17/11/23, 13:41 Normas e Padrões de Segurança da Informação

NORMAS E PADRÕES DE SEGURANÇA DA

INFORMAÇÃO
UNIDADE 1 - NORMAS E PADRÕ ES DE SI

Jaqueline Oliveira Zampronio

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 1/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 2/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Introdução
Nesta unidade, conheceremos as normas e padrõ es de segurança de sistemas de informação (SI). Para tal,
vamos discutir as seguintes questõ es: o que são normas e padrõ es de segurança de SI? Qual a sua importância
para as pessoas e para as organizaçõ es? Quem desenvolve essas padronizaçõ es? Quais são os tipos de normas
e padrõ es que existem e que são aplicados nacional e internacionalmente?
A partir dessas perguntas, alcançaremos uma definição para o conceito de normas e padrõ es de segurança da
informação e descobriremos onde elas são implantadas, para depois entender a sua importância na área de
tecnologia da informação (TI). Passaremos a conhecer, então, os desenvolvedores de padronizaçõ es e os
princípios de segurança da informação, que são muito importantes e devem ser implantados e respeitados por
esses padrõ es.
Apó s passar por todas essas questõ es, apresentaremos uma visão geral de dois importantes padrõ es de
segurança de sistemas da informação que são adotados por organizaçõ es do Brasil e do mundo todo.
Analisaremos todas as políticas e requisitos utilizados nesses padrõ es e seus benefícios para as empresas.
Além disso, abordaremos a importância do conhecimento das normas para ajudar em oportunidades de
mercado para os profissionais de TI.
Pronto(a) para começar? Acompanhe esta unidade com atenção!

1.1 Segurança da informação: visão geral das normas de SI

Antes de conhecermos as normas e padrõ es de SI, é importante definirmos o que é segurança de sistemas de
informação. Sistemas de informação são os meios pelos quais a informação é transmitida, armazenada,
processada e/ou coletada, ou seja, os hardwares, os sistemas operacionais, a internet, os aplicativos, os e-
mails, os sites, as redes sociais etc. fazem parte dos SIs. Pelo fato de esses meios serem muito vulneráveis à
exposição e de fácil acesso para todos, há a necessidade de proteger todas as informaçõ es. Portanto, podemos
dizer que a segurança de sistemas de informação é a proteção da informação contra ameaças, invasõ es e
alteraçõ es de dados não autorizados (IMONIANA, 2016).
Visando proteger dados e informaçõ es, foram criados normas e padrõ es que têm um conjunto de requisitos
para ser seguido e utilizado para a garantia dessa proteção. Algumas dessas normas são de uso mundial e o
Brasil é um dos países que as adota para que suas instituiçõ es e organizaçõ es as obedeçam e sigam
corretamente.

1.1.1 As organizações de padrões de segurança de SI

Quando ouvimos falar de padrõ es e normas de segurança, fica uma dú vida: quem define esses padrõ es? Quem
regulariza e aprova tudo isso? Existem importantes organizaçõ es que são especialistas nesse assunto. São elas
que desenvolvem e aplicam os padrõ es que controlam os sistemas de informação e computação (KIM;
SOLOMON, 2014). Vamos conhecê-las?

• Organização Internacional para Padronização (ISO)

É a organização mais conhecida de desenvolvimento de padrõ es para todos, sem exclusividades a nenhum
grupo. Fica em Genebra, na Suíça, e foi criada em 1946. O seu nome se deve também à sua política de
consenso, pois ISO vem da palavra grega isos, que significa “igual”. Um dos padrõ es mais conhecidos
desenvolvido por eles é o Modelo OSI, o qual apresenta a comunicação de rede separada em sete camadas:
aplicativo, apresentação, sessão, transporte, rede, enlace e física (KIM; SOLOMON, 2014).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 3/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Figura 1 - O fluxo da comunicação de rede do Modelo OSI deve ser respeitado e ele começa da camada física
e vai até a camada de aplicação.
Fonte: BeeBright, Shutterstock, 2019.

• Agência da União Europeia para a Segurança de Rede e

Informação (ENISA) e Instituto Nacional de Padronização e
Tecnologia (NIST)
A Agência da União Europeia para a Segurança de Rede e Informação (ENISA) é o ó rgão da União Europeia que é
especialista em segurança cibernética naquele continente. Já o Instituto Nacional de Padronização e Tecnologia
(NIST) é o ó rgão do governo dos Estados Unidos que faz parte do Departamento de Comércio. Ele é
responsável por várias publicaçõ es de pesquisas na área de segurança de SI que estão na coleção de
documentos chamada “Série 800” (KIM; SOLOMON, 2014).

