Padrões de segurança de TI
Origem: Wikipédia, a enciclopédia livre.
Padrões de segurança de TI ou padrões de segurança cibernética[1] são técnicas geralmente descritas em materiais publicados que tentam proteger o ambiente cibernético de um usuário ou organização. [2] Este ambiente inclui os próprios utilizadores, redes, dispositivos, todo o software, processos, informações em armazenamento ou trânsito, aplicações, serviços e sistemas que podem ser ligados directa ou indirectamente às redes.
O principal objetivo é reduzir os riscos, incluindo a prevenção ou mitigação de ciberataques. Esses materiais publicados consistem em ferramentas, políticas, conceitos de segurança, salvaguardas de segurança, diretrizes, abordagens de gerenciamento de riscos, ações, treinamento, melhores práticas, garantia e tecnologias.
História[editar | editar código-fonte]
Os padrões de segurança cibernética existem ao longo de várias décadas, à medida que usuários e provedores colaboraram em muitos fóruns nacionais e internacionais para efetivar as capacidades, políticas e práticas necessárias – geralmente emergentes do trabalho no Stanford Consortium for Research on Information Security and Policy na década de 1990.[3]
Um estudo de adoção da estrutura de segurança dos EUA de 2016 relatou que 70% das organizações pesquisadas têm o NIST Cybersecurity Framework como a melhor prática mais popular para a segurança de computadores de Tecnologia da Informação (TI), mas muitos observam que isso requer um investimento significativo. [4] As operações transfronteiriças de ciberfiltração por parte das agências de aplicação da lei para combater as atividades criminosas internacionais na dark web levantam questões jurisdicionais complexas que permanecem, em certa medida, sem resposta. [5][6] É provável que as tensões entre os esforços nacionais de aplicação da lei para conduzir operações de ciberfiltração transfronteiras e a jurisdição internacional continuem a proporcionar normas de cibersegurança melhoradas. [5][7]
Normas Internacionais[editar | editar código-fonte]
As subseções abaixo detalham os padrões internacionais relacionados à segurança cibernética.
ISO/IEC 27001 e 27002[editar | editar código-fonte]
A ISO/IEC 27001, parte da crescente família de normas ISO/IEC 27000, é uma norma de sistema de gestão de segurança da informação (SGSI), cuja última revisão foi publicada em outubro de 2013 pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC). Seu nome completo é ISO/IEC 27001:2013 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos.
A ISO/IEC 27001 especifica formalmente um sistema de gestão destinado a colocar a segurança da informação sob controle de gerenciamento explícito.
A ISO/IEC 27002 incorpora a parte 1 da norma de boas práticas de gestão de segurança BS 7799. A última versão do BS 7799 é BS 7799-3. Às vezes, a ISO/IEC 27002 é, portanto, referida como ISO 17799 ou BS 7799 parte 1 e, às vezes, refere-se à parte 1 e parte 7. A BS 7799 parte 1 fornece um esboço ou um guia de boas práticas para o gerenciamento de segurança cibernética; enquanto a BS 7799 parte 2 e a ISO/IEC 27001 são normativas e, portanto, fornecem uma estrutura para a certificação. A ISO/IEC 27002 é um guia de alto nível para a segurança cibernética. É mais benéfico como orientação explicativa para a gestão de uma organização obter a certificação para a norma ISO/IEC 27001. A certificação, uma vez obtida, tem a duração de três anos. Dependendo da organização de auditoria, nenhuma ou algumas auditorias intermediárias podem ser realizadas durante os três anos.
A ISO/IEC 27001 (ISMS) substitui a BS 7799 parte 2, mas como é compatível com versões anteriores, qualquer organização que trabalhe em direção à BS 7799 parte 2 pode facilmente fazer a transição para o processo de certificação ISO/IEC 27001. Há também uma auditoria de transição disponível para facilitar uma vez que uma organização tenha a certificação BS 7799 parte 2 para que a organização se torne certificada pela ISO/IEC 27001. A ISO/IEC 27002 fornece recomendações de melhores práticas sobre gerenciamento de segurança da informação para uso por aqueles responsáveis por iniciar, implementar ou manter sistemas de gerenciamento de segurança da informação (SGSI). Ele declara os sistemas de segurança da informação necessários para implementar os objetivos de controle da ISO/IEC 27002. Sem a ISO/IEC 27001, os objetivos de controle da ISO/IEC 27002 são ineficazes. Os objetivos de controle da ISO/IEC 27002 são incorporados à ISO 27001 no Anexo A.
A ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) é uma Norma Internacional baseada no Modelo de Maturidade de Capacidade de Engenharia de Segurança de Sistemas (SSE-CMM) que pode medir a maturidade dos objetivos dos controles ISO.
ISO/IEC 15408[editar | editar código-fonte]
Este padrão desenvolve o que é chamado de “Critérios Comuns”. Ele permite que muitos produtos de software e hardware diferentes sejam integrados e testados de maneira segura.
IEC 62443[editar | editar código-fonte]
A norma de segurança cibernética IEC 62443 define processos, técnicas e requisitos para Sistemas de Controle e Automação Industrial (IACS). Seus documentos são o resultado do processo de criação de padrões IEC, onde todos os comitês nacionais envolvidos concordam com um padrão comum.
Planejei e publiquei produtos de trabalho IEC 62443 para IACS Security.
Todas as normas IEC 62443 e relatórios técnicos estão organizados em quatro categorias gerais chamadas Geral, Políticas e Procedimentos, Sistema e Componente.
- A primeira categoria inclui informações fundamentais, como conceitos, modelos e terminologia.
- A segunda categoria de produtos de trabalho tem como alvo o Proprietário do Ativo. Estes abordam vários aspectos da criação e manutenção de um programa de segurança IACS eficaz.
- A terceira categoria inclui produtos de trabalho que descrevem diretrizes e requisitos de projeto de sistemas para a integração segura de sistemas de controle. O núcleo disso é a zona e o conduíte, modelo de design.
- A quarta categoria inclui produtos de trabalho que descrevem o desenvolvimento de produtos específicos e os requisitos técnicos dos produtos do sistema de controle.
ISO/SAE 21434[editar | editar código-fonte]
A ISO/SAE 21434 “Veículos rodoviários - Engenharia de segurança cibernética” é uma norma de segurança cibernética desenvolvida em conjunto pelos grupos de trabalho ISO e SAE. Propõe medidas de cibersegurança para o ciclo de vida de desenvolvimento dos veículos rodoviários. A norma foi publicada em agosto de 2021. [8]
A norma está relacionada com o regulamento da União Europeia (UE) sobre segurança cibernética que está atualmente sendo desenvolvido. Em coordenação com a UE, a UNECE está a desenvolver uma certificação para um “Sistema de Gestão da Cibersegurança” (CSMS), que será obrigatório para a homologação de veículos. A ISO/SAE 21434 é uma norma técnica para o desenvolvimento automotivo que pode demonstrar conformidade com esses regulamentos.
Um derivado disso está no trabalho do UNECE WP29, que fornece regulamentos para segurança cibernética de veículos e atualizações de software. [9]
ETSI EN 303 645[editar | editar código-fonte]
A norma ETSI EN 303 645 fornece um conjunto de requisitos de linha de base para a segurança em dispositivos de Internet das Coisas (IoT) de consumo. Ele contém controles técnicos e políticas organizacionais para desenvolvedores e fabricantes de dispositivos de consumo conectados à Internet. A norma foi lançada em junho de 2020[10] e destina-se a ser complementada por outras normas mais específicas. Como muitos dispositivos IoT de consumo lidam com informações de identificação pessoal (PII), a implementação do padrão ajuda a cumprir o Regulamento Geral de Proteção de Dados (GDPR) na UE. [11]
As disposições em matéria de cibersegurança desta norma europeia são:
- Sem senhas padrão universais
- Implementar um meio de gerenciar relatórios de vulnerabilidades
- Mantenha o software atualizado
- Armazene com segurança parâmetros de segurança confidenciais
- Comunique-se com segurança
- Minimize as superfícies de ataque expostas
- Garantir a integridade do software
- Garantir que os dados pessoais estão seguros
- Torne os sistemas resilientes a interrupções
- Examinar dados de telemetria do sistema
- Facilite a exclusão de dados do usuário pelos usuários
- Facilite a instalação e a manutenção de dispositivos
- Validar dados de entrada
A avaliação de conformidade desses requisitos de linha de base é feita por meio da norma TS 103 701, que permite a autocertificação ou a certificação por outro grupo. [12]
Normas Nacionais[editar | editar código-fonte]
As subsecções que se seguem detalham as normas e os quadros nacionais relacionados com a cibersegurança.
