Juliana Jenny Kolb
Home > Redes de Computadores > NBR ISO/IEC 27002:2013
Materiais Complementares
Versão 2005 – Documento em PDF |
Versão 2013 – Documento em PDF |
NBR ISO/IEC 27002:2013 – Política de controle de acesso
Convém que uma política de controle de acesso seja estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios.
Convém que os proprietários dos ativos determinem regras apropriadas do controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados.
Convém que sejam considerados os controles de acesso lógico e físico (Ver 11) de forma conjunta.
Convém que uma declaração nítida dos requisitos do negócio a serem atendidos pelo controle de acesso, seja fornecida aos usuários e provedores de serviços.
Convém que a política leve em consideração os seguintes itens:
a) requisitos de segurança de aplicações de negócios individuais;
b) política para disseminação e autorização da informação, por exemplo, o princípio “necessidade de conhecer” e níveis de segurança e a classificação das informações (ver 8.2);
c) consistência entre os direitos de acesso e as políticas de classificação da informação em diferentes sistemas e redes;
d) legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços (ver 18.1);
e) gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis;
f) segregação de funções de controle de acesso, por exemplo, pedido de acesso, autorização de acesso, administração de acesso;
g) requisitos para autorização formal de pedidos de acesso (ver 9.2.1);
h) requisitos para análise crítica periódica de direitos de acesso (ver 9.2.5);
i) remoção de direitos de acesso (ver 9.2.6);
j) arquivo dos registros de todos os eventos significantes, relativos ao uso e gerenciamento das identidades do usuário e da informação de autenticação secreta;
k) regras para o acesso privilegiado (ver 9.2.3).
Informações adicionais
Convém que sejam tomados cuidados na especificação de regras de controle de acesso quando se considerar o seguinte:
a) estabelecer regra baseada na premissa de que “Tudo é proibido a menos que expressamente permitido” em lugar da regra mais fraca que “Tudo é permitido, a menos que expressamente proibido”;
b) mudanças em rótulos de informação (ver 8.2.2) que são iniciadas automaticamente através de recursos de processamento da informação e aquelas iniciadas pela observação de um usuário;
c) mudanças em permissões de usuário que são iniciadas automaticamente pelo sistema de informação e os que iniciaram por um administrador;
d) regras que requerem aprovação específica antes de um decreto ou lei e as que não necessitam.
Convém que as regras para controle de acesso sejam apoiadas por procedimentos formais (ver 9.2, 9.3 e 9.4) e responsabilidades claramente definidas (ver 6.1.1, 9.2, e 15.1).
As regras baseadas em controles de acesso é uma abordagem usada com sucesso por muitas organizações para relacionar os direitos de acesso com as atividades do negócio.
Dois dos frequentes princípios que orientam a política de controle de acesso são:
a) necessidade de conhecer: você somente tem permissão para acessar informação que você necessita para desempenhar suas tarefas (tarefas e atribuições diferentes significam diferentes necessidades de conhecer e diferentes perfis de acesso);
b) necessidade de uso: você somente tem permissão para acessar os recursos de processamento da informação (equipamentos de TI, aplicações, procedimentos, salas), que você necessita para desempenhar a sua tarefa/função/papel.