Norma de Boas Práticas para a Segurança da Informação

Origem: Wikipédia, a enciclopédia livre.

A Norma de Boas Práticas de 2011

OPadrão de Boas Práticas para Segurança da Informação (SOGP), publicado peloFórum de Segurança da Informação (ISF), é um guia focado nos negócios, prático e abrangente para identificar e gerenciar riscos de segurança dainformaçãonas organizações e suas cadeias de suprimentos. ^[1]

A edição mais recente é 2020, uma atualização da edição de 2018. Uma edição de 2022 está chegando.

Após o lançamento, o Padrão de 2011 foi a atualização mais significativa do padrão por quatro anos. Abrange “tópicos quentes” de segurança da informação, como dispositivos de consumo, infraestrutura crítica, ataques de cibercrime, equipamentos de escritório, planilhas e bancos de dados e computação em nuvem.

A Norma de 2011 está alinhada com os requisitos para umSistema de Gerenciamento de Segurança da Informação (SGSI) estabelecidos nos padrões da série ISO/IEC 27000 e fornece uma cobertura mais ampla e profunda dos tópicos de controleda ISO/IEC 27002, bem como computação em nuvem, vazamento de informações, dispositivos de consumo e governança de segurança.

Além de fornecer uma ferramenta para permitir a certificação ISO 27001, a Norma de 2011 fornece cobertura completa dos tópicos doCOBITv4 e oferece alinhamento substancial com outros padrões e legislações relevantes, comoo PCI DSSe oSarbanes Oxley Act, para permitir a conformidade com esses padrões também.

A Norma é usada por Chief Information Security Officers (CISOs), gerentes de segurança da informação, gerentes de negócios, gerentes de TI, auditores internos e externos, provedores de serviços de TI em organizações de todos os tamanhos.

O Padrão 2018 está disponível gratuitamente para os membros do ISF. Os não-membros podem comprar uma cópia do padrão diretamente do ISF.

Organização[editar | editar código-fonte]

A Norma tem sido historicamente organizada em seis categorias, ou_aspectos_. As InstalaçõeseRedes de Computadoresabordam ainfraestrutura de TIsubjacente na qualos Aplicativos de Negócios Críticossão executados. OAmbiente do Usuário Finalabrange os arranjos associados à proteção de aplicativos corporativos e de estação de trabalho no ponto de extremidade em uso por indivíduos. O Desenvolvimento de Sistemaslida com a forma como novos aplicativos e sistemas são criados, e oGerenciamento de Segurançaaborda a direção e o controle de alto nível.

O Standard agora é publicado principalmente em um formato “modular” simples que elimina a redundância. Por exemplo, as várias seções dedicadas à auditoria e revisão de segurança foram consolidadas.

