Vous êtes sur la page 1sur 16

ISO 15.

408 e Cincia da Informao

Deixe um comentrio
Como a cincia da informao pode contribuir para o aprimoramento
da gesto da segurana da informao no desenvolvimento de
software seguro baseada no nvel I de garantia (EAL-I) da norma
ISO/IEC 15.408.
Marcelo Alves dos Santos

Palavras-Chave
Cincia da Informao; Segurana da Informao; Engenharia de software;
ISO/IEC 15.408, Desenvolvimento de Software, ciclo documentrio, Tecnologia
da Informao, Commom Criteria, Cincia da Informao, Ciclo Documental

Resumo
Baseada na necessidade de segurana da informao (SI), o presente texto visa
mostrar como a cincia da informao (CI) pode contribuir de forma direta para
a segurana da informao, em especial para o aprimoramento da segurana
da informao no desenvolvimento de software seguro baseado na norma
ISO/IEC 15.408, e questionar a possibilidade da integrao de conhecimentos
da rea da cincia da informao, mais especificamente o ciclo documentrio
com o modelo de segurana ISO/IEC15.408. Sero abordados aspectos sobre a
obteno da informao, o tratamento, a distribuio, o uso, o armazenamento
e o descarte da informao nas fases modelo ISO proposto e um paralelo com o
levantamento e especificao no desenvolvimento de um software seguro e
como a CI pode ajudar a agregar segurana neste processo.

Abstract
Based on the need for information security (IS), this text aims to show how the
science of information (CI) can play a direct for information security, especially
for the improvement of information security in software development based
insurance in ISO / IEC 15408, and question the possibility of integrating
knowledge of the area of information science, specifically the documentary
cycle with security model ISO/IEC15.408. Aspects will be addressed on the
collection of information, treatment, distribution, use, storage and disposal of
information during ISO model and proposed a parallel with the survey
specification and development of secure software and how CI can help added
security in the process.

1. Introduo
Com o passar do tempo e o enorme avano apresentado pelo mundo
tecnolgico como um todo e a grande disseminao da utilizao do

computador e seus recursos, fizeram com que as pessoas comeassem a tomar


cincia do quo importante eram os dados trafegados, fazendo com que a
informao se tornasse um dos fatores preponderantes para o sucesso de uma
organizao.
A posio estratgica atingida pelos sistemas causou a subordinao das
empresas em relao a esses, dando incio preocupao com os dados por
eles processados. Em virtude disso, a informao obtm novo valor, tornando a
segurana um atributo de extrema relevncia, deixando um novo desafio para
os gestores, os arquitetos e os responsveis por segurana e os demais que
esto envolvidos no ciclo de desenvolvimento do produto, que garantir a
segurana dos sistemas [4].
Diversos fatores foram constitudos para tentar maximizar a proteo dos
ativos, inclusive os algoritmos de segurana, porm apenas isso no era o
bastante para salva guardar as informaes. Ento, comeou uma disputa entre
os pases para tentar desenvolver um padro para insero e avaliao de
segurana em Tecnologia da Informao (TI), surgindo oCommom Criteria for
Information Technology Security Evaluation (CC). O CC uma norma
internacional (ISO/IEC 15408 information technology Security techniques
Evaluation criteria for IT security) para a segurana de computadores e sua
certificao.

2. ISO/IEC 15408 information


technology Security techniques
Evaluation criteria for IT security
A norma consiste em um framework para especificao de requisitos de
segurana para sistemas computacionais, que visa garantir a implementao
dos atributos de segurana dos produtos, e possvel fazer avaliaes do
produto em laboratrios para determinar se eles realmente satisfazem as
reivindicaes de segurana. Em outras palavras, a ISO/IEC 15.408 prev a
garantia de que o processo de especificao, implementao e avaliao de um
computador de um sistema computacional de segurana produto tenha sido
conduzido de uma forma rigorosa e padro.
A norma ISO/IEC 15408 que, por questes histricas, ficou mais conhecida como
CC, prope um conjunto de exigncias e um processo de avaliao, para
produtos e servios em seus aspectos de confiabilidade, integridade e
disponibilidade e uma referncia para o desenvolvimento e comercializao
de produtos ou servios e garantias de cumprimento dos requisitos de

