Upload
danilo
View
219
Download
0
Embed Size (px)
DESCRIPTION
Boas práticas em Segurança da Informação - 2ª edição
Citation preview
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 1/66
Boas práticas em
Segurança da Informação2ª edição
Brasília, 2007
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 2/66
© Coprig!t 2007, "ri#unal de Contas da $nião
Impresso no Brasil % &rinted in Bra'il
<ww w.tcu.go v .br>
( permitida a reprodução desta pu#licação,
em parte ou no todo, sem alteração do conte)do,
desde *ue citada a fonte e sem fins comerciais+
Brasil+ "ri#unal de Contas da $nião+
Boas práticas em segurança da informação % "ri#unal de Contas da $nião+ 2+ ed+ Brasília
- "C$, Secretaria de .iscali'ação de "ecnologia da Informação, 2007+
70 p+
/+ Segurança da informação 2+ uditoria, "ecnologia da informação I+ "ítulo+
.ic!a catalográfica ela#orada pela Bi#lioteca 1inistro u#en osa
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 3/66
Apresentação
3a sociedade da informação, ao mesmo tempo em *ue as informaç4es são consideradas o principal
patrim5nio de uma organi'ação, estão tam#6m so# constante risco, como nunca estieram antes+ Com
isso, a segurança da informação tornou8se um ponto crucial para a so#rei9ncia das instituiç4es+
$m dos focos das fiscali'aç4es de "ecnologia da Informação :"I;, reali'adas pela Secretaria de
.iscali'ação de "ecnologia da Informação :Sefti;, do "ri#unal de Contas da $nião, 6 a erificação da
conformidade e do desempen!o das aç4es goernamentais em aspectos de segurança de tecnologia
da informação, utili'ando crit6rios fundamentados+ < principal o#=etio dessas fiscali'aç4es 6 contri#uir
para o aperfeiçoamento da gestão p)#lica, para assegurar *ue a tecnologia da informação agreguealor ao neg>cio da 0dministração &)#lica .ederal em #enefício da sociedade+
< "ri#unal de Contas da $nião, ciente da impor t?ncia de seu papel pedag>gico =unto aos
administradores p)#licos e da utilidade de apresentar sua forma de atuação @s unidades =urisdicionadas,
aos parlamentares, aos >rgãos goernamentais, @ sociedade ci7il e @s organi'aç4es não8
goer namentais, ela#orou esta pu#licação com o intuito de despertar a atenção para os aspectos
da segurança de tecnologia da informação nas organi'aç4es goer namentais+
Aspera8se *ue este tra#al!o se=a uma #oa fonte de consulta, e *ue o "ri#unal, mais uma e',
cola#ore para o aperfeiçoamento da 0dministração &)#lica+
alton lencar odrigues
1inistro8&residente
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 4/66
Sumário
Introdução +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++7
Controles de cesso >gico ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++D
&olítica de Segurança de Informaç4es +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++2E
&lano de Conting9ncias ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++FF
"C$ e a 3B2 IS<%IAC /77DD ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++FD
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 5/66
Introdução
3a 6poca em *ue as informaç4es eram arma'enadas apenas em papel, a segurança era
relatiamente simples+ Bastaa trancar os documentos em algum lugar e restringir o acesso físico@*uele local+ Com as mudanças tecnol>gicas e com o uso de computadores de grande porte, a
estrutura de segurança ficou um pouco mais sofisticada, englo#ando controles l>gicos, por6m ainda
centrali'ados+ Com a c!egada dos computadores pessoais e das redes de computadores *ue
conectam o mundo inteiro, os aspectos de segurança atingiram taman!a compleGidade *ue !á a
necessidade de desenolimento de e*uipes e de m6todos de segurança cada e' mais sofisticados+
&aralelamente, os sistemas de informação tam#6m ad*uiriram import?ncia ital para a
so#rei9ncia da maioria das organi'aç4es modernas, =á *ue, sem computadores e redes decomunicação, a prestação de seriços de infor mação pode se tornar iniáel+
< o#=etio desta pu#licação 6 apresentar, na forma de capítulos, #oas práticas em segurança da
informação, a *ual*uer pessoa *ue intera=a de alguma forma com am#ientes informati'ados, desde
profissionais de informática enolidos com segurança de informaç4es at6 auditores, usuários e
dirigentes preocupados em proteger o patrim5nio, os inestimentos e os neg>cios de sua organi'ação,
em especial, os gestores da 0dministração &)#lica .ederal+
Asta segunda edição inclui um noo capítulo, *ue comenta a 3B2 IS<%IAC /77DD e lista ac>rdãos
e decis4es do "ri#unal so#re segurança de tecnologia da informação, al6m dos tr9s capítulos *ue
constaam da primeira edição :controles de acesso l>gico, política de segurança de informaç4es e
plano de conting9ncias;+ ( nossa intenção continuar a pu#licar noas ediç4es, incluindo capítulos
so#re assuntos correlatos+
Hiretoria de 0uditoria de "ecnologia da Infor mação
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 6/66
B<S &2"IC0S A1 SAJ$203K0 H I3.<1KL<"2IB$30 HA C<3"0S H0
DD
1. Controles de Acesso Lgico 3este capítulo serão apresentados conceitos
impor tantes so#re controles de acesso l>gico
a serem implantados em instituiç4es *ue
utili'am a informática como meio de geração,
arma'enamento e diulgação de infor maç4es,
com o o#=etio de proer segurança de acesso a
essas infor maç4es+
1.1 ! "ue são controles de acesso#
<s controles de acesso, físicos ou l>gicos, t9m
como o#=etio proteger e*uipamentos, aplicatios
e ar*uios de dados contra perda, modificação
ou diulgação não autori'ada+ <s sistemas
computacionais, #em diferentes de outros tipos de
recursos, não podem ser facilmente controlados
apenas com dispositios físicos, como cadeados,
alarmes ou guardas de segurança+
1.$ ! "ue são controlesde acesso lgico#
<s controles de acesso l>gico são um
con=unto de procedimentos e medidas com o
o#=etio de proteger dados, programas e sistemas
contra tentatias de acesso não autori'adas
feitas por pessoas ou por outros programas de
computador+
< controle de acesso l>gico pode ser encarado
de duas formas diferentes- a par tir do recurso
computacional *ue se *uer proteger e a partir do
usuário a *uem serão concedidos certos priil6gios
e acessos aos recursos+
0 proteção aos recursos computacionais #aseia8
se nas necessidades de acesso de cada usuário,
en*uanto *ue a identificação e autenticação do
usuário :confirmação de *ue o usuário realmente 6
*uem ele di' ser; 6 feita normalmente por meio de
um identificador de usuário :IH; e por uma sen!a
durante o processo de logon no sistema+
1.% &ue recursos devemser protegidos#
0 proteção aos recursos computacionais
inclui desde aplicatios e ar*uios de dados at6
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 7/66
utilitários e o pr>prio sistema operacional+ #aiGo
serão apresentados os motios pelos *uais esses
recursos deem ser protegidos+
plicatios :programas fonte e
o#=eto;
< acesso não autori'ado ao c>digo fonte
dos aplicatios pode ser usado para alterar suas
funç4es e a l>gica do programa+ &or eGemplo,em um aplicatio #ancário, pode8se 'erar os
centaos de todas as contas8correntes e transferir
o total dos centaos para uma determinada conta,
#eneficiando ilegalmente esse cor rentista+
r*uios de
dados
Bases de dados, ar*uios ou transaç4es de
#ancos de dados deem ser protegidos para eitar
*ue os dados se=am apagados ou alterados sem
autori'ação, como, por eGemplo, ar*uios com
a configuração do sistema, dados da fol!a de
pagamento, dados estrat6gicos da empresa+
$tilitários e sistema
operacional
< acesso a utilitários, como editores,
compiladores, softMares de manutenção,
monitoração e diagn>stico dee ser restrito, =á *ue
essas ferramentas podem ser usadas para alterar
aplicatios, ar*uios de dados e de configuração
do sistema operacional, por eGemplo+
< sistema operacional 6 sempre um alo
#astante isado, pois sua configuração 6 o
ponto8c!ae de todo o es*uema de segurança+ 0
fragilidade do sistema operacional compromete
a segurança de todo o con=unto de aplicatios,
utilitários e ar*uios+
r*uios de sen!a
0 falta de proteção ade*uada aos ar*uios
*ue arma'enam as sen!as pode comprometer
todo o sistema, pois uma pessoa não autori'ada,
ao o#ter identificador :IH; e sen!a de um usuário
priilegiado, pode, intencionalmente, causar danos
ao sistema+ Assa pessoa dificilmente será #arrada
por *ual*uer controle de segurança instalado, =á
*ue se fa' passar por um usuário autori'ado+
r*uios de log
<s ar*uios de log são usados para registrar aç4es dos usuários, constituindo8se em >timas
fontes de informação para auditorias futuras+
<s logs registram *uem acessou os recursos
computacionais, aplicatios, ar*uios de dados e
utilitários, *uando foi feito o acesso e *ue tipo de
operaç4es foram efetuadas+
$m inasor ou usuário não autori'ado pode
tentar acessar o sistema, apagar ou alterar dados,
acessar aplicatios, alterar a configuração do
sistema operacional para facilitar futuras inas4es,
e depois alterar os ar*uios de log para *ue suas
aç4es não possam ser identificadas+ Hessa forma,
o administrador do sistema não ficará sa#endo
*ue !oue uma inasão+
1.' ! "ue os controles de acesso
lgico pretendem garantir em
relação ( segurança de in)ormaç*es#
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 8/66
<s controles de acesso l>gico são implantados
com o o#=etio de garantir *ue-
apenas usuários autori'ados ten!am
acesso aos recursosN
os usuários ten!am acesso apenas
aos recursos realmente necessários para a
eGecução de suas tarefasN
o acesso a recursos críticos se=a #em monitorado e restrito a poucas pessoasN
os usuários este=am impedidos de
eGecutar transaç4es incompatíeis com sua função
ou al6m de suas responsa#ilidades+
< controle de acesso pode ser tradu'ido,
então, em termos de funç4es de identificação
e autenticação de usuáriosN alocação, ger9ncia
e monitoramento de priil6giosN limitação,
monitoramento e desa#ilitação de acessosN e
preenção de acessos não autori'ados+
1.+ Como os usuários são
identi)icados e autenticados#
<s usuários dos sistemas computacionais são
identificados e autenticados durante um processo,
c!amado ogon+ <s processos de logon são usados
para conceder acesso aos dados e aplicatios em
um sistema computacional, e orientam os usuários
durante sua identificação e autenticação+
3ormalmente esse processo enole a entrada
de um IH :identificação do usuário; e de uma sen!a
:autenticação do usuário;+ 0 identificação define
para o computador *uem 6 o usuário e a sen!a 6
um autenticador, isto 6, ela proa ao computador *ue o usuário 6 realmente *uem ele di' ser +
1.+.1 Como deve ser pro,etado um processo
de logon para ser considerado e)iciente#
< procedimento de logon dee diulgar o
mínimo de informaç4es so#re o sistema, eitando
fornecer a um usuário não autori'ado infor maç4es
detal!adas+ $m procedimento de logon eficiente
dee-
informar *ue o computador s> dee
ser acessado por pessoas autori'adasN
eitar identificar o sistema ou suasaplicaç4es at6 *ue o processo de logon este=a
completamente concluídoN
durante o processo de logon, eitar
o fo r necimento de mensagens de a=uda
*ue poderiam auGiliar um usuário não
autori'ado a completar esse procedimentoN
alidar a infor mação de logon
apenas *uando todos os dados de entrada
estierem completos+ Caso ocorra algum erro,
o sistema não dee indicar *ual parte do dado
de entrada está correta ou incorreta, como, por
eGemplo, IH ou sen!aN
limitar o n)mero de tentatias de
logon sem sucesso :6 recomendado um máGimo
de tr9s tentatias;, e ainda-
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 9/66
a; registrar as tentatias de acesso inálidasN
#; forçar um tempo de espera antes de
per mitir noas tentatias de entrada no
sistema ou re=eitar *ual*uer tentatia
posterior de acesso sem autori'ação
específicaN
c; encerrar as coneG4es com o computador+
limitar o tempo máGimo para o
procedimento de logon+ Se eGcedido, o sistema
deerá encer rar o procedimentoN
mostrar as seguintes informaç4es,
*uando o procedimento de logon no sistema
finali'ar com 9Gito-
a; data e !ora do )ltimo logon com sucessoN
#; detal!es de *ual*uer tentatia de logon
sem sucesso, desde o )ltimo procedimento
reali'ado com sucesso+
1.+.$ ! "ue - identi)icação do usuário#
0 identificação do usuário, ou IH, dee ser
)nica, isto 6, cada usuário dee ter uma
identificação pr>pria+ "odos os usuários
autori'ados deem ter um IH, *uer se=a um
c>digo de caracteres, car tão inteligente ou
*ual*uer outro meio de identificação+ Assaunicidade de identificação permite um controle
das aç4es praticadas pelos usuários atra6s dos
logs+
3o caso de identificação a partir de caracteres,
6 comum esta#elecer certas regras de composição,
como, por eGemplo, *uantidade mínima e máGima
de caracteres, misturando letras, n)meros e
sím#olos+
1.+.% ! "ue - autenticação do usuário#
p>s a identificação do usuário, dee8se
proceder @ sua autenticação, isto 6, o sistema
dee confirmar se o usuário 6 realmente *uem
ele di' ser+ <s sistemas de autenticação são
uma com#inação de !ardMare, softMare e de
procedimentos *ue permitem o acesso de usuários
aos recursos computacionais+
3a autenticação, o usuário dee apresentar
algo *ue s> ele sai#a ou possua, podendo at6
enoler a erificação de características físicas pessoais+ 0 maioria dos sistemas atuais solicita
uma sen!a :algo *ue, supostamente, s> o
usuário con!ece;, mas =á eGistem sistemas mais
modernos utili'ando cart4es inteligentes :algo *ue
o usuário possui; ou ainda características físicas
:algo intrínseco ao usuário;, como o formato da
mão, da retina ou do rosto, impressão digital e
recon!ecimento de o'+
1.+.' Como orientar os usuários
em relação (s senas#
&ara *ue os controles de sen!a funcionem,
os usuários deem ter pleno con!ecimento das
políticas de sen!a da organi'ação, e deem ser
orientados e estimulados a segui8las fielmente+
"odos os usuários deem ser solicitados a-
manter a confidencialidade das sen!asN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 10/66
não compartil!ar sen!asN
eitar registrar as sen!as em papelN
selecionar sen!as de #oa *ualidade,
eitando o uso de sen!as muito curtas ou muito
longas, *ue os o#riguem a escre98las em um
pedaço de papel para não serem es*uecidas
:recomenda8se taman!o entre seis e oito
caracteres;N
alterar a sen!a sempre *ue eGistir
*ual*uer indicação de possíel
comprometimento do sistema ou da pr>pria
sen!aN
alterar a sen!a em interalos regulares
ou com #ase no n)mero de acessos :sen!as
para usuários priilegiados deem ser alteradascom maior fre*O9ncia *ue sen!as nor mais;N
eitar reutili'ar as mesmas sen!asN
alterar sen!as temporárias no primeiro
acesso ao sistemaN
não incluir sen!as em processos
automáticos de acesso ao sistema :por eGemplo,
ar ma'enadas em macros;+
Pale lem#rar tam#6m *ue utili'ar a mesma
sen!a para ários sistemas não 6 uma #oa prática,
pois a primeira atitude de um inasor, *uando
desco#re a sen!a de um usuário em um sistema
ulneráel, 6 tentar a mesma sen!a em outros
sistemas a *ue o usuário tem acesso+
1.+.+ &ue tipos de senas
devem ser evitadas#
<s usuários deem eitar sen!as compostas de
elementos facilmente identificáeis por possíeis
inasores, como por eGemplo-
nome do usuárioN
identificador do usuário :IH;, mesmo
*ue seus caracteres este=am em#aral!adosN
nome de mem#ros de sua família ou
de amigos íntimosN
nomes de pessoas ou lugares em geralN
nome do sistema operacional ou da
má*uina *ue está sendo utili'adaN
nomes pr>priosN
datasN
n)meros de telefone, de car tão
de cr6dito, de carteira de identidade ou de
outros documentos pessoaisN
placas ou marcas de car roN
palaras *ue constam de dicionários em
*ual*uer idiomaN
letras ou n)meros repetidosN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 11/66
letras seguidas do teclado do
computador
:0 SH.J, Q$I<&;N
o#=etos ou locais *ue podem ser istos
a partir da mesa do usuário :nome de um liro
na estante, nome de uma lo=a ista pela =anela;N
*ual*uer sen!a com menos de seis
caracteres+
lguns softMares são capa'es de identificar
sen!as frágeis, como algumas dessas citadas
acima, a par tir de #ases de dados de nomes e
se*O9ncias de caracteres mais comuns, e ainda
#lo*uear a escol!a dessas sen!as por parte do
usuário+ Assas #ases de dados normalmente fa'em
par te do pacote de softMare de segurança, e
podem ser atuali'adas pelo gerente de segurança
com noas inclus4es+
1.+./ Como escoler uma boa sena#
Jeralmente são consideradas #oas sen!as
a*uelas *ue incluem, em sua composição, letras:mai)sculas e min)sculas;, n)meros e sím#olos
em#aral!ados, totali'ando mais de seis caracteres+
&or6m, para ser #oa mesmo, a sen!a tem de ser
difícil de ser adiin!ada por outra pessoa, mas de
fácil memori'ação, para *ue não se=a necessário
anotá8la em algum lugar+ "am#6m 6 coneniente
escol!er sen!as *ue possam ser digitadas
rapidamente, dificultando *ue outras pessoas, a
uma certa dist?ncia ou por cima de seus om#ros,
possam identificar a se*O9ncia de caracteres+
$m m6todo #astante difundido 6 selecionar
uma frase significatia para o usuário e utili'ar
os primeiros caracteres de cada palara *ue a
comp4e, inserindo sím#olos entre eles+ ( tam#6m
recomendáel não utili'ar a mesma sen!a para
ários sistemas+ Se um deles não for deidamente