• Comissão Eletrotécnica Internacional (IEC)

É um dos ó rgãos mais antigos da área de padrõ es. Criado em 1906, ele trabalha em conjunto com a ISO e a ITU-
T, e suas especialidades são os padrõ es de componentes e processos elétricos e eletrô nicos. É fácil encontrar
padronizaçõ es IEC em hardwares e redes no que diz respeito à segurança, desempenho, eficiência energética e
fontes renováveis. O intuito dessa comissão é que o maior nú mero de membros participe para garantir sua
internalização e o máximo de uso dos seus padrõ es (KIM; SOLOMON, 2014).

• Consórcio da World Wide Web (W3C)

O famoso “www” da internet que inicia todo endereço de links e sites é controlado e padronizado pela W3C.
Pela ló gica, esse ó rgão é especialista em padrõ es de web, os quais são desenvolvidos para que haja
compatibilidade para variados fornecedores web. As padronizaçõ es mais conhecidas são: CSS, HTML, XML,
CGI, SOAP e WSDL (KIM; SOLOMON, 2014).

• Força-tarefa de Engenharia da Internet (IETF)

Como o pró prio nome diz, a IETF é especialista em padrõ es para internet. Esse ó rgão, que foi criado em 1986 e
é composto por voluntários, desenvolve os protocolos de comunicação da internet para que ela funcione da
melhor forma possível. Sendo assim, os principais padrõ es são os que envolvem o protocolo TCP/IP, com os
quais a IETF, a W3C e a ISO/IEC trabalham em conjunto (KIM; SOLOMON, 2014).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 4/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

VOCÊ SABIA?
A IETF tem uma variedade de documentos conhecidos como RFC (Request for
Comments – Solicitaçã o por Comentá rios). Alguns desses documentos sã o
comunicados, instruções ou padrões. As RFCs passam por vá rias fases de revisã o
para somente no final poderem se tornar um padrã o ou simplesmente uma
especificaçã o. Quando tiver potencial para ser um padrã o, ela percorre por quatro
está gios: padrã o proposto (PS), padrã o rascunho (DS), padrã o (STD) e melhor
prá tica atual (BCP) (KIM; SOLOMON, 2014).

• Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE)

Assim como o IEC, o IEEE é um ó rgão que desenvolve padrõ es da área de elétrica e eletrô nica, mas seus
enfoques são em magnetismo, comunicaçõ es ó pticas, dispositivos fotô nicos e computação. É o ó rgão com
maior nú mero de membros, divididos em 38 sociedades, que desenvolvem várias publicaçõ es, congressos,
conferências, eventos, workshops, treinamentos etc. Com relação à segurança da informação, o IEEE tem os
padrõ es IEEE 802 LAN/MAN, que são protocolos de rede muito utilizados e conhecidos, compostos por
ethernet, token ring, MAN, LAN, modems, bluetooth e WiMAX (KIM; SOLOMON, 2014).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 5/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

VAMOS PRATICAR?
O Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE) é um
organizações de padrã o mais conhecidas do mundo. Ele tem inú meros ass
Muitos deles sã o professores e colaboradores das universidades brasilei
publicam artigos científicos que enriquecem nossa produçã o acadê mi
projetos de alta tecnologia nas á reas da elé trica, telecomunicaçã o, computa
O IEEE sempre faz eventos, congressos, workshops e conferê ncias para div
publicações e permitir que os membros apresentem seus projetos.
padrões surgem dessas produções científicas.

Pensando nisso, imagine que um gestor de uma empresa procura vo

profissional em segurança de tecnologia da informaçã o (TI), para ajudá -lo
problema de segurança na rede da organizaçã o que danificou vá rios a
Você , conhecendo os padrões do IEEE para a segurança de rede, deve
indicar o melhor padrã o a ser utilizado para proteger o sistema dessa insti
justificar sua escolha. Bom trabalho!

• Setor de Telecomunicações da União Internacional de

Telecomunicações (ITU-T)
Esse ó rgão é o mais antigo de todos (1865). Ele faz parte das Naçõ es Unidas e é especialista em padrõ es de
telecomunicaçõ es, além de desenvolver questõ es sobre tecnologia e informação. Ele – que tem sede em
Genebra, na Suíça – também define os conceitos de cobranças e tarifas dos serviços de telecomunicaçõ es. No
campo da segurança da informação, as recomendaçõ es X.25, X.75 e X.509 são os padrõ es elaborados pela ITU-
T (KIM; SOLOMON, 2014).

• Instituto Nacional Americano de Padronização (ANSI)

O Instituto Nacional Americano de Padronização é um dos grandes ó rgãos dos Estados Unidos que foca no
mercado do país. Sua responsabilidade é monitorar criaçõ es, publicaçõ es e gestão de padrõ es para que não
prejudiquem os empreendimentos dos EUA. Nas questõ es de segurança da informação, a ANSI está direcionada
mais para o desenvolvimento de softwares. Portanto, có digo ANSI, padrão americano de FORTRAN e C ANSI
são suas principais padronizaçõ es (KIM; SOLOMON, 2014).

