2 Enquadramento Normativo e Legal
2.3. Conclusões
A utilização do normativo adequado a suportar a definição e implementação de políticas de segurança ou dos mais abrangentes SGSI, apresenta-se como uma opção viável para responder a muitos dos problemas em termos de segurança com que as organizações actualmente se deparam.
Com esse objectivo foram analisadas 30 normas relacionadas directa ou indirectamente com a temática referida, procurando-se entender os principais aspectos abrangidos, considerando a necessidade, num estudo desta natureza, de obter um enquadramento normativo adequado ao suporte das políticas de segurança da informação.
No respeitante aos aspectos legais relativos à segurança (entendida aqui em termos genéricos, uma vez que se relacionam com a utilização das TIC e das prova cidade dos dados pessoais), constata-se a existência de mecanismos legais, quer em termos nacionais quer em termos europeus, adequados a suportar as necessárias directrizes para as actividades organizacionais.
Neste âmbito considera-se também importante a obtenção de uma perspectiva global acerca da diversa legislação sobre esta temática, assumindo a necessidade, de acordo com o estabelecido nas normas de boas práticas, considerar essa legislação a quando da concepção e implementação de SGSI.
Referências bibliográficas
Assembleia da República, “Lei da Criminalidade Informática”, Lei n.º109/91, de 17 de Agosto, Diário da República nº188, I Série-A.
Assembleia da República, “Lei da Protecção Jurídica de Programas de Computador”, Lei n.º 252/94, de 20 de Outubro, Diário da República nº243, I Série-A.
Assembleia da República, “Lei da Protecção de Dados Pessoais”, Lei n.º67/98, de 26 de Outubro, Diário da República nº247, I Série-A.
Assembleia da República, “Lei das Comunicações Electrónicas”, Lei n.º5/2004, de 10 de Fevereiro, Diário da República nº34, I Série-A.
Assembleia da República, “Lei da Protecção da Privacidade no Sector das Comunicações Electrónicas”, Lei n.º41/2004, de 18 de Agosto, Diário da República nº194, I Série-A.
Bowen, P., Hash, J. and Wilson, M., Information Security Handbook: A Guide for Managers, Special Publication 800-100, National Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2006.
BS, BS ISO/IEC 20000-1 – Information Technology - Service Management – Specification, British Standard Institution, 2005.
BS, BS ISO/IEC 20000-2 – Information Technology - Service Management - Code of practice, British Standard Institution, 2005.
BS, BS 7799-3 – Information - Management Systems - Guidelines for Information Security Risk
Management, British Standard Institution, 2006.
BSI, IT Baseline Protection Manual, Bundesamt für Sicherheit in der Informationstechnik (BSI, Federal Office for Information Security), 2004.
Chew, E., Clay, A., Hash, J., Bartol, N. and Brown, A., Guide for Developing Performance
Metrics for Information Security, Special Publication 800-80 (Initial Public Draft), National
Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2006.
CISP, Cardholder Information Security Program (CISP), Visa U.S.A. Inc., 2004.
COBIT, Control Objectives for Information and related Technology (Version 4.0), IT Governance Institute, 2005.
Comissão Nacional de Protecção de Dados, “Princípios sobre a privacidade no local de trabalho”, 29 de Outubro de 2002, http://www.cnpd.pt/bin/orientacoes/ principiostrabalho.htm (10-05-2005).
Comissão Nacional de Protecção de Dados, “Princípios sobre a utilização de dados biométricos”, 26 de Fevereiro de 2004, http://www.cnpd.pt/bin/orientacoes/ principiosbiometricos.htm (10-05-2005).
Comissão Nacional de Protecção de Dados, “Princípios sobre o tratamento de dados por videovigilância”, 19 de Abril de 2004, http://www.cnpd.pt/bin/orientacoes/ principiosvideo.htm (10-05-2005).
Directiva 91/250/CEE do Conselho, 14 de Maio de 1991, “Protecção jurídica dos programas de computador”, Jornal Oficial das Comunidades Europeias n.º L 122 de 17 de Maio de 1991. Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995,
livre circulação desses dados”, Jornal Oficial das Comunidades Europeias n.º L 281 de 23 de Novembro de 1995.
Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, “Privacidade e comunicações electrónicas”, Jornal Oficial das Comunidades Europeias n.º L 201/37 de 31 de Julho de 2002.
Fraser, B. (Editor), RFC 2196 The Site Security Handbook, Software Engineering Institute - Carnegie Mellon University, 1997.