protegido, a sen!a poderá ser desco#er ta e
utili'ada nos sistemas *ue, a priori, estariam
seguros+ <utro consel!o- ad*uira o !á#ito de
trocar sua sen!a com fre*O9ncia+ "rocá8la a cada
sessenta, noenta dias 6 considerada uma #oa
prática+
Se oc9 realmente não conseguir memori'ar
sua sen!a e tier *ue escre98la em algum pedaço
de papel, ten!a pelo menos o cuidado de não
identificá8la como sendo uma sen!a+ 3ão pregueesse pedaço de papel no pr>prio computador, não
guarde a sen!a =unto com a sua identificação de
usuário, e nunca a enie por e8mail ou a ar ma'ene
em ar*uios do computador+
1.+.0 Como deve ser )eita a concessão
de senas aos usuários#
0 concessão de sen!as dee ser feita de
maneira for mal, considerando os seguintes
pontos-
solicitar aos usuários a assinatura de
uma declaração, a fim de manter a
confidencialidade de sua sen!a pessoal :isso pode estar incluso nos termos e condiç4es do
contrato de tra#al!o do usuário;N
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 12/66
garantir, aos usuários, *ue estão
sendo fornecidas sen!as iniciais seguras e
temporárias, forçando 8 os a alterá8las
imediatamente no pr imeiro logon+ < for
necimento de sen!as temporárias, nos casos
de es*uecimento por par te dos usuários, dee
ser efetuado somente ap>s a identificação
positia do respectio usuárioN
fornecer as sen!as temporárias aos
usuários de fo r ma segura+ < uso deterceiros ou de mensagens de correio
eletr5nico desprotegidas :não criptografadas;
dee ser eitado+
1.+. ! "ue a instituição pode )a2erpara proteger e controlar as senas
de acesso a seus sistemas#
< sistema de controle de sen!as dee ser
configurado para proteger as sen!as ar ma'enadas
contra uso não autori'ado, sem apresentá8las na
tela do computador, mantendo8as em ar*uios
criptografados e estipulando datas de eG piração
:normalmente se recomenda a troca de sen!as
ap>s R0 ou D0 dias;+ lguns sistemas, al6m de
criptografar as sen!as, ainda guardam essas
informaç4es em ar*uios escondidos *ue não
podem ser istos por usuários, dificultando, assim,
a ação dos !acers+
&ara eitar o uso fre*Oente das mesmas
sen!as, o sistema de controle de sen!as deemanter um !ist>rico das )ltimas sen!as
utili'adas por cada usuário+ Hee8se ressaltar,
entretanto, *ue a
troca muito fre*Oente de sen!as tam#6m pode
confundir o usuário, *ue poderá passar a escreer
a sen!a em algum lugar isíel ou escol!er uma
sen!a mais fácil, comprometendo, assim, sua
segurança+
< gerente de segurança dee desa#ilitar contas
inatias, sem sen!as ou com sen!as padroni'adas+
t6 mesmo a sen!a temporária fornecida ao
usuário pela ger9ncia de segurança dee ser
gerada de forma *ue =á entre eGpirada no sistema,
eGigindo uma noa sen!a para os pr>Gimos logons+
&ortanto, dee !aer um procedimento *ue force
a troca de sen!a imediatamente ap>s a primeira
autenticação, *uando o usuário poderá escol!er
a sen!a *ue será utili'ada dali por diante+
AG8funcionários deem ter suas sen!as #lo*ueadas+ &ara isso, deem eGistir
procedimentos administratios eficientes *ue
informem o gerente de segurança, ou o
administrador dos sistemas, da ocorr9ncia de
demiss4es ou de desligamentos de funcionários+
Asses procedimentos, na prática, nem sempre são
seguidos, eGpondo aorgani'ação
a riscosindese=áeis+
"a m#6m deem ser #lo*ueadas contas
de usuários ap>s um deter minado n)mero
de tentatias de acesso sem sucesso+ A sse
procedimento diminui os riscos de algu6m tentar
adiin!ar as sen!as+ 0tingido esse limite, s> o
administrador do sistema poderá des#lo*uear a
conta do usuário, por eGemplo+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 13/66
1.+.3 45istem outras )ormas de autenticação
do usuário6 al-m do uso de senas#
Sim+ 0 autenticação dos usuários pode ser
feita a par tir de toens, ou ainda, de sistemas
#iom6tricos+
1.+.17 ! "ue são to8 ens#
0 id6ia de fo r necer toens a os usuárioscomo forma de identificá8los 6 #astante antiga+
3o nosso dia8a8dia, estamos fre*Oentemente
utili'ando toens para acessar alguma coisa+ s
c!aes *ue a#rem a porta da sua resid9ncia ou
seu cartão com tar=a magn6tica para utili'ar o caiGa
eletr5nico do #anco são eGemplos de toens+ <
cartão magn6tico 6 ainda uma toen especial, poisguarda outras informaç4es, como, por eGemplo, a
sua conta #ancária+
"oen pode ser definida, então, como um
o#=eto *ue o usuário possui, *ue o diferencia das
outras pessoas e o !a#ilita a acessar algum o#=eto+
0 desantagem das toens em relação @s sen!as 6
*ue essas, por serem o#=etos, podem ser perdidas,
rou#adas ou reprodu'idas com maior facilidade+
1.+.11 ! "ue são cart*es
magn-ticos inteligentes#
<s cart4es inteligentes são toens *ue cont9m
microprocessadores e capacidade de mem>ria
suficiente para arma'enar dados, a fim de dificultar
sua utili'ação por outras pessoas *ue não seus
proprietários legítimos+
< primeiro car tão inteligente, patenteado
em /D7E, foi o de oland 1oreno, considerado
o pai do car tão inteligente+ Comparado ao
cartão magn6tico, *ue 6 um simples dispositio
de mem>ria, o cartão inteligente não s> pode
arma'enar informaç4es para serem lidas, mas
tam#6m 6 capa' de processar informaç4es+ Sua
clonagem 6 mais difícil e a maioria dos car t4es
inteligentes ainda oferece criptografia+
3ormalmente o usuário de cartão inteligente
precisa fornecer uma sen!a @ leitora de cartão para
*ue o acesso se=a permitido, como uma medida de
proteção a mais contra o rou#o de car t4es+
s instituiç4es #ancárias, financeiras e
goer namentais são os principais usuáriosdessa tecnologia, em função de seus #enefícios
em relação @ segurança de informaç4es e pela
possi#ilidade de redução de custos de instalaç4es e
de pessoal, como, por eGemplo, a su#stituição dos
guic!9s de atendimento ao p)#lico nos #ancos por
caiGas eletr5nicos+ <s cart4es inteligentes t9m sido
usados em diersas aplicaç4es- cart4es #ancários,
telef5nicos e de cr6dito, din!eiro eletr5nico,
segurança de acesso, carteiras de identidade+
1.+.1$ ! "ue são sistemas biom-tricos#
<s sistemas #iom6tricos são sistemas
automáticos de erificação de identidade
#aseados em características físicas dousuá rio + Asses sistemas t9m como o#=etio
suprir defici9ncias de segurança das sen!as, *ue
podem ser reeladas ou desco#er tas, e das
toens, *ue podem ser perdidas ou rou#adas+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 14/66
<s sistemas #iom6tricos automáticos são
uma eolução natural dos sistemas manuais
de recon!ecimento amplamente difundidos !á
muito tempo, como a análise grafol>gica de
assinaturas, a análise de impress4es digitais e o
recon!ecimento de o'+ To=e =á eGistem sistemas
ainda mais sofisticados, como os sistemas de
análise da conformação dos asos sangOíneos
na retina+
1.+.1% &ue caracter9sticas umanas podem
ser veri)icadas por sistemas biom-tricos#
"eoricamente, *ual*uer característica !umana
pode ser usada como #ase para a identificação
#iom6trica + 3a prática, entretanto, e Gistem
algumas limitaç4es+ 0 tecnologia dee ser capa'
de medir determinada característica de tal for ma*ue o indiíduo se=a realmente )nico, distinguindo
inclusie g9meos, por6m não dee ser inasia ou
ferir os direitos dos indiíduos+
$m dos pro#lemas enfrentados pelos sistemas
#iom6tricos atuais 6 sua alta taGa de erro, em
função da mudança das características de uma
pessoa com o passar dos anos, ou deido a
pro#lemas de sa)de ou o pr>prio nerosismo,
por eGemplo+ 0 toler?ncia a erros dee ser
esta#elecida com precisão, de forma a não ser
grande o suficiente para admitir impostores,
nem pe*uena demais a ponto de negar acesso
a usuários legítimos+ #aiGo serão apresentadas
algumas características !umanas erificadas por sistemas #iom6tricos eGistentes-
Impress4es digitais são
características )nicas e consistentes+ 3os
sistemas #iom6tricos *ue utili'am essa opção,
são arma'enados de
U0 a R0 pontos para erificar uma identidade+ <
sistema compara a impressão lida com impress4es
digitais de pessoas autori'adas, ar ma'enadas
em sua #ase de dados+ 0tualmente, estão sendo
utili'adas impress4es digitais em alguns sistemas
goernamentais, como, por eGemplo, o sistema
de preid9ncia social na Aspan!a e o de registro
de eleitores na Costa icaN
Po' os sistemas de recon!ecimento de
o' são usados para controle de acesso, por6m
não são tão confiáeis como as impress4es
digitais, em função dos erros causados por ruídos
do am#iente e de pro#lemas de garganta ou nascordas ocais das pessoas a eles su#metidasN
Jeometria da mão tam#6m 6
usada em sistemas de controle de acesso, por6m
essa característica pode ser alterada por
aumento ou diminuição de peso ou pela artriteN
Configuraç ão da íris e da retin a os sistemas *ue utili'am essas características
se prop4em a efetuar identificação mais
confiáel do *ue os sistemas *ue erificam
impress4es digitais+ Antretanto, são sistemas
inasios, pois direcionam feiGes de lu' aos ol!os
das pessoas *ue se su#metem @ sua
identificaçãoN
econ!ecimento facial a tra6s
de ter mogramas 8 o ter mograma facial 6
uma
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 15/66
imagem captada por uma c?mera infraer mel!a
*ue mostra os padr4es t6rmicos de uma face+ Assa
imagem 6 )nica e, com#inada com algoritmos
sofisticados de comparação de diferentes níeis
de temperatura distri#uídos pela face, constitui8se
em uma t6cnica não8inasia, altamente confiáel,
não sendo afetada por alteraç4es de sa)de, idade
ou temperatura do corpo+ São arma'enados ao
todo /D+000 pontos de identificação, podendo
distinguir g9meos id9nticos, mesmo no escuro+< desenolimento dessa tecnologia tem como
um de seus o#=etios #aratear seu custo para
*ue possa ser usada em um n)mero maior de
aplicaç4es de identificação e de autenticação+
1./ Como restringir o acesso
aos recursos in)ormacionais#
< fato de um usuário ter sido identificado
e autenticado não *uer di'er *ue ele poderá
acessar *ual*uer informação ou aplicatio sem
*ual*uer restrição+ Hee8se implementar um
controle específico, restringindo o acesso dos
usuários apenas @s aplicaç4es, ar*uios e utilitários
imprescindíeis para desempen!ar suas funç4es
na organi'ação+ Asse controle pode ser feito por
menus, funç4es ou ar*uios+
1./.1 :ara "ue servem os controles de menu#
<s controles de menu podem ser usados para
restringir o acesso de diferentes categorias de
usuários apenas @*ueles aplicatios ou utilitários
indispensáeis a cada categoria+
&or e Gemplo , em um sistema de fol!a de
pagamento, poderá ser apresentado um menu
inicial com tr9s opç4es diferentes- funcionário,
gerente e setor de recursos !umanos+ 3esse caso,
o administrador do sistema deerá conceder
acesso a cada uma das opç4es de acordo com a
função desempen!ada pelo usuário+ &ortanto, o
funcionário s> terá acesso a dados da sua fol!a
de pagamento pessoal, en*uanto *ue o gerente
poderá ter acesso a algumas infor maç4es da
fol!a de seus funcionários+ < setor de recursos
!umanos, para poder alimentar a #ase de dados
de pagamento, o#terá um níel diferente de
acesso e sua interação com o sistema será feita a
partir de menus pr>prios para a administração de
pessoal+ <s menus apresentados ap>s a seleção de
uma das opç4es :funcionário, gerente ou setor derecursos !umanos; serão, portanto, diferentes+
1./.$ :ara "ue servem os controles
de )unç*es de aplicativos#
3o *ue di' respeito @s funç4es internas dos
aplicatios, os respectios proprietários deerão
definir *uem poderá acessá8las e como, por meio
de autori'ação para uso de funç4es específicas ou
para restrição de acesso a funç4es de acordo com
o usuário :menus de acesso predefinidos;, !orário
ou tipo de recursos :impressoras, fitas #acup;+
1./.% Como proteger ar"uivos#
0 maioria dos sistemas operacionais possui
mecanismos de controle de acesso *ue definem
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 16/66
as permiss4es e os priil6gios de acesso para
cada recurso ou ar*uio no sistema+ Vuando
um usuário tenta acessar um recurso, o sistema
operacional erifica se as definiç4es de acesso
desse usuário e do recurso dese=ado conferem+ <
usuário s> conseguirá o acesso se essa erificação
for positia+
&ara garantir a segurança l>gica, pode8se
especificar dois tipos de controle, so# >ticas
diferentes-
< *ue um su=eito pode fa'erN ou
< *ue pode ser feito com um o#=eto+
1./.' ! "ue são direitos e
permiss*es de acesso#
Hefinir direitos de acesso indiidualmente para
cada su=eito e o#=eto pode ser uma maneira um
tanto tra#al!osa *uando estierem enolidas
grandes *uantidades de su=eitos e o#=etos+ 0
forma mais comum de definição de direitos de
acesso, nesse caso, 6 a matri' de controle de
acesso+ 3essa matri' pode8se fa'er duas análises-
uma em relação aos su=eitosN outra, em relação
aos o#=etos+
3a primeira a#ordagem, cada su=eito rece#e
uma permissão :ou capacidade; *ue define todos
os seus direitos de acesso+ s permiss4es de acesso
são, então, atri#utos, associados a um su=eito ouo#=eto, *ue definem o *ue ele pode ou não fa'er
com outros o#=etos+ Assa a#ordagem, no
entanto, 6 pouco utili'ada, =á *ue, na prática,
com grandes
*uantidades de su=eitos e o#=etos, a isuali'ação
eGata de *uem tem acesso a um deter minado
o#=eto não 6 tão clara, comprometendo, assim,
a ger9ncia de controle de acesso+
3a segunda a#ordagem, os direitos de acesso
são arma'enados com o pr>prio o#=eto for mando
a c!amada lista de controle de acesso :0ccess
Control ist :C;;+
1./.+ ! "ue são listas de controle de acesso#
An*uanto a permissão de acesso define o
*ue um o#=eto pode ou não fa'er com outros, a
lista de controle de acesso define o *ue os outros
o#=etos ou su=eitos podem fa'er com o o#=eto a
ela associado+ s listas de controle de acesso nada
mais são do *ue #ases de dados, associadas a umo#=eto, *ue descreem os relacionamentos entre
a*uele o#=eto e outros, constituindo8se em um
mecanismo de garantia de confidencialidade e
integridade de dados+
0 definição das listas de controle de acesso
dee ser sempre feita pelos proprietários dosrecursos, os *uais determinam o tipo de proteção
ade*uada a cada recurso e *uem efetiamente
terá acesso a eles+
0 ger9ncia das listas de controle de acesso,
na prática, tam#6m 6 complicada+ &ara redu'ir
os pro#lemas de gerenciamento dessas listas e o
espaço de mem>ria ou disco por elas ocupado,
costuma8se agrupar os su=eitos com características
semel!antes ou direitos de acesso iguais+ Hessa
forma, os direitos de acesso são associados a
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 17/66
grupos, e não a su=eitos indiiduali'ados+ Pale
ressaltar *ue um su=eito pode per tencer a um
ou mais grupos, de acordo com o o#=eto a ser
acessado+
1.0 Como monitorar o acessoaos recursos in)ormacionais#
< monitoramento dos sistemas de infor mação
6 feito, normalmente, pelos registros de log, tril!asde auditoria ou outros mecanismos capa'es de
detectar inas4es+ Asse monitoramento 6 essencial
@ e*uipe de segurança de informaç4es, =á *ue 6
praticamente impossíel eliminar por completo
todos os riscos de inasão por meio da identificação
e autenticação de usuários+
3a ocorr9ncia de uma inasão, fal!a do sistema
ou atiidade não autori'ada, 6 imprescindíel
reunir eid9ncias suficientes para *ue possam
ser tomadas medidas corretias necessárias ao
resta#elecimento do sistema @s suas condiç4es
normais, assim como medidas administratias e%
ou =udiciais para inestigar e punir os inasores+
0 forma mais simples de monitoramento 6
a coleta de informaç4es, so#re deter minados
eentos, em ar*uios !ist>ricos, mais con!ecidos
como logs+ Com essas informaç4es, a e*uipe
de segurança 6 capa' de registrar eentos e de
detectar tentatias de acesso e atiidades não
autori'adas ap>s sua ocorr9ncia+
1.0.1 ! "ue são logs#
<s logs são registros cronol>gicos de atiidades
do sistema *ue possi#ilitam a reconstrução, reisão
e análise dos am#ientes e das atiidades relatias
a uma operação, procedimento ou eento,
acompan!ados do início ao fim+
<s logs são utili'ados como medidas de
detecção e monitoramento, registrando atiidades,
fal!as de acesso :tentatias frustradas de logon ou
de acesso a recursos protegidos; ou uso do sistema
operacional, utilitários e aplicatios, e detal!ando
o *ue foi acessado, por *uem e *uando+ Com
os dados dos logs, pode8se identificar e corrigir
fal!as da estrat6gia de segurança+ &or conterem
informaç4es essenciais para a detecção de acesso
não autori'ado, os ar*uios de log deem ser
protegidos contra alteração ou destruição por usuários ou inasores *ue *ueiram enco#rir suas
atiidades+
1.0.$ ! "ue deve ser registrado em logs#
Heido @ grande *uantidade de dados
arma'enada em logs, dee8se lear em
consideração *ue seu uso pode degradar o
desempen!o dos sistemas+ Sendo assim, 6
aconsel!áel #alancear a necessidade de
registro de atiidades críticas e os custos, em
termos de desempen!o glo#al dos sistemas+
3ormalmente, os registros de log incluem-
identificação dos usuáriosN
datas e !orários de entrada :logon; e
saída do sistema :logoff;N
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 18/66
identificação da estação de tra#al!oe,
*uando possíel, sua locali'açãoN
#lo*ueio :por eGemplo, proteção de tela com
sen!a;N
registros das tentatias de acesso :aceitas