1.1.2 Os pilares de segurança de SI

Para que as informaçõ es estejam seguras, é necessário metodologias, procedimentos e técnicas. Por isso,
foram criados alguns princípios para a segurança de SI, os quais as empresas adaptam para sua política de
proteção de propriedade intelectual e negó cios.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 6/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

A tríade CID é conhecida como os pilares da segurança de SI e ela é formada pelos conceitos de
confidencialidade, integridade e disponibilidade (GALVÃ O, 2015). Conheça cada um desses conceitos, clicando
nas abas.

Confidencialidade
Ela consiste no fato de que somente pessoas autorizadas podem ter
acesso às informaçõ es. Ou seja, fica restrito o acesso à propriedade
intelectual, dados pessoais, privados e de negó cios. A técnica para
isso é a implantação de senha e có digos em documentos e sistemas
que apenas indivíduos confiáveis têm permissão de acessar e alterar,
de forma a evitar a violação de privacidade de pessoas mal-
intencionadas.

Ela se baseia na precisão da informação, se está correta, se é

Integridade
verdadeira, se é válida, se não foi violada e nem alterada por pessoas
não autorizadas. É um conceito importante que visa garantir que a
segurança da informação, quando enviada a um destino qualquer,
esteja fiel e sem qualquer mudança. Se houver alguma falha ou erro
na validade da informação, isso pode ser um risco muito grande para
as empresas que guardam conteú dos importantes como patentes,
propriedade intelectual, fó rmulas e dados confidenciais, registro de
clientes e fornecedores etc.

Disponibilidade Ela trata da acessibilidade das informaçõ es sempre que solicitadas

pelas pessoas autorizadas. Esse procedimento também está ligado
ao tempo de vida da informação, ou seja, às medidas utilizadas pelas
empresas para a duração do uso do sistema, dados e softwares pelos
usuários permitidos. Algumas das mais conhecidas são: tempo de
utilização, tempo de paralisação, tempo disponível, tempo médio
para falha (MTTF), tempo médio para reparo (MTTR) e objetivo de
tempo de recuperação (RTO).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 7/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Figura 2 - Os principais pilares da segurança de sistema da informação devem ser seguidos e respeitados no
desenvolvimento de qualquer norma ou padrão de segurança SI.
Fonte: Elaborada pela autora, baseada em CURVELLO, 2017.

Além da tríade CID, há também outros três princípios da segurança da informação. São eles: a autenticidade,
a irrevogabilidade e a conformidade. A autenticidade se baseia na garantia de que a informação vem de uma
fonte/pessoa confiável e autorizada, ou seja, do controle de usuário para que não haja fraudes. A
irrevogabilidade trata do impedimento de o indivíduo negar sua autoria da informação, ou seja, esse conceito
está diretamente relacionado à autenticidade. Além disso, é um pilar importante nos conhecidos casos de
roubo de direitos autorais para identificar quem são os criminosos e as vítimas (GALVÃ O, 2015). Finalmente,
a conformidade incumbe que a execução da segurança da informação cumpra com as normas e padrõ es
regimentados. A empresa que segue esse princípio tem reconhecimento no mercado, pois apresenta qualidade
e certificação na proteção de seu SI.

1.1.3 Tipos de normas e padrões de segurança de SI

Existem inú meros padrõ es de segurança de sistemas da informação, e os produtos e sistemas de computação
devem seguir todos eles para serem compatíveis com diferentes marcas de outros lugares do mundo. Além
disso, eles foram desenvolvidos pelas organizaçõ es de padronização respeitando e seguindo os princípios da

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 8/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

segurança da informação apresentados acima. Os mais conhecidos e utilizados no Brasil e no mundo, que
trataremos logo em seguida, são o ISO/IEC 27002 e PCI-DSS.

VOCÊ QUER LER?

O livro “Políticas de segurança da informaçã o”, de Edison Fontes (2015), é um curso
excelente para os profissionais de TI que desejam atuar na á rea de segurança de SI.
Basicamente, é uma instruçã o de como desenvolver e implementar uma política de
segurança nas organizações, obedecendo e seguindo as normas e padrões de
segurança mais reconhecidos e importantes do mercado.

No Brasil, o Ministério do Planejamento, Orçamento e Gestão criou o ePING. Os Padrõ es de Interoperabilidade

de Governo Eletrô nico são uma arquitetura desenvolvida para regimentar o uso da Tecnologia de Informação e
Comunicação (TIC), possibilitando a interação das partiçõ es governamentais e da sociedade com os serviços
de governo eletrô nico. Ele é composto pelo conjunto de requisitos mínimos a serem seguidos dispostos na
sequência. Clique e confira!
•

Adoçã o preferencial de padrõ es abertos.

Uso de software pú blico e/ou software livre.

Transparência.

Segurança.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 9/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Existência de suporte de mercado.

VOCÊ QUER VER?

