Machine Translated by Google

Então ÿÿÿÿ

Divulgação para promover o direito à informação

Considerando que o Parlamento da Índia se propôs a fornecer um regime prático de direito

à informação para os cidadãos, a fim de garantir o acesso à informação sob o controlo das autoridades
públicas, a fim de promover a transparência e a responsabilização no funcionamento de todas as
autoridades públicas, e que o anexo publicação do Bureau of Indian Standards é de particular interesse
para o público, especialmente para as comunidades desfavorecidas e para aqueles envolvidos
na busca de educação e conhecimento, o padrão de segurança pública anexo é disponibilizado para
promover a disseminação oportuna dessas informações de maneira precisa para o público.

“ÿÿÿ1 ÿÿ ÿ+ÿÿÿÿ, ÿÿ1 ÿÿ ÿ+ÿÿÿÿ” “01 dia 1 dia 5 minutos”

Mazdoor Kisan Shakti Sangathan Jawaharlal Nehru
“O direito à informação, o direito de viver” “Saia do Velho para o Novo”

IS/ISO/IEC 13335-1 (2004): Tecnologia da Informação -

Técnicas de Segurança - Gestão de Informações e
Segurança da Tecnologia de Comunicações, Parte 1: Conceitos e
Modelos para Tecnologia da Informação e Comunicação
Gestão de Segurança [LITD 17: Segurança de Sistemas de Informação
e Biometria]

“!ÿÿ $ ÿÿ ÿ' ÿÿÿÿ ÿÿ +ÿÿ-ÿ”

Satyanarayan Gangaram Pitroda
“Invente uma Nova Índia Usando o Conhecimento”

“!”
Bhartÿhari—Nÿtiÿatakam
“O conhecimento é um tesouro que não pode ser roubado”
Machine Translated by Google
Machine Translated by Google
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Hkkjrh; ekud
lwpuk izkS|ksfxdh — lqj{kk rduhd
lwpuk ,oa lapkj izkS|ksfxdh lqj{kk dk izcU/ku Hkkx
1 lwpuk ,oa lapkj izkS|ksfxdh lqj{kk izcU/ku dh /kkj.kk vkSj izfr#i

Padrão Indiano

TECNOLOGIA DA INFORMAÇÃO — SEGURANÇA

TÉCNICAS — GESTÃO DE INFORMAÇÕES E

SEGURANÇA DA TECNOLOGIA DE COMUNICAÇÕES

PARTE 1 CONCEITOS E MODELOS DE INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE SEGURANÇA TECNOLÓGICA

ICS 35.040

© BIS 2009

BUREAU DE PADRÕES INDIANOS

MANAK BHAVAN, 9 BAHADUR SHAH ZAFAR MARG
NOVA DELI 110002

Dezembro de 2009 Grupo de preços 10

Machine Translated by Google

Comitê Seccional de Segurança de Sistemas de Informação e Biometria, LITD 17

PREFÁCIO NACIONAL

Esta norma indiana (Parte 1), que é idêntica à ISO/IEC 13335-1: 2004 'Tecnologia da informação - Técnicas de segurança - Gestão
da segurança da tecnologia da informação e comunicação - Parte 1: Conceitos e modelos para gestão da segurança da tecnologia
da informação e comunicação' emitida por o Comitê Técnico Conjunto ISO/IEC JTC 1 da Organização Internacional de
Padronização (ISO) e da Comissão Eletrotécnica Internacional (IEC) foi adotado em conjunto pelo Bureau of Indian Standards por
recomendação do Comitê Seccional de Segurança de Sistemas de Informação e Biometria e aprovação do Electronics e Conselho
da Divisão de Tecnologia da Informação.

O texto da Norma ISO/IEC foi aprovado como adequado para publicação como uma Norma Indiana sem desvios.
Certas convenções, no entanto, não são idênticas às utilizadas nas Normas Indianas. Chama-se especialmente a atenção para o
seguinte:

a) Sempre que aparecerem as palavras 'Norma Internacional' referindo-se a esta norma, elas deverão ser lidas como 'Norma Indiana'
Padrão'.

b) A vírgula (,) tem sido usada como marcador decimal na Norma Internacional, enquanto nas Normas Indianas, o
a prática atual é usar um ponto (.) como marcador decimal.
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Padrão Indiano

TECNOLOGIA DA INFORMAÇÃO — SEGURANÇA

TÉCNICAS — GESTÃO DE INFORMAÇÕES E

SEGURANÇA DA TECNOLOGIA DE COMUNICAÇÕES

PARTE 1 CONCEITOS E MODELOS DE INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE SEGURANÇA TECNOLÓGICA

1 Escopo

A ISO/IEC 13335 contém orientações sobre a gestão da segurança das TIC. A Parte 1 da ISO/IEC 13335
apresenta os conceitos e modelos fundamentais para uma compreensão básica da segurança das TIC e
aborda as questões gerais de gestão que são essenciais para o sucesso do planeamento,
implementação e operação da segurança das TIC.

Não é intenção desta Norma sugerir uma abordagem de gestão específica para a segurança das TIC. Em vez
disso, a ISO/IEC 13335-1 contém uma discussão geral de conceitos e modelos úteis para a gestão da
segurança das TIC. Este material é geral e aplicável a diversos estilos de gestão e ambientes organizacionais.
Está organizado de forma a permitir a adequação do material às necessidades de uma organização e ao seu
estilo de gestão específico.

2 Definições

Para os fins deste documento e das outras Partes de 13335, aplicam-se os seguintes termos e
definições. Os termos a seguir são derivados de todas as partes da ISO/IEC 13335 e ISO/IEC 17799. Qualquer
desvio das definições encontradas nessas referências deriva do uso específico na ISO/IEC 13335 referente ao
ambiente de segurança de TI.

2.1
responsabilidade
a propriedade que garante que as ações de uma entidade possam ser atribuídas exclusivamente à
entidade [ISO/IEC 7498-2]

2.2
ativo
qualquer coisa que tenha valor para a organização

1
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

2.3
autenticidade
a propriedade que garante que a identidade de um sujeito ou recurso é aquela reivindicada. A autenticidade se aplica a
entidades como usuários, processos, sistemas e informações

2.4
disponibilidade
a propriedade de ser acessível e utilizável mediante solicitação por uma entidade autorizada [ISO/IEC
7498-2]

2.5
A linha de base
controla um conjunto mínimo de salvaguardas estabelecidas para um sistema ou organização

2.6
confidencialidade
a propriedade de que as informações não são disponibilizadas ou divulgadas a indivíduos, entidades ou processos
não autorizados [ISO/IEC
7498-2]

2.7
controlo
no contexto da segurança das TIC, o termo “controlo” pode ser considerado sinónimo de “salvaguarda”. Ver
2.24, “salvaguarda”

2.8
diretrizes
uma descrição que esclareça o que deve ser feito e como, para atingir os objetivos estabelecidos nas políticas

2.9
impactar
o resultado de um incidente de segurança da informação

2
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

2.10
incidente de segurança da
informação qualquer evento inesperado ou indesejado que possa comprometer as atividades comerciais ou a
segurança da informação. Exemplos de incidentes de segurança da informação são:
- perda de serviços, equipamentos ou instalações,
- mau funcionamento ou sobrecarga do
sistema, - erros
humanos, - não conformidade com políticas ou diretrizes,
- violações dos dispositivos de segurança física, -
alterações descontroladas do sistema,
- mau funcionamento de software ou hardware, e -
violações de acesso.

