Manuseio de mídias

Objetivo: Prevenir contra divulgação não autorizada, modificação, remoção ou destruição aos ativos, e interrupções das atividades do negócio.

Convém que as mídias sejam controladas e fisicamente protegidas.

Convém que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, mídias magnéticas de computadores (fitas, discos), dados de entrada e saída e documentação dos sistemas contra divulgação não autorizada, modificação, remoção e destruição.

10.7.1 Gerenciamento de mídias removíveis

Controle

Convém que existam procedimentos implementados para o gerenciamento de mídias removíveis. Diretrizes para implementação

Convém que as seguintes diretrizes para o gerenciamento de mídias removíveis sejam consideradas:

a) quando não for mais necessário, o conteúdo de qualquer meio magnético reutilizável seja destruído, caso venha a ser retirado da organização;

b) quando necessário e prático, seja requerida a autorização para remoção de qualquer mídia da organização e mantido o registro dessa remoção como trilha de auditoria;

c) toda mídia seja guardada de forma segura em um ambiente protegido, de acordo com as especificações do fabricante;

d) informações armazenadas em mídias que precisam estar disponíveis por muito tempo (em conformidade com as especificações dos fabricantes) sejam também armazenadas em outro local para evitar perda de informações devido à deterioração das mídias;

e) as mídias removíveis sejam registradas para limitar a oportunidade de perda de dados;

f) as unidades de mídias removíveis estejam habilitadas somente se houver uma necessidade do negócio. Convém que todos os procedimentos e os níveis de autorização sejam explicitamente documentados.

Informações adicionais

Mídia removível inclui fitas, discos, flash disks, discos removíveis, CD, DVD e mídia impressa.

10.7.2 Descarte de mídias

Controle

Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos formais.

Diretrizes para implementação

Convém que procedimentos formais para o descarte seguro das mídias sejam definidos para minimizar o risco de vazamento de informações sensíveis para pessoas não autorizadas. Convém que os procedimentos para o descarte seguro das mídias, contendo informações sensíveis, sejam relativos à sensibilidade das informações. Convém que os seguintes itens sejam considerados:

a) mídias contendo informações sensíveis sejam guardadas e destruídas de forma segura e protegida, como, por exemplo, através de incineração ou trituração, ou da remoção dos dados para uso por uma outra aplicação dentro da organização;

b) procedimentos sejam implementados para identificar os itens que requerem descarte seguro;

c) pode ser mais fácil implementar a coleta e descarte seguro de todas as mídias a serem inutilizadas do que tentar separar apenas aquelas contendo informações sensíveis;

d) muitas organizações oferecem serviços de coleta e descarte de papel, de equipamentos e de mídias magnéticas; convém que se tenha o cuidado na seleção de um fornecedor com experiência e controles adequados;

e) descarte de itens sensíveis seja registrado em controles sempre que possível para se manter uma trilha de auditoria.

Quando da acumulação de mídias para descarte, convém que se leve em consideração o efeito proveniente do acúmulo, o que pode fazer com que uma grande quantidade de informação não sensível torne-se sensível. Informações adicionais

Informações sensíveis podem ser divulgadas através do descarte negligente das mídias (ver 9.2.6 para informações de descarte de equipamentos).

10.7.3 Procedimentos para tratamento de informação

Controle

Convém que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informações, para proteger tais informações contra a divulgação não autorizada ou uso indevido.

Diretrizes para implementação

Convém que procedimentos sejam estabelecidos para o tratamento, processamento, armazenamento e transmissão da informação, de acordo com a sua classificação (ver 7.2). Convém que os seguintes itens sejam considerados:

a) tratamento e identificação de todos os meios magnéticos indicando o nível de classificação; b) restrições de acesso para prevenir o acesso de pessoas não autorizadas;

c) manutenção de um registro formal dos destinatários de dados autorizados;

d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente concluído e de que a validação das saídas seja aplicada;

e) proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade;

f) armazenamento das mídias em conformidade com as especificações dos fabricantes; g) manutenção da distribuição de dados no menor nível possível;

h) identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados;

i) análise crítica das listas de distribuição e das listas de destinatários autorizados em intervalos regulares. Informações adicionais

Estes procedimentos são aplicados para informações em documentos, sistemas de computadores, redes de computadores, computação móvel, comunicação móvel, correio eletrônico, correio de voz, comunicação de voz em geral, multimídia, serviços postais, uso de máquinas de fax e qualquer outro item sensível, como, por exemplo, cheques em branco e faturas.

10.7.4 Segurança da documentação dos sistemas

Controle

Convém que a documentação dos sistemas seja protegida contra acessos não autorizados. Diretrizes para implementação

Para proteger a documentação dos sistemas, convém que os seguintes itens sejam considerados: a) a documentação dos sistemas seja guardada de forma segura;

b) a relação de pessoas com acesso autorizado à documentação de sistemas seja a menor possível e autorizada pelo proprietário do sistema;

c) a documentação de sistema mantida em uma rede pública, ou fornecida através de uma rede pública, seja protegida de forma apropriada.

Informações adicionais

A documentação dos sistemas pode conter uma série de informações sensíveis, como, por exemplo, descrições de processos da aplicação, procedimentos, estruturas de dados e processos de autorização.