14 Gestão da continuidade do negócio
15.3 Considerações quanto à auditoria de sistemas de informação
15.3.2 Proteção de ferramentas de auditoria de sistemas de informação
Controle
Convém que o acesso às ferramentas de auditoria de sistema de informação seja protegido, para prevenir qualquer possibilidade de uso impróprio ou comprometimento.
Diretrizes para implementação
Convém que acessos às ferramentas de auditoria de sistemas de informação, por exemplo, software ou arquivos de dados, sejam separados de sistemas em desenvolvimento e em operação e não sejam mantidos em fitas de biblioteca ou áreas de usuários, a menos que seja dado um nível apropriado de proteção adicional. Informações adicionais
Quando terceiros estão envolvidos em uma auditoria, existe um risco de mau uso de ferramentas de auditoria por esses terceiros e da informação que está sendo acessada por este terceiro. Controles, tais como em 6.2.1 (para avaliar os riscos) e 9.1.2 (para restringir o acesso físico), podem ser considerados para contemplar este risco, e convém que quaisquer conseqüências, tais como trocar imediatamente as senhas reveladas para os auditores, sejam tomadas.
Bibliografia
ABNT NBR ISO 10007:2005 – Sistemas de gestão da qualidade - Diretrizes para a gestão de configuração ABNT NBR ISO 19011:2002 – Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental ABNT NBR ISO/IEC 12207:1998 – Tecnologia de informação - Processos de ciclo de vida de software ABNT ISO/IEC Guia 2:1998 – Normalização e atividades relacionadas – Vocabulário geral
ABNT ISO/IEC Guia 73:2005 – Gestão de riscos – Vocabulário – Recomendações para uso em normas ISO 15489-1:2001 – Information and documentation – Records management – Part 1: General
ISO/IEC 9796-2:2002 – Information technology – Security techniques – Digital signature schemes giving message recovery – Part 2: Integer factorization based mechanisms
ISO/IEC 9796-3:2000 – Information technology – Security techniques – Digital signature schemes giving message recovery – Part 3: Discrete logarithm based mechanisms
ISO/IEC 11770-1:1996 – Information technology – Security techniques – Key management – Part 1: Framework
ISO/IEC 13335-1:2004 – Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management
ISO/IEC 13888-1: 1997 – Information technology – Security techniques – Non-repudiation – Part 1: General ISO/IEC 14516:2002 – Information technology – Security techniques – Guidelines for the use and management of Trusted Third Party services
ISO/IEC 14888-1:1998 – Information technology – Security techniques – Digital signatures with appendix – Part 1: General
ISO/IEC 15408-1:1999 – Information technology – Security techniques – Evaluation Criteria for IT security – Part 1: Introduction and general model
ISO/IEC 18028-4 – Information technology – Security techniques – IT Network security – Part 4: Securing remote access
ISO/IEC TR 13335-3:1998 – Information technology – Guidelines for the Management of IT Security – Part 3: Techniques for the management of IT Security
ISO/IEC TR 18044 – Information technology – Security techniques – Information security incident IEEE P1363-2000: Standard Specifications for Public-Key Cryptography
OECD Guidelines for the Security of Information Systems and Networks: ‘Towards a Culture of Security’, 2002 OECD Guidelines for Cryptography Policy, 1997
Índice
A
aceitação de sistemas 10.3.2
acesso do público, áreas de entrega e de carregamento 9.1.6 acordos de confidencialidade 6.1.5
acordos para a troca de informações 10.8.2 ameaça 2.16
análise/avaliação de riscos 2.11, 4.1
análise crítica da política de segurança da informação 5.1.2
análise crítica das aplicações após mudanças no sistema operacional 12.5.2 análise crítica dos direitos de acesso de usuário 11.2.4
análise crítica independente de segurança da informação 6.1.8 análise de riscos 2.10
análise e especificação dos requisitos de segurança 12.1.1 antes da contratação 8.1
