Juliana Jenny Kolb
Home > Redes de Computadores > NBR ISO/IEC 27002:2013
Materiais Complementares
Versão 2005 – Documento em PDF |
Versão 2013 – Documento em PDF |
NBR ISO/IEC 27002:2013 – Políticas e procedimentos para transferência de informações
Convém que políticas, procedimentos e controles de transferências formais, sejam estabelecidos para proteger a transferência de informações, por meio do uso de todos os tipos de recursos de comunicação.
Convém que procedimentos e controles estabelecidos para a troca de informações em recursos eletrônicos de comunicação considerem os tópicos a seguir:
a) procedimentos para proteger a informação transferida contra interceptação, cópia, modificação, desvio e destruição;
b) procedimentos para detecção e proteção contra código malicioso que pode ser transmitido através do uso de recursos eletrônicos de comunicação (ver 12.2.1);
c) procedimentos para proteção de informações eletrônicas sensíveis que sejam transmitidas na forma de anexos;
d) política ou diretrizes que especifiquem o uso aceitável dos recursos eletrônicos de comunicação (ver 8.1.3);
e) que as responsabilidades de funcionários, fornecedores e partes externas possam comprometer a organização através de, por exemplo, difamação, assédio, falsa identidade, retransmissão de “correntes”, compras não autorizadas etc.;
f) uso de técnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade e a autenticidade das informações (ver 10);
g) diretrizes de retenção e descarte para toda a correspondência de negócios, incluindo mensagens, de acordo com regulamentações e legislação locais e nacionais, relevantes.
h) controles e restrições associados à retransmissão em recursos de comunicação como, por exemplo, a retransmissão automática de mensagens eletrônicas (e-mails) para endereços externos;
i) orientar as pessoas para adotar precauções apropriadas não revelando informações confidenciais;
j) não deixar informações críticas ou sensíveis em secretárias eletrônicas uma vez que elas podem ser acessadas por pessoas não autorizadas, armazenadas em sistemas comuns ou armazenadas de forma incorreta, por engano;
k) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, como:
1) acesso não autorizado a dispositivos para recuperação de mensagens;
2) programação de aparelhos, de forma deliberada ou acidental, para enviar mensagens para números específicos determinados;
3) envio de documentos e mensagens para número errado, seja por falha na discagem ou uso de número armazenado errado.
Adicionalmente, convém que as pessoas sejam lembradas de que não devem manter conversas confidenciais em locais públicos, escritórios abertos, canais de comunicação inseguros e locais de reunião.
Convém que os serviços de transferência de informações estejam de acordo com os requisitos legais pertinentes (ver 18.1).
Informações adicionais
A transferência de informações pode ocorrer através do uso de vários tipos diferentes de recursos de comunicação, incluindo mensagens eletrônicas (e-mails), voz, fax e vídeo.
A transferência de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da internet e a aquisição junto a fornecedores que vendem produtos em série.
Convém que sejam considerados os controles para os requisitos e as possíveis implicações nos negócios, nos aspectos legais e na segurança, relacionadas com a troca eletrônica de dados, com o comércio eletrônico e com o correio eletrônico.