Normalização na Segurança dos sistemas de informação

Com a entrada em vigor da Lei n.º 51/2011, de 13 setembro, a ANACOM adquiriu novas competências ao nível da segurança das redes e serviços de comunicações e às empresas reguladas foram cometidas obrigações em matéria de segurança e integridade destas redes e serviços (artigos 54.º-A a 54º-G).

Por outro lado, de acordo com os estatutos da ANACOM, é atribuição desta Autoridade promover a normalização técnica no sector das comunicações eletrónicas e áreas relacionadas, em colaboração com outras organizações.

Neste contexto, a ANACOM promove o debate sobre trabalhos normativos na área da Segurança em Sistemas de Informação, em especial no que respeita às comunicações eletrónicas.

Em dezembro de 2012, decorreu um workshop (“Normalização de TI - técnicas de segurançahttp://www.anacom.pt/render.jsp?contentId=1145591”) com o objetivo de sensibilizar e promover as boas práticas de “defesa da confidencialidade das comunicações e de garantia da proteção dos dados pessoais e segurança das comunicações”. Este evento relançou a comissão técnica nacional CT 163 que faz espelho com a International Organization for Standardization - ISO/IEC JTC1/SC27 - IT Security Techniques Link externo.http://www.iso.org/iso/home/standards_development/list_of_iso_technical_committees/iso_technical_committee.htm?commid=45306. A CT 163 é da responsabilidade do ONS itSMF Portugal - Associação Portuguesa de Gestores de Serviços de Tecnologias de Informação, organismo de normalização para a área das tecnologias da informação.

A ANACOM dinamiza a CT 163/TELCO, organizando estes workshops e divulgando os trabalhos de normalização provenientes da ISO/IEC JTC1/SC27 com potencial impacto nas comunicações eletrónicas. Destes, têm estado em apreciação, em 2015, os seguintes:

Designação trabalhos normativos

ISO/IEC 2nd CD 27003 (revision)
Title: Information technology - Security techniques - Information security management system - Guidance

ISO/IEC 2nd CD 27004 (revision)
Title: Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation

ISO/IEC DIS 27006:2015-01-20(E) (3rd edition) - Information technology -
Security techniques - Requirements for bodies providing audit and certification
of information security management systems

ISO/IEC 2nd CD 27035-1
Information technology - Security techniques - Information security incident management

Part 1: Principles of incident management

ISO/IEC 2nd CD 27035-2
Information technology - Security techniques - Information security incident management

Part 2: Guidelines to plan and prepare for incident response

ISO/IEC 2nd CD 27035-3
Information technology - Security techniques - Information security incident management

Part 3: Guidelines for incident response operations

ISO/IEC FDIS 27041:2015-03-06(E) - Information technology - Security
techniques - Guidelines for the analysis and interpretation of digital evidence

ISO/IEC FDIS 27041:2015-03-06(E) - Information technology - Security
techniques - Guidance on assuring suitability and adequacy of incident
investigative method

No contexto de alguns dos trabalhos da ISO/IEC JTC1/SC27, em março de 2015 teve lugar o workshop ”Investigação de incidentes de segurança em sistemas de informação e prova digitalhttp://www.anacom.pt/render.jsp?contentId=1349045”. Esta iniciativa trouxe a debate perspetivas jurídica, tecnológica e de gestão para o desenvolvimento de guias de orientação para métodos de investigação e de interpretação de prova digital e traçados de metodologia em processos de investigação de incidentes.

Aceda aos vídeos das intervenções deste workshop aquihttp://www.anacom.pt/render.jsp?contentId=1349045.

A CT 163/SC TELCO é dinâmica na participação dos seus vogais. A participação como vogal desta subcomissão pode ser solicitada através do envio de email para Sc-telco@anacom.ptmailto:Sc-telco@anacom.pt indicando o nome do interessado, a entidade que representa, telefone/telemóvel, email e motivação para pertencer à CT 163/SC TELCO.