e re=eitadas; ao sistemaN
registros das tentatias de acesso :aceitas
e re=eitadas; a outros recursos e dados+
o definir o *ue será registrado, 6 preciso
considerar *ue *uantidades enormes de registros
podem ser iniáeis de serem monitoradas+ 3ada
adianta ter um log se ele não 6 periodicamente
reisado+ &ara auGiliar a ger9ncia de segurança
na árdua tarefa de análise de logs, podem ser
preiamente definidas tril!as de auditoria mais
simples e utili'ados softMares especiali'ados
disponíeis no mercado, específicos para cada
sistema operacional+
1. !utros controles
de acesso lgico
<utro recurso de proteção #astante utili'ado
em alguns sistemas 6 o time8out automático, isto6, a sessão 6 desatiada ap>s um deter minado
tempo sem *ual*uer atiidade no terminal ou
computador+ &ara restaurá8la, o usuário 6
o#rigado a fornecer noamente seu IH e sen!a+
Am alguns sistemas operacionais, o pr>prio
usuário, ap>s sua !a#ilitação no processo de
logon, pode atiar e desatiar essa função de
time8out+ 3esse sentido, os usuários deem ser
orientados a-
encerrar as sess4es atias, a menos
*ue elas possam ser protegidas por
mecanismo de
no caso de terminal conectado a
computador de grande porte, efetuar a
desconeGão *uando a sessão for finali'ada
:não apenas desligar o terminal, mas utili'ar
o procedimento para desconeGão;+
Como controle de acesso l>gico, a ger9ncia
de segurança pode ainda limitar o !orário de uso
dos recursos computacionais de acordo com a real
necessidade de acesso aos sistemas+ &ode8se, por
eGemplo, desa#ilitar o uso dos recursos nos fins
de semana ou @ noite+
( usual tam#6m limitar a *uantidade de
sess4es concorrentes, impedindo *ue o usuárioconsiga entrar no sistema ou na rede a partir de
mais de um terminal ou computador
simultaneamente+ Isso redu' os riscos de acesso
ao sistema por inasores, pois se o usuário
autori'ado =á estier conectado, o inasor não
poderá entrar no sistema+ Ha mesma forma, se o
inasor estier logado, o usuário autori'ado, aotentar se conectar, identificará *ue sua conta =á
está sendo usada e poderá notificar o fato @
ger9ncia de segurança+
1.3 !nde as regras de controle
de acesso são de)inidas#
s regras de controle e direitos de acesso para
cada usuário ou grupo deem estar claramente
definidas no documento da política de controle de
acesso da instituição, o *ual deerá ser for necido
aos usuários e proedores de ser iço para *ue
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 19/66
tomem con!ecimento dos re*uisitos de segurança
esta#elecidos pela ger9ncia+
1.3.1 ! "ue considerar na elaboração
da pol9tica de controle de acesso#
0 política de controle de acesso dee lear em
conta-
1.3.$ &ue cuidados devem ser tomados na
de)inição das regras de controle de acesso#
o especificar as regras de controle de acesso,
deem ser considerados os seguintes aspectos-
diferenciar regras *ue sempre deem
ser cumpridas das regras opcionais ou
condicionaisN
os re*uisitos de segurança de
aplicaç4es específicas do neg>cio da instituiçãoN
a identificação de toda informação
referente @s aplicaç4es de neg>cioN
esta#elecer regras #aseadas na
premissa W "udo dee s e r p ro i# ido a
menos *ue eGpressamente permitidoX ao
in6s da regra W"udo 6 permitido a menos *ue
eGpressamente
proi#idoXN
as políticas para autori'ação e
distri#uição de informação :por eGemplo, a
necessidade de con!ecer os princípios e níeis de
segurança, #em
como a classificação da infor mação;N
diferenciar as permiss4es de usuários
*ue são atri#uídas automaticamente por um
sistema de infor mação da*uelas atri#uídas
por um
administradorN
a compati#ilidade entre o controle de
acesso e as políticas de classificação dainformação dos diferentes sistemas e redesN
a legislação igente e *ual*uer
o#rigação contratual, considerando a proteção
do acesso a dados ou ser içosN
o per fil de acesso padrão para categorias
de usuários comunsN
priori'ar regras *ue necessitam da
aproação de um administrador antes dali#eração da*uelas *ue não necessitam de tal
aproação+
1.3.% &ue tipo de regras de controle de
acesso devem ser )ormali2adas na pol9tica#
< acesso aos sistemas de informação dee ser
controlado por um processo formal, o *ual deerá
a#ordar, entre outros, os seguintes t>picos-
o gerenciamento dos direitos de acesso
em todos os tipos de coneG4es disponíeis em
um am#iente distri#uído conectado em rede+
utili'ação de um identificador de usuário
:IH; )nico, de forma *ue cada usuário possa ser
identificado e responsa#ili'ado por suas aç4esN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 20/66
erificação se o usuário o#tee
autori'ação do proprietário do sistema de
informação ou seriço para sua utili'açãoN
erificação se o níel de acesso
concedido ao usuário está ade*uado aos
prop>sitos do neg>cio e consistente com a
política de segurança da organi'açãoN
fornecimento, aos usuários, de
documento escrito com seus direitos de acesso+
<s usuários deerão assinar esse documento,
indicando *ue entenderam as condiç4es de
seus direitos de acessoN
manutenção de um registro formal de
todas as pessoas cadastradas para usar cada
sistema de infor maç4esN
remoção imediata dos direitos de
acesso de usuários *ue mudarem de função ou
saírem da organi'açãoN
erificação peri>dica da lista de
usuários, com intuito de remoer usuários
ineGistentes e IHs em duplicidadeN
inclusão de cláusulas nos contratos
de funcionários e prestadores de ser iço,
*ue especifi*uem as sanç4es a *ue estarão
su=eitos em caso de tentatia de acesso não
autori'ado+
1.17 &uem - o responsável peloscontroles de acesso lgico#
0 responsa#ilidade so#re os controles de
acesso l>gico pode ser tanto do gerente do
am#iente operacional como dos proprietários :ou
gerentes; de aplicatios+ < gerente do am#iente
operacional dee controlar o acesso @ rede, ao
sistema operacional e seus recursos e, ainda, aos
aplicatios e ar*uios de dados+ ( responsáel,
assim, por proteger os recursos do sistema contra
inasores ou funcionários não autori'ados+
An*uanto isso, os proprietários dos aplicatios
são responsáeis por seu controle de acesso,
identificando *uem pode acessar cada um dos
sistemas e *ue tipo de operaç4es pode eGecutar +
&or con!ecerem #em o sistema aplicatio so# sua
responsa#ilidade, os proprietários são as pessoas
mais indicadas para definir priil6gios de acesso de
acordo com as reais necessidades dos usuários+
Hessa for ma, as responsa#ilidades so#re
segurança de acesso são segregadas entre o
gerente do am#iente operacional de infor mática
e os gerentes de aplicatios+
1.11 4m "ue os usuários podem
a,udar na implantação doscontroles de acesso lgico#
0 cooperação dos usuários autori'ados 6
essencial para a eficácia da segurança+ <s usuários
deem estar cientes de suas responsa#ilidades para
a manutenção efetia dos controles de acesso,
considerando, particularmente, o uso de sen!as
e a segurança dos e*uipamentos de infor mática
*ue costumam utili'ar+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 21/66
B<S &2"IC0S A1 SAJ$203K0 H I3.<1KL<"2IB$30 HA C<3"0S H0
22
$. :ol9tica de Segurança de In)ormaç*es 3este Capítulo serão apresentados conceitos
relatios @ política de segurança de infor maç4es,
#em como *uest4es *ue demonstram a
import?ncia de sua ela#oração, implementação
e diulgação+
$.1 ! "ue visa a segurança
de in)ormaç*es#
0 segurança de informaç4es isa garantir a
integridade, confidencialidade, autenticidade e
disponi#ilidade das informaç4es processadas pela
organi'ação+ 0 integridade, a confidencialidade ea autenticidade de informaç4es estão
intimamente relacionadas com os controles de
acesso a#ordados no Capítulo /+
$.1.1 ! "ue - integridade de in)ormaç*es#
Consiste na fidedignidade de infor maç4es+
Sinali'a a conformidade de dados ar ma'enados
com re lação @s inserç4es , a l te raç4es e
processamentos autori'ados efetuados+ Sinali'a,
ainda, a conformidade dos dados transmitidos
pelo emissor com os rece#idos pelo destinatário+ 0
manutenção da integridade pressup4e a garantia
de não 8iolação dos dados com intuito de
alteração, graação ou eGclusão, se=a ela acidental
ou proposital+
$.1.$ ! "ue - con)idencialidade
de in)ormaç*es#
Consiste na garantia de *ue somente pessoas
autori'adas ten!am acesso @s infor maç4es
arma'enadas ou transmitidas por meio de redes
de comunicação+ 1anter a confidencialidade pressup4e assegurar *ue as pessoas não tomem
con!ecimento de informaç4es, de forma acidental
ou proposital, sem *ue possuam autori'ação para
tal procedimento+
$.1.% ! "ue - autenticidade de in)ormaç*es#
Consiste na garantia da eracidade da fonte
das informaç4es+ &or meio da autenticação 6
possíe l confirmar a identidade da pessoa ou
entidade *ue presta as infor maç4es+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 22/66
$.1.' ! "ue - disponibilidade
de in)ormaç*es#
Consiste na garantia de *ue as infor maç4es
este=am acessíeis @s pessoas e aos processos
autori'ados, a *ual*uer momento re*uerido,
durante o período acordado entre os gestores
da informação e a área de informática+ 1anter a
disponi#ilidade de informaç4es pressup4e garantir
a prestação contínua do seriço, sem inter r upç4esno fornecimento de informaç4es para *uem de
direito+
$.$ :or "ue - importante 2elarpela segurança de in)ormaç*es#
&or*u e a info r mação 6 um atio muito
importante para *ual*uer organi'ação, podendo
ser considerada, atualmente, o recurso patrimonial
mais crítico+ Infor maç4es adulteradas, não 8
disponíeis, so# con!ecimento de pessoas de
má8f6 ou de concorrentes podem comprometer
significatiamente, não apenas a imagem da
organi'ação perante terceiros, como tam#6m o
andamento dos pr>prios processos organi'acionais+
( possíel inia#ili'ar a continuidade de uma
organi'ação se não for dada a deida atenção @
segurança de suas infor maç4es+
$.% ! "ue - pol9tica de segurança
de in)ormaç*es ; :SI#
&olítica de segurança de informaç4es 6 um
con=unto de princípios *ue nor teiam a gestão
de segurança de informaç4es e *ue dee ser
o#ser ado pelo corpo t6cnico e gerencia l e
pelos usuários internos e eGternos+ s diretri'es
esta#elecidas nesta política determinam as lin!as
mestras *ue deem ser seguidas pela organi'ação
pa ra *ue se =a m assegurados seus recursos
computacionais e suas infor maç4es+
$.' &uem são os responsáveis
por elaborar a :SI#
( recomendáel *ue na est r utu ra da
organi'ação eGista uma área responsáel pela
segurança de informaç4es, a *ual dee iniciar o
processo de ela#oração da política de segurança
de infor maç4es, #em como coordenar sua
implantação, aproá8la e reisá8la, al6m de
designar funç4es de segurança+
Pale salientar, entretanto, *ue pessoas de
áreas críticas da organi'ação deem par ticipar
do processo de ela#oração da &SI, como a
alta administração e os diersos gerentes e
proprietários dos sistemas informati'ados+ l6m
disso, 6 recomendáel *ue a &SI se=a aproada pelo
mais alto dirigente da organi'ação+
$.+ &ue assuntos devem
ser abordados na :SI#
0 po lí ti ca de segurança de infor maç4es
dee eGtrapolar o escopo a#rangido pelas áreas
de sistemas de infor mação e pelos recursos
computacionais+ Ala não dee ficar restrita @
área de informática+ o contrário, ela dee estar
integrada @ isão, @ missão, ao neg>cio e @s metas
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 23/66
institucionais, #em como ao plano estrat6gico
de infor mática e @s políticas da organi'ação
concernentes @ segurança em geral+
políticas de controle de acesso a recursos
e sistemas computacionaisN
classifi cação das infor maç4es :deuso
< conte)do da &SI aria, de organi'ação
para organi'ação, em função de seu estágio de
maturidade, grau de informati'ação, área de
atuação, cultura organi'acional, necessidades
re*ueridas, re*uisitos de segurança, entre outros
aspectos+ 3o entanto, 6 comum a presença dealguns t>picos na &SI, tais como-
definição de segurança de informaç4es e
de sua import?ncia como mecanismo *ue
possi#ilita o compartil!amento de infor maç4esN
irrestrito, interno, confidencial e secretas;N
procedimentos de preenção e
detecção de írusN
princípios legais *ue deem ser o#serados *uanto @ tecnologia da informação
:direitos de propriedade de produção
intelectual, direitos so#re softMare, normas
legais correlatas aos sistemas desenolidos,
cláusulas contratuais;N
pr inc íp ios de super isão constante
declaração do comprometimento da
alta administração com a &SI, apoiando suas
metas e princípiosN
o#=etios de segurança da organi'açãoN
das tentatias de iolação da segurança de
infor maç4esN
conse*O9ncias de iolaç4es de
nor mas esta#elecidas na política de segurançaN
definição de responsa#ilidades gerais
nagestão de segurança de infor maç4esN
princípios de gestão da continuidade do
neg>cioN
orientaç4es so#re análise e ger9ncia
de riscosN
princípios de conformidade dos
sistemas computacionais com a &SIN
padr4es mínimos de *ualidade *ue
esses sistemas deem possuirN
plano de treinamento em segurança
de infor maç4es+
$./ &ual o n9vel de pro)undidade
"ue os assuntos abordadosna :SI devem ter#
0 política de segurança de informaç4es dee
conter princípios, diretri'es e regras gen6ricos e
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 24/66
amplos, para aplicação em toda a organi'ação+
l6m disso, ela dee ser clara o suficiente para ser
#em compreendida pelo leitor em foco, aplicáele de fácil aceitação+ 0 compleGidade e eGtensão
eGageradas da &SI pode lear ao fracasso de sua
implementação+
Ca#e destacar *ue a &SI pode ser composta
por árias polí ticas inter8relacionadas, como a
política de sen!as, de #acup, de contratação einstalação de e*uipamentos e softMares+
0 demais, *uando a organi'ação ac!ar
coneniente e necessário *ue sua &SI se=a mais
a#rangente e detal!ada, sugere8se a criação de
outros documentos *ue especifi*uem práticas
e procedimentos e *ue descream com mais
detal!es as regras de uso da tecnologia da
informação+ Asses documentos costumam dispor
so#re regras mais específicas, *ue detal!am
as responsa#ilidades dos usuários, gerentes
e auditores e, normalmente, são atuali'ados
com maior fre*O9ncia+ 0 &SI 6 o primeiro de
muitos documentos com informaç4es cada e'
mais detal!adas so#re procedimentos, práticas
e padr4es a serem aplicados em deter minadas
circunst?ncias, sistemas ou recursos+
$.0 Como se dá o processo
de implantação da :SI#
< processo de implantação da política desegurança de informaç4es dee ser formal+ 3o
decorrer desse processo, a &SI dee per manecer
passíel a a=ustes para mel!or adaptar8se @s
reais necessidades+ < tempo desde o início at6
a completa implantação tende a ser longo+ Am
resumo, as principais etapas *ue condu'em @
implantação #em8sucedida da &SI são- ela#oração,
aproação, implementação, diulgação e
manutenção+ 1uita atenção dee ser dada @s
duas )ltimas etapas, !a=a ista ser comum sua
não8 o#ser?ncia+ 3ormalmente, ap>s a
consecução das tr9s primeiras etapas, as
ger9ncias de segurança acreditam ter cumpridoo deer e es*uecem da import?ncia da
diulgação e atuali'ação da &SI+
He forma mais detal!ada, pode8se citar como
as principais fases *ue comp4em o processo de
implantação da &SI-
identificação dos recursos críticosN
classificação das infor maç4esN
definição, em lin!as gerais, dos o#=etios
de segurança a serem atingidosN
análise das necessidades de segurança:identificação das possíeis ameaças, análise de
riscos e impactos;N
ela#oração de proposta de políticaN
discuss4es a#ertas com os enolidosN
apresentação de documento for mal@ ger9ncia superiorN
aproaçãoN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 25/66
pu#licaçãoN
diulgaçãoN
treinamentoN
implementaçãoN
aaliação e identificação das
mudanças necessáriasN
reisão+
$. &ual o papel da alta
administração na elaboração
e implantação da :SI#
< sucesso da & S I está di re tamente
relacionado com o enolimento e a atuaçãoda alta administração+ Vuanto maior for o
comprometimento da ger9ncia superior com
os processos de ela#oração e implantação da
&SI, maior a pro#a#ilidade de ela ser efetia e
efica'+ Asse comprometimento dee ser eGpresso
formalmente, por escrito+
$.3 A "uem deve ser
divulgada a :SI#
0 diulgação ampla a todos os usuários
int er no s e e Gter nos @ organi'a ção 6 um
passo indispensáel para *ue o processo de
implantação da &SI ten!a sucesso+ 0 &SI dee ser
de con!ecimento de todos *ue interagem com a
organi'ação e *ue, direta ou indiretamente, serão
afetados por ela+ ( necessário *ue fi*ue #astante
claro, para todos, as conse*O9ncias adindas do
uso inade*uado dos sistemas computacionais e de
informaç4es, as medidas preentias e cor retias
*ue estão a seu cargo para o #om, regular e
efetio controle dos atios computacionais+ 0 &SI
fornece orientação #ásica aos agentes enolidos
de como agir corretamente para atender @s regras
nela esta#elecidas+ ( importante, ainda, *ue a &SI
este=a permanentemente acessíel a todos+
$.17 ! "ue )a2er "uandoa :SI )or violada#
0 pr>pria &olítica de Segurança de Infor maç4es
dee preer os procedimentos a serem adotados
para cada caso de iolação, de acordo com sua
seeridade, amplitude e tipo de infrator *ue a perpetra+ 0 punição pode ser desde uma simples
ader t9ncia er#al ou escr ita at6 uma ação
=udicial+