segurana necessrios para o ambiente do usurio. No objetivo do CC o


fornecimento de critrios e procedimentos de avaliao para aspectos
organizacionais, administrativos, de segurana fsica e pessoal que envolve um
ambiente de TI
Este documento apresenta o resultado de uma serie de trabalhos desenvolvidos
para avaliao de seguranaa em TI. Os trabalhos foram iniciados durante a
elaborao do Orange Book (TCSEC), nos Estados Unidos, que foi completado
por estudos realizados em vrios outros pases. Na Europa foi publicado em
1991, pela Comisso europia, o Information Technology Security Evaluation
Criteria (ITTSEC-1991) sendo sucedido, no Canada, pelo Canadian Trusted
Computer Product Evaluation Criteria (CTCPEC-1993). Outro esforo anterior dos
EUA resultou no Federal Criteria for Information Technology Security (FC
1993). Em junho de 1993, as organizaes que elaboraram o CTPEC, FC, TCSEC
e o ITSEC (Vide Figura 1) reuniram-se com o objetivo de gerar um documento
nico contendo critrios de segurana em TI, que fosse adotado por todos. Esta
atividade foi nomeada Projeto CC e seu objetivo era eliminar as diferenas
conceituais e tcnicas entre todos os critrios desenvolvidos pelas diversas
organizaes. A idia era ento, ao final do trabalho, entregar os resultados a
ISO, como uma base para o desenvolvimento de uma norma internacional [15].
Um dos problemas enfrentados at hoje, que, se apenas no fim da dcada de
90, houve a unio de alguns padres, juntamente com as novas adaptaes,
surgindo assim o CC como um dos primeiros modelos de segurana, mais tarde
se tornando a norma ISO/IEC 15.408 [4].

Figura 1: Histrico do IT Security Criteria


Target Of Evaluation (TOE) o produto ou o sistema que est a ser objeto de
avaliao [1].
A avaliao serve para validar as afirmaes feitas sobre o alvo. Para ser de
utilidade prtica, a avaliao deve verificar as caractersticas de segurana do
alvo. Isto feito atravs do seguinte:
Protection Profile (PP) um documento, normalmente criados por um dos
utilizadores ou da comunidade, que identifica os requisitos de segurana para
uma classe de dispositivos de segurana (por exemplo, os cartes inteligentes
utilizados para fornecer as assinaturas digitais, de rede ou firewalls) relevante
para que o usurio para uma finalidade especfica. Fornecedores podem optar
por aplicar produtos que cumpram um ou mais PP, e tm seus produtos
avaliados contra os PP. Nesse caso, o PP pode servir como um modelo para o
produto da ST (Segurana Alvo, como definido abaixo), ou os autores do ST, ao
menos, garantir que todos os requisitos relevantes no PP. Tambm pode
aparecer no alvo da ST documento. Clientes que procuram por determinados
tipos de produtos podem incidir sobre as pessoas certificadas contra o PP que
atenda s suas necessidades [1].
Security Target (ST) o documento que identifica as propriedades de segurana
do alvo de avaliao. Pode referir-se a uma ou mais PPs. O TOE avaliado
contra o SFRs, estabelecido na sua ST, nem mais nem menos. Isto permite
adequar a avaliao a corresponder com preciso s capacidades do seu
produto. Isto significa que uma rede firewall no tm de cumprir os mesmos
requisitos funcionais como um banco de dados do sistema de gesto, e que os
diferentes firewalls podem, de fato, ser avaliados em relao completamente
diferentes listas de exigncias. O ST normalmente publicado para que os
potenciais clientes possam determinar as caractersticas de segurana
especficas que tenham sido certificados pela avaliao
Security Functional Requirements (SFRs) especificar a segurana individual
funes que podem ser oferecidos por um produto. O Common Criteria catlogo
apresenta um padro de tais funes. Por exemplo, pode indicar uma SFR
agindo como um usurio de um determinado papel pode ser autenticado. A lista
de SFRs pode variar de uma avaliao para o prximo, mesmo se dois
objectivos so o mesmo tipo de produto. Embora o Common Criteria no
prescreva qualquer SFRs a ser includa em uma ST, identifica dependncias
onde o correto funcionamento de uma funo (como a capacidade de limitar o