2.11
Segurança das
TIC, todos os aspectos relacionados à definição, obtenção e manutenção da confidencialidade, integridade,
disponibilidade, não repúdio, responsabilidade, autenticidade e confiabilidade das TIC

2.12
Regras, diretrizes e
práticas de políticas de segurança de TIC que regem como os ativos, incluindo informações confidenciais,
são gerenciados, protegidos e distribuídos dentro de uma organização e seus sistemas de TIC

2.13
instalações de processamento de
informações, qualquer sistema, serviço ou infraestrutura de processamento de informações, ou os locais físicos
que os abrigam

2.14
segurança da informação
todos os aspectos relacionados à definição, obtenção e manutenção da confidencialidade, integridade,
disponibilidade, não repúdio, responsabilidade, autenticidade e confiabilidade das informações ou dos recursos
de processamento de informações

2.15
integridade
a propriedade de salvaguardar a precisão e integridade dos ativos

2.16
não repúdio a
capacidade de provar que uma ação ou evento ocorreu, de modo que esse evento ou ação não possa ser repudiado
posteriormente
[ISO/IEC 13888-1; ISO É 7498-2]

3
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

2.17
confiabilidade
a propriedade de comportamento e resultados pretendidos consistentes

2.18
risco residual o
risco que permanece após o tratamento do risco

2.19

arriscar o potencial de que uma determinada ameaça explore vulnerabilidades de um ativo ou grupo de ativos e, assim,
cause danos à organização. É medido em termos de uma combinação da probabilidade de um evento e sua
consequência

2.20
análise de risco
o processo sistemático de estimativa da magnitude dos riscos

2.21
avaliação de risco
o processo de combinar identificação de risco, análise de risco e avaliação de risco

2.22
gestão de riscos o
processo total de identificação, controle e eliminação ou minimização de eventos incertos que possam afetar os recursos
do sistema de TIC

2.23
tratamento de
risco o processo de seleção e implementação de controles para modificar o risco

2.24
salvaguardar
uma prática, procedimento ou mecanismo que trata riscos. Note-se que o termo “salvaguarda” pode ser considerado
sinónimo do termo “controlo”. Veja 2.7, “controle”

2.25
ameaça
uma causa potencial de um incidente que pode resultar em danos a um sistema ou organização

2.26
vulnerabilidade
uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças

4
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

3 Conceitos e relacionamentos de segurança

3.1 Princípios de segurança

Os seguintes princípios de segurança de alto nível são fundamentais para o estabelecimento de um programa eficaz de
segurança das TIC.

Gestão de riscos: Os activos devem ser protegidos através da adopção de salvaguardas adequadas.
As salvaguardas devem ser selecionadas e geridas com base numa metodologia de gestão de riscos
adequada, que avalie os ativos, as ameaças, as vulnerabilidades da organização e o impacto das ameaças que ocorrem,
para chegar aos riscos inerentes e tendo em consideração as restrições.

Compromisso: O compromisso organizacional com a segurança das TIC e a gestão de riscos é essencial. Para obter
compromisso, os benefícios da implantação da segurança das TIC devem ser especificados.

Funções e responsabilidades: A gestão organizacional é responsável por proteger os ativos. As funções e responsabilidades
pela segurança das TIC devem ser esclarecidas e comunicadas.

Objectivos, estratégias e políticas: O risco de segurança das TIC deve ser gerido tendo em consideração os objectivos,
estratégias e políticas da organização.

Gestão do ciclo de vida: A gestão da segurança das TIC deve ser contínua durante todo o ciclo de vida de um ativo
organizacional de TIC.

As subseções seguintes descrevem em alto nível os principais elementos de segurança e suas relações que
estão envolvidos na gestão da segurança, tendo em vista os princípios fundamentais de segurança. Cada um dos
elementos é introduzido e os principais fatores contribuintes são identificados.
A Parte 2 desta Norma Internacional fornece uma discussão aprofundada dos elementos de risco, incluindo
ameaças, vulnerabilidades e salvaguardas.

3.2 Ativos

A gestão adequada dos ativos é vital para o sucesso da organização e é uma responsabilidade importante de
todos os níveis de gestão. Os ativos de uma organização podem ser considerados suficientemente valiosos para
garantir algum grau de proteção. Estes podem incluir, sem limitação
para:

ativos físicos (por exemplo, hardware de computador, instalações de comunicação, edifícios),

informações/dados (por exemplo, documentos, bancos de

dados),

software, capacidade de fornecer um produto ou

serviço,

pessoas e intangíveis (por exemplo, fundo de comércio, imagem).

5
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Do ponto de vista da segurança, não é possível implementar e manter um programa de segurança bem-sucedido
se os ativos da organização não forem identificados. Em muitas situações, o processo de identificação de activos
e de atribuição de um valor pode ser realizado a um nível muito elevado e pode não exigir um exercício dispendioso,
detalhado e demorado. O nível de detalhe deste exercício deve ser medido em termos de tempo e custo versus
o valor dos activos. Em qualquer caso, o nível de detalhe deverá ser determinado com base nos objectivos de segurança.

Os atributos dos ativos a serem considerados incluem o seu valor e/ou sensibilidade e quaisquer salvaguardas
presentes. Vulnerabilidades na presença de ameaças específicas influenciam os requisitos de proteção dos ativos. Os
ambientes, culturas e sistemas jurídicos em que a organização opera podem afetar os ativos e os seus atributos.
Por exemplo, algumas culturas consideram a protecção das informações pessoais muito importante, enquanto outras
dão uma importância menor a esta questão. Estas variações ambientais, culturais e jurídicas podem ser
significativas para as organizações internacionais e para a sua utilização de sistemas de TIC através das fronteiras
internacionais.

Com base numa avaliação de ameaças e vulnerabilidades, e do seu impacto combinado, o risco pode ser avaliado
e depois aplicadas salvaguardas para proteger os activos, conforme apropriado. Uma avaliação do risco residual
é então necessária para determinar se os activos estão adequadamente protegidos.

3.3 Ameaças

Os ativos estão sujeitos a muitos tipos de ameaças. Uma ameaça tem o potencial de causar danos a um ativo e,
portanto, a uma organização. Este dano pode ocorrer devido a um ataque às informações tratadas por um
sistema ou serviço de TIC, ao próprio sistema ou a outros recursos, por exemplo, causando destruição, divulgação,
modificação, corrupção e indisponibilidade ou perda não autorizadas. Uma ameaça precisa explorar uma
vulnerabilidade existente do ativo para danificá-lo. As ameaças podem ser de origem ambiental ou humana e, neste
último caso, podem ser acidentais ou deliberadas. Tanto as ameaças acidentais como as deliberadas devem ser
identificadas e o seu nível e probabilidade de ocorrência avaliados. Estão disponíveis dados estatísticos
relativos a muitos tipos de ameaças ambientais. Esses dados podem ser obtidos e utilizados por uma
organização durante a avaliação de ameaças.

6
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Exemplos de ameaças são:

Humano Ambiental

Deliberar Acidental

Terremoto
Escuta Erros e omissões
Raio
Modificação de informações Exclusão de arquivo
Inundações

Hacking de sistema Roteamento incorreto Fogo

Código malicioso Acidentes físicos
Roubo

Tabela 1 – Exemplos de ameaças

As ameaças podem afetar partes específicas de uma organização, por exemplo, perturbações nos computadores.
Algumas ameaças podem ser gerais para o ambiente circundante em um determinado local onde existe um
sistema ou organização, por exemplo, danos a edifícios causados por furacões ou raios. Uma ameaça pode surgir
de dentro da organização, por exemplo, sabotagem por parte de um funcionário, ou de fora, por exemplo,
hacking malicioso ou espionagem industrial. A quantidade de dano pode variar amplamente para cada ocorrência
de uma ameaça. O dano pode ser de natureza temporária ou permanente, como no caso da destruição de
um ativo.

As ameaças possuem características que definem suas relações com outros elementos de segurança. Essas
características podem incluir o seguinte:

fonte, ou seja, interno versus externo,

motivação, por exemplo, ganho financeiro, vantagem competitiva,
frequência de ocorrência,
probabilidade e
impacto.

Algumas ameaças podem afetar mais de um ativo. Nesses casos, podem causar impactos diferentes
dependendo dos activos afectados. Por exemplo, um vírus de software num computador pessoal independente
pode ter um impacto limitado ou localizado. Entretanto, o mesmo vírus de software em um servidor de
arquivos baseado em rede pode ter um impacto generalizado.