0 ei n+Y D+DZF, de /U de =ul!o de 2000, *ue
altera o C>digo &enal Brasileiro, =á pre9 penas
para os casos de iolação de integridade e *ue#ra
de sigilo de sistemas informati'ados ou #anco de
dados da 0dministração &)#lica+ < noo art+ F/F8
0 trata da inserção de dados falsos em sistemas de
informação, en*uanto o art+ F/F8B discorre so#re
a modificação ou alteração não autori'ada desses
mesmos sistemas+ < [ /Y do art+ /EF do C>digo
&enal foi alterado e, atualmente, define penas
*uando da diulgação de informaç4es sigilosasou reser adas, contidas ou não nos #ancos de
dados da 0dministração &)#lica+ < for necimento
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 26/66
ou empr6stimo de sen!a *ue possi#ilite o
acesso de pessoas não autori'adas a sistemas de
informaç4es 6 tratado no inciso I do [ /Y do art+
F2E do C>digo &enal+
3este t>pico, fica ainda mais eidente a
import?ncia da conscienti'ação dos funcionários
*uanto @ &SI+ $ma e' *ue a &olítica se=a de
con!ecimento de todos da organi'ação, não será
admissíel *ue as pessoas aleguem ignor?ncia*uanto @s regras nela esta#elecidas a fim de
lirar8 se da culpa so#re iolaç4es cometidas+
Vuando detectada uma iolação, 6 preciso
aeriguar suas causas, conse*O9ncias e
circunst?ncias em *ue ocorreu+ &ode ter sido
deriada de um simples acidente, erro ou mesmo
descon!ecimento da &SI, como tam#6m de
neglig9ncia, ação deli#erada e fraudulenta+ Assa
aeriguação possi#ilita *ue ulnera#ilidades, at6
então descon!ecidas pelo pessoal da ger9ncia de
segurança, passem a ser consideradas, eGigindo,
se for o caso, alteraç4es na &SI+
$.11 <ma ve2 de)inida6 a:SI pode ser alterada#
0 &SI não s> pode ser alterada, como dee
passar por processo de reisão definido e peri>dico
*ue garanta sua reaaliação a *ual*uer mudança
*ue en!a afetar a análise de risco original, tais
como- incidente de segurança significatio, noasulnera#ilidades, mudanças organi'acionais ou
na infra8estrutura tecnol>gica+ l6m disso, dee
!aer análise peri>dica da efetiidade da política,
demonstrada pelo tipo, olume e impacto dos
incidentes de segurança registrados+ ( dese=áel,
tam#6m, *ue se=am aaliados o custo e o impacto
dos controles na efici9ncia do neg>cio, a fim de
*ue esta não se=a comprometida pelo eGcesso ou
escasse' de controles+
( importante frisar, ainda, *ue a &SI dee ter
um gestor responsáel por sua manutenção e
análise crítica+
$.1$ 45istem normas sobre :SI para
a Administração :=blica >ederal#
< Hecreto n+Y F+E0E, de /F de =un!o de 2000,
instituiu a &olítica de Segurança da Infor mação
nos >rgãos e entidades da 0 dministração
&)#lica .ederal+ Am lin!as gerais, os o#=etios
traçados nessa &SI di'em respeito @ necessidade
de capacitação e conscienti'ação das pessoas
lotadas nos >rgãos e entidades da 0dministração
&)#lica .ederal *uanto aos aspectos de segurança
da informaçãoN e necessidade de ela#oração e
edição de instrumentos =urídicos, nor matios
e organi'acionais *ue promoam a efetia
implementação da segurança da informação+ Com
relação @s mat6rias *ue esses instrumentos deem
ersar, o Hecreto menciona-
padr4es relacionados ao
emprego dos produtos *ue incorporam
recursos criptográficosN
normas gerais para uso e
comerciali'ação dos recursos criptográficosN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 27/66
no r mas, pa dr 4es e demais aspectos
necessários para assegurar a confidencialidade
dos dadosN
nor ma s relacionadas @ emissão de
certificados de confor midadeN
normas relatias @ implementação dos
sistemas de segurança da informação, com intuito
de garantir a sua interopera#ilidade, o#tenção
dos níeis de segurança dese=ados e per manente
disponi#ilidade dos dados de interesse para a
defesa nacional+
L
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 28/66
B<S &2"IC0S A1 SAJ$203K0 H I3.<1KL<"2IB$30 HA C<3"0S H0
FF
%. :lano de Conting?ncias 3este Capítulo será apresentada a import?ncia
de definição de estrat6gias *ue permitam *ue uma
instituição retorne @ sua normalidade, em caso de
acontecimento de situaç4es inesperadas+
%.1 ! "ue - :lano de Conting?ncias#
&lano de Conting9ncias consiste num con=unto
de estrat6gias e procedimentos *ue deem ser
adotados *uando a instituição ou uma área
depara8se com pro#lemas *ue comprometem o
andamento normal dos processos e a conse*Oente
prestação dos ser iços + Assas estrat 6gias e
procedimentos deerão minimi'ar o impacto
sofrido diante do acontecimento de situaç4es
inesperadas, desastres, fal!as de segurança, entre
outras, at6 *ue se retorne @ normalidade+ < &lano
de Conting9ncias 6 um con=unto de medidas *ue
com#inam aç4es preentias e de recuperação+
<#iamente, os tipos de riscos a *ue estão
su=eitas as organi'aç4es ariam no tempo e no
espaço+ &or6m, pode8se citar como eGemplos
de riscos mais comuns a ocorr9ncia de desastres
naturais :enc!entes, ter remotos, furac4es;,
inc9ndios, desa#amentos, fal!as de e*uipamentos,
acidentes, grees, terrorismo, sa#otagem, aç4es
intencionais+
< &lano de Cont ing9ncias pode ser desenolido por organi'aç4es *ue conten!am
ou não sistemas computadori'ados+ &or6m,
para efeito desta car til!a, o &lano aplica8se @s
organi'aç4es *ue, em menor ou maior grau,
dependem da tecnologia da informação, pois fa'8
se refer9ncia aos riscos a *ue essa área está su=eita,
#em como aos aspectos releantes para superar pro#lemas decor rentes+
%.$ &ual - a import@ncia do
:lano de Conting?ncias#
0tualmente, 6 in*uestionáel a depend9ncia
das organi'aç4es aos computadores, se=am
eles de pe*ueno, m6dio ou grande porte+ Assa
característica *uase generali'ada, por si s>, =á
6 capa' de eGplicar a impor t?ncia do &lano de
Conting9ncias, pois se para fins de manutenção
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 29/66
de seus ser iços, as organi'aç4es dependem de
computadores e de informaç4es ar ma'enadas
em meio eletr5nico, o *ue fa'er na ocor r9ncia
de situaç4es inesperadas *ue comprometam
o processamento ou a disponi#ilidade desses
computadores ou informaç4es\ o contrário
do *ue ocorria antigamente, os funcionários
não mais det9m o con!ecimento integral, assim
como a !a#ilidade para consecução dos processos
organi'acionais, pois eles são, muitas e'es,eGecutados de forma transparente+ l6m disso, as
informaç4es não mais se restringem ao papel, ao
contrário, elas estão estrategicamente organi'adas
em ar*uios magn6ticos+
&or conseguinte, pode8se considerar o &lano
de Conting9ncias *uesito essencial para as
organi'aç4es preocupadas com a segurança de
suas infor maç4es+
seriços temporários ou com restriç4es, *ue, pelo
menos, supram as necessidades imediatas e mais
críticas+ Ca#e destacar *ue o &lano 6 um entre
ários re*uisitos de segurança necessários para
*ue os aspectos de integridade e disponi#ilidade
se=am preserados durante todo o tempo+
%.' Como iniciar a elaboração
do :lano de Conting?ncias#
ntes da ela#oração do &lano de Conting9ncias
propriamente dito, 6 importante analisar alguns
aspectos-
riscos a *ue está eGposta a organi'ação,
pro#a#il idade de ocor r9ncia e os impactos
decorrentes :tanto a*ueles relatios @ escala do
dano como ao tempo de recuperação;N
conse*O9ncias *ue poderão adir da
%.% &ual - o ob,etivo do
:lano de Conting?ncias#
< o#=etio do &lano de Conting9ncias 6 manter
a integridade e a disponi#ilidade dos dados da
organi'ação, #em como a disponi#ilidade dos
seus seriços *uando da ocorr9ncia de situaç4es
fortuitas *ue comprometam o #om andamento
dos neg>cios+ &ossui como o#=etio, ainda,
garantir *ue o funcionamento dos sistemas
infor mati'ados se=a resta#elecido no menor
tempo possíel a fim de redu'ir os impactoscausados por fatos impreistos+ ( normal *ue,
em determinadas situaç4es de anormalidade, o
&lano pree=a a possi#ilidade de fornecimento de
interrupção de cada sistema computacionalN
identificação e priori'ação de
recursos, sistemas, processos críticosN
tempo limite para recuperação dos
recursos, sistemas, processosN
alternatias para recuperação dos
recursos, sistemas, processos, mensurando os
custos e #enefícios de cada alternatia+
%.+ &ue assuntos devem
ser abordados no :lano
de Conting?ncias#
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 30/66
He maneira geral, o &lano de Conting9ncias
cont6m informaç4es so#re-
condiç4es e procedimentos paraatiação do &lano :como se aaliar a situação
proocada por um incidente;N
proced imentos a serem seguidos
imediatamente ap>s a ocor r9nc ia de um
desastre :como, por eGemplo, contato efica' com
as autoridades p)#licas apropriadas- polícia, #om#eiro, goerno local;N
documentação dos aplicatios
críticos, sistema operacional e utilitários,
#em como suprimentos de informática, am#os
disponíeis na instalação resera e capa'es degarantir a #oa eGecução dos processos definidosN
depend9ncia de recursos e seriços
eGter nos ao neg>cioN
procedimentos necessários para restaurar
os seriços computacionais na instalação
reseraN
pess oas re sponsáe is po r e Gecutare
a instalação reser a, com
especificação dos #en s de infor mática nela
disponíeis, como !ardMare, softMare e
e*uipamentos de telecomunicaç4esN
a escala de prioridade dos
aplicatios, de acordo com seu grau de
inter fer9ncia nos resultados operacionais e
financeiros da organi'ação+ Vuanto mais o
aplicatio influenciar na capacidade de
funcionamento da organi'ação, na sua situação
econ5mica e na sua imagem, mais crítico ele seráN
ar*uios, programas,
procedimentos necessários para *ue os
aplicatios críticos entrem em operação no
menor tempo possíel, mesmo *ue
parcialmenteN
sistema operacional, utilitários erecursos de telecomunicaç4es necessários para
assegurar o processamento dos aplicatios
críticos, em grau pr68esta#elecidoN
comandar cada uma das atiidades preistas no
&lano :6 interessante definir suplentes, *uando
se =ulgar necessário;N
refer9ncias para contato dosresponsáeis, se=am eles funcionários ou
terceirosN
organi'aç4es responsáeis por oferecer
seriços, e*uipamentos, suprimentos ou *uais*uer
outros #ens necessários para a restauraçãoN
contratos e acordos *ue façam parte
do plano para recuperação dos ser iços,
como a *u el es efetuados com outros
centros de processamento de dados+
%./ &ual o papel da alta
ger?ncia na elaboração do
:lano de Conting?ncias#
( imprescindíel o comprometimento da alta
administração com o &lano de Conting9ncias+ 3a
erdade, este &lano 6 de responsa#ilidade direta
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 31/66
da alta ger9ncia, 6 um pro#lema corporatio, pois
trata8se de esta#elecimento de procedimentos *ue
garantirão a so#rei9ncia da organi'ação comoum todo e não apenas da área de infor mática+
inda, muitas das definiç4es a serem especificadas
são definiç4es relatias ao neg>cio da organi'ação
e não @ tecnologia da infor mação+
0 alta ger9ncia dee designar uma e*uipe
de segurança específica para ela#oração,implementação, diulgação, treinamento,
testes, manutenção e coordenação do &lano
de Conting9ncias+ Aste dee possuir, ainda, um
responsáel específico *ue este=a a frente das
demandas, negociaç4es e tudo mais *ue se fi'er
necessário+
&roaelmente, a alta ger9ncia será demandada
a fi r mar acordos de cooperação com outras
organi'aç4es, assinar contratos orientados para a
recuperação dos seriços, entre outros atos+
Tá de ser considerada, ainda, a *uestão dos
custos+ .a' parte das decis4es da alta ger9ncia o
orçamento a ser disponi#ili'ado para garantir a
eGe*Oi#ilidade do &lano de Conting9ncias, ou se=a,
para possi#ilitar, al6m da sua implementação, sua
manutenção, treinamento e testes+
Hiante dos fatos anteriormente a#ordados,
fic a eid ent e a necessidade precípua de
enolimento da alta ger9ncia com todo processo*ue garantirá o sucesso de implantação do &lano
de Conting9ncias+
%.0 Como garantir "ue o :lano
)uncionará como esperado#
( possíel citar tr9s for mas de garantir a
eficácia do &lano de Conting9ncias- treinamento
e conscienti'ação das pessoas enolidasN testes
peri>dicos do &lano, integrais e parciaisN processo
de manutenção contínua+
%.0.1 Como deve ser reali2ado o treinamentoe a conscienti2ação das pessoas#
( essencial o desenolimento de atiidades
educatias e de conscienti'ação *ue isem ao
perfeito entendimento do processo de continuidade
de ser iços e *ue garantam, por conseguinte, a
efetiidade do &lano deConting9ncias+
Cada funcionário enolido com o processo de
continuidade de seriços, especialmente a*ueles
componentes de e*uipes com responsa#ilidades
específicas em caso de conting9ncias, dee ter em
mente as atiidades *ue dee desempen!ar em
situaç4es emergenciais+ < treinamento dee ser
te>rico e prático, inclusie com simulaç4es+ l6m
do treinamento, a conscienti'ação pode ser feita
de outras formas, como distri#uição de fol!etos e
promoção de palestras informatias e educatias
so#re possíeis acidentes e respectios planos de
recuperação+
&or fim, ale salientar *ue um programa deeducação continuada *ue faça com *ue as pessoas
enolidas sintam8se como participantes atios do
programa de segurança 6 a mel!or maneira de
alcançar o sucesso esperado+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 32/66
%.0.$ :or "ue o :lano de
Conting?ncias deve ser testado#
<s planos de continuidade do neg>cio
podem apresentar fal!as *uando testados,
geralmente deido a pressupostos incor retos,
omiss4es ou mudanças de e*uipamentos, de
pessoal, de prioridades+ &or isto eles deem ser
testados regularmente, de forma a garantir sua
permanente atuali'ação e efetiidade+ "ais testes
tam#6m deem assegurar *ue todos os enolidosna recuperação e os alocados em outras funç4es
críticas possuam con!ecimento do &lano+
Hee eGistir uma programação *ue especifi*ue
*uando e como o &lano de Conting9ncias deerá
ser testado+ Ale pode ser testado na sua totalidade,
caracteri'ando uma situação #em pr>Gima da
realidadeN pode ser testado parcialmente, *uando
se restringem os testes a apenas um con=unto
de procedimentos, atiidades ou aplicatios
componentes do &lanoN ou, ainda, pode ser
testado por meio de simulaç4es, *uando ocorre
representaç4es de situação emergencial+ 0 par tir
da aaliação dos resultados dos testes, 6 possíel
reaaliar o &lano, alterá8lo e ade*uá8lo, se for o caso+
%.0.% &ue )atos podem provocar
a necessidade de atuali2ação do
:lano de Conting?ncias#
1udanças *ue ten!am ocorrido e *ue nãoeste=am contempladas no &lano de Conting9ncias
deem gerar atuali'aç4es+ Vuando noos
re*uisitos forem identificados, os procedimentos
de emerg9ncia relacionados deem ser a=ustados
de forma apropriada+ Hiersas situaç4es podem
demandar atuali'aç4es no &lano, tais como as
mudanças-
no par*ue ou am#iente computacional
:eG+- a*uisição de noo e*uipamento,
atuali'ação de sistemas operacionais, migração
de sistemas de grande porte para am#iente
cliente8ser idor;N
administratias, de pessoas enolidas
e responsa#ilidadesN
de endereços ou n)meros telef5nicosN
de estrat6gia de neg>cioN
na locali'ação e instalaç4esN
na legislaçãoN
em prestadores de seriço, fornecedores
e clientes8c!aeN
de processos :inclus4es e eGclus4es;N
no risco :operacional e financeiro;+
Como demonstrado, as atuali'aç4es regulares
do &lano de Conting9ncias são de import?ncia
fundamental para alcançar a sua efetiidade+
Hee eGistir uma programação *ue especifi*ue
a forma de se proceder @ manutenção do &lano+&rocedimentos com essa finalidade podem ser
incluídos no processo de ger9ncia de mudanças
a fim de *ue as *uest4es relatias @ continuidade
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 33/66
de neg>cios se=am deidamente tratadas+ <
controle formal de mudanças permite assegurar
*ue o processo de atuali'ação este=a distri#uídoe garantido por reis4es per i>dicas do &lano
como um todo+ 0 responsa#ilidade pelas reis4es
e atuali'aç4es de cada parte do &lano dee ser
definida e esta#elecida+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 34/66
'. C< e a BD IS!EI4C 10033
3este capítulo será comentada a norma 3B
IS<%IAC /77DD como ferramenta de auditoria de
segurança da informação utili'ada pelo "ri#unal
de Contas da $nião :"C$;+ 0 fim de facilitar as
atiidades, tanto de gestão *uanto de auditoria
de segurança da informação, serão eGplanadas as
seç4es da norma e citados ac>rdãos e decis4es
do "ri#unal *ue tratam, entre outros aspectos, de
segurança da infor mação+
'.1 Fe "ue trata a BD IS!EI4C 10033#
0 3B2 IS<%IAC /77DD, norma da ssociação
Brasileira de 3or mas "6cnicas :0B3";, trata
de t6cnicas de segurança em "ecnologia da
Infor mação, e funciona como um c>digo de
prática para a gestão da segurança da infor mação+
Assa norma foi ela#orada no Comit9 Brasileirode Computadores e &rocessamento de Hados,
pela Comissão de Astudo de Segurança .ísica
em Instalaç4es de Informática, e 6 e*uialente @
norma IS<%IAC /77DD+
'.$ :or "ue o C< utili2a essa norma
como padrão em suas auditorias
de segurança da in)ormação#
l6m do recon!ecimento da 0B3", como
instituição normali'adora #rasileira, as instituiç4es
internacionais IS< :International <rgani'ation for
Standardi'ation; e IAC :International Aletrotec!nical
Commission;, autoras da norma, são mundialmente
recon!ecidas por sua capac itação t6cnica + 0
nor ma IS<%IAC /77DD, e*uialente @ nor ma
