Classificador de requisitos de segurança da Informação para serviços em redes de telecomunicações

Abstract

A Segurança da Informação (SI) cuida para que não haja, sem autorização, acesso, uso, divulgação, interrupção, modificação, inspeção, coleta ou destruição de informação ou de um sistema de informação. Contudo, antes de aplicar qualquer medida de segurança, é fundamental estabelecer quais são os requisitos necessários para que a SI seja eficaz. Observa-se que o uso exclusivo das normas de segurança não é suficiente para se atingir tal meta, visto que as normas informam o que precisa ser feito, sem haver o detalhamento dos procedimentos para que a SI seja bem-sucedida. Desta forma, neste trabalho, propõe-se e testa-se um classificador de requisitos de SI para serviços em redes de telecomunicação, o qual, em conjunto com as normas ISO/IEC 27001, 27002, 27005 e o padrão SP800-30 do National Institute of Standards and Technology (NIST), estabelece as ações necessárias para o sucesso da SI. Para o desenvolvimento do classificador de requisitos de SI para serviços em redes de telecomunicações adotou-se a integração das normas ISO/IEC 27001, 27002, 27005 e o padrão SP800-30 do NIST nos mesmos processos de execução. Para um teste preliminar do classificador de requisitos de SI, selecionou-se uma Instituição de Ensino Superior (IES), de modo a verificar se existiam vulnerabilidades a serem corrigidas. Como resultado, foram encontrados: acessos não autorizados, acessos não revogados e divulgação de informação confidencial. Estas violações de segurança foram ainda classificadas com relação à severidade e foram propostas ações para corrigi-las, que estão em conformidade as normas ISO/IEC 27001, 27002, 27005 e o padrão SP800-30 do NIST. Propôs-se e testou-se, com sucesso, um classificador de requisitos de SI em uma IES. Isto permitiu detectar várias deficiências na empresa, além de indicar as ações corretivas necessárias.

The Information Security (IS) takes care of so that it does not have, without authorization, access, use, spreading, interruption, modification, inspection, collects or destruction of information or a system of information. However, before applying any measure of security, it is necessary to establish which are the necessary requirements so that IS efficient. It observes that exclusive use of safety rules is not enough to reach such goal, since the safety rules inform what in fact needs to be done, without having the detailing of the procedures so that IS successful. In such a way, in this work, it is considered and tested a classifier of requirements of IS for services in telecommu- nication nets, which, in set with 27002 norms ISO/IEC 27001, 27005 and standard SP800-30 of National Institute of Standards and Technology; (NIST) establishes the necessary actions for the success of IS. For the development of the classifier of re- quirements of IS for services in nets of telecommunications, it was adopted integration of norms ISO/IEC 27001, 27002, 27005 and standard SP800-30 of the NIST in the same execution proceedings. For a preliminary test of the classifier of requirements of IS, a Higher Education Institute (HEI) was selected in order to verify if vulnerabilities existed to be corrected. As a result, it is found: not authorized accesses, accesses not revoked disclosure of confidential information. These breakings of security still had been classified with regard to severity and had considered actions to correct them, that they are in compliance with 27002 norms ISO/IEC 27001, 27005 and standard SP800-30 of the NIST It was considered and tested successfully, a classifier of requirements of IS in an HIE, which has allowed to detect some deficiencies in the company, beyond indicating the necessary corrective actions.