aprendendo com os incidentes de segurança da informação 13.2.2 aquisição, desenvolvimento e manutenção de sistemas de informação 12 áreas de entrega e de carregamento 9.1.6
áreas seguras 9.1
aspectos da gestão da continuidade do negócio, relativos à segurança da informação 14.1 ativo 2.1
atribuição das responsabilidades para a segurança da informação 6.1.3 autenticação para conexão externa do usuário 11.4.2
avaliação de riscos 2.12
C
classificação da informação 7.2 coleta de evidências 13.2.3 comércio eletrônico 10.9.1
comprometimento da direção com a segurança da informação 6.1.1 computação e comunicação móvel 11.7.1
computação móvel e trabalho remoto 11.7, 11.7.2 conformidade 15
conformidade com normas e políticas de segurança da informação e conformidade técnica 15.2, 15.2.1 conformidade com requisitos legais 15.1
conformidades com as políticas e normas de segurança da informação 15.2.1 conscientização, educação e treinamento em segurança da informação 8.2.2 considerações quanto à auditoria de sistemas de informação 15.3
contato com autoridades 6.1.6 contato com grupos especiais 6.1.7
continuidade de negócios e análise/avaliação de risco 14.1.2 controle 2.2, 3.2
controles contra códigos móveis 10.4.2 controle de acessos 11
controle de acesso à aplicação e à informação 11.6 controle de acesso à rede 11.4
controle de acesso ao código-fonte de programas 12.4.3 controle de acesso ao sistema operacional 11.5
controles de auditoria de sistemas de informação 15.3.1 controle de conexão de rede 11.4.6
controle de entrada física 9.1.2
controle de processamento interno 12.2.2 controle de roteamento de redes 11.4.7
controle de software operacional 12.4.1 controle de vulnerabilidades técnicas 12.6.1 controle do processamento interno 12.2.2 controles contra códigos maliciosos 10.4.1 controles contra códigos móveis 10.4.2 controles criptográficos 12.3
controles de auditoria de sistemas de informação 15.3.1 controles de entrada física 9.1.2
controles de redes 10.6.1
coordenação da segurança da informação 6.1.2 cópias de segurança 10.5
cópias de segurança das informações 10.5.1
D
descarte de mídias 10.7.2
desconexão de terminal por inatividade 11.5.5
desenvolvimento e implementação de planos de continuidade relativos à segurança da informação 14.1.3 desenvolvimento terceirizado de software 12.5.5
devolução de ativos 8.3.2
direitos de propriedade intelectual 15.1.2 diretriz 2.3
documentação dos procedimentos de operação 10.1.1 documento da política de segurança da informação 5.1.1 durante a contratação 8.2
E
encerramento de atividades 8.3.1
encerramento ou mudança da contratação 8.3 entrega de serviços 10.2.1
equipamento de usuário sem monitoração 11.3.2 estrutura do plano de continuidade do negócio 14.1.4 evento de segurança da informação 2.6, 13.1
G
gerenciamento da segurança em redes 10.6 gerenciamento das operações e comunicações 10 gerenciamento de acesso do usuário 11.2
gerenciamento de chaves 12.3.2
gerenciamento de mídias removíveis 10.7.1
gerenciamento de mudanças para serviços terceirizados 10.2.3 gerenciamento de privilégios 11.2.2
gerenciamento de senha do usuário 11.2.3 gerenciamento de serviços terceirizados 10.2 gestão da continuidade do negócio 14 gestão de ativos 7
gestão de capacidade 10.3.1
gestão de incidentes de segurança da informação 13, 13.2 gestão de mudanças 10.1.2
gestão de riscos 2.13
I
identificação da legislação vigente 15.1.1 identificação de equipamento em redes 11.4.3
identificação dos riscos relacionados com partes externas 6.2.1 identificação e autenticação de usuário 11.5.2
identificando a segurança da informação, quando tratando com os clientes 6.2.2 identificando segurança da informação nos acordos com terceiros 6.2.3
incidente de segurança da informação 2.7, 13.2
incluindo segurança da informação no processo de gestão da continuidade do negócio 14.1.1 informações publicamente disponíveis 10.9.3
infra-estrutura da segurança da informação 6.1 instalação e proteção do equipamento 9.2.1 integridade de mensagens 12.2.3
inventário dos ativos 7.1.1
isolamento de sistemas sensíveis 11.6.2