GAISP, Generally Accepted Information Security Principles (Version 3.0), Information Systems Security Association (ISSA), 2003.
Grance, T., Hash, J. and Stevens, M., Security Considerations in the Information System
Development Life Cycle, Special Publication 800-64, National Institute of Standards and
Technology (NIST), Technology Administration - U.S. Department of Commerce, 2003. Grance, T., Kent, K. and Kim, B., Computer Security Incident Handling Guide, Special
Publication 800-61, National Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2004.
Hash, J., Bowen, P., Johnson, A., Smith, C.D. and Steinberg, D.I., An Introductory Resource
Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule, Special Publication 800-66, National Institute of Standards and Technology
(NIST), Technology Administration - U.S. Department of Commerce, 2005.
HIPAA, Health Insurance Portability and Accountability Act, Public Law 104-191, Senate and House of Representatives of the United States of America, 1996.
ISF, The Standard of Good Practice for Information Security (Version 4.1), Information Security Forum (ISF), 2005.
ISO, ISO/IEC 21827 – Information Technology - Systems Security Engineering - Capability
Maturity Model (SSE-CMM), International Standard Organization, 2002.
ISO, ISO/IEC FDIS 13335-1 – Information technology - Guidelines for the management of IT
security - Concepts and models for information and communications technology security,
International Standard Organization, 2004.
ISO, BS ISO/IEC 17799 (BS 7799-1:2005) – Information Technology - Code of practice for
ISO, BS ISO/IEC 27001 (BS 7799-2:2005) – Information Technology - Security Techniques -
Information Security Management Systems - Requirements, British Standard Institution,
2005.
ISSAF, Information Systems Security Assessment Framework (draft 0.2), Open Information Systems Security Group, 2005.
ITIL, Information Technology Infrastructure Library (Version 2.0), Office of Government Commerce of United Kingdom Government, 2001.
National Institute of Standards and Technology (NIST), An Introduction to Computer Security:
The NIST Handbook, Technology Administration - U.S. Department of Commerce, Special
Publication 800-12, 1998.
OECD, Guidelines for the Security of Information Systems and Networks – Towards a Culture
of Security, Organisation for Economic Co-operation and Development, 2002.
PIPEDA, Personal Information Protection and Electronic Documents Act, House of Commons of Canada, 2000.
Ross, R., Katzke, S., Johnson, A., Swanson, M., Stoneburner, G., Rogers, G. and Lee, A.,
Recommended Security Controls for Federal Information Systems, Special Publication 800-
53, National Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2005.
Rudd, C., An Introductory Overview of ITIL, IT Service Management Forum (itSMF), 2004. SOX, Sarbanes-Oxley Act, Senate and House of Representatives of the United States of
America, 2002.
Stoneburner, G., Underlying Technical Models for Information Technology Security, Special Publication 800-33, National Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2001.
Stoneburner, G., Goguen, A. and Feringa, A., Risk Management Guide for Information
Technology Systems, Special Publication 800-30, National Institute of Standards and
Technology (NIST), Technology Administration - U.S. Department of Commerce, 2001. Stoneburner, G., Hayden, C. and Feringa, A., Engineering Principles for Information
Technology Security (A Baseline for Achieving Security), Special Publication 800-27,
National Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2001.
Swanson, M., Guide for Developing Security Plans for Information Technology Systems, Special Publication 800-18, National Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 1998.
Swanson, M., Security Self-Assessment Guide for Information Technology Systems, Special Publication 800-26, National Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2001.
Swanson, M., Bartol, N., Sabato, J., Hash, J. and Graffo, L., Security Metrics Guide for
Information Technology Systems, Special Publication 800-55, National Institute of
Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2003.
Swanson, M. and Guttman, B., Generally Accepted Principles and Practices for Securing
Information Technology Systems, Special Publication 800-14, National Institute of
Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 1996.
Swanson, M., Wohl, A., Pope, L., Grance, T., Hash, J. and Thomas, R., Contingency Planning
Guide for Information Technology Systems, Special Publication 800-34, National Institute
of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 2002.
Veiga, A., Legislação de Direito da Informática, Coimbra Editora, 2004.
Wilson, M. (editor), Zafra, D., Pitcher, S., Tressler, J. and Ippolito, J., Information Technology
Security Training Requirements: A Role -and Performance- Based Model, Special
Publication 800-16, National Institute of Standards and Technology (NIST), Technology Administration - U.S. Department of Commerce, 1998.