Os ambientes e culturas em que a organização está situada podem ter uma influência e influência
significativas na forma como as ameaças à organização e aos seus activos são abordadas.
Algumas ameaças podem não ser consideradas prejudiciais em algumas culturas. Aspectos ambientais e
culturais devem ser considerados ao abordar ameaças.

As ameaças podem ser qualificadas em termos como Alto, Médio e Baixo, dependendo do resultado da avaliação
da ameaça.

7
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

3.4 Vulnerabilidades

Uma fraqueza de um ativo, ou grupo de ativos, que pode ser explorada por uma ou mais ameaças é conhecida como
vulnerabilidade. As vulnerabilidades associadas aos ativos incluem fraquezas na disposição física, organização,
procedimentos, pessoal, gestão, administração, hardware, software ou informação. As ameaças podem
explorar vulnerabilidades para causar danos ao sistema de TIC ou aos objetivos comerciais. Uma vulnerabilidade
pode existir na ausência de ameaças correspondentes. Uma vulnerabilidade por si só não causa danos; uma
vulnerabilidade é apenas uma condição ou conjunto de condições que podem permitir que uma ameaça afete um
ativo. As vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo, aquelas
intrínsecas ou extrínsecas ao ativo. As vulnerabilidades podem permanecer, a menos que o próprio ativo mude
de tal forma que a vulnerabilidade não se aplique mais. As vulnerabilidades devem ser avaliadas individualmente
e em conjunto para considerar todo o contexto operacional.

Um exemplo de vulnerabilidade é a falta de controle de acesso, que pode permitir a ocorrência de uma ameaça
de intrusão e a perda de ativos.

Dentro de um sistema ou organização específica, nem todas as vulnerabilidades serão suscetíveis a ameaças.
Vulnerabilidades que apresentam uma ameaça correspondente são motivo de preocupação imediata. No entanto,
como o ambiente pode mudar de forma imprevisível, todas as vulnerabilidades devem ser monitorizadas para
identificar aquelas que ficaram expostas a ameaças novas ou reemergentes.

A avaliação da vulnerabilidade é o exame dos pontos fracos que podem ser explorados pelas ameaças identificadas.
Esta avaliação deve ter em conta o ambiente e as salvaguardas existentes. A medida da vulnerabilidade de um
determinado sistema ou ativo a uma ameaça é uma declaração da facilidade com que o sistema ou ativo pode ser
danificado.

As vulnerabilidades podem ser qualificadas em termos como Alta, Média e Baixa, dependendo do resultado da
avaliação da vulnerabilidade.

3.5 Impacto

O impacto é o resultado de um incidente de segurança da informação, causado por uma ameaça, que afeta ativos.
O impacto poderá ser a destruição de determinados bens, danos ao sistema TIC e comprometimento da
confidencialidade, integridade, disponibilidade, não repúdio, responsabilização, autenticidade ou
fiabilidade. O possível impacto indireto inclui perdas financeiras e a perda de participação de mercado ou de
imagem da empresa. A medição do impacto permite estabelecer um equilíbrio entre os resultados previstos de
um incidente e o custo das salvaguardas para proteger contra o incidente. A probabilidade de ocorrência de um
incidente precisa ser levada em consideração. Isto é particularmente importante quando a quantidade de danos
causados por cada ocorrência é baixa, mas onde o efeito agregado de muitos incidentes ao longo do tempo pode ser
prejudicial. A avaliação dos impactos é um elemento importante na avaliação dos riscos e na seleção das
salvaguardas.

As medições quantitativas e qualitativas do impacto podem ser alcançadas de diversas maneiras, tais como:
como:

8
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

estabelecer o custo financeiro,

atribuindo uma escala empírica de gravidade, por exemplo, de 1 a 10, e utilizando

adjetivos selecionados de uma lista pré-definida, por exemplo, Alta, Média e Baixa.

3.6 Risco

Risco é o potencial de que uma determinada ameaça explore vulnerabilidades de um ativo ou grupo de ativos e, assim,
cause danos à organização. Ameaças únicas ou múltiplas podem explorar vulnerabilidades únicas ou múltiplas.

Um cenário de risco descreve como uma determinada ameaça ou grupo de ameaças pode explorar uma determinada
vulnerabilidade ou grupo de vulnerabilidades que expõe os ativos a danos. O risco é caracterizado por uma combinação de
dois fatores, a probabilidade de ocorrência do incidente e seu impacto. Qualquer alteração nos ativos, ameaças,
vulnerabilidades e salvaguardas pode ter efeitos significativos sobre os riscos.
A detecção precoce ou o conhecimento de quaisquer alterações aumentam a oportunidade de serem tomadas medidas
apropriadas para tratar o risco. As opções para tratamento de riscos incluem prevenção de riscos, redução de riscos,
transferência de riscos e aceitação de riscos.

O risco nunca é completamente eliminado. Parte do julgamento se a segurança é apropriada às necessidades da

organização é a aceitação do risco residual. A gestão deve estar ciente de todos os riscos residuais em termos de impacto
e probabilidade de ocorrência de um incidente. A decisão de aceitar riscos residuais deve ser tomada por aqueles que
estão em condições de aceitar o impacto dos incidentes ocorridos e que podem autorizar a implementação de salvaguardas
adicionais se o nível de risco residual não for aceitável.

3.7 Salvaguardas

As salvaguardas são práticas, procedimentos ou mecanismos que podem proteger contra uma ameaça, reduzir uma
vulnerabilidade, limitar o impacto de um incidente de segurança da informação, detectar incidentes e facilitar a recuperação.
A segurança eficaz geralmente requer uma combinação de diferentes salvaguardas para fornecer camadas de segurança
para proteger os ativos. Por exemplo, os mecanismos de controlo de acesso aplicados a computadores devem
ser apoiados por controlos de auditoria, procedimentos de pessoal, formação e segurança física. Algumas salvaguardas
podem já existir como parte do ambiente, ou como um aspecto inerente aos activos, ou podem já estar em vigor no sistema
ou organização.

Uma seleção apropriada de salvaguardas é essencial para um programa de segurança devidamente implementado.
Uma salvaguarda pode servir a vários propósitos; inversamente, uma função pode exigir diversas salvaguardas.
As salvaguardas podem ser consideradas como desempenhando uma ou mais das seguintes funções:

prevenção,

dissuasão,

detecção,

limitação,

correção,

9
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

recuperação,

monitoramento e
conhecimento.

Alguns exemplos de áreas onde as salvaguardas podem ser utilizadas incluem:

ambiente físico, ambiente

técnico (hardware, software e comunicações), pessoal e administração.

Certas salvaguardas enviam uma mensagem forte e clara no que diz respeito à atitude da organização em relação
à segurança. Neste sentido, é importante selecionar salvaguardas que não sejam ofensivas à cultura e/ou à sociedade
em que a organização opera.

Exemplos de salvaguardas específicas são:

políticas e procedimentos,
mecanismos de controle de

acesso, software

antivírus,

criptografia, assinaturas

digitais, ferramentas de monitoramento

e análise, fontes de alimentação

redundantes e cópias de backup de informações.

3.8 Restrições

As restrições são normalmente definidas ou reconhecidas pela gestão da organização e influenciadas pelo ambiente em
que a organização opera. Alguns exemplos de restrições a serem consideradas são:

organizacional,
comercial,

financeiro,

ambiental, pessoal,

temporal,

jurídico, técnico
e cultural/social.

10
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Estes factores devem ser considerados na selecção e implementação de salvaguardas. Periodicamente, as restrições
existentes e novas devem ser revistas e quaisquer alterações identificadas. Deve-se também notar que as restrições podem
mudar com o tempo, a geografia e a evolução social, bem como a cultura organizacional. O ambiente e a cultura em
que a organização opera podem influenciar vários elementos de segurança, especialmente ameaças, riscos e salvaguardas.