acesso de acordo com papis) dependente de outro (como a habilidade de


identificar os vrios papis).
O processo de avaliao tambm tenta estabelecer o nvel de confiana que
pode ser colocado em funes de segurana do produto atravs da garantia da
qualidade processos:
Security Assurance Requirements (SAR) uma descrio das medidas tomadas
durante o desenvolvimento e avaliao do produto para garantir o cumprimento
das alegou segurana funcionalidade. Por exemplo, uma avaliao pode exigir
que todo o cdigo fonte mantida em uma mudana do sistema de gesto, ou
que o pleno ensaio funcional executado. O Common Criteria fornece um
catlogo dos mesmos, e os requisitos podem variar de uma avaliao para o
prximo. Os requisitos de objetivos especficos ou tipos de produtos esto
documentados no ST e PP, respectivamente [1].
Evaluation Assurance Level (EAL) a classificao numrica descrevendo a
profundidade e o rigor de uma avaliao. Cada EAL corresponde a um pacote de
segurana garantia requisitos (SAR, veja acima), que abrange o
desenvolvimento completo de um produto, com um determinado nvel de rigor.
O CC enumera sete nveis, com EAL 1 sendo o mais bsico (e, portanto, mais
barato de implementar e avaliar) e 7 EAL sendo o mais rigoroso (e mais caro).
Normalmente, uma ST ou PP autor no ir selecionar garantia requisitos
individualmente, mas escolher um destes pacotes, possivelmente aumentar
requisitos em algumas reas com as exigncias de um nvel superior. EALs
superiores no implicam necessariamente uma melhor segurana, que
significa apenas que a garantia da segurana alegou TOE tem sido mais
extensivamente validado.
No Brasil, ainda no se possui norma equivalente e muito menos laboratrios
credenciados para certificao de segurana, elevando extremamente o custo
para avaliao dessa atividade.

3. Cincia da Informao
Para um melhor entendimento de o que cincia da informao, faz-se
necessrio primeiramente a compreenso de dois conceitos bsicos: Cincia e
Informao:

Conceito de cincia: A cincia um conjunto de conhecimentos racionais,


certos ou provveis, obtidos metodicamente, sistematizados e verificveis, que
fazem referncia a objetos de uma mesma natureza. [13].
Sobre o conceito de informao, Robredo ([12]) cita: Informao um conjunto
de dados organizados de forma compreensvel, registrado em papel ou em
outro meio e suscetvel de ser comunicado. Harrods Librarians Glossary of
Terms Used in Librarianship, Documentations and the Book Crafts and Reference
Book.
Agora, com alguns conceitos formados possvel compreender com mais
clareza a cincia da informao.
A cincia da informao tem uma origem pratica: a documentao ([5]) seja a
necessidade de documentar a informao. A Documentacao definida no
dicionrio Aurlio ([2]) como: Conjunto de conhecimentos e tcnicas que tem
por fim a pesquisa, reunio, descrio, produo e utilizao de documentos de
qualquer natureza.
A realizao de operaes em que a documentao passa a ser necessidade em
qualquer processo informacional que tenha necessidade de comunicao e
recuperao de informao isso faz com que a criao desenvolvimento da
cincia da informao seja influenciada por varias outras disciplinas desde sua
origem. Logo: A cincia da informao interdisciplinar e sua evoluo neste
sentido est longe de acabar [10].
Existe uma preocupao coma definio de princpios que fundamentem as
fronteiras que a cincia da informao estabelece com outras disciplinas
durante o processo dinmico de sua evoluo [11].
A cincia da informao uma cincia interdisciplinar responsvel pelo
fenmeno da informao, tendo em conta seu suporte material, a tecnologia
utilizada e as necessidades sociais a serem preenchidas [5], e estuda as
interaes entre pessoas, organizao e sistemas de informao. Logstica da
Informao, planejamento de informao, modelagem de dados e anlise, so
as principais reas de estudo [3]. A tarefa massiva das reas relacionadas com
a cincia da informao fazer mais acessvel o armazenamento cada vez
maior de informaes. Este o problema da exploso da informao, junto

com a necessidade de prover a disponibilidade e acessibilidade de informao


relevante [6].