O filme “A rede” (1995), com direçã o de Irwin Winkler, foi pioneiro ao abordar o tema
da invasã o de hackers. Essa açã o cheia de suspense conta sobre uma programadora
que recebe misteriosamente um disquete que pertence ao governo. A partir desse
momento, ela passa a ser procurada por um homem que deseja roubar o dispositivo.
Vale a pena ver até que ponto aqueles que desejam roubar informações confidenciais
chegam e de tudo que a personagem principal faz para garantir a segurança da rede.

Na seção de segurança, aparecem várias cláusulas que devem ser seguidas rigorosamente para a proteção dos
sistemas da informação do governo contra fraudes, ameaças, riscos e invasõ es, respeitando os princípios da
segurança da informação CID, que vimos anteriormente. Além disso, o ePING tem como referência vários
decretos sobre segurança de SI e as normas da série ISO/IEC 27000 (BRASIL, 2017).

1.2 Segurança da informação: visão geral das normas de ISO

A ISO é um respeitado e reconhecido ó rgão de padronização. Ela criou as famosas normas ISO 9001, que versa
sobre gestão de qualidade das empresas; ISO 14001, que consiste nos sistemas de gestão ambiental das
organizaçõ es; e ISO 45001, que trata dos sistemas de gestão da saú de e segurança ocupacional. Para a área de
segurança de sistemas da informação, não seria diferente: seus padrõ es são adotados pelas empresas como
um importante requisito na proteção de dados corporativos.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 10/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Figura 3 - As três normas mais conhecidas da ISO (ISO 9001, ISO 14001, ISO 45001 ou OHSAS 18001) são
chamadas de Sistema de Gestão Integrada.
Fonte: Digital Saint, Shutterstock, 2019.

A série de normas ISO 27000 é a padronização que trata do sistema de gestão de segurança da informação. Ela
originou-se de um padrão desenvolvido pelo British Standard em 1995, conhecido como BS 7799, que em
1999 foi revisado e ramificou-se em “BS 7799-1: Boas práticas para gestão de segurança da informação”, “BS
7799-2: sistemas de gestão de segurança da informação” e “BS 7799-3: orientaçõ es para gestão de risco”.
Dessas ramificaçõ es, a que nos interessa é a BS 7799-1, que em 2000 foi adotada pela ISO como ISO/IEC
17799 e, mais à frente, em 2007, como ISO/IEC 27002.

1.2.1 ISO/IEC 17799

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 11/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

A ISO/IEC 17799, conhecida como “Tecnologia da informação – Técnicas de segurança – Có digo de prática para
a gestão da segurança da informação”, tem como objetivo prover diretrizes para análise e avaliação de riscos e
ameaças quanto ao sistema de informação das organizaçõ es. Ela é estruturada por 11 seçõ es, apresentadas a
seguir.

VAMOS PRATICAR?
Quando aprendemos e precisamos consultar alguma lei ou decreto,
aqueles documentos cheios de artigos, seções e clá usulas. Alé m disso, e
difíceis de entender, porque neles é utilizada uma linguagem mais comple
expressões jurídicas. Isso nã o acontece com a documentaçã o de nor
segurança. Os documentos que a ABNT faz dos padrões da ISO sã o mu
estruturados e de fá cil entendimento. Eles sã o separados em seções q
compostas por categorias. Cada categoria tem um objetivo e alguns requis
apresentam controle e diretrizes a serem seguidas.

Com base nisso, imagine que uma instituiçã o governamental teve seu
invadido, tendo o hacker conseguido acessar o login e senha dos usuá rios e
roubar informações confidenciais e ameaçar divulgá -las. Tendo conhecim
fato, você oferece o seu trabalho para investigar o ataque e descobrir qu
falha de segurança. Confira na norma da ISO/IEC 17799 qual seçã o trata
de falta ocorrido na instituiçã o e quais sã o as medidas necessá rias para q
nã o aconteça mais.

Clique nas abas para conhecer as primeiras seçõ es deste có digo.

•

Política de Segurança da Informação

Seus requisitos são: documento da política de segurança da informação e análise crítica da política
de segurança da informação (ABNT, 2005). O primeiro trata da responsabilidade da diretoria em
aprovar e publicar o documento da política para acesso de todos os funcionários. Já o segundo diz
respeito à manutenção, avaliação e atualização perió dica dessa política para maior adequação aos
negó cios da instituição.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 12/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Organização a Segurança da Informação

Ela é composta por duas categorias: infraestrutura da segurança da informação e partes externas. A
primeira tem os seguintes requisitos: responsabilidade da diretoria com a segurança da informação;
controle da segurança da informação; concessão de responsabilidade para a segurança da
informação; processo de autorização para os recursos do tratamento da informação; tratados de
confidencialidade; comunicação com autoridades; relação com equipes especiais; e investigação
independente de segurança da informação. Já a segunda tem os seguintes princípios:
reconhecimento dos perigos associados com externos; reconhecimento da segurança da
informação, quando tratando com os clientes; e reconhecimento da segurança da informação nos
negó cios com terceiros (ABNT, 2005).