#rasileira, 6 amplamente recon!ecida e utili'ada
por Antidades .iscali'adoras Superiores, >rgãos de
goerno, empresas p)#licas e priadas nacionais
e internacionais atentas ao tema Segurança daInfor mação+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 35/66
<s o#=etios definidos nessa norma pro9em
diretri'es gerais so#re as práticas geralmente
aceitas para a gestão da segurança da infor mação+pesar de não ter força de lei, a 3B 2 IS<%IAC
/77DD configura8se como a mel!or ferramenta de
auditoria de segurança da informação disponíel
at6 a data de pu#licação deste Capítulo+ Am seus
ac>rdãos e decis4es, o "r i#unal =á mencionou
duas ers4es dessa norma- a mais recente, de
200E, e a anterior, de 200/+
'.% Como está estruturada
a BD IS!EI4C 10033#
0 3B2 IS<%IAC /77DD, ersão 200E, está
diidida em // seç4es-
a; &olítica de segurança da infor maçãoN
#; <rgani'ando a segurança da infor maçãoN
c; Jestão de atiosN
d; Segurança em recursos !umanosN
e; Segurança física e do am#ienteN
f; Jestão das operaç4es e comunicaç4esN
g; Controle de acessosN
!; 0*uisição, desenolimento e manutenção
de sistemas de infor maçãoN
i; Jestão de incidentes de segurança da
infor maçãoN
=; Jestão da continuidade do neg>cioN
; Confor midade+
'.' Fe "ue trata a seção G:ol9ticade segurança da in)ormaçãoH#
Assa seção orienta a direção no esta#elecimento
de uma política clara de segurança da infor mação,
alin!ada com os o#=etios do neg>cio, comdemonstração de seu apoio e comprometimento
com a segurança da informação por meio da
pu#licação, manutenção e diulgação da política
para toda a organi'ação+ São fornecidas diretri'es
para ela#oração do documento e sua análise
crítica+
'.+ &ue acrdãos e decis*esdo C< tratam6 entre outros
aspectos6 de G:ol9tica desegurança da in)ormaçãoH#
Acrdão 173$E$770 ; :lenário
D+/+2+ ela#ore, aproe e diulgue &olíticade Segurança da Informação 8 &SI conforme o
esta#elecido na 3B2 IS<%IAC /77DD-200E, item
E+/+/N
D+/+U+ crie mecanismos para *ue as políticas
e normas de segurança da informação se tor nem
con!ecidas, acessíeis e o#ser adas por todosos funcionários e cola#oradores da Ampresa
confor me o esta#elecido na 3 B2 IS<%IAC
/77DD-200E, item E+/+/N
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 36/66
Acrdão 01E$770 ; :lenário
D+2+R+ defina formalmente uma &olítica de
Segurança da Informação 8 &SI 8 para o Infoseg,
*ue forneça orientação e apoio para a segurança
da informação da rede, promoendo8se ampla
diulgação do documento para todos os usuários,
de acordo com o preisto no item E+/+/ da 3B
IS<%IAC /77DD-200EN
D+2+/0+ crie mecanismos para *ue as políticase normas se tornem con!ecidas, acessíeis e
o#ser adas por todos os usuários e gestores do
Infoseg, de acordo com o preisto no item E+/+/
da 3B2 IS<%IAC /77DD-200EN
Acrdão +/$E$77/ ; :lenário
D+2+/+ desenola &lano de "ecnologia da
Informação para ser utili'ado no ?m#ito do Sistema
3acional de "ransplantes :S3"; *ue contemple
]+++^ o atendimento aos princípios de segurança
da
pelo Hecreto nY F+E0E%2000 e pelo Ja#inete
de Segurança Institucional da &resid9ncia da
ep)#lica, confor me Hecreto n+ E+U0Z,
de /Y%0U%200EN
D+/+R+ crie mecanismos para *ue as políticas
e normas se tornem con!ecidas, acessíeis e
o#seradas por todos os seridores e prestadores
de seriços do 1inist6rioN
Acrdão 0$E$77' 1J C@mara
D+U+ ]+++^ formali'em a política de segurança
de infor mação do sistema infor mati'ado
de pagamento de pessoal ]+++^N
Acrdão '/1E$77' ; :lenário
D+/+/+ a concepção e implementação de uma
política de segurança de informaç4es formal e,
preferencialmente, #aseada nos ditames da norma
3B2 IS<%IAC /77DDN
infor mação, preconi'ados no item F+/ da 3or ma
3B2 IS<% IAC /77DD-200/N
Acrdão $7$%E$77+ ; :lenário
Fecisão %E$77% ; :lenário
D+2 d; promoa a aproação de sua política de
segurança da infor mação+
D+/+2+ defina uma &olítica de Segurança da
Informação, nos termos das orientaç4es contidas
no item F da 3B2 IS <%I AC /77DD-200/, *ue
esta#eleça os princípios norteadores da gestão da
segurança da informação no 1inist6rio e *ueeste=a integrada @ isão, @ missão, ao neg>cio e @s
metas institucionais, o#serando a
regulamentação ou as recomendaç4es
porentura feitas pelo Comit9 Jestor de
Segurança da Informação instituído
Fecisão +3+E$77$ ; :lenário
Z+/+2F #; ela#orar e implantar política de
segurança de informaç4es, com a#rang9ncia
nacional e inculando os prestadores de ser iços,
preendo um programa de conscienti'ação
dos usuários a respeito das responsa#ilidades
inerentes ao acesso @s informaç4es e @ utili'ação
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 37/66
dos recursos de "I, reaaliando as situaç4es
eGistentes, especialmente no tocante @ segurança
l>gica e físicaN
especiais+ São fornecidas ainda diretri'es para
o relacionamento com pa r te s e Gter nas,
na identificação dos riscos relacionados e dos
re*uisitos de segurança da informação necessários
Fecisão 31E$777 ; :lenário
Z+2+R+F+ definir e implementar política formal
de segurança l>gica, consoante as diretri'es
preistas no &ro=eto B%D7802U, de cooperaçãot6cnica, ]+++^ incluindo aç4es e procedimentos para
disseminar a import?ncia da segurança da
informação para os funcionários da unidade, e
esta#elecer segregação
ao tratar com clientes e terceiros+
'.0 &ue acrdãos e decis*esdo C< tratam6 entre outros
aspectos6 da G!rgani2ação dasegurança da in)ormaçãoH#
In)ra;estrutura da segurança da in)ormação
de funç4es dentro do am#iente de infor mática,
notadamente entre desenolimento, produção
e administração de segurança l>gicaN
'./ Fe "ue trata a seção
G!rgani2ando a segurança
da in)ormaçãoH#
Assa seção da norma orienta a direção de como
gerenciar a segurança da informação dentro da
organi'ação e, ainda, de como manter a segurança
de seus recursos de processamento da infor mação,
*ue são acessados, processados, comunicados ou
gerenciados por partes eGter nas+
Acrdão 173$E$770 ; :lenário
D+/+/+ esta#eleça responsa#ilidades inter nas
*uanto @ segurança da informação confor me
o esta#elecido na 3B2 IS <%I AC /77DD-200E,
item R+/+FN
Acrdão 01E$770 ; :lenário
D+2+E+ esta#eleça e identifi*ue for malmente
responsa#ilidades relatias @s *uest4es de
segurança das informaç4es do Infoseg, de acordo
com o preisto no item R+/+F da 3B2 IS<%IAC
/77DD-200EN
São for necidas diretri'es para definição de infra8
estrutura de segurança da informação, detal!ando
os itens- comprometimento da ger9ncia,coordenação, atri#uição de responsa#ilidades,
pr oc es so de au to ri 'açã o pa ra recur so s de
processamento da infor mação, acordos de
confidencialidade, análise crítica independente,
contato com autoridades e grupos de interesses
Acrdão $7$%E$77+ ; :lenário
D+/+/+ esta#eleça institucionalmente as
atri#uiç4es relatias @ segurança da infor mação,
conforme preceituam os itens U+/+/, U+/+2 e U+/+F
da 3B2 IS <% IA C /777D-200/ e o item &<U+R
do Co#itN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 38/66
D+/+/F+R+ o#rigatoriedade de assinatura
de "e r mo de Compromisso ou 0 cordo
de Confidencialidade por parte dos prestadores
de ser iços, contendo declaraç4es *ue per mitam aferir *ue os mesmos tomaram ci9ncia
das nor mas de segurança igentes no >rgãoN
Acrdão 0$E$77' ; 1J C@mara
D+F+/+ enide esforços para proceder @
redefinição do regimento interno da unidade, demodo *ue fi*uem claramente eGplicitadas suas
atri#uiç4es, responsa#ilidades e poderes como
gestor de segurança do sistema informati'ado de
pagamento de pessoal ]+++^N
c; assegurar *ue os procedimentos deWr estar tX
se=am eGecutados de maneira cor retaN
d; monitorar as atiidades de entrada de dados
no ter minal, microcomputador ou outro
dispositio similarN e
e; inestigar *ual*uer desio dos
procedimentos de entrada de dados pr68
esta#elecidosN
Z+F+F+ *uando de sua reestr uturação
organi'acional, atente para o posicionamento
!ierár*uico da área de segurança física e l>gica de
sistemas, *ue dee constar em um níel superior ,
de forma a conter todas as funç4es de segurança
delineadas como necessárias, esta#elecendo,
Acrdão '/1E$77' ; :lenário em conse*O9ncia, segregação na eGecução das
mesmasN
D+/+Z+ estudos com istas @ criação de uma
ger9ncia específica de segurança, preferencialmente
inculada @ direção geralN
Fecisão 17'3E$777 ; :lenário
Z+/+7+ estude a possi#ilidade de criação de
um grupo de controle%segurança, na área de
Fecisão 31E$777 ; :lenário
Z+2+R+2+ reali'ar estudos com o o#=etio de
instituir setor ou ger9ncia específica para segurança
l>gica na unidadeN
:artes e5ternas
infor mática, *ue se=a responsáel por-
Acrdão 01E$770 ; :lenário
a; inestigar e corrigir *ual*uer pro#lema
operacional em terminal, microcomputador
ou outro dispositio de entrada de dadosN
#; inestigar *ual*uer ação de inter enção
do operadorN
D+2+2/+ formali'e, =unto @ g9ncia Astadual
de "ecnologia da Infor mação do As tado de&ernam#uco 8 0"I 8, um termo de compromisso
*ue contemple de maneira específica a c>pia
das #ases de dados do Infoseg *ue se encontra
na*uelas instalaç4es, esta#elecendo nele cláusulas
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 39/66
de sigilo e responsa#ili'ação pelo uso indeido
dos e*uipamentos ou diulgação não autori'ada
dos dadosN
D+U+ ]+++^ defina claramente, tanto nos editais
de licitação como nos contratos, cláusulas
contemplando re*uisitos de segurança da
informação como os preistos no item R+2+F da
3B2 IS<%IAC /77DD-200EN
D+F+/+/+ participantes do acordo, funç4es e
responsa#ilidadesN
D+F+/+2+ descrição detal!ada dos seriços *ue
serão prestadosN
D+F+/+ F+ níeis de ser iços dese=ados e
respectios crit6rios de medição e indicadores,
em termos de disponi#ilidade, confia#ilidade,
tempo de resposta, atendimento ao usuário :!elp8Acrdão 1//%E$77/ ; :lenário
D+2+F+ ela#ore o acordo de níel de ser iço
do SipiaN
Acrdão 31'E$77/ ; :lenário
D+/+/+ f ir mem contrato com relação ao
&rograma do .undo de .inanciamento ao
Astudante do Ansino Superior :.ies;, deendo
ser esta#elecida nesse instrumento cláusula *ue
des;, capacidade de crescimento, pra'os para
solicitação e atendimento de demandas :inclusie
emergenciais;, testes, !omologação, segurança e
outros *ue as partes =ulgarem necessáriosN
D+F+/+U+ responsáel pela medição dos
ser içosN
D+F+/+E+ aç4es a serem tomadas *uando da
ocorr9ncia de pro#lemas na prestação dos ser iços
:aç4es corretias, penalidades e outras;N
dispon!a so#re a propriedade intelectual de
programas, documentação t6cnica e dados do
Sistema do .inanciamento Astudantil :Sifes;N
D+F+/+ firmem 0cordo de 3íel de Ser iço,
ou documento correlato, em relação ao Sifes,
contemplando as áreas enolidas, em especial a
de desenolimento do sistema, com o o#=etio
de esta#elecer entendimento comum so#re a
nature'a dos seriços propostos e os crit6rios de
medição de desempen!o, deendo este acordoconsiderar elementos tais como-
Acrdão $7+E$77+ ; :lenário
D+U+F+ faça preer nos contratos de terceiri'ação
de ser iços de desenolimento de softMare o
repasse da respectia tecnologia, incluindo toda
a documentação do produto desenolido, com
o intuito de se eitar a futura depend9ncia do
suporte e da manutenção desse produto, o *ue
elearia os custos da terceiri'ação dessa atiidade,
#em como impedir *ue terceiros ten!am acesso
irrestrito aos sistemas desenolidosN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 40/66
Acrdão $7$%E$77+ ; :lenário
D+/+/F+ inclua os seguintes re*uisitos de
segurança em contratos de prestação de ser içose locação de mão8de8o#ra em "ecnologia da
Informação *ue ierem a ser cele#rados a par tir
da presente data, em atenção aos itens U+2+2 e
U+F+/ da 3B2 IS<%IAC /77DD-200/-
D+/+/F+/+ o#rigatoriedade de ader9ncia
@ &olítica de Segurança da Infor mação, @
&olítica de Controle de 0cesso, @ 1etodologia
de Hesenolimento de Sistemas e @s outras
normas de segurança da informação igentes no
1inist6rioN
D+/+/F+2+ 0 cord o de 3íe l de Se r iço,
negociado entre os gr upos de usuár ios e o
for necedor dos ser iços, com o o#=etio de
esta#elecer um entendimento comum da nature'a
dos seriços propostos e crit6rios de medição de
desempen!o, *ue deerá conter, no mínimo, os
seguintes elementos- participantes do acordoN
descrição clara dos ser iços e funcionalidades
disponíeis, para contratos de prestação de
ser içosN descrição clara dos perfis profissionais
dese=ados, para contratos de locação de mão8
de8o#raN funç4es e responsa#ilidadesN níeis de
seriços dese=ados em termos de disponi#ilidade,
pra'os, desempen!o, segurança, *uantidade,
*ualidade e outrosN indicadores de níeis de
seriçosN responsáel pela medição dos ser içosN
aç4es a serem tomadas *uando da ocorr9ncia de pro#lemas de mau desempen!o :aç4es cor retias,
penalidades financeiras e outras;N
D+/+/F+F+ definição clara acerca da propriedade
dos dados entregues pela 0dministração &)#lica
a empresas contratadas, coletados por essas
empresas em nome da 0 dministração &)#licaou produ'idos por programas de computadores
decor rentes de contratos de pr es tação de
ser içosN
D+/+/F+U+ definição acerca dos direitos de
propriedade de programas, de acordo com a
ei n+ D+R0D%/DDZ, de documentação t6cnica eforma de acesso a elesN se o contrato dispuser
*ue programas e documentação t6cnica não
per tencem @ 0dministração &)#lica, o pro=eto
#ásico dee apresentar a =ustificatia de tal escol!aN
caso contrário, o contrato dee esta#elecer de
*ue for ma e em *ue pra'o se dará o acesso
aos mesmos, inclusie na ocorr9ncia de fatos
impreisíeis ou de força maiorN recomenda8se
*ue se esta#eleça, como data limite para entrega
de programas fontes e documentação, a data de
!omologação dos mesmosN
D+/+/F+E+ o#rigatoriedade de manter sigilo
so#re o conte)do de programas de computadores
:fontes e eGecutáeis;, documentação e #ases de
dadosN dee ser esta#elecido um período durante o
*ual su#sistirão as o#rigaç4es de manter sigiloN
D+/+/F+R+ o#rigatoriedade de assinatura
de "e r mo de Compromisso ou 0 cordo
de Confidencialidade por parte dos prestadores
de ser iços, contendo declaraç4es *ue per mitam aferir *ue os mesmos tomaram ci9ncia
das nor mas de segurança igentes no >rgãoN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 41/66
D+/+/F+7+ garantia do direito de auditar, por
parte da contratada e dos >rgãos de controle, e
forma de eGercício deste direitoN
D+U+U+ adote cláusulas contratuais pa ra
assegurar *ue a documentação t6cnica, programas
fontes e dados de sistemas regidos por contratos
de prestação de ser iços este=am acessíeis ao
1inist6rioN
Acrdão ''1E$77+ 1J C@mara
/+F ela#ore o 0cordo de 3íel de Seriço do
SisfinN
/ + U in c l ua n as nor mas in te r na s a
o#rigatoriedade da ela#oração de 0cordo de
3íel de Seriço para os sistemas críticosN
não, reaaliando, entre outros aspectos, a
pertin9ncia da eGist9ncia de funcionários de
outros >rgãos ou entidades, especialmentedo SA&<, *ue atualmente desempen!am
esse papelN
'. Fe "ue trata a seção
GKestão de ativosH#
Assa seção da nor ma orienta a direção aalcançar e manter a proteção ade*uada dos
atios da organi'ação, al6m de assegurar *ue a
informação se=a classificada de acordo com seu
níel ade*uado de proteção+ São for necidas
diretri'es para reali'ação de inentário dos atios,
definição de seus proprietários e regras para seu
uso+ Am relação @ classificação da infor mação,
a norma fa' algumas recomendaç4es e sugere
a definição de procedimentos para rotulação e
Fecisão $3+E$77$ ; :lenário
Z+/+/ 8 *uanto aos sistemas infor mati'ados-
a; reise os atuais crit6rios de !a#ilitação
de cadastradores do Sistema Integrado de0 dministração &atrimonial :SI0&0;, se=am
tratamento da infor mação+
'.3 &ue acrdãos e decis*es do C< tratam6 entre outros
aspectos6 da GKestão de ativosH#
Desponsabilidade pelos ativos
eles gerais, parciais ou locais, reaaliando a
pertin9ncia da eGist9ncia de funcionários do
Ser iço .ederal de &rocessamento de Hados
:SA2&2<; desempen!ando esse papelN
f; reise os atuais crit6rios de !a#ilitação decadastradores do Sistema do &atrim5nio
Imo#iliário da $nião :S&I$;, se=am eles
gerais, parciais ou locais, lotados na S&$ ou
Acrdão 173$E$770 ; :lenário
D+/+F+ inentarie os atios de infor mação
confor me o esta#elecido na 3 B 2 IS<%IAC
/77DD-200E, itens 7+/+/ e 7+/+2, e esta#eleça
crit6rios para a classificação desses atios confor me
o esta#elecido na 3B2 IS <%I AC /77DD-200E,
item 7+2N
B<S &2"IC0S A1 SAJ$203K0 H I3.<1KL<"2IB$30 HA C<3"0S H0
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 42/66
Acrdão 01E$770 ; :lenário
D+2+/D+ formali'e o inentário dos atios do
Infoseg, em conformidade com o preisto no item
7+/+/ da 3B2 IS<%IAC /77DD-200EN
D+2+20 defina formalmente o proprietário de
cada atio constante do inentário acima, em
conformidade com o item 7+/+2 da 3B2 IS<%IAC
/77DD-200E, atentando para a assinatura das
cautelas *ue se fi'erem necessáriasN
Classi)icação da in)ormação
Acrdão 173$E$770 ; :lenário
D+/+F+ inentarie os atios de infor mação
confor me o esta#elecido na 3 B2 IS<%IAC
/77DD-200E, itens 7+/+/ e 7+/+2, e esta#eleça
crit6rios para a classificação desses atios confor me
o esta#elecido na 3B 2 IS <% IA C /77DD-200E,
item 7+2N
Acrdão 1%$E$77/ ; :lenário
Acrdão 0$E$77' ; 1J C@mara