4. Segurana da Informao
Segurana da Informao a proteo contra um grande nmero de ameaas
s informaes, de forma a assegurar a continuidade do negcio, minimizando
danos comerciais e maximizando o retorno de investimentos e oportunidades
[2].
Ou ainda: Segurana da Informao pode ser entendida como o processo para
proteger informaes das ameaas para a sua integridade, disponibilidade e
confidencialidade [14].
Albuquerque([4]), introduz os trs conceitos centrais da segurana da
informao:
Confidencialidade capacidade de um sistema impedir que usurios no
autorizados vejam determinadas informaes, ao mesmo tempo em que
usurios autorizados podem acess-la [4].
Integridade Atributo de um a informao que indica que esta no foi alterada
ou, se foi, o foi de forma autorizada [4].
Disponibilidade indica quantas vezes o sistema cumpriu uma tarefa solicitada
sem falhas internas sobre o n de vezes que foi solicitado fazer uma tarefa [4].

5. Contribuies da CI para a SI
A atividade de proteger a informao em especial quando tratamos de sistemas
de informao, est diretamente ligados processos de um ambiente
organizacional, processos estes que, podem ser mapeados e por conseqncia
apoiados pela CI, que pode contribuir direta e indiretamente as complexas
etapas dos processos mapeados na utilizao do CC .
Temos na Figura 2 a apresentao dos conceitos de segurana e suas relaes,
sob a tica da ISO 15408-1. Nela identificamos a atuao de dois personagens
fundamentais no processo de segurana da informao: A Alta Direo e os
Agentes de Ameaa. Todas as aes de proteo so originadas a partir da Alta

Direo, que busca a garantia dos requisitos de segurana dos ativos nos nveis
desejados. Os Agentes de Ameaa so a fonte das iniciativas que pem em
risco as informaes sensveis da organizao.
A ISO 15408-1est dividido em trs partes. A Parte 1- ISO/EC 15408-1
Introduo e modelo geral definem conceitos e princpios de avaliao de
segurana em TI e objetivos de segurana, alm de construir especificaes
para produtos e sistemas, selecionando e definindo exigncias de segurana
em TI. A Parte 2ISO/IEC 15408-2 Exigncias de segurana funcionais
estabelecem um padro de exigncias funcionais e apresenta um conjunto de
componentes funcionais, famlias e classes. A Parte 3- ISO/IEC 15.408-3
Exigncias de garantias de segurana, expressas exigncias padro de garantia
de segurana para produtos ou sistemas pelo do fornecimento de um conjunto
de componentes que definiro o nvel segurana conforme estabelecido pelo
CC.
Os proprietrios das para combater as ameaas, antes que as informaes
sejam expostas s citadas ameaas. O resultado da avaliao e uma declarao
sobre o nvel da garantia da reduo dos riscos para os ativos protegidos. Esta
declarao servir de base para a tomada de deciso realizada pelo proprietrio
da informao sobre a aceitao ou no dos riscos residuais.
A Figura 3 apresenta estas relaes, onde a ISO ilustra que, a garantia que a
implementao de tcnicas de segurana se propem a dar, devem ser sempre
avaliadas, medidas e os resultados submetidos aos proprietrios das
informaes sensveis.

Figura 3 Conceitos de Avaliao e suas relaes na ISO 15408 Adaptado de


[15]
As operaes e pro processos evidentes na ISO, sugere a aplicao do ciclo
documentrio como apoio em suas fases quando conveniente. A realizao de
operaes concatenadas pressupe a concepo do ciclo documentrio como
uma seqncia de etapas que extraem a informao de interesse imediato ou
potencial, a qual, aps o tratamento adequado, dever ficar permanentemente
acessvel. Desta forma, o documento acrescido de valor informacional
propriamente dito [9]

Figura 4 Ciclo Documental


Para tratamento do objeto informao, propriamente dita a cincia da
informao pode dar sua contribuio apoiando as fases do processo da ISO.
Pois o ciclo documentrio da informao trata justamente aspectos de difcil
trato durante a aplicao da norma, bem como a obteno da informao,
tratamento, distribuio, seu uso, o armazenamento e o descarte da
informao.
Logo, possvel inserir o ciclo documentrio nas fases do processo da ISO
15.408 de modo tratar as informaes geradas com maior preciso para as
trs parte que est dividida a ISO: Modelo Geral, Requisitos Funcionais e
Garantias de Segurana.

