POLÍTICA, PADRÕES E
PROCEDIMENTOS DE
SEGURANÇA DA
INFORMAÇÃO

POLÍTICA, PADRÕES E PROCEDIMENTOS
DE SEGURANÇA DA INFORMAÇÃO

Política : texto de alto nível, que dá direcionamento geral e significado aos objetivos e intenções da administração quanto à segurança da informação.

Padrões : Conjunto de medidas necessárias para estabelecer o controle.

Procedimentos : descrição passo-a-passo sobre como atingir os resultados.

Para que servem:

Estão relacionados ao uso da informação em uma organização.

Fornecem direcionamento para implementações técnicas.

Formam um conjunto de ações que compõem a Gestão da Segurança.

Surgimento das Normas

Em outubro de 1967 foi criado um documento chamado “Security Control for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores.

Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria” por DoD. A versão final deste documento foi impresso em dezembro de 1985.

O “Orange Book” é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.
O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados.

Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799“.

Diversas partes da ISO 17799
1. Objetivo da norma
2. Termos e definições
3. Política de segurança
4. Segurança organizacional
5. Classificação e controle dos ativos de informação
6. Segurança de pessoas
7. Segurança física e do ambiente
8. Gerenciamento de operações e comunicações
9. Controle de