Gestão de segurança de informação para sistemas de Confiança Seguros

Abstract

Com o aumento da nossa dependência nos sistemas de informação também aumenta a necessidade de sistemas mais seguros e resilientes. A pandemia que vivemos, há mais de um ano, veio agravar a situação e mostrou que temos de preparar os sistemas que suportam o nosso dia-a-dia para situações inesperadas e que podem comprometer o seu bom funcionamento. Para proteger os sistemas é importante aplicar medidas preventivas. Existem standards que definem as melhores práticas para a segurança dos sistemas, que podem ser implementados pelas organizações para melhor se prepararem contra situações adversas. Destacam-se os standards desenvolvidos pelo International Organization for Standardization (ISO), na área de gestão de segurança de informação, e pelo National Institute of Standards and Technology (NIST), na área de sistemas de confiança seguros. Cada vez mais a preocupação com a segurança da informação tem-se reflectido na legislação e regulamentação Europeia e Portuguesa. Esta dissertação pretende analisar as melhores práticas na área da segurança de informação, através dessa análise, propor uma abordagem para a sua implementação e utilizá-la num caso prático, sendo este a infraestrutura de chave pública do Cartão de Cidadão. Desta forma, ao longo desta dissertação são analisados os standards relevantes desen volvidos pelo ISO e NIST. Além disso, com o objectivo de contextualizar o caso prático é analisada a regulamentação e legislação aplicável às infraestruturas de chave pública na Europa e em Portugal bem como as componentes da infraestrutura de chave pública do Cartão de Cidadão. Com esta análise, foi possível apresentar uma abordagem que reduz a complexidade do processo de implementação dos standards e colocá-la em prática num projecto de reestrutura ção e actualização da gestão de segurança da informação da infraestrutura de chave pública do Cartão de Cidadão.

As our dependence on information systems increases, so does the need for more secure and resilient systems. The pandemic that we have been experiencing, for over a year, has aggravated the situation and showed that we have to prepare the systems that support our day-to-day activities for unexpected situations that can compromise their proper functioning. To protect systems it is important to apply preventive measures. There are standards that define the best practices for system security, which can be implemented by organizations to better prepare themselves against adverse situations. The standards developed by ISO, in the subject of information security management, and by NIST, in the subject of secure trust systems, are worth noting. The concern with information security has been increasingly reflected in European and Portuguese legislation and regulations. This dissertation intends to analyze the best practices in the area of information security, through this analysis, propose an approach for its implementation and use it in a practical case, this being the public key infrastructure of the Cartão de Cidadão. Thus, throughout this dissertation, the relevant standards developed by ISO and NIST are analyzed. In addition, in order to contextualize the practical case, the regulations and legislation applicable to public key infrastructures in Europe and Portugal are analyzed, as well as the components of the public key infrastructure of the Cartão de Cidadão. With this analysis, it was possible to present an approach that reduces the complexity of the standards implementation process and put it into practice in a project to restructure and update the information security management of the Cartão de Cidadão public key infrastructure.