Aspecto	Foco	Público-alvo	Problemas investigados	Âmbito e cobertura
Gerenciamento de segurança (em toda a empresa)	Gestão de segurança a nível empresarial.	O público-alvo do aspecto SM normalmente incluirá: Chefes de funções desegurança da informação Gerentes de segurança da informação (ou equivalente) Auditores de TI	O compromisso assumido pela alta administração em promover boas práticas de segurança da informação em toda a empresa, juntamente com a alocação de recursos apropriados.	Disposições em matéria de gestão da segurança no âmbito de: Um grupo de empresas (ou equivalente) Parte de um grupo (por exemplo, empresa subsidiária ou unidade de negócios) Uma organização individual (por exemplo, uma empresa ou um departamento governamental)
Aplicativos de negócios críticos	Umaplicativo denegócios que é fundamental para o sucesso da empresa.	O público-alvo do aspecto CB normalmente incluirá: Proprietários de aplicativos de negócios Indivíduos encarregados de processos de negócios que dependem de aplicativos Integradores de sistemas Equipe técnica, como membros de uma equipe de suporte a aplicativos.	Os requisitos de segurança do pedido e as disposições tomadas para identificar osriscose mantê-los dentro de níveis aceitáveis.	Aplicativos de negócios críticos de qualquer: Tipo (incluindo processamento de transações, controle de processos, transferência de fundos, atendimento ao cliente e aplicativos de estação de trabalho) Tamanho (por exemplo, aplicativos que suportam milhares de usuários ou apenas alguns)
Instalações de Computadores	Uma instalação de computador que oferece suporte a um ou mais aplicativos de negócios.	O público-alvo do aspecto de IC normalmente incluirá: Proprietários de instalações informáticas Indivíduos encarregados de administrardata centers Gerentes de TI Terceiros que operam instalações de computador para a organização Auditores de TI	Como os requisitos para os serviços de informática são identificados; e como os computadores são configurados e executados para atender a esses requisitos.	Instalações de computador: De todos os tamanhos (incluindo o maiormainframe, sistemas baseados em servidor e grupos de estações de trabalho) Execução em ambientes especializados (por exemplo, um data center construído especificamente para esse fim) ou em ambientes de trabalho comuns (por exemplo, escritórios, fábricas e armazéns)
Redes	Umaredeque oferece suporte a um ou mais aplicativos de negócios	O público-alvo do aspecto NW normalmente incluirá: Chefes de funções de rede especializadas Gerenciadores de rede Terceiros que fornecem serviços de rede (por exemplo, provedores de serviços de Internet) Auditores de TI	Como os requisitos para os serviços de rede são identificados; e como as redes são configuradas e executadas para atender a esses requisitos.	Qualquer tipo de rede de comunicações, incluindo: Redes de longa distância (WANs) ouredes locais (LANs) Grande escala (por exemplo, em toda a empresa) ou pequena escala (por exemplo, um departamento individual ou unidade de negócios) Aqueles baseados na tecnologia da Internet, comointranets ou extranets Voz, dados ou integrados
Desenvolvimento de Sistemas	Uma unidade ou departamento de desenvolvimento de sistemas, ou um projeto dedesenvolvimentode sistemas específico.	O público-alvo do aspecto SD normalmente incluirá Chefes de funções de desenvolvimento de sistemas Desenvolvedores de sistemas Auditores de TI	Como os requisitos de negócios (incluindo os requisitos de segurança da informação) são identificados; e como os sistemas são projetados e construídos para atender a esses requisitos.	Atividade de desenvolvimento de todos os tipos, incluindo: Projetos de todos os tamanhos (variando de muitos anos de trabalho a alguns dias de trabalho) Aqueles conduzidos por qualquer tipo de desenvolvedor (por exemplo, unidades ou departamentos especializados, terceirizados ou usuários corporativos) Aqueles baseados em pacotes de software ou aplicativos feitos sob medida
Ambiente do usuário final	Um ambiente (por exemplo, uma unidade de negócios ou departamento) no qual os indivíduos usam aplicativos de negócios corporativos ou aplicativos críticos de estação de trabalho para dar suporte a processos de negócios.	O público-alvo do aspecto UE normalmente incluirá: Gerentes de negócios Indivíduos no ambiente do usuário final Coordenadores locais de segurança da informação Gerentes de segurança da informação (ou equivalentes)	As disposições relativas à educação esensibilização dos utilizadores; uso de aplicativos de negócios corporativos e aplicativos críticos de estação de trabalho; e a proteção das informações associadas àcomputação móvel.	Ambientes de usuário final: De qualquer tipo (por exemplo, departamento corporativo, unidade geral de negócios, chão de fábrica oucall center) De qualquer tamanho (por exemplo, vários indivíduos para grupos de centenas ou milhares) Isso inclui indivíduos com diferentes graus de habilidades de TI econsciência da segurança da informação.

Os seis aspectos dentro da Norma são compostos por uma série de_áreas_, cada uma cobrindo um tópico específico. Uma área é dividida em_seções_, cada uma das quais contém especificações detalhadas das melhores práticas desegurançada informação. Cada instrução tem uma referência exclusiva. Por exemplo, o SM41.2 indica que uma especificação está no aspecto Gerenciamento de Segurança, área 4, seção 1, e está listada como especificação nº 2 nessa seção.

A parte de Princípios e Objetivos da Norma fornece uma versão de alto nível da Norma, reunindo apenas os_princípios_ (que fornecem uma visão geral do que precisa ser realizado para atender à Norma) e_objetivos_ (que descrevem a razão pela qual essas ações são necessárias) para cada seção.

A Norma publicada também inclui uma extensa matriz de tópicos, índice, material introdutório, informações básicas, sugestões de implementação e outras informações.

Veja também[editar | editar código-fonte]

ConsulteCategoria:Segurança do computadorpara obter uma lista de todos os artigos relacionados à computação e à segurança da informação.

• Padrões de segurança cibernética
• Fórum de Segurança da Informação
• COBIT
• Comitê de Organizações Patrocinadoras da Comissão Treadway (COSO)
• Norma ISO 17799
• ISO/IEC 27002
• ITIL
• Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)
• Basileia III
• Cloud Security Alliance (CSA) parasegurança de computação em nuvem

Referências[editar | editar código-fonte]

Saiba tudo sobre as Normas ISO 27000

1. [^](https://en.wikipedia.org/wiki/Standard_of_Good_Practice_for_Information_Security#cite_ref-1 “Jump up”) “Norma de Boas Práticas para a Segurança da Informação 2020”. Fórum de Segurança da Informação. Consultado em2021-09-04.

Ligações externas[editar | editar código-fonte]

• O Padrão de Boas Práticas
• OFórum de Segurança da Informação

---