Obteno das informaes/Coleta, dos requisitos das informaes


necessrias para a aplicao da norma e produo do produto seguro para
clientes, desenvolvedores, analistas, projetistas e gerentes e demais
autorizados da organizao que tenham necessidade da informao, onde
caractersticas da segurana da informao j so trabalhadas como a
confidencialidade, integridade e disponibilidade.

O Tratamento das informaes consiste em organizar a informao,


classific-la, format-la tornar acessvel aos autorizados toda a
documentao gerada durante a anlise de requisitos, tais como

especificao de segurana do TOE, registro da avaliao do ambiente,


registro das vulnerabilidades identificadas, dos riscos assumidos, das
medidas corretivas e dos ativos a serem preservados. O processo de
tratamento informacional agente potencial de gerao de conhecimento
uma vez que analisa e representa informaes visando este objetivo. Decorre
deste contexto a necessidade de tratar os materiais de forma a satisfazer
as necessidades dos diversos pblicos [17]. Acredita-se que todos os
materiais registrados so fontes de informao e como tal merecem
processamento informacional atentando para suas caractersticas peculiares.
Este tratamento empenha-se em configurar a informao relevante a fim de
produzir conhecimento [17].

Na Distribuio o contedo produzido, fruto do cliclo natural do


desenvolvimento do Software com a aplicao na ISO precisa estar acessvel
e com disponibilidade para clientes, desenvolvedores, analistas, projetistas e
gerentes e demais autorizados da organizao que tenham necessidade da
informao (Confidencialidade) fazendo valer sua integridade.

No Uso da informao faz-se necessrio manter os trs aspectos centrais


da segurana da informao, pois nesta fase onde ocorrem os maiores
problemas com disseminao de informao e conhecimento para pessoas
no autorizadas, e sem dvida a etapa mais importante de todo o
processo de gesto da informao [14].

O Armazenamento como importante fase do ciclo documental, deve ter


preocupaes com caractersticas de segurana e a realizao de backup do
que foi produzido em meios eletrnicos, um local para ser mantidas
informaes em redundantes em caso estas sejam classificadas como de alto
valor, deve haver a preocupao com desastres que possam comprometer as
informaes e at a continuidade do negcio da organizao.

Descarte quando a informao no for mais til, no possuir mais valor


para a organizao, ainda assim alguns aspectos de segurana do
documento devem ser observados, o caso da confidencialidade das
informaes produzidas, que devem ser descartadas de maneira correta.

6. Ciclo Documentrio Aplicado


EAL-I
Representao do Ciclo Documentrio nas fases do processo da ISO/IEC 15.408
EAL-I(Funcionalmente Testado) para os princpios de avaliao de segurana,
atendimento dos objetivos, especificaes para produtos e sistemas

selecionando, definio das exigncias de segurana em TI abrange tambm as


exigncias de famlias, classes e componentes.
Na figura 5 temos as Classes, suas Famlias e componentes para cumprimento
do EAL-I:

Figura 6: CC- Documento 3: Requisitos de Segurana EAL-I


Abaixo detalhamento dos documentos gerados no EAL-I, onde o ciclo
documentrio ser apoio, na documentao utilizada para obteno/coleta,
tratamento, uso, distribuio , armazenamento, e descarte.
ACM_CAP.1 Nmero de Verso A referncia necessria para garantir que no
haja ambigidade em termos da qual instncia do TOE que est sendo avaliada.
Sua referncia garante que os usurios do TOE pode conhecimento de que
instncia est sendo usada. O Nmero precisa ser nico e no ambguo.
Usurio da informao: Equipe de desenvolvimento, usurio do sistema,
administradores, e avaliadores, cliente.
ADO_IGS.1 Procedimentos de instalao, gerao e inicializao A
documentao deve conter os procedimentos necessrios para que o TOE possa
ser iniciado de maneira correta. De como instalar e reiniciar o sistema de forma
segura, incluindo os requisitos de segurana do ambiente.
Usurio da informao: Equipe de desenvolvimento, usurio do sistema,
administradores, e avaliadores.
ADV_FSP.1 Especificao funcional informal A especificao funcional informal
deve descreve o sistema e suas interfaces do ponto de vista da segurana.