3.9 Relacionamentos dos elementos de segurança

A segurança dos sistemas TIC é uma disciplina multidimensional que pode ser vista de diferentes perspectivas. A Figura
1 apresenta um modelo que mostra como os ativos estão potencialmente sujeitos a diversas ameaças. Este conjunto
de ameaças muda constantemente ao longo do tempo e é apenas parcialmente conhecido. Da mesma forma, o ambiente
muda ao longo do tempo e esta mudança pode impactar a natureza das ameaças e a probabilidade de sua ocorrência.

O modelo representa:

um ambiente contendo restrições e ameaças que mudam constantemente e são apenas parcialmente conhecidos,
os ativos de uma

organização, as vulnerabilidades

associadas a esses ativos, as salvaguardas selecionadas

para proteger os ativos e os riscos residuais aceitáveis

para a organização.

Pelo menos cinco cenários são viáveis e estão ilustrados na Figura 1. Esses cenários incluem:

Cenário 1 – Uma salvaguarda (S) pode ser eficaz na redução dos riscos (R) associados a uma ameaça (T) capaz de explorar
uma vulnerabilidade (V). Uma ameaça só pode tornar-se eficaz se o ativo for vulnerável a ela.

Cenário 2 – Uma salvaguarda pode ser eficaz na redução dos riscos associados a uma ameaça que explora
múltiplas vulnerabilidades.

Cenário 3 – Múltiplas salvaguardas podem ser eficazes na redução dos riscos associados a múltiplas ameaças que exploram
uma vulnerabilidade. Às vezes, são necessárias várias salvaguardas para reduzir o risco a um nível aceitável para que o risco
residual (RR) seja aceitável.

Cenário 4 – O risco é considerado aceitável e nenhuma salvaguarda é implementada, mesmo que haja ameaças e exista uma
vulnerabilidade.

Cenário 5 – Existe uma vulnerabilidade, mas não há ameaças conhecidas para explorá-la.

Podem ser implementadas salvaguardas para monitorizar o ambiente de ameaças para garantir que não se desenvolvam
ameaças que possam explorar a vulnerabilidade. As restrições afetam a seleção de salvaguardas.

11
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

RESTRIÇÕES

T TT

R RR
S
S
VV
ATIVOS
S V e seus
RR V
V valor

T V
S

RR Lenda:
R - risco
RR - risco residual
T S - salvaguarda
T - ameaça
V – vulnerabilidade

Figura 1 – Relacionamentos dos elementos de segurança

Qualquer sistema TIC compreende activos (particularmente informação, mas também hardware, software, serviços
de comunicações, etc.) que são importantes para o sucesso do negócio de uma organização.
Esses ativos têm valor para a organização, que normalmente é expresso em termos do impacto nas operações comerciais
resultante da divulgação não autorizada, modificação ou repúdio de informações, ou da indisponibilidade ou destruição de
informações ou serviços. O impacto é primeiro determinado independentemente de quais ameaças possam ocorrer
para causar o impacto, para ter certeza de identificar os valores reais. Em seguida, é abordada a questão de quais
ameaças podem ocorrer para causar tal impacto, e a probabilidade de sua ocorrência, ou seja, os ativos podem estar sujeitos
a uma série de ameaças. Em seguida, é abordada a questão de quais vulnerabilidades (ou fraquezas) podem ser
exploradas pelas ameaças para causar o impacto, ou seja, as ameaças podem explorar vulnerabilidades para expor ativos.
Cada um destes componentes, ou seja, valores, ameaças e vulnerabilidades, pode aumentar o risco. As medidas de
risco indicarão então o requisito global de protecção, que em termos reais é efectuado ou satisfeito pela implementação de
salvaguardas. As salvaguardas implementadas reduzem então o risco, protegem contra ameaças e podem, de
facto, reduzir as vulnerabilidades.

12
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

A Figura 2 ilustra num modelo mais simples como algumas salvaguardas podem ser eficazes na redução de riscos.
Muitas vezes, são necessárias diversas salvaguardas para reduzir os riscos residuais a um nível aceitável. É possível que
nenhuma salvaguarda seja implementada se o risco for considerado aceitável.

Salvaguardas
implementadas

Implementando contra
proteções Risco

Risco

Aceitável
Nível

Residual
Risco

Planejamento: Implementação:
*Avaliação de risco *Implementação
*Desenvolvimento do plano proteções
de segurança TIC

Figura 2 – Relações de salvaguarda e risco

4 Objetivos, estratégias e políticas

Os objetivos, estratégias e políticas de segurança corporativa precisam ser formulados como base para uma segurança
eficaz das TIC em uma organização. Eles apoiam os negócios da organização e juntos garantem a consistência entre
todas as salvaguardas. É particularmente importante, para garantir essa consistência, que os objectivos, estratégias e
políticas sejam incluídos como parte integrante dos programas de formação e sensibilização em segurança.

13
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Os objetivos (o que deve ser alcançado), as estratégias (como atingir esses objetivos), as políticas (as
regras a serem observadas na implementação das estratégias) e os procedimentos (os métodos
para implementar as políticas) podem ser definidos e desenvolvidos hierarquicamente a partir do nível
corporativo. aos níveis operacionais da organização e para cada divisão, unidade de negócios ou
departamento. A documentação de orientação deve refletir os requisitos organizacionais e levar em conta
quaisquer restrições organizacionais. A consistência entre os documentos correspondentes, embora
influenciados por diferentes pontos de vista, e entre os vários níveis da organização, é importante, uma
vez que muitas ameaças (como invasão de sistemas, exclusão de arquivos e incêndio) são problemas
comerciais comuns.

Além disso, os objectivos, estratégias e políticas corporativas gerais devem ser reflectidos e refinados em
objectivos, políticas e procedimentos detalhados e específicos em todas as áreas de interesse para
a organização, tais como gestão financeira, gestão de pessoal – e gestão de segurança.
A segurança deve então ser subdividida nas suas partes constituintes (pessoal, física, informação, TIC, etc.).
A hierarquia da documentação deve ser mantida e atualizada com base nos resultados de revisões
periódicas de segurança (por exemplo, avaliação de risco, auditorias de segurança internas e/ou externas) e
mudanças nos objetivos de negócios.

Os objectivos, estratégias, políticas e procedimentos de segurança do sistema TIC devem representar

o que se espera do sistema TIC em termos de segurança. Normalmente são expressos utilizando uma
linguagem natural, mas pode ser necessário expressá-los de uma forma mais formal, utilizando alguma
linguagem estabelecida. Os objetivos, estratégias, políticas e procedimentos estabelecerão o nível de
segurança para a organização e o limite para aceitação de riscos.

4.1 Objectivos e estratégia de segurança das TIC

Depois de estabelecer os objectivos de segurança das TIC da organização, deverá ser desenvolvida uma
estratégia de segurança das TIC para formar uma base para o desenvolvimento de uma política
corporativa de segurança das TIC. O desenvolvimento de uma política corporativa de segurança das TIC é
essencial para garantir que os resultados do processo de gestão de riscos sejam apropriados e eficazes. O
apoio da gestão em toda a organização é necessário para o desenvolvimento e implementação eficaz da
política. É essencial que uma política corporativa de segurança das TIC tenha em conta os objectivos
corporativos e aspectos particulares da organização. Deve estar alinhado com a política de segurança
corporativa e a política de negócios corporativos. Com este alinhamento, a política corporativa de segurança
das TIC ajudará a alcançar a utilização mais eficaz dos recursos e garantirá uma abordagem consistente à
segurança numa variedade de ambientes de sistemas diferentes.

Poderá ser necessário desenvolver uma política de segurança separada e específica para cada um ou alguns
dos sistemas de TIC. Estas políticas devem basear-se na avaliação de riscos e ser consistentes com a política
corporativa de segurança TIC, tendo assim em conta as recomendações de segurança para os sistemas
a que se referem.

