Índice:
Vídeo: [#20anosCGIbr] "Neutralidade da rede", com Barbara van Schewick e Christopher Marsden 2025
Políticas de segurança, padrões, procedimentos e diretrizes são diferentes um do outro, mas também interagem uns com os outros em uma variedade de maneiras. É importante entender essas diferenças e relacionamentos, e também reconhecer os diferentes tipos de políticas e suas aplicações.
Para desenvolver e implementar políticas, padrões, diretrizes e procedimentos de segurança da informação, você deve garantir que seus esforços sejam consistentes com a missão, os objetivos e os objetivos da organização.
As políticas, os padrões, os procedimentos e as diretrizes funcionam em conjunto como planos para um programa de segurança de informações bem-sucedido. Eles
- Estabelecer a governança.
- Fornecer orientação valiosa e suporte à decisão.
- Ajude a estabelecer autoridade legal.
Muitas vezes, as soluções de segurança técnica são implementadas sem esses planos importantes. Os resultados são frequentemente controles caros e ineficazes que não são aplicados uniformemente e não suportam uma estratégia geral de segurança.
Governança é um termo que representa coletivamente o sistema de políticas, padrões, diretrizes e procedimentos que ajudam a orientar as operações e decisões do dia-a-dia de uma organização.
Políticas
A política de segurança constitui a base do programa de segurança de informações de uma organização. RFC 2196, O Site Security Handbook, define uma política de segurança como "uma declaração formal de regras pelas quais as pessoas que têm acesso a recursos de tecnologia e informação de uma organização devem cumprir. "
Os quatro principais tipos de políticas são
- Senior Management: Uma declaração de gerenciamento de alto nível dos objetivos de segurança de uma organização, responsabilidades organizacionais e individuais, éticas e crenças e requisitos gerais e controles.
- Regulamentação: Políticas altamente detalhadas e concisas geralmente exigidas por requisitos federais, estaduais, industriais ou outros requisitos legais.
- Assessoria: Não obrigatório, mas altamente recomendado, muitas vezes com penalidades específicas ou consequências por incumprimento. A maioria das políticas se enquadra nesta categoria.
- Informativo: Apenas informa, sem requisitos explícitos de conformidade.
Padrões, procedimentos e diretrizes são elementos de apoio de uma política e fornecem detalhes específicos de implementação da política.
ISO / IEC 27002, Tecnologia da Informação - Técnicas de Segurança - Código de Prática para a Gestão da Segurança da Informação, é um padrão internacional para a política de segurança da informação.ISO / IEC é a Organização Internacional de Normalização e Comissão Electrotécnica Internacional. ISO / IEC 27002 consiste em 12 seções que, em grande parte (mas não completamente), se sobrepõem aos oito domínios de segurança (ISC) 2.
Padrões (e linhas de base)
Padrões são requisitos específicos e obrigatórios que definem e suportam políticas de nível superior. Por exemplo, um padrão pode exigir o uso de uma tecnologia específica, como um requisito mínimo para criptografia de dados sensíveis usando AES. Um padrão pode chegar a ponto de especificar a marca exata, produto ou protocolo a ser implementado.
Linhas de base são semelhantes e estão relacionados aos padrões. Uma linha de base pode ser útil para identificar uma base consistente para a arquitetura de segurança de uma organização, levando em consideração parâmetros específicos do sistema, como sistemas operacionais diferentes. Depois que as linhas de base consistentes são estabelecidas, padrões apropriados podem ser definidos em toda a organização.
Algumas organizações chamam seus padrões de documentos de configuração (e outros ainda os chamam de ambientes operacionais padrão) em vez de linhas de base. Esta é uma prática comum e aceitável.
Procedimentos
Procedimentos fornecem instruções detalhadas sobre como implementar políticas específicas e atender aos critérios definidos nos padrões. Os procedimentos podem incluir Procedimentos Operacionais Padrão (SOPs), livros executados e guias do usuário. Por exemplo, um procedimento pode ser um guia passo a passo para criptografar arquivos sensíveis usando um produto de criptografia de software específico.
Diretrizes
Diretrizes são semelhantes aos padrões, mas funcionam como recomendações e não como requisitos obrigatórios. Por exemplo, uma diretriz pode fornecer dicas ou recomendações para determinar a sensibilidade de um arquivo e se a criptografia é necessária.