NERC[editar | editar código-fonte]
Uma tentativa inicial de criar padrões de segurança da informação para o setor de energia elétrica foi criada pela NERC em 2003 e ficou conhecida como NERC CSS (Cyber Security Standards). [13] Na sequência das orientações CSS, o NERC evoluiu e reforçou esses requisitos. O padrão de segurança NERC moderno mais amplamente reconhecido é o NERC 1300, que é uma modificação/atualização do NERC 1200. A versão mais recente do NERC 1300 é chamada de CIP-002-3 a CIP-009-3 (CIP=Critical Infrastructure Protection). Esses padrões são usados para proteger sistemas elétricos a granel, embora o NERC tenha criado padrões em outras áreas. Os padrões de sistema elétrico em massa também fornecem administração de segurança de rede, ao mesmo tempo em que oferecem suporte a processos de melhores práticas do setor. [1]
NIST[editar | editar código-fonte]
- O NIST Cybersecurity Framework (NIST CSF) “fornece uma taxonomia de alto nível de resultados de segurança cibernética e uma metodologia para avaliar e gerenciar esses resultados”. Destina-se a ajudar as organizações do setor privado que fornecem infraestrutura crítica com orientação sobre como protegê-la, juntamente com proteções relevantes para a privacidade e as liberdades civis. [14]
- A publicação especial 800-12 fornece uma ampla visão geral das áreas de segurança e controle de computadores. Também enfatiza a importância dos controles de segurança e as maneiras de implementá-los. Inicialmente, este documento foi destinado ao governo federal, embora a maioria das práticas neste documento possa ser aplicada ao setor privado também. Especificamente, foi escrito para as pessoas no governo federal responsáveis por lidar com sistemas sensíveis. [2]
- A publicação especial 800-14 descreve os princípios comuns de segurança que são usados. Ele fornece uma descrição de alto nível do que deve ser incorporado em uma diretiva de segurança do computador. Ele descreve o que pode ser feito para melhorar a segurança existente, bem como como desenvolver uma nova prática de segurança. Oito princípios e quatorze práticas são descritos neste documento. [3]
- A publicação especial 800-26 fornece conselhos sobre como gerenciar a segurança de TI. Substituído pelo NIST SP 800-53 rev3. Este documento enfatiza a importância das autoavaliações, bem como das avaliações de risco. [4]
- A publicação especial 800-37, atualizada em 2010, fornece uma nova abordagem de risco: “Guia para a Aplicação da Estrutura de Gerenciamento de Riscos aos Sistemas Federais de Informação”
- A publicação especial 800-53 rev4, “Security and Privacy Controls for Federal Information Systems and Organizations”, Publicada em abril de 2013, atualizada para incluir atualizações a partir de 15 de janeiro de 2014, aborda especificamente os 194 controles de segurança que são aplicados a um sistema para torná-lo “mais seguro”.
- A publicação especial 800-63-3, “Digital Identity Guidelines”, publicada em junho de 2017, atualizada para incluir atualizações a partir de 1º de dezembro de 2017, fornece diretrizes para a implementação de serviços de identidade digital, incluindo prova de identidade, registro e autenticação de usuários. [5]
- A Publicação Especial 800-82, Revisão 2, “Guia para a Segurança do Sistema de Controle Industrial (ICS)”, revisada em maio de 2015, descreve como proteger vários tipos de Sistemas de Controle Industrial contra ataques cibernéticos, considerando os requisitos de desempenho, confiabilidade e segurança específicos do ICS. [6]
FIPS 140[editar | editar código-fonte]
A série 140 de Padrões Federais de Processamento de Informações (FIPS) são padrões de segurança de computadores do governo dos EUA que especificam requisitos para módulos de criptografia. Tanto o FIPS 140-2 quanto o FIPS 140-3 são aceitos como atuais e ativos.
Cyber Essentials[editar | editar código-fonte]
O Cyber Essentials é um esquema de garantia de informações do governo do Reino Unido que é operado pelo National Cyber Security Centre (NCSC). Incentiva as organizações a adotarem boas práticas em segurança da informação. O Cyber Essentials também inclui uma estrutura de garantia e um conjunto simples de controles de segurança para proteger as informações contra ameaças provenientes da Internet.