Como primeiro passo no processo de gestão da segurança das TIC, deve-se considerar a questão “que
nível amplo de risco é aceitável para a organização?” . O

14
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

O amplo nível de segurança necessário é determinado pelos objetivos de segurança de TIC que uma organização
precisa cumprir. Para avaliar estes objectivos de segurança, os activos da organização e o seu valor devem ser
considerados. Isto deve ser determinado pela importância que as TIC têm no apoio à condução dos negócios
da organização; o custo das TIC em si representa apenas uma pequena parte do seu valor.

Possíveis questões para avaliar o quanto o negócio de uma organização depende das TIC são:

Quais são os componentes importantes do negócio que não podem ser realizados sem o apoio das TIC?

Quais são as tarefas que só podem ser realizadas com a ajuda das TIC?
Que decisões essenciais dependem da confidencialidade, integridade, disponibilidade, não repúdio,
responsabilização e autenticidade da informação armazenada ou processada pelas TIC, ou da actualização
dessa informação?
Que informações confidenciais armazenadas ou processadas precisam ser protegidas?
Quais são as implicações de um incidente de segurança da informação para a organização?

Responder a estas perguntas pode ajudar a avaliar os objetivos de segurança das TIC de uma organização. Se, por
exemplo, alguns componentes importantes ou muito importantes do negócio dependem de informações precisas
ou atualizadas, então um dos objetivos de segurança das TIC desta organização pode ser garantir a integridade e a
atualidade das informações tal como são armazenados e processados nos sistemas TIC. Além disso, importantes
objectivos empresariais e a sua relação com a segurança devem ser considerados na avaliação dos objectivos de
segurança das TIC.

Dependendo dos objectivos de segurança das TIC, deverá ser acordada uma estratégia para alcançar estes
objectivos. A estratégia escolhida deverá ser adequada ao valor dos bens a proteger.
Se, por exemplo, as respostas a uma ou mais das perguntas acima indicarem uma forte dependência das TIC, então
é provável que a organização tenha elevados requisitos de segurança das TIC, e é aconselhável escolher uma
estratégia que seja suficiente para cumprir esses requisitos. .

Uma estratégia de segurança das TIC descreve em termos gerais como uma organização alcançará os seus
objectivos de segurança das TIC. Os tópicos que tal estratégia deverá abordar dependerão do número, tipo e
importância desses objectivos, e normalmente serão aqueles que a organização considera importante abordar
uniformemente. Os tópicos podem ser de natureza bastante específica ou muito ampla.

Como exemplo de um tópico específico, uma organização poderia ter como objetivo principal de segurança das TIC
que, devido à natureza do seu negócio, todos os seus sistemas estivessem continuamente disponíveis. Neste caso,
um tópico estratégico poderia ser direcionado para minimizar a infestação de vírus através da instalação
de software antivírus em toda a organização.

Como exemplo de um tópico mais amplo, uma organização poderia ter um objectivo de segurança das TIC, porque o
seu negócio é vender os seus serviços de TIC, para que a segurança dos seus próprios sistemas seja comprovada a
potenciais clientes. Neste caso, um tema estratégico poderia ser a validação da segurança por um terceiro reconhecido.

15
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Outros tópicos possíveis para uma estratégia de segurança das TIC, devido a objetivos específicos ou combinações dos
mesmos, poderiam incluir:

estratégia e métodos de avaliação de risco a serem adotados em toda a organização,

política de segurança do sistema de TIC para cada

sistema, procedimentos operacionais de segurança para

cada sistema, esquema de categorização de sensibilidade da informação em toda

a organização, conscientização e

treinamento em segurança, condições de segurança das conexões a serem atendidas e verificadas , antes que
outras organizações

estejam conectadas, e um esquema padrão de gerenciamento de incidentes de segurança da informação em toda a organização.

Uma vez determinada, a estratégia de segurança e os seus tópicos constituintes devem ser incluídos na política
corporativa de segurança das TIC.

4.2 Hierarquia política

A política de segurança corporativa pode compreender os princípios e diretrizes de segurança para a organização
como um todo. As políticas de segurança corporativa devem refletir as políticas corporativas mais amplas, incluindo
aquelas que abordam direitos individuais, requisitos legais e padrões.

A política de segurança da informação pode conter os princípios e diretrizes específicos para a proteção de
informações sensíveis ou valiosas, ou de outra forma importantes para a organização. Os princípios nele contidos
serão derivados e, portanto, consistentes com os princípios da política de segurança corporativa.

A política corporativa de segurança de TIC deve refletir os princípios e diretrizes essenciais de segurança de TIC
aplicáveis à política de segurança corporativa e à política de segurança da informação, e ao uso geral de sistemas de
TIC dentro da organização.

Uma política de segurança do sistema de TIC deve reflectir os princípios e directivas de segurança contidos na política
corporativa de segurança de TIC. Deve também conter detalhes sobre os requisitos e salvaguardas de segurança
específicos a serem implementados e procedimentos sobre como usar as salvaguardas corretamente para garantir
uma segurança adequada. Em todos os casos, é importante que a abordagem adotada seja eficaz em relação às
necessidades de negócio da organização.

Quando apropriado, a política corporativa de segurança de TIC pode ser incluída na gama de políticas técnicas e de gestão
corporativas, que juntas constituem uma base para uma política corporativa de TIC. Esta política deve incluir algumas palavras
persuasivas sobre a importância da segurança, especialmente se a segurança for necessária para o cumprimento
dessa política. A Figura 3 mostra uma amostra de uma possível relação hierárquica de políticas. Independentemente
da documentação e da estrutura organizacional utilizada pela organização, é importante que as diferentes
mensagens das políticas descritas sejam abordadas e que a consistência seja mantida.

16
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

São necessárias outras políticas de segurança das TIC, mais detalhadas, para sistemas e serviços específicos ou para
um grupo de sistemas e serviços de TIC. Estas são normalmente conhecidas como políticas de segurança do sistema TIC.
É um aspecto importante da gestão que o seu âmbito e limites sejam claramente definidos e baseados em requisitos
comerciais e técnicos.

Política de Negócios Corporativos,

Derivado de Objetivos e Estratégia

(Outras políticas)
Corporativo Corporativo Corporativo
Política de Marketing Política de segurança Política de TIC

Segurança da Informação
Política

Política de Segurança TIC

*
Departamento ou Unidade de Negócios
Política de Segurança TIC

Sistema B

Sistema A

Política de Segurança TIC

* A profundidade da hierarquia (número de camadas) depende de vários fatores, como o tamanho da organização.

Figura 3 – Hierarquia de políticas

17
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

4.3 Elementos da política corporativa de segurança de TIC

Uma política corporativa de segurança das TIC deve ser produzida com base nos objetivos e na estratégia
corporativa de segurança das TIC acordadas. É necessário estabelecer e manter uma política corporativa
de segurança de TIC, consistente com a legislação, regulamentação, negócios corporativos, segurança e
políticas de TIC.

Quanto mais uma organização depende das TIC, mais importante é a segurança das TIC, para ajudar a garantir
que os objetivos de negócio sejam alcançados. Ao redigir a política corporativa de segurança das TIC, as
características culturais, ambientais e organizacionais devem ser tidas em conta, uma vez que podem
influenciar a abordagem à segurança, por exemplo, algumas salvaguardas, que podem ser facilmente aceites num
ambiente, podem ser totalmente inaceitáveis noutro.

As atividades de segurança descritas na política corporativa de segurança de TIC podem basear-se nos
objetivos e na estratégia organizacional, nos resultados de avaliações anteriores de risco de segurança e
análises de gestão, nos resultados de ações de acompanhamento, como verificação de conformidade de segurança
de salvaguardas implementadas, de monitoramento, auditoria e revisão da segurança das TIC na utilização
quotidiana e de relatórios de incidentes de segurança. Qualquer ameaça ou vulnerabilidade grave detectada
durante estas actividades precisa de ser abordada, com a política corporativa de segurança das TIC
descrevendo a abordagem global da organização para lidar com estes problemas de segurança. As ações
detalhadas são descritas nas diversas políticas de segurança do sistema TIC, ou em outros documentos de
apoio, por exemplo, procedimentos operacionais de segurança.