D+F+2+ adote proid9ncias para designar
for malmente um mem#ro ]+++^ como gestor
do sistema Siappes, e futuramente, do sistema
SispagN
D+F+E+ formule ]+++^ o inentário de atios
de informação, compreendendo a classificação
do níel de confidencialidade de cada atio
D+/+D implemente crit6rios para a classificação
e marcação de info r maç4e s e documentos
sigilososN
D+2+// 8 institua procedimento para atri#uir grau de sigilo a todos os documentos *ue
conten!am, de algum modo, infor maç4es
estrat6gicas e%ou priilegiadas, não importando a
*uem se destine, ou *uem deterá a sua posseN
e a definição de procedimentos para garantir
a segurança nas diersas mídias nas *uais a
infor mação 6 ar ma'enada ou pelas *uais
6 transmitida, como o papel, as fitas magn6ticas
e as redes local e eGter naN
Acrdão $7$%E$77+ ; :lenário
D+/+U+ crie crit6rios de classificação das
informaç4es a fim de *ue possam ter tratamento
diferenciado conforme seu grau de import?ncia,
Fecisão 17'3E$777 ; :lenário
Z+U+/+ adote medidas no sentido de ia#ili'ar
um controle efetio dos e*uipamentos de !ardMare
*ue comp4em o par*ue computacionalN
criticidade e sensi#ilidade, a teor do disposto pelo
item E da 3B2 IS<% IAC /77DD-200/N
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 43/66
Acrdão ''1E$77+ 1J C@mara
/+E implemente a indicação de classificação dasinformaç4es apresentadas nas telas e relat>rios dos
noos sistemas *ue estão em desenolimento em
su#stituição ao SisfinN
conscientes das ameaças relatias @ segurança
da informação e prontos para apoiar a política
de segurança da informação da organi'ação+ Sãofornecidas diretri'es para definição de pap6is e
responsa#ilidades, inclusie da direção, seleção
de pessoal, termos e condiç4es de contratação,
conscienti'ação, educação e treinamento em
Acrdão 0$E$77' ; 1J C@mara
D+F+E+ formule ]+++^ o inentário de atios
de informação, compreendendo a classificação
do níel de confidencialidade de cada atio
e a definição de procedimentos para garantir
a segurança nas diersas mídias nas *uais a
info r mação 6 ar ma'enada ou pelas *uais
6 transmitida, como o papel, as fitas magn6ticas
e as redes local e eGter naN
Acrdão '/1E$77' ; :lenário
D+/+R+ a classificação do níel de segurança
e controle de acesso aos dados, no ?m#ito do
&ro=eto Weposit>rioXN
segurança da informação, e processo disciplinar +
&ara os casos de encerramento ou mudançada contratação, são fornecidas diretri'es para
encer ramento de atiidades, deolução de
atios e retirada de direitos de acesso+ Assa seção
a#range contratação temporária ou de longa
duração de pessoas, nomeação e mudança de
funç4es, atri#uição de contratos e encer ramento
de *ual*uer uma dessas situaç4es+
'.11 &ue acrdãos e decis*esdo C< tratam6 entre outros
aspectos6 da GSegurança derecursos umanosH#
Acrdão $7$%E$77+ ; :lenário
Fecisão 173E$77$ ; :lenário
Z+F ]+++^ coordene a ela#oração de
metodologia para classificação das informaç4es,
nos termos do item E+2 da 3orma IS<%IAC
/77DD-200/+
'.17 Fe "ue trata a seção
GSegurança em recursos umanosH#
Assa seção da nor ma orienta a direção a
assegurar *ue funcionários, fornecedores e terceiros
compreendam suas responsa#ilidades, este=am
D+/+F+U+ identificação dos responsáeis pela
guarda dos termos de compromisso assinados,
al6m do tempo mínimo de arma'enamento desses
documentos, conforme prop4em os itens R+/+U e
R+F+E da 3B2 IS<%IAC /77DD-200/N
Acrdão 0$E$77' ; 1J C@mara
D+2+/+ adote proced imentos fo r mais de
concessão e de alidação peri>dica de sen!as de
usuários de sistemas informati'ados, #em como
B<S &2"IC0S A1 SAJ$203K0 H I3.<1KL<"2IB$30 HA C<3"0S H0
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 44/66
de cancelamento de acesso de usuários *ue são
desligados da unidadeN
D+2+U+ e D+F+U+ adote um programa de
treinamento específico para a área de segurança
de sistemas, enfocando aspectos de segurança
física e l>gica, #em assim a reação dos funcionários
frente @ ocorr9ncia de conting9ncias *ue possam
afetar a continuidade dos ser içosN
Fecisão 173E$77$ ; :lenário
Z+2+R automati'ação de procedimento de
cancelamento de acessos e autori'aç4es, no caso
de mudança de situação do seridorN
SA&<, inclusie per tencentes @ e*uipe de
manutenção do sistemaN
Fecisão 31E$777 :lenário
Z+/+/ adote aç4es específicas de orientação aos
gestores locais, *uanto aos aspectos de segurança
do IT%S$S, ela#orando, se necessário, normas e
cartil!as para tal misterN
Z+2+R+F+ definir e implementar política formalde segurança l>gica, consoante as diretri'es
preistas no &ro=eto B%D7802U, de cooperação
t6cnica ]+++^, incluindo aç4es e procedimentos para
disseminar a import?ncia da segurança da
informação para os
funcionários da unidade, e esta#elecer segregação
Fecisão $3+E$77$ ; :lenário
Z+/+/ 8 *uanto aos sistemas infor mati'ados-
#; ree=a as !a#ilitaç4es de todos os usuários
do SI0&0 lotados na ]+++^, reaaliando não apenas
sua perman9ncia na Secretaria, como tam#6m seu
local de tra#al!o :ger9ncia; e a pertin9ncia dos
níeis de acesso concedidosN
d; esta#eleça controle sistemático e oriente as
Jer9ncias egionais ]+++^ *uanto @ necessidade de
eGclusão de usuários do SI0&0, no Sen!a8ede,
*uando das suas saídas da ]++^N
!; ree=a as !a#ilitaç4es de todos os usuários
do S&I$, lotados na ]+++^ ou não, reaaliando sua
perman9ncia no >rgão e a pertin9ncia dos níeis
de acesso concedidos, assim como os in)meros
acessos concedidos a funcionários lotados no
de funç4es dentro do am#iente de infor mática,
notadamente entre desenolimento, produção
e administração de segurança l>gicaN
'.1$ Fe "ue trata a seção
GSegurança )9sica e do ambienteH#
Assa seção da nor ma orienta a direção a preenir acesso físico não autori'ado, danos
e interfer9ncias nas instalaç4es e infor maç4es,
assim como a impedir perdas, danos, furto ou
comprometimento de atios e inter r upção
das atiidades da organi'ação+ São for necidas
diretri'es para áreas seguras, incluindo perímetro
de segurança física, controles de entrada física,
segurança em escrit>rios, salas e instalaç4es,
proteção contra ameaças eGternas e do meio
am#iente e acesso do p)#lico, áreas de entrega
e car regamento+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 45/66
&ara a segurança de e*uipamentos, são dadas
recomendaç4es para instalação e proteção de
e*uipamento, inclusie contra falta de energiael6trica e outras interrupç4es proocadas por
fal!as das utilidades, segurança do ca#eamento,
manutenção de e*uipamentos, segurança
de e*uipamentos fora das depend9ncias da
organi'ação, reutili'ação e alienação segura
de e*uipamentos, e, por fim, remoção de
propriedade+
'.1% &ue acrdãos e decis*es
do C< tratam6 entre outros
aspectos6 da GSegurança
)9sica e do ambienteH#
Lreas seguras
Acrdão 01E$770 ; :lenário
D+2+/7+ esta#eleça um perímetro de segurança
nas instalaç4es da ger9ncia do Infoseg :#ar reiras
tais como paredes, port4es de entrada controlados
por car tão ou #alcão com recepcionista; , em
conformidade com o item D+/+/ da 3B2 IS<%IAC/77DD-200EN
D+2+/Z+ reali'e as o#ras necessárias de for ma
*ue se constituam #arreiras físicas suficientes
nas instalaç4es da ger9ncia do Infoseg *ue
impeçam o acesso de pessoas não autori'adas,
em conformidade com a diretri' W#X do item D+/+/
da 3B2 IS<%IAC /77DD-200EN
Acrdão 1%$E$77/ ; :lenário
D+2+D 8 implemente medidas no sentido degarantir maior segurança @s informaç4es relatias
@ díida, notadamente no *ue tange ao acesso
de pessoas estran!as ou não autori'adas aos
diersos recintos enolidos com a operação da
díida p)#lica, at6 *ue o W&ro=eto de SegurançaX
se=a definitiamente implantadoN
Acrdão $7+E$77+ ; :lenário
D+U+/+ não autori'e o acesso de terceiros @s
áreas dos sistemas informati'ados da empresa
*ue possam possi#ilitar a eGecução de transaç4es
indeidas, de forma a eitar a sua eGposição a um
risco maior de fraudesN
Acrdão 0$E$77' ; 1J C@mara
D+F+7+ formali'e um es*uema de segurança
especial para guarda e manipulação das fitas, com
a criação de um am#iente de acesso restrito para
o seu arma'enamento, isando garantir *ue a
informação nelas contida não se=a consultada oualterada indeidamenteN
Fecisão 31E$777 ; :lenário
Z+2+R+/0+ adotar procedimentos de segurança
física efetios para preenir o acesso de pessoas
não autori'adas ao am#iente de processamento
de dados :C&H;N
Z+2+R+//+ diulgar in te r namente os fornecidas diretri'es tam#6m para gerenciamento
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 46/66
Z+2+R+//+ diulgar in te r namente os
procedimentos de proteção contra inc9ndios e
enidar esforços para instituir Comissão Inter na
de &reenção de 0cidentes :Cipa;N
fornecidas diretri'es tam#6m para gerenciamento
de seriços terceiri'ados, plane=amento e aceitação
de sistemas, proteção contra c>digos maliciosos e
m>eis, c>pias de segurança, gerenciamento da segurança em redes, manuseio de mídias, troca
Fecisão ''+E133 ; :lenário
F+7+/+ disciplinar de forma rígida o acesso
de pessoas aos andares do pr6dio onde a
Jer9ncia AGecutia de "ecnologia ]+++^ se encontra
instaladaN
Segurança de e"uipamentos
de informaç4es, seriços de correio eletr5nico e,
por fim, monitoramento+
'.1+ &ue acrdãos e decis*es do C< tratam6 entre outros
aspectos6 do GKerenciamento dasoperaç*es e comunicaç*esH#
:rocedimentos e responsabilidades
Acrdão $7%E$77+ $J C@mara
D+F+/F+ adote medidas no sentido da instalação
de W3o BreaX nos computadores da Ampresa de
modo a afastar o risco de perda de dados e aarias
no softMareN
operacionais
Acrdão 31'E$77/ ; :lenário
D+E+F+ proidencie a implantação do Sifes
em am#iente de !omologação dedicado a essa
finalidadeN
Acrdão $7$%E$77+ ; :lenário
D+/+/E+ aprimore os controles de acesso físico
aos computadores e e*uipamentos considerados
críticosN
'.1' Fe "ue trata a seção
GKerenciamento das operaç*es
e comunicaç*esH#
Assa seção da n or ma ori enta a direção
*uanto aos procedimentos e responsa#ilidadesoperacionais, incluindo gestão de mudanças,
segregação de funç4es e separação dos am#ientes
de produção, desenolimento e teste+ São
Acrdão +/$E$77/ ; :lenário
D+2+2+ ela#ore e distri#ua a todas as C3CH<s
manual de procedimentos, instr uindo so#re
operação e controle dos sistemas monousuários,
*ue contemple pe lo menos procedimentos
detal!ados para reali'ação, guarda e restauração
de c>pias de segurançaN orientação *uanto ao
uso de sen!as por par te dos operadores do
sistemaN orientação *uanto @ segurança física dos
e*uipamentos *ue efetuam o processamento dosistemaN orientação *uanto @ utili'ação de softMare
de proteção contra programas maliciosos :írus;N
e ela#oração de Wplano de conting9nciaX para o
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 47/66
sistema, de forma a eitar *ue, em eentuais fal!as
no seu funcionamento ou nos e*uipamentos,
as listas de proáeis receptores deiGem de ser emitidasN
ocasionadas pelo fato de um mesmo usuário ser
detentor de permiss4es para modificar o c>digo
fonte do sistema, inserir e consultar dadosN
Fecisão 1%7E$77$ ; :lenário
Acrdão $7$%E$77+ ; :lenário
D+/+/U+ o acesso ao am#iente de produção
por t6cnicos da CJI se=a feito de forma controlada
pelos gestores dos sistemasN
D+U+Z+ não assuma responsa#ilidades inerentes
@s áreas de neg>cio, como a inserção, alteração e
eGclusão de informaç4es em #ases de dadosN
D+U+D+ eite e Gecutar procedimentos *ue
enolam alteraç4es de informaç4es diretamente
na #ase de dados de produção, deendo as
situaç4es de eGceção, depois de deidamente
identificadas, ser implementadas dentro das
funcionalidades dos respectios sistemas,
tornando8as disponíeis para serem utili'adas de
forma segura pelos usuários desses sistemasN
D+U+//+ crie procedimentos automati'ados:preferencialmente um sistema; *ue permitam o
acompan!amento detal!ado das demandas de "I
Z+F+U defina procedimentos claros, escritos
ou automati'ados, *ue esclareçam os passos
a serem adotados em caso de necessidade de
reprocessamento de *ual*uer rotina #atc!N
Fecisão $3+E$77$ :lenário
Z+/+/ 8 *uanto aos sistemas infor mati'ados-
c; proceda @ reaaliação geral das pessoas
!a#ilitadas no SI0&0, particularmente com relação
@*uelas lotadas em outros >rgãos%entidades,
como o SA&<N
!; ree=a as !a#ilitaç4es de todos os usuários
do S&I$, lotados na ]+++^ ou não, reaaliando sua
perman9ncia no >rgão e a pertin9ncia dos níeis
de acesso concedidos, assim como os in)meros
acessos concedidos a funcionários lotados noSA&<, inclusie per tencentes @ e*uipe de
manutenção do sistemaN
feitas pelas outras áreas do 1inist6rioN
Fecisão 17'3E$777 :lenário
Acrdão 0$E$77' ; 1J C@mara
D+F+F+ adote proid9ncias para ela#orar um
es*uema de segregação de funç4es e atiidades,
incluindo a separação dos am#ientes de
desenolimento, teste e produção, de modo a
minimi'ar a possi#ilidade de ocorr9ncia de fraudes
Z+F+/R+ estude a possi#ilidade de criar um
pseudo 8siste ma dentro do Hesigner 2000*ue per mita o acesso somente @ leitura da
documentação pelas e*uipes de desenolimento,
para *ue não se perca o controle so#re alteraç4es
efetuadasN
Fecisão 31E$777 ; :lenário Fecisão 17'3E$777 ; :lenário
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 48/66
Z+2+R+F+ ]+++^ esta#elecer segregação de
funç4es dentro do am#iente de informática,notadamente entre desenolimento, produção e
administração de segurança l>gicaN
Z+2+Z+ adote proid9ncias com istas a eGercer
super isão direta e efetia das atiidades de
operação do C&HN
:lane,amento e aceitação dos sistemas
Acrdão 01E$770 ; :lenário
D+2+/F+ esta#eleça crit6rios fo r mais para
!omologação e aceitação de atuali'aç4es e noas
ers4es do Infoseg, de acordo com o preisto no
item /0+F+2 da 3B2 IS<%IAC /77DD-200EN
Z+F+/+ proceda a estudos o#=etiando a
otimi'ação da utili'ação de seus mainframes,incluindo pro=eç4es futuras dessa utili'ação, com
istas a eitar pro#lemas no processamento de
dadosN
:roteção contra cdigos
maliciosos e cdigos mveis
Fecisão 31E$777 :lenário
Z+2+/0+F+ intensificar aç4es isando tornar mais
eficientes os procedimentos de proteção
antiír us dos seus microcomputadores,
implementando, assim *ue possíel, dispositios
para automati'ar a atuali'ação das ers4es de
softMares antiírus nos e*uipamentos instalados, #em como diulgando
internamente a necessidade de aplicar o programa
Acrdão 1//%E$77/ ; :lenário
D+/+U+ implemente sistemática de !omologação
e controle das ers4es implantadas do SipiaN
Acrdão 31'E$77/ ; :lenário
D+F+2+ façam constar do contrato fi rmado
entre am#os a e Gig9ncia de etapa for mal
de !omologação ]+++̂ das alteraç4es
implementadas no Sifes pelo agente operadorN
D+E+/+ reali'e ade*uadamente os testes e
!omologação do Sifes, mantendo a
documentação dos procedimentos reali'adosN
antiírus so#re dis*uetes proenientes de outros
e*uipamentosN
Cpias de segurança
Acrdão 01E$770 ; :lenário
D+2+/E+ fo r mali'e política de geração de
c>pias de segurança para o Infoseg, de acordo
com o preisto no item /0+E+/ da 3B2 IS<%IAC
/77DD-200EN
D+2+/R+ arma'ene as mídias contendo c>pias
de segurança do Infoseg em local dierso da
operação do sistema, de acordo com a diretri' WdX
do item /0+E+/ da 3B2 IS<%IAC /77DD-200EN
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 49/66
Acrdão 17'3E$777 :lenário
Z+F+/F+ adote proid9ncias com istas a-
de redeN utili'ação de softMare ade*uado para
ger9ncia de redeN implementação, tão logo
possíel, de dispositio tipo fireMall para preser ar a segurança da redeN
a; preser ar as ers4es anteriores das estr uturas
de #anco de dados, de fo r ma a recompor
emergencialmente situaç4es anterioresN
Fecisão ''+E133 ; :lenário
F+7+2+ definir, oficialmente, =unto aos gestores
responsáeis, uma sistemática de W#ac8upX para
os sistemas eGistentesN
Kerenciamento da segurança em redes
Fecisão 31E$777 ; :lenário
Z+2+/0+ adote proid9ncias para mel!orar
a efici9ncia e eficácia das aç4es%procedimentos
referentes @ ger9ncia da sua rede de comunicação
e de microcomputadores, sem pre=uí'o de-
Z+2+/0+/+ reali'ar estudos com o fito de
instituir setor ou ger9ncia específica para rede naunidade, sem pre=uí'o de definir e implementar
política formal de gerenciamento da rede,
consoante as diretri'es preistas no &ro=eto
B%D7802UN
Fecisão ''+E133 :lenário
F+7+F+ definir, com a maior #reidade possíel,
mecanismos de segurança na área de transmissão
de dadosN
Manuseio de m9dias
Acrdão 1%$E$77/ ; :lenário
D+/ +U es ta#e leça procedimento para
controlar fisicamente o acesso de pessoas aos
documentosN
D+/+/0 esta#eleça procedimento para controlar
fisicamente e registrar o acesso de pessoas aos
documentos *ue conten!am infor maç4es
estrat6gicas e%ou priilegiadas, *ue possam
#eneficiar terceirosN
D+2+/2 adote procedimento especial para o
registro e a tramitação de todos os documentos,
*ue conten!am, de algum modo, infor maç4es
estrat6gicas e%ou priilegiadasN
Z+2+/0+2+ aprimorar o controle do processamento
em rede, especialmente *uanto @ adoção de- testes
e erificaç4es sistemáticas dos procedimentos erecursos relatios ao processamento de redeN
políticas e procedimentos específicos de auditoria
Acrdão $7$%E$77+ ; :lenário
D+U+2+ crie e defina mecanismos de
gerenciamento *ue garantam a guarda