Essential Eight[editar | editar código-fonte]
O Centro Australiano de Segurança Cibernética desenvolveu estratégias de mitigação prioritárias, na forma de Estratégias para Mitigar Incidentes de Segurança Cibernética, para ajudar as organizações a se protegerem contra várias ameaças cibernéticas. A mais eficaz dessas estratégias de mitigação é chamada de Oito Essenciais. [15]
BSI IT-Grundschutz[editar | editar código-fonte]
As normas do Serviço Federal de Segurança da Informação (em alemão: Bundesamt für Sicherheit in der Informationstechnik, abreviado como BSI) são um componente elementar da metodologia de proteção de linha de base de TI (em alemão: IT-Grundschutz). Eles contêm recomendações sobre métodos, processos e procedimentos, bem como abordagens e medidas para vários aspectos da segurança da informação. Usuários de autoridades públicas e empresas, bem como fabricantes ou prestadores de serviços, podem usar os padrões do BSI para tornar seus processos de negócios e dados mais seguros. [16]
- O BSI Standard 100-4 abrange o Business Continuity Management (BCM).
- A Norma BSI 200-1 define requisitos gerais para um sistema de gerenciamento de segurança da informação (SGSI). É compatível com a ISO 27001 e considera as recomendações de outras normas ISO, como a ISO 27002.
- A Norma BSI 200-2 constitui a base da metodologia do BSI para o estabelecimento de um sistema de gestão de segurança da informação (SGSI) sólido. Ele estabelece três procedimentos para implementar a proteção de linha de base de TI.
- O BSI Standard 200-3 agrupa todas as etapas relacionadas ao risco na implementação da proteção de linha de base de TI.
Padrões específicos do setor[editar | editar código-fonte]
As subseções abaixo detalham os padrões e estruturas de segurança cibernética relacionados a setores específicos.
PCI DSS[editar | editar código-fonte]
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um padrão de segurança da informação para organizações que lidam com cartões de crédito de marca dos principais esquemas de cartões. O PCI Standard é obrigatório pelas marcas de cartões, mas administrado pelo Payment Card Industry Security Standards Council. O padrão foi criado para aumentar os controles em torno dos dados do titular do cartão para reduzir a fraude do cartão de crédito.
UL 2900[editar | editar código-fonte]
UL 2900 é uma série de normas publicadas pela UL. Os padrões incluem requisitos gerais de segurança cibernética (UL 2900-1), bem como requisitos específicos para produtos médicos (UL 2900-2-1), sistemas industriais (UL 2900-2-2) e sistemas de sinalização de segurança e proteção da vida (UL 2900-2-3).
A UL 2900 exige que os fabricantes tenham descrito e documentado a superfície de ataque das tecnologias usadas em seus produtos. Requer modelagem de ameaças com base no ambiente de uso e implantação pretendidos. A norma exige a implementação de medidas de segurança eficazes que protejam dados sensíveis (pessoais), bem como outros ativos, como dados de comando e controle. Também exige que as vulnerabilidades de segurança no software tenham sido eliminadas, que os princípios de segurança, como a defesa em profundidade, tenham sido seguidos e que a segurança do software tenha sido verificada através de testes de penetração.
Veja também[editar | editar código-fonte]
- Diretor de segurança da informação
- Segurança informática
- Segurança do sistema de controle
- Segurança da informação
- Garantia da informação
Observações[editar | editar código-fonte]
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-NIST_1-0 “Jump up”) “Diretrizes para a Segurança Cibernética da Rede Inteligente”. Instituto Nacional de Padrões e Tecnologia. 01/08/2010. DOI:10.6028/NIST. IR.7628r1. Página visitada em 2014-03-30.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-2 “Jump up”) “Base de dados de Recomendações ITU-T”.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-3 “Jump up”) “FSI - Consórcio de Pesquisa em Segurança e Política da Informação”.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-4 “Jump up”) “Adoção da estrutura de segurança cibernética do NIST prejudicada pelos custos, segundo a pesquisa”. 30 de março de 2016. Consultado em 2016-08-02.
- ^ Jump up to: um b Ghappour, Ahmed (2017-01-01). “Tallinn, Hacking e Direito Internacional Consuetudinário”. AJIL Unbound. 111: 224–228. DOI:10.1017/aju.2017.59.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-6 “Jump up”) Ghappour, Ahmed (2017-04-01). “Pesquisando lugares desconhecidos: jurisdição de aplicação da lei na Dark Web”. Stanford Law Review. 69 (4): 1075.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-7 “Jump up”) Ghappour, Ahmed (2017). “Pesquisando lugares desconhecidos: jurisdição de aplicação da lei na Dark Web”. Stanford Law Review. 69 (4).
