Padrões da

política de
segurança da
informação
 Real, Cilene
SST Padrões da política de segurança da informação /
Cilene Real
Ano: 2020
nº de p.: 9

Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.

 Padrões da política de
segurança da informação

Apresentação
Trataremos nesta unidade dos padrões da política de segurança da informação,
analisando a importância da adoção de normas internacionais da família ISO. Para
tanto, iremos compreender o que é uma norma ISO e quais as principais normas
existentes na área de segurança da informação.

Em seguida, iremos analisar mais a fundo a norma ISO 27000 e a norma ISO 27001,
pois são dois documentos muito importantes para área de segurança da informação,
tidas como normas de referência para certificações e gestão em qualidade.

Padrão ISO
Para a segurança de nossas informações, utilizamos as normas internacionais
auditáveis da família da ISO 27000, que formam um padrão de certificação
promovido pela International Organization for Standardization – ISO.

Figura 1 - International Organization for Standardization – ISO

Fonte: Plataforma Deduca (2017)

3
As normas são compostas por conceitos e fundamentos que auxiliam os
administradores da tecnologia da informação a estabelecerem, implementarem,
monitorarem, manterem e melhorarem a segurança da informação.

Para auxiliar na elaboração de um sistema de gestão da segurança da informação

(SGSI), existem diversas normas ISO, sendo algumas delas as seguintes:

• ISO 27000: contempla uma visão geral da série, com termos e definições que
fazem parte de seu vocabulário;
• ISO 27001: contém os requisitos de um SGSI;
• ISO 27002: detém o código de práticas que descreve os objetivos e controles
recomendados para a segurança da informação;
• ISO 27003: possui as diretrizes para a implementação do SGSI e informações
do PDCA (Plan-Do-Check-Act). No nosso idioma, o método PDCA é traduzido
em Planejar (Plan), etapa em que são definidos os objetivos a serem atingi-
dos; Fazer (Do), fase em que se executa o plano; Checar (Check), momento
em que se verifica os resultados obtidos; e Agir (Act), a última etapa do ciclo,
na qual são definidas as ações corretivas e efetuados os ajustes. Na família
do SGSI, é utilizado o método de gestão PDCA para garantir a melhoria con-
tínua dos métodos empregados.
• ISO 27004: apresenta as técnicas e métricas para o controle do SGSI.
• ISO 27005: contém as diretrizes para a gestão de riscos da Segurança da
Informação.
• ISO 27006: contempla os requisitos para auditoria.
• ISO 27007: é composta pelas diretrizes para auditar o SGSI.

Um exemplo que pode ser aplicado no dia a dia da área de tecnologia refere-se a
ISO 27005, que é a aquisição de um servidor para controlar os acessos de internet
dos colaboradores da empresa.

É necessário definir as configurações que esse servidor deve possuir, os softwares

que devem ser adquiridos para gerenciar a permissão de determinados sites e o
bloqueio de outros, a criação de grupos que possuam liberações ou bloqueios em
comum, entre outras definições.

Já para a ISO 27002, uma implementação valiosa a ser efetuada trata dos recursos
e acessos que um colaborador que será contratado deverá possuir. Uma maneira de
realizar tal ação é a criação de um formulário, que deve ser preenchido inicialmente
pelo RH, com as informações básicas do novo colaborador, como nome e setor; em
seguida, deve ser encaminhado para o gestor que está efetuando a contratação

4
definir que tipo de equipamento de informática esse colaborador deverá possuir
para realizar suas atividades: notebook, tablet e/ou celular; e esse gestor deve
indicar a quais informações esse colaborador deverá possuir acesso e se esse
acesso é apenas de leitura ou de gravação. Em seguida, o formulário será destinado
ao setor de TI, que irá providenciar os equipamentos necessários, a criação do
usuário e a atribuição dos acessos definidos.

Saiba mais
Você sabe a importância da ISO? A ISO é uma organização sediada
em Genebra, na Suíça, e foi fundada em 1946. A sigla ISO foi originada
da palavra isonomia. O propósito da ISO é desenvolver e promover
normas que possam ser utilizadas, igualmente, por todos os países do
mundo. Cerca de 111 países integram essa importante organização
internacional, especializada em padronização, cujos membros são
entidades normativas de âmbito nacional. O Brasil é representado
pela Associação Brasileira de Normas Técnicas – ABNT.

ISO 27000
O documento oficial da Norma ISO 27000 é formado por definições peculiares,
exigindo um vocabulário claro para não gerar diferentes interpretações.

No Quadro abaixo serão apresentados alguns termos presentes na norma.

Definições Descrição
Ação para eliminar a causa de uma não conformidade identificada
Ação corretiva ou uma situação indesejada.

