Escolar Documentos
Profissional Documentos
Cultura Documentos
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 1/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 2/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Introdução
Nesta unidade, conheceremos as normas e padrõ es de segurança de sistemas de informação (SI). Para tal,
vamos discutir as seguintes questõ es: o que são normas e padrõ es de segurança de SI? Qual a sua importância
para as pessoas e para as organizaçõ es? Quem desenvolve essas padronizaçõ es? Quais são os tipos de normas
e padrõ es que existem e que são aplicados nacional e internacionalmente?
A partir dessas perguntas, alcançaremos uma definição para o conceito de normas e padrõ es de segurança da
informação e descobriremos onde elas são implantadas, para depois entender a sua importância na área de
tecnologia da informação (TI). Passaremos a conhecer, então, os desenvolvedores de padronizaçõ es e os
princípios de segurança da informação, que são muito importantes e devem ser implantados e respeitados por
esses padrõ es.
Apó s passar por todas essas questõ es, apresentaremos uma visão geral de dois importantes padrõ es de
segurança de sistemas da informação que são adotados por organizaçõ es do Brasil e do mundo todo.
Analisaremos todas as políticas e requisitos utilizados nesses padrõ es e seus benefícios para as empresas.
Além disso, abordaremos a importância do conhecimento das normas para ajudar em oportunidades de
mercado para os profissionais de TI.
Pronto(a) para começar? Acompanhe esta unidade com atenção!
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 3/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Figura 1 - O fluxo da comunicação de rede do Modelo OSI deve ser respeitado e ele começa da camada física
e vai até a camada de aplicação.
Fonte: BeeBright, Shutterstock, 2019.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 4/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
VOCÊ SABIA?
A IETF tem uma variedade de documentos conhecidos como RFC (Request for
Comments – Solicitaçã o por Comentá rios). Alguns desses documentos sã o
comunicados, instruções ou padrões. As RFCs passam por vá rias fases de revisã o
para somente no final poderem se tornar um padrã o ou simplesmente uma
especificaçã o. Quando tiver potencial para ser um padrã o, ela percorre por quatro
está gios: padrã o proposto (PS), padrã o rascunho (DS), padrã o (STD) e melhor
prá tica atual (BCP) (KIM; SOLOMON, 2014).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 5/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
VAMOS PRATICAR?
O Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE) é um
organizações de padrã o mais conhecidas do mundo. Ele tem inú meros ass
Muitos deles sã o professores e colaboradores das universidades brasilei
publicam artigos científicos que enriquecem nossa produçã o acadê mi
projetos de alta tecnologia nas á reas da elé trica, telecomunicaçã o, computa
O IEEE sempre faz eventos, congressos, workshops e conferê ncias para div
publicações e permitir que os membros apresentem seus projetos.
padrões surgem dessas produções científicas.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 6/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
A tríade CID é conhecida como os pilares da segurança de SI e ela é formada pelos conceitos de
confidencialidade, integridade e disponibilidade (GALVÃ O, 2015). Conheça cada um desses conceitos, clicando
nas abas.
Confidencialidade
Ela consiste no fato de que somente pessoas autorizadas podem ter
acesso às informaçõ es. Ou seja, fica restrito o acesso à propriedade
intelectual, dados pessoais, privados e de negó cios. A técnica para
isso é a implantação de senha e có digos em documentos e sistemas
que apenas indivíduos confiáveis têm permissão de acessar e alterar,
de forma a evitar a violação de privacidade de pessoas mal-
intencionadas.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 7/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Figura 2 - Os principais pilares da segurança de sistema da informação devem ser seguidos e respeitados no
desenvolvimento de qualquer norma ou padrão de segurança SI.
Fonte: Elaborada pela autora, baseada em CURVELLO, 2017.