No desenvolvimento da política corporativa de segurança de TIC, deverão participar representantes das seguintes
funções:

auditoria,

jurídico, financeiro, sistemas de informação (técnicos

e utilizadores), serviços públicos/infra-estruturas (ou seja, pessoas responsáveis pela estrutura do edifício e
alojamento, energia, ar
condicionado),
pessoal,
segurança e gestão empresarial.

De acordo com os objetivos de segurança e a estratégia que uma organização adotou para atingir esses
objetivos, é determinado o nível de detalhe apropriado para a política corporativa de segurança de TIC.
A política corporativa de segurança das TIC deve abordar as seguintes áreas gerais:

seu escopo e finalidade,

os objetivos de segurança em relação às obrigações legais e regulatórias e os objetivos comerciais,

18
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Requisitos de segurança das TIC, em termos de confidencialidade, integridade, disponibilidade, não

repúdio, responsabilização e autenticidade da informação, referências a
normas nas quais a política se baseia, administração da segurança
da informação, abrangendo responsabilidades e autoridades organizacionais e individuais, gestão
de riscos abordagem adotada pela
organização, os meios pelos quais as prioridades para a implementação
de salvaguardas podem ser determinadas, o amplo nível de segurança e risco residual procurado pela
gestão, quaisquer regras gerais para controle de acesso (controle de acesso lógico,
bem como o controle de acesso físico edifícios, salas, sistemas e informações), a abordagem à conscientização e
treinamento de segurança dentro da organização, procedimentos
amplos para verificar e manter a segurança, questões gerais de segurança do pessoal, os
meios pelos quais a política será comunicada a todas as
pessoas envolvidas, o circunstâncias sob
as quais a política deve ser revisada ou auditada e o método de controle de alterações na política.

As organizações devem avaliar os seus requisitos, ambiente e cultura, para determinar os tópicos específicos
que melhor se adequam às suas circunstâncias. Os tópicos podem incluir:

Requisitos de segurança das TIC, por exemplo, em termos de confidencialidade, integridade, disponibilidade,
não repúdio, responsabilidade, autenticidade e fiabilidade, particularmente no que diz respeito às opiniões dos
proprietários de activos,

infra-estrutura organizacional e atribuição de responsabilidades, integração da

segurança no desenvolvimento do sistema e aquisições, definição de métodos e
classes para classificação de informações, estratégias de gerenciamento de

riscos, planejamento de
continuidade de negócios, questões
de pessoal (deve-se prestar atenção especial ao pessoal em cargos que exigem confiança, como pessoal de
manutenção e administradores de sistema), conscientização e treinamento,
questões legais e regulatórias
obrigações, gerenciamento de
terceirização e gerenciamento de
incidentes de segurança da informação.

Conforme discutido anteriormente nesta cláusula, os resultados de análises anteriores de avaliação de riscos,
verificação de conformidade de segurança e incidentes de segurança da informação podem ter um efeito na política
corporativa de segurança de TIC. Isto, por sua vez, pode exigir que uma estratégia ou política previamente
definida seja revista ou aperfeiçoada.

19
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Para garantir o apoio adequado a todas as medidas relacionadas com a segurança, a política corporativa de segurança
das TIC deve ser aprovada pela administração.

Com base na política corporativa de segurança das TIC, deve ser redigida uma diretiva que seja vinculativa para todos
os gestores e funcionários. Isto pode exigir a assinatura de cada funcionário num documento, que reconhece a sua
responsabilidade pela segurança dentro da organização. Além disso, um programa de sensibilização e formação em
segurança deve ser desenvolvido e implementado para comunicar estas responsabilidades.

Um indivíduo deve ser designado para ser responsável pela política corporativa de segurança de TIC e por garantir que
esta política reflita os requisitos e o status real da organização.
Esta pessoa seria normalmente o responsável corporativo pela segurança das TIC, que, entre outras coisas, deveria
ser responsável pelas atividades de acompanhamento. Isto inclui a verificação da conformidade de segurança, revisões
e auditorias, o tratamento de incidentes e deficiências de segurança e quaisquer alterações à política corporativa de
segurança das TIC que possam ser necessárias de acordo com os resultados dessas ações.

5 Aspectos organizacionais da segurança das TIC

5.1 Funções e responsabilidades

5.1.1 Funções organizacionais, responsabilidades e responsabilidades A segurança

eficaz requer responsabilidade e a atribuição e reconhecimento explícitos das responsabilidades de segurança. A gestão
deve ser responsável por todos os aspectos da gestão da segurança, incluindo a tomada de decisões em
matéria de gestão de riscos. Vários fatores, como a natureza, a forma de constituição, o tamanho e a estrutura de uma
organização, determinarão o nível em que as responsabilidades serão atribuídas. A segurança das TIC é um tema
interdisciplinar e relevante para todos os projetos e sistemas de TIC e para todos os utilizadores de TIC dentro de uma
organização. A atribuição e demarcação adequadas de responsabilidades e funções e responsabilidades específicas devem
garantir que todas as tarefas importantes sejam realizadas e executadas de forma eficaz e eficiente.

Para pequenas organizações, a gestão pode preencher funções de segurança, ou outro pessoal pode desempenhar duas
ou mais funções de segurança. Nesses casos, a revisão independente é importante para evitar conflitos de interesses e
para garantir uma separação adequada de funções.

Embora este objetivo possa ser alcançado através de vários esquemas organizacionais, dependendo do tamanho e da
estrutura de uma organização, as seguintes funções precisam ser cobertas em cada organização:

um fórum de segurança de TIC, que normalmente resolve questões interdisciplinares, aconselha e recomenda
estratégias e aprova políticas e procedimentos, e o responsável corporativo de

segurança de TIC, que atua como foco para todos os aspectos de segurança de TIC dentro de uma organização.

20
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Tanto o fórum de segurança das TIC como o responsável corporativo pela segurança das TIC devem ter funções
bem definidas e inequívocas, e ser suficientemente seniores para garantir o compromisso com a política
corporativa de segurança das TIC. A organização deve fornecer linhas claras de comunicação, responsabilidade
e autoridade para o responsável corporativo pela segurança das TIC, e as funções devem ser aprovadas pelo
fórum de segurança das TIC. A execução destas funções poderá ser complementada pela utilização de
consultores externos.

A Figura 4 mostra um exemplo das relações entre o responsável corporativo pela segurança das TIC, o fórum
de segurança das TIC e os representantes de outras áreas da organização, tais como outras funções de
segurança, a comunidade de utilizadores e o pessoal das TIC. Esses relacionamentos podem ser de
gerenciamento de linha ou funcionais. O exemplo da organização de segurança das TIC descrito na Figura
4 utiliza três níveis organizacionais. Estes são amplamente baseados em estruturas organizacionais clássicas,
como corporativo/departamento ou centro corporativo/unidade de negócios, mas podem ser facilmente
adaptados a qualquer organização adicionando ou omitindo níveis de acordo com a necessidade da organização.
Organizações de pequeno e médio porte podem optar por ter um responsável corporativo pela segurança
de TIC cujas responsabilidades abrangem todas as funções de segurança. Quando as funções são combinadas,
é importante garantir que sejam mantidos os controlos e equilíbrios adequados para evitar concentrar
demasiada responsabilidade nas mãos de uma pessoa sem ter a possibilidade de influência ou controlo.