Usurio da informao: Equipe de desenvolvimento, administradores, e


avaliadores.
ADV_RCR.1 Demonstrao informal de correspondncia Demonstrao
semelhante utilizada nos processos de qualidade, nos quais todos os
desenhos e projetos do sistema devem permitir a ligao entre os atributos de
segurana.
Usurio da informao: Equipe de desenvolvimento, usurio do sistema,
administradores, e avaliadores.
AGD_ADM.1 Documento de ajuda ao administrador Descrio dos
procedimentos para uso do sistema por seus administradores , de forma segura.
Usurio da informao: Equipe de desenvolvimento, administradores, e
avaliadores.
ADG_USR.1 Documento de ajuda do usurio Descrio dos procedimentos
para uso do sistema por seus usurios de forma segura.
Usurio da informao: Equipe de desenvolvimento, usurio do sistema, , e
avaliadores.
ATE_IND.1 Capacidade para testes independente A equipe de
desenvolvimento deve permitir que o sistema seja testado, fornecendo os
documentos acima especificados, bem como o sistema em si para teste em
laboratrio ou entidade capacitada e reconhecida tanto pelo desenvolvimento
quanto pelo cliente. Note que no necessariamente este item um
documento.

Figura 7: Ciclo documentrio aplicado EAL-I


Representao do Ciclo Documentrio nas fases do processo da ISO/IEC 15.408
EAL-I para apoio as exigncias de garantias de segurana, exigncias do padro
de garantia e conjunto de componentes que definiro o nvel segurana.
Muitas dessas questes no so maduras suficientes no mundo da engenharia
de software (ES), em especial por tratar-se de uma engenharia muito nova em
relao s outras. A necessidade de informao surge quando o indivduo
reconhece vazios em seu conhecimento e em sua capacidade de dar significado
a uma experincia [18]. Muitas vezes a falta de gesto da informao causa
de insucesso nos projetos de TI quando o foco segurana, e uma grande
parcela de contribuio pra o fracasso da segurana que, ao recorrer aos
modelos como a ISO/IEC 15.408 para obterem suporte, aplicar e ou avaliar
segurana, se deparam com guias complexos e no sabem como lidar com um
dos bens mais precisos gerados na organizao durante a produo de um
produto de TI, a informao.
O desenvolvimento da especificao de segurana na ISO/15.408, por exemplo,
consiste em levantar e avaliar o ambiente no qual a aplicao ser implantada,
deve se realizar uma avaliao das ameaas, dos pontos crticos, dos ativos
valiosos, da legislao aplicvel, das salvaguardas j existentes no ambiente e
das necessidades de segurana do usurio. Tambm deve considerar protees
que podem ser requeridas pela legislao ou pela poltica de segurana da
empresa, avaliar as consideraes a respeito do uso do sistema, por parte da
organizao, que ir influenciar as decises sobre segurana. Ento como
gerenciar este mundo de informaes. Trata-se de informaes que precisam
estar corretamente identificadas, disponveis, que deve ser utilizada com
determinado propsito, preciso gerar documentao, tratar e seus graus de
sigilo, definir do ciclo de vida de determinada informao em um sistema, e o
apoio do ciclo documentrio se adqua perfeitamente a esta necessidade.
A segurana da informao no algo que acontece por acaso, inicia-se com a
conscientizao da necessidade por parte do cliente ao incio do projeto, o que
acaba gerando surpresa aos gestores de TI quando questionados sobre a
segurana dos ativos, mecanismos ou agentes que possam colocar em risco a
segurana de uma organizao, na maioria das vezes por no possuir uma
maneira de gerir e arquiteturar informaes.