Além da tríade CID, há também outros três princípios da segurança da informação. São eles: a autenticidade,
a irrevogabilidade e a conformidade. A autenticidade se baseia na garantia de que a informação vem de uma
fonte/pessoa confiável e autorizada, ou seja, do controle de usuário para que não haja fraudes. A
irrevogabilidade trata do impedimento de o indivíduo negar sua autoria da informação, ou seja, esse conceito
está diretamente relacionado à autenticidade. Além disso, é um pilar importante nos conhecidos casos de
roubo de direitos autorais para identificar quem são os criminosos e as vítimas (GALVÃ O, 2015). Finalmente,
a conformidade incumbe que a execução da segurança da informação cumpra com as normas e padrõ es
regimentados. A empresa que segue esse princípio tem reconhecimento no mercado, pois apresenta qualidade
e certificação na proteção de seu SI.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 8/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
segurança da informação apresentados acima. Os mais conhecidos e utilizados no Brasil e no mundo, que
trataremos logo em seguida, são o ISO/IEC 27002 e PCI-DSS.
Transparência.
Segurança.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 9/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Na seção de segurança, aparecem várias cláusulas que devem ser seguidas rigorosamente para a proteção dos
sistemas da informação do governo contra fraudes, ameaças, riscos e invasõ es, respeitando os princípios da
segurança da informação CID, que vimos anteriormente. Além disso, o ePING tem como referência vários
decretos sobre segurança de SI e as normas da série ISO/IEC 27000 (BRASIL, 2017).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 10/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Figura 3 - As três normas mais conhecidas da ISO (ISO 9001, ISO 14001, ISO 45001 ou OHSAS 18001) são
chamadas de Sistema de Gestão Integrada.
Fonte: Digital Saint, Shutterstock, 2019.
A série de normas ISO 27000 é a padronização que trata do sistema de gestão de segurança da informação. Ela
originou-se de um padrão desenvolvido pelo British Standard em 1995, conhecido como BS 7799, que em
1999 foi revisado e ramificou-se em “BS 7799-1: Boas práticas para gestão de segurança da informação”, “BS
7799-2: sistemas de gestão de segurança da informação” e “BS 7799-3: orientaçõ es para gestão de risco”.
Dessas ramificaçõ es, a que nos interessa é a BS 7799-1, que em 2000 foi adotada pela ISO como ISO/IEC
17799 e, mais à frente, em 2007, como ISO/IEC 27002.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 11/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
A ISO/IEC 17799, conhecida como “Tecnologia da informação – Técnicas de segurança – Có digo de prática para
a gestão da segurança da informação”, tem como objetivo prover diretrizes para análise e avaliação de riscos e
ameaças quanto ao sistema de informação das organizaçõ es. Ela é estruturada por 11 seçõ es, apresentadas a
seguir.
VAMOS PRATICAR?
Quando aprendemos e precisamos consultar alguma lei ou decreto,
aqueles documentos cheios de artigos, seções e clá usulas. Alé m disso, e
difíceis de entender, porque neles é utilizada uma linguagem mais comple
expressões jurídicas. Isso nã o acontece com a documentaçã o de nor
segurança. Os documentos que a ABNT faz dos padrões da ISO sã o mu
estruturados e de fá cil entendimento. Eles sã o separados em seções q
compostas por categorias. Cada categoria tem um objetivo e alguns requis
apresentam controle e diretrizes a serem seguidas.
Com base nisso, imagine que uma instituiçã o governamental teve seu
invadido, tendo o hacker conseguido acessar o login e senha dos usuá rios e
roubar informações confidenciais e ameaçar divulgá -las. Tendo conhecim
fato, você oferece o seu trabalho para investigar o ataque e descobrir qu
falha de segurança. Confira na norma da ISO/IEC 17799 qual seçã o trata
de falta ocorrido na instituiçã o e quais sã o as medidas necessá rias para q
nã o aconteça mais.
Seus requisitos são: documento da política de segurança da informação e análise crítica da política
de segurança da informação (ABNT, 2005). O primeiro trata da responsabilidade da diretoria em
aprovar e publicar o documento da política para acesso de todos os funcionários. Já o segundo diz
respeito à manutenção, avaliação e atualização perió dica dessa política para maior adequação aos
negó cios da instituição.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 12/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Ela é composta por duas categorias: infraestrutura da segurança da informação e partes externas. A
primeira tem os seguintes requisitos: responsabilidade da diretoria com a segurança da informação;
controle da segurança da informação; concessão de responsabilidade para a segurança da
informação; processo de autorização para os recursos do tratamento da informação; tratados de
confidencialidade; comunicação com autoridades; relação com equipes especiais; e investigação
independente de segurança da informação. Já a segunda tem os seguintes princípios:
reconhecimento dos perigos associados com externos; reconhecimento da segurança da
informação, quando tratando com os clientes; e reconhecimento da segurança da informação nos
negó cios com terceiros (ABNT, 2005).