Causa potencial de um incidente indesejado, podendo gerar danos

Ameaça para a empresa.

Utilização cuidadosa da informação para identificar possíveis

Análise de risco ocorrências de um risco.

Atacar Fazer uso não autorizado de um ativo.

Aquilo que tem valor para a organização: informação, softwares,

Ativos pessoas, entre outros.

5
 Garantia de que uma característica reclamada por uma entidade é
Autenticação correta.

Autenticidade Garantia de que uma entidade é aquilo que afirma ser.

Propriedade que garante que as informações estarão disponíveis

Confidencialidade apenas a indivíduos, entidades ou processos autorizados.

Meios para assegurar que o acesso a ativos está autorizado e

Controle de acesso restringido em requisitos de segurança.

Políticas, procedimentos, diretrizes e práticas que podem ser de

Controlar origem técnica, administrativa, de gestão ou de natureza legal.

Diretriz Recomendação do que se deve fazer para alcançar um objetivo.

Segurança da Preservação da confidencialidade, integridade e disponibilidade

das informações.
informação

Disponibilidade Propriedade de estar acessível.

Evento Ocorrência de um conjunto de circunstâncias.

Atividades definidas para controlar uma organização em relação a

Gestão de risco determinado risco.

Integridade Capacidade de proteger os ativos.

Política Intenção e direção geral expressadas pela gestão.

Um conjunto de atividades interrelacionadas que transformam

Processo insumos em produtos.

Responsabilidade Responsabilidade de uma entidade por suas ações e decisões.

Combinação da probabilidade de um evento e suas

Risco consequências.

Risco de segurança Uma ameaça que explora uma vulnerabilidade de um ativo e causa
danos à organização.
da informação

Reduto de políticas, procedimentos, diretrizes e recursos

Sistema de gestão associados para alcançar os objetivos de uma organização.

Sistema de Gestão Considerando o sistema de gestão e os riscos, estabelece,

implementa, opera, monitora, revisa e melhora a segurança da
de segurança da informação.
Informação (SGSI)

Vulnerabilidade Fraquezas de um ativo que pode ser explorada por uma ameaça.

6
ISO 27001
Considerando a ABNT (2009), a ISO 27001 é a única norma internacional de gestão
de segurança da informação, assim como a ISO 9001 é a referência internacional
para a certificação de gestão em qualidade. A ISO 27001 foi criada para definir
um modelo para estabelecer, implementar, operar, monitorar, analisar, manter e
melhorar um SGSI, buscando a proteção da informação.

Esta norma vem sendo melhorada continuamente ao longo dos anos e deriva de um
conjunto anterior de normas. Milhares de profissionais já contribuíram com o seu
know-how e experiência para o estabelecimento de um modelo padrão estável e
maduro, mas que certamente continuará a evoluir ao longo dos tempos.

O princípio geral da norma é adotar um conjunto de processos, controles e

requisitos que visam à gerência de riscos da empresa. A crescente utilização da
tecnologia da informação aumenta o risco para as empresas, sendo necessária
maior atenção na proteção de suas informações.

A ISO 27001 tem como objetivo assegurar um controle de segurança adequado

às reais necessidades da empresa, impedindo que as ameaças afetem as
informações. A norma tem características universais, assim ela pode ser adequada
à organização, independentemente de sua natureza: privada, pública ou sem fins
lucrativos.

Muitas empresas exigem que seus clientes e fornecedores possuam a certificação

da norma.

7
Fechamento
Estudamos os principais conceitos relacionados aos padrões da política de
segurança da informação, analisamos a importância da adoção de normas
internacionais da família ISO e sua relação com a tecnologia da informação. Vimos
também as principais características das normas ISO da família 27000 que auxiliam
na elaboração das diretrizes de segurança da informação.

Depois, analisamos os principais conceitos trazidos pela ISO 27000. Estas

definições precisam ser compreendidas de forma clara para não gerar diferentes
interpretações.

Por fim, estudamos alguns dos elementos que compõe a norma ISO 27001, norma
internacional de grande relevância na área de gestão da segurança da informação.

8
Referências
ABNT – Associação Brasileira de Normas Técnicas. ISO Guia 73: gestão de riscos:
vocabulário. Rio de Janeiro, 2009.

NBR ISO/IEC 17799: Tecnologia da Informação – Técnicas da Segurança – Código

de Prática para Gestão da Segurança da Informação. Rio de Janeiro, 2005.

NBR ISO/IEC 27001: Tecnologia da Informação – Técnicas da Segurança –

Sistemas de Gestão da Segurança da Informação - requisitos. Rio de Janeiro, 2006.