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-8 “Jump up”) ISO/SAE 21434:2021 Veículos rodoviários — Engenharia de cibersegurança
-
[^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-9 “Jump up”) [“Os Regulamentos da ONU sobre Segurança Cibernética e Atualizações de Software para preparar o caminho para a implantação em massa de veículos conectados UNECE”](https://unece.org/sustainable-development/press/un-regulations-cybersecurity-and-software-updates-pave-way-mass-roll). unece.org. - [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-10 “Jump up”) Anúncio do ETSI
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-11 “Jump up”) ETSI EN 303 645 V2.1.0
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-12 “Jump up”) “ETSI TS 103 701 Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements” (em inglês). ETSI.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-13 “Jump up”) Symantec Control Compliance Suite – NERC and FERC Regulation Arquivado em 22/10/2016 na subseção Wayback Machine: History of NERC Standards
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-14 “Jump up”) “NIST Cybersecurity Framework”. Nist. 12 de novembro de 2013. Consultado em 2016-08-02.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-15 “Jump up”) “Modelo Essencial de Oito Maturidades”. Centro Australiano de Segurança Cibernética. Consultado em 29 de setembro de 2022 O texto foi copiado desta fonte, que está disponível sob uma Licença Creative Commons Atribuição 4.0 Internacional.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#cite_ref-16 “Jump up”) “BSI - IT-Grundschutz”. BSI (em alemão). Consultado em 26-03-2021.
Referências[editar | editar código-fonte]
- [^](https://en.wikipedia.org/wiki/IT_security_standards#ref_department) Departamento de Segurança Interna, Uma Comparação de Padrões de Segurança Cibernética Desenvolvidos pelo Segmento de Petróleo e Gás. (5 de novembro de 2004)
- [^](https://en.wikipedia.org/wiki/IT_security_standards#ref_800-14) Guttman, M., Swanson, M., Instituto Nacional de Padrões e Tecnologia; Administração de Tecnologia; Departamento de Comércio dos EUA., Princípios e Práticas Geralmente Aceitos para Proteger Sistemas de Tecnologia da Informação (800–14). (Setembro de 1996)
- [^](https://en.wikipedia.org/wiki/IT_security_standards#ref_800-12) Instituto Nacional de Padrões e Tecnologia; Administração de Tecnologia; U.S. Department of Commerce., Uma Introdução à Segurança Informática: O Manual do NIST, Publicação Especial 800-12.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#ref_800-26) Swanson, M., Instituto Nacional de Padrões e Tecnologia; Administração de Tecnologia; Departamento de Comércio dos EUA., Guia de Autoavaliação de Segurança para Sistemas de Tecnologia da Informação (800–26).
- [^](https://en.wikipedia.org/wiki/IT_security_standards#ref_800-63-3) Grassi, P.; Garcia, M.; Fenton, J.; Instituto Nacional de Padrões e Tecnologia; Departamento de Comércio dos EUA., Diretrizes de Identidade Digital (800-63-3).
- [^](https://en.wikipedia.org/wiki/IT_security_standards#ref_800-82) Stouffer, K.; Pillitteri, V.; Lightman, S.; Abrams, M.; Oliveira, A.; Instituto Nacional de Padrões e Tecnologia; Departamento de Comércio dos EUA., Guia de Segurança de Sistemas de Controle Industrial (ICS) (800–82).
- [^](https://en.wikipedia.org/wiki/IT_security_standards#ref_NERC) O Conselho Norte-Americano de Confiabilidade Elétrica (NERC). http://www.nerc.com. Página visitada em November 12, 2005.
- [^](https://en.wikipedia.org/wiki/IT_security_standards#ref_FFIEC) Conselho Federal de Exame das Instituições Financeiras (FFIEC). https://www.ffiec.gov. Consultado em 18 de abril de 2018
Ligações externas[editar | editar código-fonte]
- Segurança cibernética IEC
- ISO 27001 Segurança da Informação
- Padrões NERC CIP
- Apresentação do Professor William Sanders, Universidade de Illinois
- Conferência Global de Políticas de Segurança Cibernética
- Um guia de 10 minutos para a estrutura de segurança cibernética do NIST
- Site do Conselho Federal de Exame de Instituições Financeiras (FFIEC)
- Controles de segurança críticos do CIS