Gestão de Ativos
Uma das categorias é de áreas seguras, que tem as exigências de perímetro de segurança física;
restriçõ es de entrada física; segurança em escritó rios, salas e dependências; proteção contra perigos
externos e do meio ambiente; trabalho em zona segura; acesso das pessoas e zonas de entrega e de
coleta. Segurança de equipamentos é a outra categoria, que tem as condiçõ es a seguir: instalação e
proteção do instrumento; proteção contra defeito de utilidades; proteção do cabeamento;
manutenção dos instrumentos; segurança de equipamentos fora da organização; reutilização e
alienação garantida de equipamentos; e eliminação de propriedade (ABNT, 2005).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 13/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Controle de Acessos
Essa é a segunda maior seção, composta por sete categorias. A de requisitos de negó cio para
controle de acesso tem a premissa de implantação de uma política de controle de acesso. Já a de
gerenciamento de acesso ao usuário aplica o registro de usuário; a gestão de privilégios e de senha
do usuário; e investigação dos direitos de acesso do usuário. A categoria de responsabilidades dos
usuários trata do uso de senhas; segurança dos instrumentos de usuário sem controle; e política de
mesa e tela limpa. O controle de acesso à rede é a categoria que trata da política de uso dos serviços
de rede; da autenticação para conexão externa do usuário; da identidade de instrumentos em redes;
da segurança e configuração de portas de diagnó stico remotas; da separação de redes; e do
monitoramento de conexão e roteamento de redes. A quinta tem as condiçõ es de procedimentos
seguros de entrada no sistema (log-on); identidade e autenticação de usuário; sistema de gestão de
senha; uso de utilitários de sistema; desconexão de terminal por inatividade; e restrição de horário
de conexão. A categoria de controle de acesso à aplicação e à informação tem os princípios de
limitação de acesso à informação e segregação de sistemas sensíveis. Finalmente, a computação
mó vel e trabalho remoto é a ú ltima categoria, e ela trata da implantação de políticas e termos de uso
de computação e comunicação mó vel e de trabalho remoto (ABNT, 2005).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 14/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Conformidade
A ú ltima seção apresenta três categorias, sendo elas: conformidade com requisitos legais;
conformidade com normas e políticas de segurança da informação e conformidade técnica; e
consideraçõ es quanto à auditoria de sistemas de informação. A primeira aplica o reconhecimento
da legislação vigente; direitos de propriedade intelectual; segurança de registros corporativos;
segurança de dados e privacidade de informaçõ es pessoais; precaução contra mau uso de meios
de processamento da informação; e padronização de monitoramentos de criptografia. A outra
adere à concordância com as políticas e normas de segurança da informação e apuração da
concordância técnica. Finalmente, a ú ltima abrange os requisitos de monitoramentos de auditoria
de sistemas de informação e segurança de métodos de auditoria de sistemas de informação
(ABNT, 2005).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 15/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 16/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Agora que conhecemos todo o conteú do que compõ e o padrão ISO, fica fácil reconhecer seus benefícios nas
empresas e entender sua utilização no meio corporativo. Além disso, cumpre destacar que existe certificação
para a ISO/IEC 27002, destinada aos profissionais de TI. Aqueles que têm esse certificado são bastante
requisitados no mercado, pois as empresas valorizam e dão preferência para eles devido à sua importância
nos negó cios, assegurando a proteção dos sistemas da informação. Existem várias instituiçõ es que oferecem o
curso para a certificação ISO/IEC 27002, sendo um bom investimento para quem deseja maiores e melhores
oportunidades de emprego.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 17/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Figura 4 - O PCI Security Standards Council é um conselho que trata da segurança das informaçõ es de cartõ es
de pagamento.
