Estutura De Dados

Política de Segurança da Informação (PSI)

A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. É o SGSI que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa. (FONTES, 2006)

Segurança da Informação

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio (ABNT NBR ISO/IEC 27002, 2005). Pode-se definir Segurança da Informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware (ABNT NBR ISO/IEC 27002, 2005).

• Confidencialidade: A informação somente pode ser acessada por pessoas explicitamente autorizadas. É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham acesso;

• Disponibilidade: A informação deve estar disponível no momento em que a mesma for necessária;

• Integridade: A informação deve ser recuperada em sua forma original (no momento em que foi armazenada). É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas;

• Autenticidade: Consiste na veracidade da fonte das informações. Por meio da autenticação é possível confirmar a identidade da pessoa ou entidade que presta as informações.

A segurança pode ser desmembrada em quatro grandes aspectos:

• Segurança computacional: conceitos e técnicas utilizados para proteger o ambiente informatizado contra eventos inesperados que possam causar qualquer prejuízo.

• Segurança lógica: prevenção contra acesso não autorizado.

• Segurança física: procedimentos e recursos para prevenir acesso não autorizado, dano e interferência nas informações e instalações físicas da organização.

• Continuidade de negócios: estrutura e procedimentos para reduzir a um nível aceitável o risco de interrupção, ocasionadas por desastres ou falhas por meio da combinação de ações de prevenção e recuperação.

O que é a norma ISO 27001?

A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para a certificação de gestão em Qualidade.

Para que serve?

A adoção da norma ISO 27001 serve para que as organizações adotem por um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.

Em que consiste?

A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: A primeira componente, é onde são definidas as regras e os requisitos de cumprimento da norma. Nesta componente, são endereçados os aspectos explícitos no seguinte diagrama:

A segunda componente da norma é denominada de ANEXO A e é na realidade composta por um conjunto de controlos que as organizações devem adotar, em diferentes temas:

A estrutura global da norma ISO 27001 pode ser apresentada da seguinte forma:

Em que as cláusulas com os requisitos correspondentes ao ciclo de melhoria continua estão representados a azul, as cláusulas com os requisitos gerais do SGSI encontram-se a verde e o anexo com os objetivos de controlo e controlos aparecem a castanho.

Norma ISO 27002

O objetivo da Norma ABNT NBR ISO 27002:2005 segundo a própria ABNT NBR ISO/IEC 27002 (2005), é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos na norma provêm diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos. A norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança, e para ajudar a criar confiança nas atividades Inter organizacionais.

A ABNT NBR ISO 27002:2005 contém 11 seções de controles de segurança da informação, que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. Cada seção contém um número de categorias principais de segurança da informação. As 11 seções (acompanhadas com o respectivo número de categorias) são:

• Política de Segurança da Informação (1 categoria);

• Organizando a Segurança da Informação (2 categorias);

• Gestão de Ativos (2 categorias);

• Segurança em Recursos Humanos (3 categorias);

• Segurança Física e do Ambiente (2 categorias);

• Gestão das Operações e Comunicações (10 categorias);

• Controle de Acesso (7 categorias);

• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6 categorias);

• Gestão de Incidentes de Segurança da Informação (2 categorias);

...