L
limitação de horário de conexão 11.5.6
M
manuseio de mídias 10.7
manutenção dos equipamentos 9.2.4 mensagens eletrônicas 10.8.4 mídias em trânsito 10.8.3 monitoramento 10.10
monitoramento do uso do sistema 10.10.2
monitoramento e análise crítica de serviços terceirizados 10.2.2
N
notificação de eventos de segurança da informação 13.1.1
notificação de fragilidades e eventos de segurança da informação 13.1, 13.1.2 notificando fragilidades de segurança da informação 13.1.2
O
organizando a segurança da informação 6
P
papéis e responsabilidades 8.1.1 partes externas 6.2
perímetro de segurança física 9.1.1
planejamento e aceitação dos sistemas 10.3 política 2.8
política de controle de acesso 11.1.1 política de mesa limpa e tela limpa 11.3.3 política de segurança da informação 5, 5.1 política de uso dos serviços de rede 11.4.1
política e procedimentos para troca de informações 10.8.1 política para o uso de controles criptográficos 12.3.1 políticas e procedimentos para troca de informações 10.8.1
prevenção de mau uso de recursos de processamento da informação 15.1.5 principais categorias de segurança da informação 3.2
procedimentos e responsabilidades operacionais 10.1, 10.1.1 procedimentos para controle de mudanças 12.5.1
procedimentos para tratamento de informação 10.7.3
procedimentos seguros de entrada no sistema (log-on) 11.5.1 processamento correto nas aplicações 12.2
processo de autorização para os recursos de processamento da informação 6.1.4 processo disciplinar 8.2.3
proprietário dos ativos 7.1.2
proteção contra ameaças externas e do meio ambiente 9.1.4 proteção contra códigos maliciosos e códigos móveis 10.4 proteção das informações dos registros (log) 10.10.3
proteção de dados e privacidade de informação pessoal 15.1.4
proteção de ferramentas de auditoria de sistemas de informação 15.3.2 proteção de registros organizacionais 15.1.3
proteção dos dados para teste de sistema 12.4.2
proteção e configuração de portas de diagnóstico remotas 11.4.4
R
recomendações para classificação 7.2.1 recursos de processamento da informação 2.4 registros (log) de administrador e operador 10.10.4 registros (log) de falhas 10.10.5
registros de auditoria 10.10.1
regulamentação de controles de criptografia 15.1.6 requisitos de negócio para controle de acesso 11.1 responsabilidade pelos ativos 7.1
responsabilidades da direção 8.2.1 responsabilidades dos usuários 11.3 responsabilidades e procedimentos 13.2.1 restrição de acesso à informação 11.6, 11.6.1
restrições sobre mudanças em pacotes de software 12.5.3 remoção de propriedade 9.2.7
retirada de direitos de acesso 8.3.3
reutilização e alienação segura de equipamentos 9.2.6 risco 2.9
rótulos e tratamento da informação 7.2.2
S
segregação de funções 10.1.3 segregação de redes 11.4.5
segurança da documentação dos sistemas 10.7.4 segurança da informação 2.5
segurança de equipamentos 9.2
segurança de equipamento fora das dependências da organização 9.2.5 segurança do cabeamento 9.2.3
segurança dos arquivos do sistema 12.4 segurança dos serviços de rede 10.6.2
segurança em escritórios, salas e instalações 9.1.3
segurança física e do ambiente 9 segurança em recursos humanos 8 seguranças de equipamentos 9.2 seleção 8.1.2
separação dos recursos de desenvolvimento, teste e de produção 10.1.4 serviços de comércio eletrônico 10.9
sincronização dos relógios 10.10.6
sistema de gerenciamento de senha 11.5.3 sistemas de informações do negócio 10.8.5
T
terceiros 2.15
termos e condições de contratação 8.1.3
testes, manutenção e reavaliação dos planos de continuidade do negócio 14.1.5 trabalho em áreas seguras 9.1.5
trabalho remoto 11.7.2 transações on-line 10.9.2 tratamento de risco 2.14, 4.2 troca de informações 10.8
U
uso aceitável dos ativos 7.1.3 uso de senhas 11.3.1
uso de utilitários de sistema 11.5.4 utilidades 9.2.2
V
validação de dados de saída 12.2.4 validação dos dados de entrada 12.2.1 vazamento de informações 12.5.4
verificação da conformidade técnica 15.2.2 vulnerabilidades 2.17