Fonte: qvist, Shutterstock, 2019.
Assim como a ISO/IEC 27002, também existe uma certificação para PCI-DSS. Esse é um dos certificados mais
procurados pelos profissionais de TI, principalmente por aqueles que desejam trabalhar no setor financeiro.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 18/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
CASO
Nós só damos valor à implantaçã o da segurança da informaçã o nas organizações
quando vemos casos como o da British Airways (BA). A companhia aé rea sofreu
uma invasã o de hackers no seu site e aplicativo, o que ocasionou o vazamento de
informações de cartões de cré dito de mais de 380 mil usuá rios. Os clientes
afetados foram os que realizaram compras de passagem entre 21 de agosto e 5
de setembro de 2018, e tiveram dados como nomes, endereços, e-mails, nú meros
de cartões de cré ditos e seus códigos de segurança expostos.
Assim que soube do vazamento, a BA relatou imediatamente a situaçã o para a
Information Commissioner’s Office (ICO), que é especialista em proteçã o de
informações no Reino Unido, solicitando que investigassem e ajudassem a
resolver o problema. Entretanto, a companhia está sujeita a uma multa de 4% de
sua receita anual por falha de segurança.
Assumindo suas responsabilidades, a empresa informou que contataria os
clientes prejudicados e os reembolsaria. Alé m disso, a BA instruiu os clientes a se
dirigirem até suas instituições bancá rias para tomarem as devidas medidas de
segurança.
Por essa norma ser um complemento do padrão de segurança da informação ISO, as pessoas da área de TI
acabam fazendo os cursos para obterem as duas certificaçõ es e, assim, terem maiores possibilidades de
conseguir melhores cargos e um grande reconhecimento e valorização dentro das empresas. Portanto, quanto
mais especializaçõ es você tem, maiores e melhores oportunidades no mercado.
Síntese
Chegamos ao final desta unidade que tratou das normas e padrõ es de segurança da informação. Nela,
abordamos sobre vários aspectos da proteção das informaçõ es e dados de pessoas e empresas contra fraudes,
ameaças, riscos e invasõ es de indivíduos mal-intencionados.
Nesta unidade, você teve a oportunidade de:
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 19/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
Bibliografia
A REDE. Direção de Irwin Winkler. Estados Unidos da América: Columbia Pictures, 1995. DVD.
ASSOCIAÇÃ O BRASILEIRA DE NORMAS TÉ CNICAS (ABNT). NBR ISO/IEC 17799: Tecnologia da informação –
Técnicas de segurança – Có digo de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT,
2005.
ASSOCIAÇÃ O BRASILEIRA DE NORMAS TÉ CNICAS (ABNT). NBR ISO/IEC 27002: Tecnologia da informação –
Técnicas de segurança – Có digo de Prática para controles de segurança da informação. Rio de Janeiro: ABNT,
2013.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Padrõ es de Interoperabilidade de Governo
Eletrô nico - ePING. Brasília: Secretaria de Tecnologia da Informação, 2017. Disponível em:
<http://eping.governoeletronico.gov.br/ (http://eping.governoeletronico.gov.br/)>. Acesso em: 26 jun. 2019.
CURVELLO, A. M. L. IoE – Internet de todas as coisas: quais os riscos de segurança? Goiás: IV Fó rum Goiano
Tecnoló gico, 2017.
FONTES, E. L. G. Políticas de segurança da informação. Rio de Janeiro: RNP/ESR, 2015.
GALVÃ O, M. C. Fundamentos de segurança da informação. São Paulo: Pearson, 2015.
IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2016.
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
KOLBE JÚ NIOR, A. Sistemas de segurança da informação na era do conhecimento. Curitiba: InterSaberes, 2017.
PCI. Indústria de cartões de pagamento (PCI) - Padrão de Segurança de Dados: requisitos e
procedimentos da avaliação de segurança. Versão 3.2.1, maio de 2018. Disponível em:
<https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1_PT-BR.pdf?
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 20/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação
agreement=true&time=1563739756714 (https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-
1_PT-BR.pdf?agreement=true&time=1563739756714)>. Acesso em: 21 jul. 2019.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 21/21