurança da informação

  Convém que a análise crítica independente seja iniciada pela direção. Tal análise crítica independente é necessária para assegurar a contínua pertinência, adequação e eficácia do enfoque da organização  para gerenciar a segurança da informação. A análise crítica deve incluir a avaliação de oportunidades para a melhoria e a necessidade de mudanças para o enfoque da segurança da informação,  incluindo a política e os objetivos de controle.
   Critérios para análise independente:
  • Execução por pessoas independente da área avaliada;
  • Pessoas que realizem estas análises possuam habilidades e experiências apropriadas;
  • Tomada de ações corretivas;
  • Registros e relatos para a direção que iniciou a análise crítica.
  Convém que as áreas onde os gerentes regularmente fazem análise crítica possam também ser analisadas criticamente de forma independente. Técnicas para a análise crítica podem incluir entrevista com a gerência, verificação de registro ou análise crítica de documentos da política de segurança da informação. 
Postado por às Nenhum comentário:

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Contato com grupos especiais

   Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais. 
    É conveniente associação a grupos de interesses especiais ou fóruns seja considerada como forma de:
  • Ampliar o conhecimento sobre as melhores práticas e manter-se atualizado com as informações relevantes sobre segurança da informação;
  • Assegurar que o entendimento do ambiente de segurança da informação está atual e completo;
  • Receber previamente advertências de alertas, aconselhamentos e correções relativos a ataques e vulnerabilidades;
  • Conseguir acesso à consultoria especializada em segurança da informação;
  • Compartilhar e trocar informações sobre novas tecnologias, produtos, ameaças ou vulnerabilidades;
  • Prover relacionamentos adequados quando tratar com incidentes de segurança da informação.


Postado por às Nenhum comentário:

segunda-feira, 6 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Contato com autoridades

  Convém que as organizações tenham procedimentos em funcionamentos que especifiquem quando e por quais autoridades devem ser contratadas e como os incidentes de segurança da informação identificados devem ser notificados em tempo hábil, no caso de suspeita de que a lei foi violada.
  A manutenção de tais contatos pode ser um requisito para apoiar a gestão de incidentes de segurança da informação ou da continuidade dos negócios e do processo de planejamento da contingência. Contatos com organismos reguladores são também úteis para antecipar ou preparar as mudanças futuras na lei ou nos regulamentos, os quais tem que ser seguidos pela organização. Contatos com outras autoridades incluem utilidades, serviços de emergência, saúde e segurança, por exemplo corpo de bombeiros(em conjunto com a continuidade do negócio), provedores de telecomunicação (em conjunto com as rotas de linha e disponibilidade), fornecedor de água (em conjunto com as instalações de refrigeração para os equipamentos).
Postado por às Nenhum comentário:

sexta-feira, 3 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Acordos de confidencialidade

    Convém que os acordos de confidencialidade e de não divulgação considere os requisitos para proteger as informações confidenciais, usando termos que são obrigados do ponto de vista legal. 
    Para identificar os requisitos para os acordos de confidencialidade ou de não divulgação, convém que sejam considerados os seguintes elementos:
  • Definição da informação a ser protegida;
  • Tempo de duração esperado de um acordo, incluindo situações onde a confidencialidade tenha que ser mantida indefinidamente;
  • Ações requeridas quando um acordo é encerrado;
  • Responsabilidades e ações dos signatários para evitar a divulgação não autorizada da informação;
  • Proprietário da informação, segredos comerciais e de propriedade intelectual, e como isto se relaciona com a proteção da informação confidencial;
  • Uso permitido da informação confidencial e os direitos do signatário para usar a informação;
  • Direito de auditar e monitorar as atividades que envolvem as informações confidenciais;
  • Processo para notificação e relato de divulgação não autorizada ou violação das informações confidenciais;
  • Termos para a informação ser retornada ou destruída quando do término do acordo;
  • Ações esperadas a serem tomadas no caso de uma violação deste acordo.
    Acordos de confidencialidade e de não divulgação protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada.
Postado por às Nenhum comentário:

quinta-feira, 2 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Organizando a segurança da informação-Processos de autorização para os recursos de processamento da informação

  Convém que seja definido e implementado um processo de gestão de autorização para novos recursos de processamento da informação.

Diretrizes no no processo de autorização:
  • Os novos recursos tenham a autorização adequada por parte da administração de usuários, autorizando seus propósitos e uso;
  • Hardware e software sejam verificados para garantir que são compatíveis com outros componentes do sistema;
  • Uso de recursos de processamento de informação, pessoais ou privados, para processamento das informações do negócio, possa introduzir novas vulnerabilidades, e convém que controles necessários sejam identificados e implementados.  
Postado por às Nenhum comentário:

quarta-feira, 1 de fevereiro de 2017

ISO/IEC 27002- Seção 06- Organizando a segurança da informação- Atribuição de responsabilidades para a segurança da informação

   Convém que a atribuição das responsabilidades pela segurança da informação seja feita em conformidade com a política de segurança da informação. É importante definir claramente as responsabilidades pela proteção de cada ativo e o cumprimento dos processos de segurança da informação.
Itens a serem cumpridos:
  • Os ativos e os processos de segurança da informação associados com cada sistema sejam identificados e claramente definidos;
  • Gestor responsável por cada ativo ou processo de segurança da informação tenha atribuições definidas e os detalhes dessa responsabilidade sejam documentados;
  • Os níveis de autorização sejam claramente definidos e documentados
    Em muitas organizações um gestor de segurança da informação pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e implementação da segurança da informação e para apoiar a identificação de controles. Entretanto, a responsabilidade pela obtenção dos recursos e implementação dos controles permanece sempre com os gestores. Uma prática comum é indicar um responsável por cada ativo, tornando-o assim responsável por sua proteção no dia a dia.
Postado por às Nenhum comentário:
Assinar: Comentários (Atom)