e recuperação das ers4es atual i'adas processamento mensal;, #em como o processo
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 50/66
da documentação de sistemas pelo setor
responsáelN
Acrdão 0$E$77' ; 1J C@mara
D+F+E+ ]+++^ definição de procedimentos para
garantir a segurança nas diersas mídias nas
*uais a informação 6 arma'enada ou pelas *uais
6 transmitida, como o papel, as fitas magn6ticas
e as redes local e eGter naN
de disponi#ili'ação dos respectios ar*uios de
saída na BBS%1SN
Fecisão ''+E133 ; :lenário
F+7+7+ ela#orar documentação completa
dos sistemas *ue comp4em o .J"S e mant98la
atuali'ada em am#ientes de fácil acesso por *uem
for autori'adoN
Aroca de in)ormaç*es
D+F+7+ for mali'e um es*uema de segurança
especial para guarda e manipulação das fitas, com
a criação de um am#iente de acesso restrito para
o seu arma'enamento, isando garantir *ue a
informação nelas contida não se=a consultada ou
alterada indeidamenteN
Acrdão 1%$E$77/ ; :lenário
D+2+/2 8 adote procedimento especial para o
registro e a tramitação de todos os documentos,
*ue conten!am, de algum modo, infor maç4es
estrat6gicas e%ou priilegiadasN
Fecisão 17'3E$777 ; :lenário
Z+F+/R+ estude a possi#ilidade de criar um
pseudo 8siste ma dentro do Hesigne r 2000
*ue per mita o acesso somente @ leitura da
documentação pelas e*uipes de desenolimento,
para *ue não se perca o controle so#re alteraç4esefetuadasN
Fecisão 31E$777 :lenário
Z+/+R+ enide esforços para automati'ar
o controle de *ualidade do processamento
do SIT%S$S :confer9ncia da regularidade do
Acrdão 0$E$77' ; 1J C@mara
D+F+E+ ]+++^ definição de procedimentos para
garantir a segurança nas diersas mídias nas
*uais a informação 6 arma'enada ou pelas *uais
6 transmitida, como o papel, as fitas magn6ticase as redes local e eGter naN
Fecisão ''+E133 ; :lenário
F+7+F+ definir, com a maior #reidade possíel,
mecanismos de segurança na área de transmissão
de dadosN
Monitoramento i ? i i il fi i d i
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 51/66
Monitoramento impor t?ncia similar, fi*ue registrada a autoria,
com a identificação do ser idor, deendo os
Acrdão 01E$770 ; :lenário
D+2+2U+ implemente controles compensat>rios
:autori'ação formal, registro e monitoramento das
sistemas permitir *ue o controle possa rastrear *ual*uer operação reali'ada, de forma *ue estes
mesmos sistemas não permitam *ue !a=a *ual*uer
condição de #urlar informaç4es eG8postN
alteraç4es; para as operaç4es dos administradores
de #anco de dados do Infoseg de fo r ma a
permitir o registro e rastreamento das operaç4es
reali'adas na #ase de dados com priil6gios, em
conformidade com o preisto no item /0+/0+U da
3B2 IS<%IAC /77DD-200EN
D+2+2Z+ implemente tril!as de auditoria para
as atuali'aç4es no _ndice 3acional do Infoseg, em
conformidade com o preisto no item /0+/0+/ da
3B2 IS<%IAC /77DD-200E, contendo, no mínimo,
a data8!ora da alteração, o dado alterado e a
identificação do responsáel pela alteraçãoN
D+2+2D+ implemente tril!as de auditoria para as
concess4es e reogaç4es das contas de T<S" do
Infoseg, em conformidade com o preisto no item
/0+/0+/ da 3B2 IS<%IAC /77DD-200EN
Acrdão 1//%E$77/ ; :lenário
D+/+/+ inclua nos ar*uios log e Gistentesno Sipia, as informaç4es relatias @s alteraç4es
efetuadasN
Acrdão $7$%E$77+ ; :lenário
D+U+/0+ altere o sistema de ger9ncia de acessos
para *ue nele se=am acrescentadas tril!as de
auditoria para permitir futuras inestigaç4es de
concessão e reogação de acesso de usuários aos
sistemas ]+++^, contendo, entre outras, infor maç4es
so#re as datas e os responsáeis por essas
concess4es e reogaç4esN
D+E+/+ retire do sistema C&1 a possi#ilidade
de eGclusão física de processosN o processo pode
Acrdão 1%$E$77/ ; :lenário
D+2+/7 implante mecanismos nos sistemas
da díida, de modo *ue não !a=a possi#ilidade
de alteração de informaç4es e de decis4es =á
processadas e *ue, em *ual*uer manuseio de
infor mação ou *ual*uer tomada de decisãoestrat6gica, *ue enola altos olumes de
recursos, ou outras decis4es com níel de
ser eGcluído desde *ue todas as suas infor maç4es,
inclusie as da eGclusão, continuem registradas
no sistemaN
D+E+2+ implemente rotinas *ue manten!am o
registro de eentos releantes do sistema C&1N
esses registros deem conter, no mínimo, o autor ,
a data e a descrição do eentoN
Acrdão 0$E$77' ; 1J C@mara Fecisão 17'3E$777 :lenário
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 52/66
D+2+2+ inclua, no ?m#ito do plane=amento de
segurança do sistema de pagamento de pessoal]+++^, a análise regular e sistemática dos registros
:logs; de sistema operacional e do pr>prio sistema
de pagamentoN
D+2+F+ utili'e, preferencialmente, fer ramentas
de auditoria, como softMares especiali'ados, na
análise dos registros :logs; de sistema a serem
efetuadasN
Z+F+/F+ adote proid9ncias com istas a-
#; manter um !is t> ri co das alteraç4es
efetuadas nos #ancos de dados, =untamente
com suas =ustificatias, com istas a fundamentar
decis4es tomadas, assim como dar su#sídios a
decis4es futurasN
Z+U+2+ adote medidas isando agili'ar a
implementação dos produtos do &ro=eto H& /2, atentando para procedimentos relatios ao
Acrdão '/1E$77' ; :lenário
D+/+U+ a análise regular de ar*uios logs com
utili'ação, sempre *ue possíel, de softMares
utilitários específicos, para monitoramento do
uso dos sistemasN
Fecisão 1%7E$77$ ; :lenário
Z+/+/+/ crie ar*uio contendo !ist>rico das
operaç4es reali'adasN
programa de segurança, especialmente *uanto
a- análise dos logs e relat>rios de iolaç4es dos
procedimentos de segurançaN proteção dos
logs contra destruição intencional ou acidentalN
iolaç4es de segurançaN e tentatias frustadas de
acesso ao sistemaN
Fecisão 31E$777 ; :lenário
Z+2+R+D+ adotar procedimentos de análise
regular de ar*uios tipo log, isando detectar
eentuais iolaç4es ou tentatias de iolação dos
Fecisão 173E$77$ ; :lenário
Z+2+D manutenção de logs de concessão de
acesso e de autori'ação, permitindo consultas
rápidasN
procedimentos de segurançaN
Z+2+D+ implemente meios e procedimentos
oltados @ ger9ncia de pro#lemas relatios ao seu
am#iente computacional, adotando, se possíel,
softMare ade*uado para essa finalidade, #em
como análise sistemática das fal!as erificadas,
mantendo os respectios registros !ist>ricos como fito de promoer aç4es preentias nessa áreaN
Fecisão ''+E133 ; :lenário de acesso e responsa#ilidades do usuário controle
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 53/66
Fecisão ''+E133 :lenário
F+7+/Z+ reali'ar o controle diário, no S.J e
.JI, das alteraç4es efetuadas nos dados
cadastrais de empregados, principalmente no *ue
se refere aos dados *ue *ualificam o titular da
conta, nome de empregado, n)mero do
&IS%&asep e n)mero da Carteira de "ra#al!o e
&reid9ncia SocialN
F+7+/D+ aprimorar os recursos !o=e eGistentes
nos sistemas S.J e .JI referentes a consultas
de alteraç4es efetuadas em dados cadastrais de
empregados com istas a mel!or ade*uá8las ao
controle, facilitando o acompan!amento das
transaç4es processadasN
F+7+20+ ela#orar procedimentos, consultas%relat>rios, *ue possi#ilitem o controle concomitante
das alteraç4es processadas no Sistema de Controle
de Ampr6stimos e efinanciamentos 8 CAN
F+7+22+ ela#orar consultas on8line no Sistema de
Controle de Segurança, SSJ, e reer as =á eGistentes
no intuito de possi#ilitar um acompan!amentomais rigoroso por parte dos responsáeis pelo
controle de acesso l>gico aos sistemasN
'.1/ Fe "ue trata a seção
GControle de acessosH#
Assa seção da norma orienta a direção *uanto
aos controles de acesso @ infor mação e aos
recursos de processamento das informaç4es+ São
fornecidas diretri'es para definição de re*uisitos de
neg>cio para controle de acesso, gerenciamento
de acesso e responsa#ilidades do usuário, controle
de acesso @ rede, sistema operacional, aplicação e
informação, e, por fim, aspectos so#re computaçãom>el e tra#al!o remoto+ "ais diretri'es englo#am
desde a definição de uma política de controle de
acesso e o gerenciamento de priil6gios at6 o
isolamento de sistemas sensíeis+
'.10 &ue acrdãos e decis*es do
C< tratam6 entre outros aspectos6
do GControle de acessosH#
De"uisitos de negcio para
controle de acesso
Acrdão 173$E$770 ; :lenário
D+/+E+ defina e diulgue &olítica de Controle
de cesso 8 &C0 conforme o esta#elecido na 3B
IS<%IAC /77DD-200E, item //+/+/N
Acrdão 01E$770 ; :lenário
D+2+7+ defina fo r malmente uma &olíti ca
de Controle de cesso 8 &C0 8 para o Infoseg,contemplando usuários e#, W!ost de atuali'açãoX
e da rede interna da ger9ncia do Infoseg, de
acordo com o preisto no item //+/+/ da 3B2
IS<%IAC /77DD-200EN
Acrdão 1//%E$77/ ; :lenário
D+/+2+ esta#eleça processo formal de concessão
de sen!as e aumente o controle so#re os priil6gios
dos usuáriosN
B<S &2"IC0S A1 SAJ$203K0 H I3.<1KL<"2IB$30 HA C<3"0S H0
Acrdão $7$%E$77+ ; :lenário D+2+2E+ utili'e identificadores de usuários )nicos
para o Infoseg :sen!a )nica não compartil!ada;
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 54/66
D+/+F+ defina uma &olít ica de Controle de
cesso aos atios de informação *ue conten!a,no mínimo-
para o Infoseg :sen!a )nica não compar til!ada;
de forma fiGar a responsa#ilidade de cada usuário,
inclusie para os usuários com priil6gios deadministração, em conformidade com o preisto
no item //+2+/ da 3B2 IS<%IAC /77DD-200EN
Fecisão $3+E$77$ ; :lenário
Z+/+/ 8 *uanto aos sistemas infor mati'ados-
g; proceda @ reaaliação completa dos perfis
definidos no Sen!a8ede para o S&I$, eGcluindo
D+2+27+ atri#ua a cada usuário do #anco de
dados do Infoseg somente os priil6gios mínimos
necessários ao desempen!o de suas funç4es,
conforme preisto no item //+2+2 da 3B2 IS<%IAC
/77DD-200EN
a*ueles redundantes ou *ue não mais se=am
utili'adosN
Fecisão ''+E133 :lenário
F+7+U+ criar controle )nico de acesso l>gico para
Acrdão 1//%E$77/ ; :lenário
D+/+2+ esta#eleça processo formal de concessão
de sen!as e aumente o controle so#re os priil6gios
dos usuáriosN
o am#iente do Jerenciador de Banco de Hados HB2, a eGemplo do SSJ no am#iente IH1SN
F+7+E+ definir regras *ue regulamentem
o acesso de usuár ios e Gter nos ao
am#iente computacional do .J"SN
Kerenciamento de acesso do usuário
Acrdão 01E$770 ; :lenário
D+2+Z+ condu'a, a inter alos regulares, a
análise crítica dos direitos de acesso dos usuários
do Infoseg, por meio de um processo formal, de
acordo com o preisto no item //+2+U da 3B2 IS<%IAC /77DD-200EN
Acrdão $7$%E$77+ ; :lenário
D+/+F+/+ regras de concessão, de controle
e de direitos de acesso para cada usuário e%ou
grupo de usuários de recursos computacionais de
"ecnologia da Informação 8 "I, conforme preceitua
o item D+/+/ da 3B2 IS<%IAC /77DD-200/N
D+/+F+2+ responsa#ilidades dos gestores de
neg>cios so#re os seus sistemas, #em como a
o#rigação deles e dos gerentes da rede ]+++^ fa'erem
a reisão peri>dica, com inter alos de tempo
preiamente definidos, dos direitos de acesso dos
usuários, conforme pre9em os itens D+2+/, incisos! e i, e D+2+U da 3B2 IS<% IAC /77DD-200/N
D+/+F+F+ o#rigatoriedade de usuários de D+/+R+ a classificação do níel de segurança
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 55/66
g
recursos de "I e gestores de neg>cios assinarem
termos de
compromisso nos *uais este=am discriminados os
D+/+R+ a classificação do níel de segurança
e controle de acesso aos dados, no ?m#ito do
&ro=eto Weposit>rioXN
direitos de acesso, os compromissos assumidos
e suas responsa#ilidades e as sanç4es em caso
de iolação das políticas e dos procedimentos de
segurança organi'acional, a teor do *ue prescree
o item D+2+/ da 3B2 IS<%IAC /77DD-200/N
D+U+E+ ree=a a política de acesso do per fil
Fecisão 173E$77$ ; :lenário
Z+2 +Z i m pl e m en t a çã o da rotina d e
confor midad e de operadores, nos moldes
da e Gisten te no Sistema SI0.I, confor me =á
determinado por este "ri#unalN
administrador dos sistemas para *ue l!e se=am
retirados-
D+U+E+/+ o poder de criação de noos perfis e
cadastro de usuários, centrali'ando essas funç4es
e responsa#ilidades nos gestores de neg>cioN
D+U+E+2+ o acesso irrestrito e permanente aos
sistemas de produçãoN
Fecisão $3+E$77$ ; :lenário
Z+/+/ 8 *uanto aos sistemas infor mati'ados-
#; ree=a as !a#ilitaç4es de todos os usuários
do SI0&0 lotados na ]+++^, reaaliando não apenas
sua perman9ncia na Secretaria, como tam#6m seu
local de tra#al!o :ger9ncia; e a pertin9ncia dos
níeis de acesso concedidosN
Acrdão 0$E$77' ; 1J C@mara
D+2+/+ adote procedimentos fo r mais de
concessão e de alidação peri>dica de sen!as deusuários de sistemas informati'ados, #em como
de cancelamento de acesso de usuários *ue são
desligados da unidadeN
c; proceda @ reaaliação geral das pessoas
!a#ilitadas no SI0&0, particularmente com relação
@*uelas lotadas em outros >rgãos%entidades,
como o SA&<N
e; esta#eleça controle sistemático e oriente as
Jer9ncias egionais da ]+++^ *uanto @ necessidade
Acrdão '/1E$77' ; :lenário
D+/+F+ aela#oração
de lista de pessoasautori'adas a ter acesso aos ser idores centrais,
#em como, a sua reisão peri>dicaN
de reisão dos níeis de acesso e acerto do local
de tra#al!o, no Sen!a8ede, *uando da mudança
de lotação de seridores da ]+++^N
!; ree=a as !a#ilitaç4es de todos os usuários
do S&I$, lotados na ]+++^ ou não, reaaliando sua
B<S &2"IC0S A1 SAJ$203K0 H I3.<1KL<"2IB$30 HA C<3"0S H0
perman9ncia no >rgão e a pertin9ncia dos níeis
d did i i )
Z+2+R+U+ adotar procedimentos regulares
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 56/66
de acesso concedidos, assim como os in)meros
acessos concedidos a funcionários lotados no
SA&<, inclusie per tencentes @ e*uipe de
manutenção do sistemaN
para atuali'ação das listas de acesso aos recursos
computacionaisN
Z+2+R+E+ o#serar com rigor os procedimentos
for mais para adicionar indiíduos @ lista de
Fecisão 17'3E$777 ; :lenário
Z+/+Z+ adote medidas com istas a manter o
controle so#re as rotinas *ue fogem @ regra geral
de concessão ou atuali'ação de #enefícios, como atransação 0AB 0tuali'ação Aspecial de
Benefício e a*uelas com #ase em decis4es
=udiciais :regidas pelos Hespac!os 0F e 0U;, de
forma a impedir acesso indeido @s transaç4es
on8lineN
Z+F+R+ adote as seguintes medidas, *uanto ao
controle de acesso aos sistemas-
#; efetiação de estudos no sentido de o#rigar
a confirmação de acesso de usuários, por gestor,
nos moldes, por eGemplo, da Conformidade de
<peradores do sistema SI0.IN
pessoas autori'adas a ter acesso aos recursos
computacionais, #em como adotar procedimentos
específicos para a concessão de acessos
emergenciais e%ou temporáriosN
Z+2+R+7+ implementar controles de segurança
para as sen!as de acesso, incluindo- eGig9ncia
de alteraç4es peri>dicas de sen!as, eitando a
sua repetiçãoN esta#elecimento de regras seguras
para a definição de sen!as pelos usuários, *ue
eGi=am o n)mero mínimo de caracteres definido
nos padr4es usuais para am#ientes de infor mática:em regra, pelo menos seis caracteres;N adoção
de sen!as iniciais distintas, fornecidas pela área
de segurança l>gica, para os usuários :a#olindo
o uso de sen!a inicial )nica;N implementação de
rotinas de suspensão de c>digos de identificação
de usuário ou de desa#ilitação de terminal ou
Fecisão 31E$777 ; :lenário
Z+/+E+ estude a ia#ilidade de instituir
dispositios de gerenciamento de acesso dos
microcomputador ap>s um determinado n)mero
de tentatias de iolação de segurançaN
Desponsabilidades dos usuários
aplicatios do SIT%S$S :sen!as, funç4es e relat>rios
de controle, logs etc+;, *uanto @s funç4es de
cadastramento, alidação e enio das ITs pelos
gestores locais do S$S e das unidades prestadoras
de ser içosN
Acrdão 31'E$77/ ; :lenário
D+E+E+ implemente as regras de formação de
sen!as, para edar a utili'ação de sen!as triiais,
*ue fragili'em a segurança do sistema, utili'ando,
por eGemplo, suas normas inter nasN
Acrdão $7$%E$77+ ; :lenário de alteraç4es peri>dicas de sen!as, eitando a
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 57/66
D+/+F+E+ re*uisitos mínimos de *ualidade de
sen!as, descritos pelo item D+F+/ da 3B IS<%IAC
/77DD-200/N
D+/+ 7+ info r me seus usuá rio s *uanto @
necessidade de #lo*uearem suas estaç4es de
tra#al!o *uando delas se afastarem e de não
compartil!arem suas sen!as de acesso, confor me
pre9 o item D+F+2 da 3B2 IS<%IAC /77DD-200/N
D+/+ Z+ info r me seus usu ário s *uanto @
necessidade de criarem sen!as *ue satisfaçam
aos re*uisitos mínimos definidos na &olítica de
Controle de cesso *ue ier a ser esta#elecida e
sua repetiçãoN esta#elecimento de regras seguras
para a definição de sen!as pelos usuários, *ueeGi=am o n)mero mínimo de caracteres definido
nos padr4es usuais para am#ientes de infor mática
:em regra, pelo menos seis caracteres;N adoção
de sen!as iniciais distintas, fornecidas pela área
de segurança l>gica, para os usuários :a#olindo
o uso de sen!a inicial )nica;N implementação de
rotinas de suspensão de c>digos de identificação
de usuário ou de desa#ilitação de terminal ou
microcomputador ap>s um determinado n)mero
de tentatias de iolação de segurançaN
Z+2+R+Z+ diulgar internamente a necessidade
de preseração do sigilo das sen!asN
*uanto @ import?ncia da *ualidade e segurança
das sen!asN
