Política de segurança da informação

A política de segurança da informação define os objetivos e mecanismos organizacionais da segurança da informação dentro de uma organização. A definição das políticas de segurança segue os princípios de segurança desejados: confidencialidade, integridade ou disponibilidade.

Modelos formais

Existem vários modelos formais de segurança  :

• O modelo Bell-LaPadula (gestão de acesso por mandato, confidencialidade, estático) que tem sido o modelo mais utilizado para verificar a segurança dos sistemas informáticos; os projetistas desse modelo demonstraram um teorema denominado Teorema de Segurança Básica (BST). Deste modelo foram derivados outros modelos; o da Biba (gerenciamento de acesso por mandato, integridade, estático), o de Dion (gerenciamento de acesso por mandato, confidencialidade e integridade, estático), de Jajodia e Sandhu (gerenciamento de acesso por mandato, confidencialidade, estático).
• O modelo não dedutivo (gestão de acesso por mandato, confidencialidade, dinâmica) modelando o fluxo de informação utilizando conceitos de lógica. Os modelos de segurança baseados no princípio do fluxo de informações têm sua utilidade no controle do acesso indireto à informação: destacam o problema dos canais ocultos .
• O modelo HRU (gerenciamento de acesso discricionário) e seus derivados, o modelo Take-Grant e o modelo SPM .

Padronizações

Os padrões podem servir como um guia e uma referência.

O padrão ISO 17799: 2005 indica essa proteção e o ISO 27001: 2005 descreve como garantir a segurança das informações. Para reduzir os riscos, você deve definir seus objetivos de segurança, identificando ameaças, determinando vulnerabilidades e analisando os riscos identificados levando em consideração os seguintes parâmetros: sensibilidade dos ativos de informação da empresa, impacto econômico de reivindicações potenciais, probabilidade de sua ocorrência e custo das medidas propostas .

A norma ISO 27001: 2005 indica as condições a serem cumpridas para implementar, manter e melhorar o sistema de gestão de segurança da informação ( SGSI ).

Veja também

• Segurança da informação
• Política de segurança do sistema de informação
• Política de segurança de TI

Referências

• Bishop, Matt (2004). Segurança informática: arte e ciência , Addison-Wesley.
• McLean, John. (1994). Modelos de segurança . Encyclopedia of Software Engineering 2: 1136–1145. Nova York: John Wiley & Sons, Inc.