21
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

Corporativo
Gerenciamento

Corporativo
Oficial de segurança

Direção de TIC Corporativo

Comitê Segurança TIC
Policial

Corporativo
Segurança TIC
Segurança TIC
Política
Fórum

Nível corporativo

*Nível do departamento

Representante(s) de TIC Oficial de segurança de TIC

*
Departamento ou Unidade de Negócios

*Departamento /BU
Usuário de TIC Segurança TIC

Representante Política

*Sistema/Nível de Projeto

Projeto ou sistema de TIC

Oficial de segurança

Lenda:

papéis
*Projeto TIC ou
Segurança TIC
organizacional Administrador Sistema de segurança
Política
* somente se o Departamento tiver tamanho suficiente

Figura 4 – Exemplo de organização de segurança de TIC

22
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

5.1.2 Fórum de segurança das

TIC Esse fórum deve envolver pessoas com as competências necessárias para aconselhar e recomendar
estratégias, identificar requisitos, formular políticas, elaborar o programa de segurança, analisar os resultados e
dirigir o responsável corporativo pela segurança das TIC. Poderá já existir um fórum adequado ou poderá ser
preferível um fórum separado sobre segurança das TIC. O papel de tal fórum ou comitê é:

aconselhar o comitê diretor de TIC em relação ao planejamento estratégico de segurança,

formular uma política corporativa de segurança de TIC em apoio à estratégia de TIC e obter aprovação
do comitê diretor de TIC, se existir, traduzir a política corporativa de

segurança de TIC em um programa de segurança de TIC, monitorar a implementação do

programa de segurança das TIC, rever a eficácia da política corporativa

de segurança das TIC, promover a sensibilização para as questões de

segurança das TIC, aconselhar sobre os recursos

(pessoas, dinheiro, conhecimento, etc.) necessários para apoiar o processo de planeamento e a

implementação do programa de segurança das TIC, e resolver questões

interdisciplinares.

Para ser eficaz, o fórum deve incluir membros com experiência em segurança e nos aspectos técnicos dos
sistemas de TIC, bem como representantes dos fornecedores e utilizadores de sistemas de TIC. São necessários
conhecimentos e competências de todas estas áreas para desenvolver uma política corporativa prática de segurança
das TIC.

5.1.3 Responsável corporativo pela segurança

das TIC A responsabilidade pela segurança das TIC deve ser atribuída a um indivíduo específico. O responsável
corporativo pela segurança das TIC deve atuar como foco para todos os aspectos de segurança das TIC dentro
da organização; no entanto, o responsável corporativo pela segurança das TIC pode delegar alguns aspectos da função.
Pode haver uma pessoa adequada que possa assumir as responsabilidades adicionais do responsável corporativo
pela segurança das TIC, embora, em organizações de médio e grande porte, seja recomendado que seja estabelecido
um cargo dedicado. Em grandes organizações, pode haver uma rede de responsáveis pela segurança das TIC para
unidades de negócios, departamentos, etc. É preferível selecionar pessoas com experiência em segurança e TIC como
responsáveis pela segurança das TIC corporativas e responsáveis pela segurança das TIC departamentais/unidades de
negócios. A função de um oficial corporativo de segurança de TIC inclui:

supervisão da implementação do programa de segurança de TIC, ligação e

reporte ao fórum de segurança de TIC e ao oficial de segurança corporativa, emissão e manutenção da

política e diretrizes corporativas de segurança de TIC, coordenação de investigações de

incidentes, gerenciamento do programa de

conscientização de segurança em toda a empresa, definição Objectivos

e critérios de segurança das TIC derivados de políticas, revisão, auditoria e

monitorização da eficácia dos controlos de segurança, e

23
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

revisar, auditar ou monitorar a adesão aos procedimentos de segurança de TIC em toda a organização.

Conforme observado no item 5.1.1 acima, as funções podem ser segregadas, dado o tamanho da organização, a
complexidade dos sistemas de segurança e outras variáveis relevantes.

Exemplos de possíveis funções delegadas são os seguintes:

Oficial de projeto de segurança de

TIC Os projetos ou sistemas individuais devem ter alguém responsável pela segurança, às vezes chamado de oficial de
projeto de segurança de TIC. Em alguns casos, esta pode não ser uma função de tempo integral. A gestão funcional destes
responsáveis deve ser da responsabilidade do responsável corporativo pela segurança das TIC.
O oficial de projeto de segurança de TIC atua como ponto focal para todos os aspectos de segurança de um projeto,
sistema ou grupo de sistemas. A função de um oficial de projeto de segurança de TIC inclui:

ligação e reporte ao oficial corporativo de segurança de TIC, desenvolvimento e

implementação do plano de segurança para o projeto, monitoramento diário da

implementação e uso das salvaguardas de TIC e início e assistência em investigações de incidentes.

Administrador de segurança de TIC

Em organizações de médio e grande porte existe uma função para administração delegada. Isso incluiria o seguinte:

executar e aplicar procedimentos de segurança TIC;

administração de sistemas e segurança de rede;

atualização de programas de segurança específicos, por exemplo, ferramentas antivírus, versões de software, patches
e correções

de software; administrar controles de segurança específicos, por exemplo, backups, listas de controle de acesso, etc.

Os administradores de segurança devem ter o treinamento apropriado para administrar as atividades e ferramentas
específicas.

5.1.4 Usuários de TIC

Os usuários são responsáveis por:

utilizar recursos de TIC em conformidade com as políticas, directivas e procedimentos de TIC; e proteger os

activos empresariais das TIC em conformidade com as políticas, directivas e procedimentos de segurança das TIC.

24
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

5.2 Princípios organizacionais

5.2.1 Compromisso

O compromisso da gestão com a segurança das TIC é essencial para que se consiga uma protecção
adequada dos activos corporativos. Qualquer falta real ou percebida desse compromisso prejudicará a posição
do responsável corporativo pela segurança das TIC e enfraquecerá consideravelmente as defesas corporativas
contra ameaças. O apoio visível do topo deve resultar numa política corporativa de segurança de TIC
formalmente acordada e documentada, derivada da política de segurança corporativa. A existência destas
políticas e dos seus elementos-chave deve ser regularmente comunicada a todos os funcionários e prestadores
de serviços, conforme apropriado, sublinhando o interesse e o apoio da gestão.

Um compromisso de toda a empresa com os objetivos da segurança das TIC inclui:

uma compreensão das necessidades globais da organização,

uma compreensão das necessidades de segurança das TIC dentro da organização,
uma demonstração do compromisso com a segurança das TIC,
uma vontade de abordar as necessidades de segurança
das TIC, uma vontade de alocar recursos para a segurança das
TIC, e uma consciência , ao mais alto nível, sobre o que significa ou em que consiste a segurança das
TIC (âmbito, extensão).

Os objetivos da segurança das TIC devem ser divulgados em toda a organização. Cada funcionário e contratante
deve conhecer o seu papel e responsabilidade, bem como a sua contribuição para a segurança das TIC e deve ser
encarregado de alcançar tais objetivos.

5.2.2 Abordagem consistente Uma

abordagem consistente à segurança das TIC deve ser aplicada a todas as atividades de planeamento,
implementação e operacionais. A proteção deverá ser assegurada ao longo de todo o ciclo de vida dos sistemas de
informação e TIC, desde o planeamento até à aquisição, teste e operação.

Uma estrutura organizacional, como a ilustrada na Figura 4, pode apoiar uma abordagem harmonizada à segurança
das TIC em toda a organização. Isto precisa ser apoiado por um compromisso com os padrões. Os padrões
podem incluir padrões ou regras internacionais, nacionais, regionais, do setor industrial e corporativos,
selecionados e aplicados de acordo com as necessidades de segurança de TIC da organização. As normas técnicas
precisam de ser complementadas por regras e orientações sobre a sua implementação e utilização.

Os benefícios do uso de padrões incluem:

segurança integrada,
interoperabilidade,
consistência,

25
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

portabilidade,

economias de escala e

interfuncionamento entre organizações.

5.2.3 Integrando a segurança das TIC Todas

as atividades de segurança das TIC são mais eficazes se ocorrerem uniformemente em toda a organização e desde o início do ciclo de
vida de qualquer sistema de TIC. O processo de segurança das TIC é em si um importante ciclo de atividades e deve ser integrado em
todas as fases do ciclo de vida do sistema de TIC. Embora a segurança seja mais eficaz se for integrada em novos sistemas desde o
início, os sistemas legados e as atividades empresariais beneficiam da integração da segurança a qualquer momento.