Acrdão 0$E$77' 1J C@mara
D+F+Z+ adote proid9ncias para *ue os pap6is
e documentos *ue conten!am infor
maç4es releantes so#re o pagamento de
pessoal se=am
Fecisão ''+E133 ; :lenário
F+7+2D+ disseminar *ue !a=a maior cuidado na
criação e utili'ação de sen!as entre usuários de
sistemas do .J"S a fim de eitar fraudesN
Controle de acesso ao sistema operacional
ade*uadamente guardados em ar mários ou
gaetas, com fec!aduras ou outras formas de
proteção, especialmente fora do !orário nor mal
de ser içoN
Acrdão 01E$770 ; :lenário
D+2+2R+ esta#eleça procedimentos for mais
para a eGecução de operaç4es diretamente so#re
Fecisão 31E$777 ; :lenário
Z+2+R+7+ implementar controles de segurança
para as sen!as de acesso, incluindo- eGig9ncia
as #ases de dados do Infoseg com a utili'ação
de utilitários, documentando os procedimentos
reali'ados, em conformidade com o preisto no
item //+E+U da 3B2 IS<%IAC /77DD-200EN
Acrdão $7$%E$77+ ; :lenário usuário ou de desa#ili tação de ter minal ou
microcomputador ap>s um determinado n)mero
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 58/66
D+/+F+R+ procedimentos de troca peri>dica de
sen!as, não permitindo reutili'ação das )ltimas,
conforme pre9 o item D+E+U da 3B 2 IS<%IAC
/77DD-200/N
D+/+F+7+ procedimentos de #lo*ueio de contas
de usuários ap>s longos períodos de não utili'ação
ou de árias tentatias de acesso sem sucessoN
D+U+R+ estude a possi#ilidade de implantação
de procedimentos de segurança *ue #lo*ueiem
as estaç4es de tra#al!o e%ou sistemas ap>s
determinado período de não8utili'açãoN
de tentatias de iolação de segurançaN
Controle de acesso ( aplicação
e ( in)ormação
Acrdão $7$%E$77+ ; :lenário
D+U+E+ ree=a a política de acesso do per fil
administrador dos sistemas para *ue l!e se=am
retirados-
D+U+E+/+ o poder de criação de noos perfis e
cadastro de usuários, centrali'ando essas funç4es
e responsa#ilidades nos gestores de neg>cioN
Acrdão ''1E$77+ ; 1J C@mara
/+/ inclua nas rotinas de acesso ao Sisfin, ap>s
D+U+E+2+ o acesso irrestrito e permanente aos
sistemas de produçãoN
a entrada no Sistema com sucesso, a apresentação
das informaç4es ao usuário da data e !ora de
)ltima entrada álida no SisfinN
/+D reali'e estudos e implemente o mel!or
procedimento *ue prote=a o set8up de seus
computadores atra6s do uso de sen!as seguras,impedindo, especialmente, *ue os sistemas
operacionais possam ser iniciali'ados atra6s de
dis*uetes ou CHsN
Fecisão 1%7E$77$ ; :lenário
Z+/+/+F crie mecanismo de proteção *uanto
ao acesso aos dados do operador Super por
interm6dio do eGtrator de dados ou transação
C<3$S$N
'.1 Fe "ue trata a seçãoGA"uisição6 desenvolvimento
e manutenção de sistemas
Fecisão 31E$777 ; :lenário
Z+2+R+7+ ]+++^ implementação de rotinas
de suspensão de c>digos de identificação de
de in)ormaçãoH#
Assa seção da norma orienta a direção *uanto@ definição dos re*uisitos necessários de segurança
de sistemas de informação, medidas preentias
t i t d li 4
Fecisão 31E$777 ; :lenário
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 59/66
contra processamento incorreto das aplicaç4es,
uso de controles criptográficos, al6m de for necer
diretri'es para a segurança dos ar*uios de sistema,
segurança em processos de desenolimento e
suporte, e gestão de ulnera#ilidades t6cnicas+
'.13 &ue acrdãos e decis*esdo C< tratam6 entre outros
aspectos6 da GA"uisição6
desenvolvimento e manutençãode sistemas de in)ormaçãoH#
:rocessamento correto nas aplicaç*es
Z+/+2+ estude ]+++^ a ia#ilidade de implantar
no SIT%S$S e no SI0%S$S maior n)mero de críticas
automáticas so#re *uantitatios informados em
ITs, B&s e &Cs, #aseadas em indicadores
e padr4es preesta#elecidos a par tir de m6dias
!ist>ricas locais ou regionais, de modo a detectar
eentuais distorç4es nas informaç4es eniadas ]+++^
pelos prestadores de seriço, isando mel!orar o
controle de fraudes nesses sistemasN
Z+/+F+ enide esforços para ade*uar o SIT%S$S
e o SI0%S$S @ reali'ação de críticas automáticas com
#ase na .CAS, em su#stituição progressia @ .CT e @
Acrdão 01E$770 ; :lenário
D+2+F+ institua mecanismos *ue garantam aconsist9ncia entre o _ndice 3acional 8 I3 8 e as
#ases dos entes *ue alimentam o I3, erificando
periodicamente a eficácia dos mecanismos
implementados, de acordo com o preisto no item
/2+2+2, da 3B2 IS<%IAC /77DD-200EN
.C, com istas a mel!orar a efici9ncia do controle
de ITs, B&s e 0&0CS, proporcionalmente ao
grau de implementação da .CAS no atendimento
!ospitalar e am#ulatorialN
Z+/+U+ aprimore os m>dulos de CH S"2<
do SIT%S$S e do SI0%S$S, com istas a- minimi'ar
as possi#ilidades de inserção de dados incor retos
durante a digitação, #em como tor nar mais
Fecisão +3+E$77$ ; :lenário
Z+/+D recomendar @ Hiisão de 1oderni'ação
e Informática 8 Himinf *ue se=a incluída uma
alidação na entrada de dados capa' de minimi'ar
os erros de digitação dos pedidos de registros
na #ase de dados de marcas, eitando assim a
repu#licação do pedidoN
auto8eGplicatias as respectias telas do sistema,
mediante a adição de teclas de atal!o para ta#elas
:a eGemplo das teclas W./X, de a=uda ou !elp;,
acionáeis diretamente a partir dos campos de
preenc!imento e para teGtos eGplicatiosN
Z+/+R+ enide esforços para automati'ar
o controle de *ualidade do processamentodo SIT%S$S :confer9ncia da regularidade do
processamento mensal;, #em como o processo
de disponi#ili'ação dos respectios ar*uios de
saída na BBS%1SN
Z+/+7+ estude a ia#ilidade de implantar
uma rotina de crítica automática no SI0%
S$S #= i d f i l d
F+7+/U+ reisar rotina de consulta do .JI, isto
*ue algumas contas não são locali'adas *uando o
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 60/66
S$S, com o o#=etio de conferir o olume de
informaç4es contidas em cada remessa mensal
dos gestores locais do S$S com os olumes
estatisticamente preistos, com #ase em padr4es
preesta#elecidosN
Fecisão ''+E133 ; :lenário
F+7+D+ reisar os procedimentos de crítica dos
Sistemas de Controle de Contas tias e Inatias,
S.J e .JI, a fim de *ue não permitam a inserção
de contas inculadas com &IS%&0 SA& iciados,
argumento de pes*uisa 6 o &IS%&asepN
F+7+/E+ reisar rotina de pagamento *uanto @
eGig9ncia do &IS%&asep cor retoN
F+7+/R+ reisar os procedimentos de crítica do
CA2 *uanto @ inserção ou @ alteração de dados
cadastrais, como =uros de mora, índice de rea=uste,
pra'o de car9ncia, dia de pagamento, dados de
retor noN
Controles criptográ)icos
de nomes com apenas uma palara, com letras
repetidas mais *ue duas e'es consecutiamente
e com espaços em #ranco e Gcedentes entre
palarasN
F+7+/0+ reisar as rotinas de crítica do S.J%.JI
*uanto @ inserção de contas inculadas com &IS%
Acrdão 0$E$77' ; 1J C@mara
D+F+D+ estude ]+++^ a possi#ilidade de utili'ar
recursos de criptografia e alidação digital na
proteção dos ar*uios a serem gerados pelo
programa .0& Higital em suas futuras ers4esN
&0 SA& inálido ou ineGistente na #ase de dadosN
Fecisão 31E$777 ; :lenário
F+7+//+ sanear as #ases de contas inculadas
atias e inatias *uanto @ eGist9ncia de contas
com saldo negatio e não mais per mitir suaocor r9nciaN
F+7+/2+ reisar as rotinas de crítica do S.J
*uanto @ inserção de empresas com CJC inálido
ou ineGistente na #ase de dadosN
F+7+/F+ inserir críticas no S.J com istas anão permitir mais de um dep>sito na mesma
conta inculada para uma mesma compet9nciaN
Z+2+U+ adote proid9ncias para dificultar
a alteração de dados nas ta#elas do programaSI0 +eGe, incluindo, se necessário, os mesmos
mecanismos de controle adotados no SIT%S$S
:campos de controle criptografados;N
Z+2+R+R+ a#ster8se de usar c!aes p)#licas
de acesso @ rede, sem estarem associadas a um
responsáelN
Segurança em processos de
desenvolvimento e de suporte
'.$7 Fe "ue trata a seçãoGKestão de incidentes de
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 61/66
desenvolvimento e de suporte Kestão de incidentes de
segurança da in)ormaçãoH#
Acrdão 01E$770 ; :lenário
D+2+/2+esta#eleça procedimentos for mais
de controle de demandas e de mudanças no
Infoseg, de acordo com o preisto no item /2+E+/
da 3B2 IS<%IAC /77DD-200E e @ semel!ança das
orientaç4es contidas no item IR+2 do C<BI"
U+0N
Assa seção da norma orienta a direção para *ue
fragilidades e eentos de segurança da infor mação
associados com sistemas de informação se=am
comunicados e gerenciados de forma consistente
e efetia, permitindo a tomada de ação cor retia
em tempo !á#il+ São fornecidas diretri'es para
notificação de eentos e fragilidades de segurança
da informação, definição de responsa#ilidades
Acrdão 1//%E$77/ ; :lenário
D+/+U+ implemente sistemática de !omologação
e controle das ers4es implantadas do SipiaN
e procedimentos de gestão desses eentos e
fragilidades, al6m da coleta de eid9ncias e do
esta#elecimento de mecanismos para análise dos
incidentes recorrentes ou de alto impacto com
istas @ sua *uantificação e monitoramento+
Acrdão $7$%E$77+ ; :lenário
D +U +2 + c r i e e de f ina mecan i smos de
gerenciamento *ue garantam a guarda
e recuperação das ers4es atual i'adas
'.$1 &ue acrdãos e decis*es do C< tratam6 entre outros aspectos6 da GKestão de incidentes de segurança da in)ormaçãoH#
da documentação de sistemas pelo setor
responsáelN
D+U+U+ adote cláusulas contratuais pa ra
assegurar *ue a documentação t6cnica, programas
fontes e dados de sistemas regidos por contratos
de prestação de ser iços este=am acessíeis ao
1inist6rioN
Acrdão 01E$770 ; :lenário
D+/+F+ implemente seriço de atendimento ao
usuário do Infoseg :!elp des; ade*uado @s suas
necessidades, em conformidade com o preisto
no item /F+/+/ da 3B2 IS<%IAC /77DD-200E e @
semel!ança das orientaç4es contidas no HSZ+/ do
C<BI" U+0, aaliando a coneni9ncia de implantá8
lo em regime ininterrupto :2U !oras por dia e 7
dias por semana;N
Acrdão 0$E$77' 1J C@mara
D 2 U e D F U adote um programa de
IAC /77DD-200E, itens /U+/+/, /U+/+2 e /U+/+F,
e ela#ore o &lano de Continuidade do 3eg>cio
&C3 f t # l id 3B2 IS<%IAC
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 62/66
D+2+U+ e D+F+U+ adote um programa de
treinamento específico para a área de segurança
8 &C3 conforme o esta#elecido na 3B2 IS<%IAC
/77DD-200E, itens /U+/+U e /U+/+ENde sistemas, enfocando aspectos de segurança
física e l>gica, #em assim a reação dos funcionários
frente @ ocorr9ncia de conting9ncias *ue possam
afetar a continuidade dos ser içosN
'.$$ Fe "ue trata a seção GKestão
da continuidade do negcioH#
Assa seção da norma orienta a direção *uanto
@s medidas a serem tomadas para preenir a
Acrdão 01E$770 ; :lenário
D+2+/U+ defina for malmente um &lano de
Continuidade do 3eg>cio 8 &C3 8 específico para o
Infoseg, *ue garanta em caso de fal!as ou desastre
natural significatio, a retomada em tempo !á#il
das atiidades do sistema, protegendo os processos
críticos, de acordo com o preisto nos itens /U+/+U
e /U+/+E da 3B2 IS<%IAC /77DD-200EN
inter r upção das atiidades do neg>cio e proteger
os processos críticos contra defeitos, fal!as ou
desastres significatios, assegurando sua retomada
em tempo !á#il, se for o caso+ São for necidas
diretri'es para incluir a segurança da infor mação
no processo de gestão da continuidade de neg>cio
e para reali'ar análise e aaliação de riscos, al6m
de desenoler, implementar, testar e reaaliar
planos de continuidade relatios @ segurança da
infor mação+
Acrdão 1%$E$77/ ; :lenário
D+/+F implante um &lano de Conting9ncia ]+++^,
com prioridade e atenção especial @s áreas com
grande eGposição a riscos, @s áreas enolidas com
eleados olumes de recursos e *uantidade de
transaç4es, #em assim @*uelas *ue possam tra'er
riscos de imagem @ Instituição, o#ser ando8se
as peculiaridades e características intrínsecas do
]+++^N
'.$% &ue acrdãos e decis*es do C< tratam6 entre outros
aspectos6 da GKestão da
continuidade do negcioH#
Acrdão $7%E$77+ ; $J C@mara
D+F+7+/+ crie normatios para a condução
dos diersos seriços passíeis de acidentes, com
Acrdão 173$E$770 ; :lenário
D+/+R+ implante a gestão de continuidade doneg>cio conforme o esta#elecido na 3B2 IS<%
manuais de procedimentosN aç4es mais efetias
da CI&0N promoção de encontros, seminários e
palestras so#re o temaN propagandas isuais deconscienti'ação e reali'ação da SI&0"N
D+F+7+F+ priori'e as aç4es de preenção,
reali'ando cursos específicos, reciclagem e
Fecisão ''+E133 ; :lenário
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 63/66
p , g
especiali'aç4esN F+7+R+ proidenciar, com a maior #reidade
possíel, o &lano de Conting9nciasN
Acrdão '/1E$77' ; :lenário
D+/+E+ a ela#oração e implementação de um
&lano de Conting9ncias de acordo com o item
//+/+U da 3B2 IS<%IAC /77DD-200/N
Fecisão //3E133+ ; :lenário
2+/+ estude a possi#ilidade de implementar ,
a m6dio pra'o, no ?m#ito do seu plano de
conting9ncia, uma solução alternatia para o
Fecisão 1%7E$77$ ; :lenário
Z+F+F ela#ore &lano de Conting9ncias ]+++^ *ue
possa orientar os t6cnicos em caso de ocor r9ncia
de sinistros ou de situaç4es *ue en!am a
comprometer a operação do sistemaN
Fecisão 17'3E$777 ; :lenário
Z+F+U+ adote as medidas recomendadas por
sua 0uditoria Interna ]+++^ como por eGemplo a
implementação de um plano formal *ue conten!a
medidas de conting9ncia e recuperação de
processosN
caso de perda total das instalaç4es da .ilial São
&aulo, nas *uais se opera o processamento da
rrecadação .ederal, para *ue o tratamento
das informaç4es essenciais não sofra solução de
continuidade no caso de ocorr9ncia de sinistro de
grande proporç4esN
'.$' Fe "ue trata a seçãoGCon)ormidadeH#
Assa seção da norma orienta a direção a eitar
iolação de *ual*uer lei criminal ou ciil, estatutos,
regulamentaç4es ou o#rigaç4es contratuais e de
*uais*uer re*uisitos de segurança da infor mação,
al6m de garantir conformidade dos sistemas comFecisão 31E$777 ; :lenário
Z+2+R+/+ ela#orar plano de conting9ncia,
incluindo a preisão de testes de alidação e de
roteiros específicos para os procedimentos de
conting9nciaN
as políticas e normas organi'acionais de segurança
da informação+ São fornecidas diretri'es para
identificação da legislação igente, proteção dos
direitos de propriedade intelectual, proteção dos
registros organi'acionais, proteção de dados e
priacidade de informaç4es pessoais, preenção
de mau uso de recursos de processamento da
informação e regulamentação de controles de
criptografia+ l6m disso, são feitas algumas
a garantir a o#ser ?ncia das políticas e nor mas
*ue en!am a ser instituídas pelo 1inist6rio,
como a &olítica de Segurança da Informação a
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 64/66
p g , g
consideraç4es *uanto @ auditoria de sistemas de
infor mação+
'.$+ &ue acrdãos e decis*esdo C< tratam6 entre outros
aspectos6 da GCon)ormidadeH#
Con)ormidade com re"uisitos legais
Acrdão 1%$E$77/ ; :lenário
D+2+/2 8 adote procedimento especial para o
registro e a tramitação de todos os
documentos, *ue conten!am, de algum
modo, infor maç4es estrat6gicas e%ou
priilegiadasN
Acrdão $7%E$77+ ; $J C@mara
D+F+//+ a#sten!a8se da utili'ação de softMares
não licenciadosN
Con)ormidade com normas e
pol9ticas de segurança da in)ormação
e con)ormidade t-cnica
Acrdão $7$%E$77+ ; :lenário
D+U+/+ implemente os pro ced imen tos
informati'ados necessários no sentido de a=udar
como a &olítica de Segurança da Informação, a
&olítica de Controle de cesso e a 1etodologia para Hesenolimento de SistemasN
Fecisão ''+E133 ; :lenário
F+7+2/+ incorporar ao Sistema de Controle de
Segurança, SSJ, as restriç4es impostas pela norma
de controle de acesso l>gico, 13 .J+0/+0E+00N
F+7+2F+ desautori'ar prestadores de ser iços
*ue este=am !a#ilitados de forma contrária @
norma constante no 13 .J+0/+0E+00N
Consideraç*es "uanto ( auditoria
de sistemas de in)ormaç*es
Acrdão 173$E$770 ; :lenário
D+/+Z+ implante, por meio de sua 0uditoria
Interna, política de auditoria nos diersos sistemas
de tecnol ogia da infor mação per tinen tes @
arrecadação de receitas da AmpresaN
efer9ncias #i#liográficas
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 65/66
SS<CIKL< B20SIAI20 HA 3<210S "(C3IC0S+ 3B IS<%IAC /77DD- tecnologia da infor mação-
c>digo de prática para a gestão da segurança da informação+ io de `aneiro- 0B3", 200/+
0 SS<CIKL< B20 SIAI20 HA 3<1 S "(C3IC0 S+ 3B IS<%IAC /77DD-200E- tecnologia
da informação, t6cnicas de segurança, c>digo de prática para a gestão da segurança da informação+
2+ ed+ io de `aneiro- 0B3", 200E+
B20SI+ Hecreto n+Y F+E0E, de /F de =un!o de 2000+ Institui a &olítica de Segurança da
Infor mação nos >rgãos e entidades da 0dministração &)#lica .ederal+ Hisponíel em-!ttp-%%MM M+planalto+go+ #r%cciilb0F%decreto%HFE0E+!tm+ cesso em- 2U out+ 2007+
+ ei n+Y D+DZF, de /U de =ul!o de 2000+ ltera o Hecreto8ei n+Y 2+ZUZ, de 7 de
de'em#ro de /DU0 C>digo &enal e dá outras proid9ncias+ Hisponíel em-
!ttp-%%MM M +planalto+go +#r% cciilb0F%eis%DDZF+!tm+ cesso em- 2U out+ 2007+
HI0 S, Cláudia+ Segurança e auditoria da tecnologia da informação+ io de `aneiro- GcelBoos, 2000+
7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição
http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 66/66
DI<BAL F4 C!BAS FA <BIN!
S.S Vuadra U lote /
700U28D00 Brasília8H.
!ttp-%%MM M+tcu+go +#r