Gestão de Ativos

Ela é dividida em duas categorias: responsabilidade pelos ativos e classificação da informação. A

primeira visa atingir e garantir a proteção correta dos ativos das empresas e apresenta os requisitos
a seguir: catálogo dos ativos; responsável dos ativos; e uso admissível dos ativos. A segunda tem o
objetivo de garantir que a informação tenha a proteção correta. Seus princípios são: referências para
inventário; e ró tulos e análise da informação (ABNT, 2005).

Segurança em Recursos Humanos

Essa seção é separada em três categorias: antes da contratação, durante a contratação e

encerramento ou mudança de contratação. A primeira tem os requisitos de papéis e
comprometimentos; apuração e teores; e circunstâncias de contratação. A segunda tem os conceitos
de comprometimentos da direção; visão; instrução e treinamento em segurança da informação; e
processo educacional. Finalmente, a ú ltima tem os seus princípios de término de atividades;
retorno de ativos; e corte de direitos de acesso (ABNT, 2005).

Segurança Física e do Ambiente

Uma das categorias é de áreas seguras, que tem as exigências de perímetro de segurança física;
restriçõ es de entrada física; segurança em escritó rios, salas e dependências; proteção contra perigos
externos e do meio ambiente; trabalho em zona segura; acesso das pessoas e zonas de entrega e de
coleta. Segurança de equipamentos é a outra categoria, que tem as condiçõ es a seguir: instalação e
proteção do instrumento; proteção contra defeito de utilidades; proteção do cabeamento;
manutenção dos instrumentos; segurança de equipamentos fora da organização; reutilização e
alienação garantida de equipamentos; e eliminação de propriedade (ABNT, 2005).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 13/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Gerenciamento das Operações e Comunicações

É a seção mais extensa, sendo a primeira categoria nomeada de procedimentos e responsabilidades

operacionais. Ela possui as premissas de documentação dos processos de operação; gerenciamento
de alteraçõ es; separação de funçõ es; e partição dos recursos de desenvolvimento, teste e de
produção. A categoria de gerenciamento de serviços terceirizados tem as condiçõ es de remessa de
serviços; acompanhamento e investigação de serviços terceirizados; e gestão de alteraçõ es para
serviços terceirizados. A categoria de planejamento e aceitação dos sistemas utiliza a implantação
de gerenciamento de capacidade; e a aceitação de processos. A quarta categoria diz respeito aos
monitoramentos contra có digos maliciosos e có digos mó veis. Já có pias de segurança é a categoria
que assegura a integridade e disponibilidade da informação e seus processamentos por meio de
có pias de segurança. A sexta categoria trata do gerenciamento da segurança em redes, e ela utiliza
monitoramentos de redes e proteção dos serviços de rede. O manuseio de mídias é a categoria que
tem as condiçõ es de gestão de mídias removíveis; eliminação de mídias; processos para lidar com
a informação; e segurança de documento dos sistemas. A categoria de troca de informaçõ es aplica
políticas e processos para permuta de informaçõ es; tratados para a permuta de informaçõ es; mídias
em trânsito; mensagens eletrô nicas; e sistemas de informaçõ es do negó cio. Já a categoria conhecida
como serviços de comércio eletrô nico tem os princípios de segurança das informaçõ es desse
mercado, das transaçõ es online e de informaçõ es expostas ao pú blico. O monitoramento é a ú ltima
categoria, e ele traz os registros de auditoria; o controle do uso do sistema; a segurança das
informaçõ es dos registros (log); o registro (log) do administrador e do operador; o registro (log)
das faltas; e a sincronização dos reló gios (ABNT, 2005).

Controle de Acessos

Essa é a segunda maior seção, composta por sete categorias. A de requisitos de negó cio para
controle de acesso tem a premissa de implantação de uma política de controle de acesso. Já a de
gerenciamento de acesso ao usuário aplica o registro de usuário; a gestão de privilégios e de senha
do usuário; e investigação dos direitos de acesso do usuário. A categoria de responsabilidades dos
usuários trata do uso de senhas; segurança dos instrumentos de usuário sem controle; e política de
mesa e tela limpa. O controle de acesso à rede é a categoria que trata da política de uso dos serviços
de rede; da autenticação para conexão externa do usuário; da identidade de instrumentos em redes;
da segurança e configuração de portas de diagnó stico remotas; da separação de redes; e do
monitoramento de conexão e roteamento de redes. A quinta tem as condiçõ es de procedimentos
seguros de entrada no sistema (log-on); identidade e autenticação de usuário; sistema de gestão de
senha; uso de utilitários de sistema; desconexão de terminal por inatividade; e restrição de horário
de conexão. A categoria de controle de acesso à aplicação e à informação tem os princípios de
limitação de acesso à informação e segregação de sistemas sensíveis. Finalmente, a computação
mó vel e trabalho remoto é a ú ltima categoria, e ela trata da implantação de políticas e termos de uso
de computação e comunicação mó vel e de trabalho remoto (ABNT, 2005).