O ciclo de vida de um sistema TIC pode ser subdividido em quatro fases básicas. Cada uma destas fases está relacionada com a
segurança das TIC da seguinte forma:

Planeamento: As necessidades de segurança das TIC devem ser abordadas durante todas as atividades de planeamento e
tomada de decisão.

Aquisição: Os requisitos de segurança das TIC devem ser integrados nos processos pelos quais os sistemas são concebidos,
desenvolvidos, adquiridos, atualizados ou construídos de outra forma.
A integração dos requisitos de segurança nestas atividades garante que características de segurança económicas sejam
incluídas nos sistemas no momento apropriado e não posteriormente.

Teste: Os testes do sistema de TIC devem incluir testes de componentes, recursos e serviços de segurança de TIC. Os
componentes de segurança novos ou alterados devem ser testados separadamente para garantir que funcionam conforme
pretendido e, em seguida, testados no ambiente operacional, para garantir que a integração no sistema de TIC não afeta as
propriedades ou recursos de segurança.
Os testes devem ser programados regularmente durante a vida operacional do sistema.

Operações: A segurança das TIC deve ser integrada no ambiente operacional. À medida que um sistema TIC é utilizado
para cumprir a missão pretendida, deve ser mantido e, normalmente, também passará por uma série de atualizações que
incluem a compra de novos componentes de hardware ou a modificação ou adição de software. Além disso, o
ambiente operacional muda frequentemente. Estas alterações no ambiente podem criar novas vulnerabilidades no
sistema que devem ser analisadas e avaliadas e mitigadas ou aceites. Igualmente importante é a eliminação ou
reatribuição segura dos sistemas.

A segurança das TIC deve ser um processo contínuo com muitos feedbacks dentro e entre as fases do ciclo de vida de um sistema
de TIC. Na maioria das situações, o feedback ocorrerá entre e dentro de todas as principais atividades do processo de segurança das
TIC. Isto proporciona um fluxo contínuo de informações sobre vulnerabilidades, ameaças e salvaguardas do sistema de TIC ao longo
das fases do ciclo de vida de um sistema de TIC.

Também vale a pena notar que cada uma das áreas de negócio de uma organização pode identificar requisitos de segurança de TIC
que sejam únicos. Estas áreas devem apoiar-se mutuamente e apoiar o processo global de segurança das TIC, partilhando
informações sobre aspectos de segurança, que podem ser utilizadas para apoiar o processo de tomada de decisões de gestão.

26
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

6 funções de gerenciamento de segurança de TIC

6.1 Visão Geral

Uma gestão bem-sucedida da segurança das TIC exige a realização de uma série de atividades. Estas atividades incluem
o seguinte, a ser realizado como um processo cíclico:

Planeamento:

determinação dos requisitos organizacionais de segurança das TIC,

determinação dos objetivos, estratégias e políticas organizacionais de segurança das TIC,

identificação de funções e responsabilidades dentro da organização,

desenvolvimento do plano de segurança das

TIC, avaliação de riscos.

decisões de tratamento de risco e seleção de salvaguardas e

planejamento de continuidade de negócios

Implementação:

implementação de salvaguardas,

aprovação de sistemas TIC,

desenvolvimento e implementação de um programa de sensibilização para a

segurança e revisão e monitorização da implementação e operação de salvaguardas,

Operações e manutenção: controle

de configuração e gerenciamento de mudanças,

gerenciamento de continuidade de

negócios, revisão, auditoria e monitoramento, verificação de conformidade de segurança

e gerenciamento de incidentes de segurança da informação.

6.2 Condições culturais e ambientais

As atividades funcionais de gestão da segurança da informação precisam levar em conta a cultura e o ambiente em que a
organização opera, pois estes podem ter um efeito significativo na abordagem geral da segurança. Além disso, a cultura e o
ambiente podem ter impacto sobre aqueles que são responsáveis pela protecção de partes específicas da organização.
Em alguns casos, o governo é considerado responsável e cumpre esta responsabilidade através da promulgação
e aplicação de leis. Noutros casos, é o proprietário ou gestor quem é considerado responsável. Esta questão pode ter uma
influência considerável na abordagem adoptada.

27
Machine Translated by Google

IS/ISO/IEC 13335-1: 2004

6.3 Gestão de riscos

A gestão de riscos é uma atividade contínua. Para novos sistemas e sistemas em fase de planejamento,
isso deve fazer parte do processo de design e desenvolvimento. Para os sistemas existentes, a gestão de
riscos deve ser introduzida em qualquer momento apropriado. Quando são planeadas alterações significativas
nos sistemas, a gestão de riscos deve fazer parte deste processo de planeamento. Deve levar em conta
todos os sistemas da organização e não ser aplicado a um sistema isoladamente. O processo de
gestão de riscos é explicado mais detalhadamente na Parte 2 desta Norma Internacional.

28
Machine Translated by Google

Bureau de Padrões Indianos

O BIS é uma instituição estatutária criada pelo Bureau of Indian Standards Act de 1986 para promover
desenvolvimento das atividades de padronização, marcação e certificação de qualidade de produtos e atendimento
assuntos relacionados no país.

direito autoral

O BIS detém os direitos autorais de todas as suas publicações. Nenhuma parte destas publicações pode ser reproduzida em qualquer forma
sem a permissão prévia por escrito do BIS. Isto não impede a utilização gratuita, no decurso da implementação
o padrão, dos detalhes necessários, como símbolos e tamanhos, designações de tipo ou classe. Consultas relacionadas
direitos autorais devem ser endereçados ao Diretor (Publicações) do BIS.

Revisão dos padrões indianos

As alterações são emitidas às normas conforme a necessidade surge com base em comentários. Os padrões também são revisados
periodicamente; uma norma juntamente com alterações é reafirmada quando tal revisão indica que nenhuma alteração é
necessário; se a revisão indicar que são necessárias alterações, ela será submetida à revisão. Usuários de padrões indianos
devem verificar se estão em posse das últimas alterações ou edições, consultando a última edição
do 'Catálogo BIS' e 'Normas: Adições Mensais'.

Este Padrão Indiano foi desenvolvido a partir do Doc No.: LITD 17 (2058).

Alterações emitidas desde a publicação

Emenda nº. Data de emissão Texto afetado

BUREAU DE PADRÕES INDIANO

Quartel general:

Manak Bhavan, 9 Bahadur Shah Zafar Marg, Nova Delhi 110002

Telefones: 2323 0131, 2323 3375, 2323 9402 Site: www.bis.org.in

Escritórios regionais: Telefones

Central : Manak Bhavan, 9 Bahadur Shah Zafar Marg 2323 7617
NOVA DELI 110002 2323 3841

Oriental : 1/14 CIT Esquema VII M, VIP Road, Kankurgachi KOLKATA 2337 8499, 2337 8561
700054 2337 8626, 2337 9120

Norte : SCO 335-336, Setor 34-A, CHANDIGARH 160022 260 3843

260 9285

Sulista : Campus CIT, IV Cross Road, CHENNAI 600113 2254 1216, 2254 1442
2254 2519, 2254 2315

Ocidental : Manakalaya, E9 MIDC, Marol, Andheri (Leste) 2832 9295, 2832 7858
MUMBAI 400093 2832 7891, 2832 7892

Galhos : AHMEDABAD. BANGALORE. BHOPAL. BHUBANESHWAR. COIMBATORE. DEHRADUN.

FARIDABAD. GAZIABAD. GUWAHATI. HYDERABAD. JAIPUR. KANPUR. SORTE.
NAGPUR. PARWANOO. PATNA. PUNE. RAJKOT. THIRUVANANTHAPURAM.
VISAKHAPATNAM.

PPublicado por BIS, Nova Delhi