5. Concluso
A interao da CI como apoio aos processos da ES com objetivo de gerir
documentos que apiam o desenvolvimento de produtos de TI seguros
baseados na norma ISO/IEC 15.408 pode gerar uma importante contribuio
para a melhor gesto das informaes produzidas, que influenciaria
diretamente em um produto com mais garantia de segurana e menor nmeros
de erros nas fases iniciais do projeto, se comparados com o desenvolvimento
sem o apoio da CI. Com o apoio da CI torna-se possvel gerir o conhecimento
produzido de modo a permitir ao usurio da informao seja beneficiado ao
tentar obter, utilizar ou recuperar a informao na sua forma natural, que o
nico meio de expressar o conhecimento antes de ser convertido em modelos e
linguagens, e que, apesar dos esforos, ainda no permite total clareza em sua
interpretao. Os sistemas informacionais, cujo objetivo principal efetuar a
ligao entre o usurio e o conhecimento e efetuar a guarda (memria) das
informaes, tornam-se imprescindveis, j que possibilitam a conexo de dois
mundos at ento separados pela incompatibilidade representativa [17].
A evoluo de um trabalho srio e consistente permitiria ainda uma
customizao dos modelos de segurana como a ISO 15.408 para a adequao
realidade do desenvolvimento da segurana no Brasil, uma reduo dos
custos dentro de uma margem aceitvel e a maximizao da segurana dos
sistemas de informao apoiados se pela Cincia da Informao.

Referncia Bibliogrfica:
[1]Common Criteria for Information Technology Security Evaluation: User Guide.
Introduction and general model August 1999 Version 2.2
[2]NBR ISO/IEC 17799:2000 Tecnologia da Informao. Cdigo de Prtica para
Gesto da Segurana da Informao. Associao Brasileira de Normas Tcnicas.
Rio de Janeiro.
[3]Wikipdia, disponvel em: http://en.wikipedia.org/wiki/Information_science
Acessado 03.2009.
[4] ALBUQUERQUE, Ricardo; RIBEIRO, Bruno. Segurana no desenvolvimento de
software. Rio de Janeiro: Editora Campus.

[5]WERSIG, Gernot & NEVELING, Ulrich: Os fenmenos de interesse para a


cincia da informao
[6] Bush, Vannevar: As we may think, http://www.theatlantic.com/
[8] Dicionario Aurelio Seculo XXI, Editora Nova Fronteira, verso 3.0, Rio d
Janeiro, 1999.
[9] Baptista, Dulce Maria: Do caos documentrio gerncia da informao.
Revista IBICT Instituto Brasileiro de Informao em Cincia e Tecnologia. Ci.
Inf., Braslia, v.23, n. 2, p. 239-248, mai/ago. 1994.
[10] Saracevic, Tefko: interdisciplinary nature of information science, Ci. Inl
Brasilia, v, 24, n. 1, p. 36-41, jan/abril 1995
[11] Oddone, Nanci Elizabeth: Atividade Editorial & Ciencia da Informaca~
convergencia epistemologica, Disserta~ao de mestrado, Universidade d.
Brasilia, Brasilia, 1998, Orientador: Dr. Antonio Lisboa Carvalho de Miranda.
[12] Robredo, Jaime. Da cincia da informao revisitada; aos sistemas
humanos de informao. Braslia : Thesautus; SSRR Informaes, 2003.
[13] Ander-Egg. Introduccin a las tcnicas de investigacin social (1978)
[14] Beal, Adriana. Segurana da Informao: Princpios e melhores prticas
para a proteo dos ativos de informaes nas organizaes. So Paulo: Atlas,
2005.
[15] Miranda, Ivano dos Anjos. PUPSI: Uma proposta de processo unificado para
polticas de segurana da informao UFRN 2004.
[16] DODEBEI, V. L. D. Tesauro: linguagem de representao da memria
documentria. Niteri: Intertexto; Rio de Janeiro: Intercincia, 2002. 119 p.
[17] DataGramaZero Revista de Cincia da Informao v.9 n.2 abril de 2008
Tratamento informacional de imagens artstico-pictricas no contexto da
Cincia da Informao.
[18] CHOO, C. W. A organizao do conhecimento. So Paulo: Ed. Senac, 2003.