Clique nas setas abaixo e conheça as outras seções da ISO/IEC 17799.

Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 14/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Ela é dividida nas categorias de requisitos de segurança de sistemas de informação;

processamento correto nas aplicaçõ es; controles criptográficos; segurança dos arquivos do
sistema; segurança em processos de desenvolvimento e de suporte; e gestão de vulnerabilidades
técnicas. A primeira adota a análise e especificação das exigências de segurança. A pró xima aplica
a homologação dos dados de entrada; monitoramento do processamento interno; integridade de
mensagens; e homologação de dados de saída. A terceira emprega a política para o uso de
monitoramentos criptográficos e gerência de chaves. A quarta refere-se ao monitoramento de
software operacional; segurança dos dados para teste de sistema; e monitoramento de acesso ao
có digo-fonte de programa. A outra garante processos para controle de alteraçõ es; investigação
técnica das aplicaçõ es apó s alteraçõ es no sistema operacional; limitaçõ es sobre alteraçõ es em
pacotes de software; disseminação de informaçõ es; e monitoramento do desenvolvimento
terceirizado de software. A ú ltima minimiza os riscos causados pela investigação de técnicas
vulneráveis, implantando monitoramento de fragilidades técnicas (ABNT, 2005).

Gestão de Incidentes de Segurança da Informação

Aqui há apenas as categorias de notificação de fragilidades e eventos de segurança da informação.
A primeira garante que as fragilidades e eventos de segurança de SI sejam informadas
imediatamente para aplicação de correção rápida, apresentando notificaçõ es de eventos e
vulnerabilidades de segurança da informação. A outra consiste na aplicação de obrigaçõ es e
processos, aprendizagem com os incidentes de segurança da informação e coleta de indícios
(ABNT, 2005).

Gestão da Continuidade do Negócio

Essa seção é formada por apenas uma categoria: os aspectos da gestão da continuidade do
negó cio relativos à segurança da informação. Suas premissas são: inserção da segurança de SI no
procedimento de gerenciamento da constância de negó cio; constância de negó cios e
exame/avaliação de riscos; desenvolvimento e execução de planos de continuidade relativos à
segurança da informação; organização do plano de continuidade do negó cio e testes; assistência e
revisão dos planos de continuidade do negó cio (ABNT, 2005).

Conformidade
A ú ltima seção apresenta três categorias, sendo elas: conformidade com requisitos legais;
conformidade com normas e políticas de segurança da informação e conformidade técnica; e
consideraçõ es quanto à auditoria de sistemas de informação. A primeira aplica o reconhecimento
da legislação vigente; direitos de propriedade intelectual; segurança de registros corporativos;
segurança de dados e privacidade de informaçõ es pessoais; precaução contra mau uso de meios
de processamento da informação; e padronização de monitoramentos de criptografia. A outra
adere à concordância com as políticas e normas de segurança da informação e apuração da
concordância técnica. Finalmente, a ú ltima abrange os requisitos de monitoramentos de auditoria
de sistemas de informação e segurança de métodos de auditoria de sistemas de informação
(ABNT, 2005).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 15/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

Na sequência, você conhecerá sobre a ISO/IEC 27002. Acompanhe!

1.2.2 ISO/IEC 27002

Conforme mencionado, essa norma é a atualização da ISO/IEC 17799 e passou a se chamar “Tecnologia da
informação – Técnicas de segurança – Có digo de prática para controles de segurança da informação”. A ISO/IEC
27002 é a mais respeitada e importante norma adotada pelas organizaçõ es nacionais e internacionais, pois
suas diretrizes são bem vistas pelos negó cios, uma vez que protegem os sistemas da informação corporativos.
Ao compararmos com a sua antecessora, ela apenas acrescentou algumas seçõ es e várias categorias ao seu
conteú do, como podemos ver a seguir. Clique nas abas para conferir.

Apresenta somente duas categorias: analisando/avaliando os riscos

de segurança da informação e tratando os riscos de segurança da
Análise/Avaliação e Tratamento informação. A primeira basicamente fala da identificação dos riscos
de Riscos e dos estragos que eles podem causar, além da necessidade de
verificação perió dica de esses eventos acontecerem e de criar uma
orientação a ser seguida eficazmente para essas análises. A outra
refere-se a empregar monitoramentos adequados para diminuir os
riscos; entender e admitir os riscos, reconhecendo que eles
respondem à política da empresa e aos critérios para a aceitação de
risco; deter riscos, não possibilitando atos que poderiam provocar
riscos; e transportar os riscos causados para outras partes (ABNT,
2005).

Criptografia Essa seção foi separada daquela que trata da aquisição,

desenvolvimento e manutenção de sistemas de informação e é
formada por apenas uma categoria: a de controles criptográficos. O
seu objetivo é garantir o uso da criptografia ativa e corretamente,
assegurando o cumprimento dos princípios da segurança dos
sistemas da informação. Seus requisitos são: política para a
aplicação de monitoramentos criptográficos e gerenciamento de
chaves (ABNT, 2005).

É formada também por duas categorias: segurança da informação na

cadeia de suprimento e gerenciamento da entrega do serviço do
Relacionamento na cadeia de
fornecedor. A primeira explana sobre a proteção garantida dos ativos
suprimento das empresas a que os fornecedores têm acesso, por meio da
política de segurança da informação na relação com os fornecedores,
do reconhecimento da segurança da informação nos negó cios com
fornecedores e da cadeia de suprimentos na tecnologia da
comunicação e informação. A ú ltima discorre sobre cumprir os
acordos de segurança da informação e de entrega de serviços,
mediante controle e investigação de serviços com fornecedores e
gestão de alteraçõ es para serviços com fornecedores (ABNT, 2005).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 16/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

VOCÊ QUER VER?

Yuri Diógenes é um brasileiro especialista em segurança da informaçã o e reconhecido
nacional e internacionalmente. Ele é autor, professor e gerente de programaçã o sê nior
da Microsoft. Diógenes ministra palestras e cursos na á rea no Brasil e no mundo. Alé m
disso, já publicou diversos livros, inclusive para a Microsoft, sendo o mais conhecido o
“Certificaçã o de analista em segurança ciberné tica CySA+: preparatório para o exame
CompTIA CS0-001”, que ajuda na preparaçã o para a prova do certificado CSA+.

Agora que conhecemos todo o conteú do que compõ e o padrão ISO, fica fácil reconhecer seus benefícios nas
empresas e entender sua utilização no meio corporativo. Além disso, cumpre destacar que existe certificação
para a ISO/IEC 27002, destinada aos profissionais de TI. Aqueles que têm esse certificado são bastante
requisitados no mercado, pois as empresas valorizam e dão preferência para eles devido à sua importância
nos negó cios, assegurando a proteção dos sistemas da informação. Existem várias instituiçõ es que oferecem o
curso para a certificação ISO/IEC 27002, sendo um bom investimento para quem deseja maiores e melhores
oportunidades de emprego.

1.3 Segurança da informação: visão geral das normas de

PCI-DSS
O Padrão de Segurança de Dados da Indú stria de Cartõ es de Pagamento foi criado em 2004 pelo PCI Security
Standards Council (Conselho de Padrõ es de Segurança do Setor de Cartõ es de Pagamento), que não é um ó rgão,
mas um fó rum aberto global que desenvolve padrõ es para segurança da informação de contas, com sede em
Massachusetts, Estados Unidos. Esse padrão, como o pró prio nome diz, trata da proteção de dados, transaçõ es
e informaçõ es de cartõ es de pagamento contra fraudes e roubos. É formado por 12 requisitos que estão
divididos em seis objetivos de controle, como vemos a seguir:

· Construir e manter a segurança de rede e sistemas:

1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão.
2. Não usar padrõ es disponibilizados pelo fornecedor para senhas do sistema e outros
parâmetros de segurança.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 17/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

· Proteger os dados do titular do cartão:

3. Proteger os dados armazenados do titular do cartão.
4. Criptografar a transmissão dos dados do titular do cartão em redes abertas e pú blicas.
· Manter um programa de gerenciamento de vulnerabilidades:
5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software
antivírus.
6. Desenvolver e manter sistemas e aplicativos seguros.
· Implementar medidas rigorosas de controle de acesso:
7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de
conhecimento para o negó cio.
8. Identificar e autenticar o acesso aos componentes do sistema.
9. Restringir o acesso físico aos dados do titular do cartão.
· Monitorar e testar as redes regularmente:
10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do
titular do cartão.
11. Testar regularmente os sistemas e processos de segurança.
· Manter uma política de segurança de informaçõ es:
12. Manter uma política que aborde a segurança da informação para todas as equipes. (PCI, 2018).

Figura 4 - O PCI Security Standards Council é um conselho que trata da segurança das informaçõ es de cartõ es
de pagamento.
Fonte: qvist, Shutterstock, 2019.

Assim como a ISO/IEC 27002, também existe uma certificação para PCI-DSS. Esse é um dos certificados mais
procurados pelos profissionais de TI, principalmente por aqueles que desejam trabalhar no setor financeiro.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 18/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

CASO
Nós só damos valor à implantaçã o da segurança da informaçã o nas organizações
quando vemos casos como o da British Airways (BA). A companhia aé rea sofreu
uma invasã o de hackers no seu site e aplicativo, o que ocasionou o vazamento de
informações de cartões de cré dito de mais de 380 mil usuá rios. Os clientes
afetados foram os que realizaram compras de passagem entre 21 de agosto e 5
de setembro de 2018, e tiveram dados como nomes, endereços, e-mails, nú meros
de cartões de cré ditos e seus códigos de segurança expostos.
Assim que soube do vazamento, a BA relatou imediatamente a situaçã o para a
Information Commissioner’s Office (ICO), que é especialista em proteçã o de
informações no Reino Unido, solicitando que investigassem e ajudassem a
resolver o problema. Entretanto, a companhia está sujeita a uma multa de 4% de
sua receita anual por falha de segurança.
Assumindo suas responsabilidades, a empresa informou que contataria os
clientes prejudicados e os reembolsaria. Alé m disso, a BA instruiu os clientes a se
dirigirem até suas instituições bancá rias para tomarem as devidas medidas de
segurança.

O fato é que a BA poderia ter prevenido a ocorrê ncia desse ataque se

implantasse uma norma de segurança de SI, colocando profissionais para
gerenciar, controlar e proteger seus sistemas de informaçã o. Ela poderia, por
exemplo, ter adotado o padrã o PCI-DSS, uma vez que houve uma falha na
proteçã o das informações de cartã o de pagamento dos usuá rios.

Por essa norma ser um complemento do padrão de segurança da informação ISO, as pessoas da área de TI
acabam fazendo os cursos para obterem as duas certificaçõ es e, assim, terem maiores possibilidades de
conseguir melhores cargos e um grande reconhecimento e valorização dentro das empresas. Portanto, quanto
mais especializaçõ es você tem, maiores e melhores oportunidades no mercado.

Síntese
Chegamos ao final desta unidade que tratou das normas e padrõ es de segurança da informação. Nela,
abordamos sobre vários aspectos da proteção das informaçõ es e dados de pessoas e empresas contra fraudes,
ameaças, riscos e invasõ es de indivíduos mal-intencionados.
Nesta unidade, você teve a oportunidade de:

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 19/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

• entender o que são as normas e padrões de segurança da

informação e sua importância nas organizações;
• conhecer alguns órgãos que desenvolvem padrões de segurança
para várias áreas no mundo todo;
• aprender quais são os princípios da segurança da informação,
principalmente a tríade CID;
• conhecer o padrão ePING desenvolvido e aplicado pelo governo
federal brasileiro;
• analisar os padrões ISO, aprender sobre suas seções e categorias,
além de suas aplicações nas organizações;
• explorar o padrão PCI-DSS, conhecer seus objetivos de controle e
requisitos para a proteção de transações feitas por cartão de
pagamento.

Bibliografia
A REDE. Direção de Irwin Winkler. Estados Unidos da América: Columbia Pictures, 1995. DVD.
ASSOCIAÇÃ O BRASILEIRA DE NORMAS TÉ CNICAS (ABNT). NBR ISO/IEC 17799: Tecnologia da informação –
Técnicas de segurança – Có digo de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT,
2005.
ASSOCIAÇÃ O BRASILEIRA DE NORMAS TÉ CNICAS (ABNT). NBR ISO/IEC 27002: Tecnologia da informação –
Técnicas de segurança – Có digo de Prática para controles de segurança da informação. Rio de Janeiro: ABNT,
2013.
BRASIL. Ministério do Planejamento, Orçamento e Gestão. Padrõ es de Interoperabilidade de Governo
Eletrô nico - ePING. Brasília: Secretaria de Tecnologia da Informação, 2017. Disponível em:
<http://eping.governoeletronico.gov.br/ (http://eping.governoeletronico.gov.br/)>. Acesso em: 26 jun. 2019.
CURVELLO, A. M. L. IoE – Internet de todas as coisas: quais os riscos de segurança? Goiás: IV Fó rum Goiano
Tecnoló gico, 2017.
FONTES, E. L. G. Políticas de segurança da informação. Rio de Janeiro: RNP/ESR, 2015.
GALVÃ O, M. C. Fundamentos de segurança da informação. São Paulo: Pearson, 2015.
IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2016.
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
KOLBE JÚ NIOR, A. Sistemas de segurança da informação na era do conhecimento. Curitiba: InterSaberes, 2017.
PCI. Indústria de cartões de pagamento (PCI) - Padrão de Segurança de Dados: requisitos e
procedimentos da avaliação de segurança. Versão 3.2.1, maio de 2018. Disponível em:
<https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1_PT-BR.pdf?

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 20/21
17/11/23, 13:41 Normas e Padrões de Segurança da Informação

agreement=true&time=1563739756714 (https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-
1_PT-BR.pdf?agreement=true&time=1563739756714)>. Acesso em: 21 jul. 2019.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_1/ebook/index.html 21/21