Boas Práticas Em Segurança Da Informação - 2ª Edição

7/21/2019 Boas Práticas Em Segurança Da Informação - 2ª Edição

http://slidepdf.com/reader/full/boas-praticas-em-seguranca-da-informacao-2a-edicao 1/66

Boas práticas em

Segurança da Informação2ª edição

Brasília, 2007



© Coprig!t 2007, "ri#unal de Contas da $nião

Impresso no Brasil % &rinted in Bra'il

<ww w.tcu.go v .br>

( permitida a reprodução desta pu#licação,

em parte ou no todo, sem alteração do conte)do,

desde *ue citada a fonte e sem fins comerciais+

Brasil+ "ri#unal de Contas da $nião+

Boas práticas em segurança da informação % "ri#unal de Contas da $nião+ 2+ ed+ Brasília

- "C$, Secretaria de .iscali'ação de "ecnologia da Informação, 2007+

70 p+

/+ Segurança da informação 2+ uditoria, "ecnologia da informação I+ "ítulo+

.ic!a catalográfica ela#orada pela Bi#lioteca 1inistro u#en osa

http://www.tcu.gov.br/






Apresentação

3a sociedade da informação, ao mesmo tempo em *ue as informaç4es são consideradas o principal

patrim5nio de uma organi'ação, estão tam#6m so# constante risco, como nunca estieram antes+ Com

isso, a segurança da informação tornou8se um ponto crucial para a so#rei9ncia das instituiç4es+

$m dos focos das fiscali'aç4es de "ecnologia da Informação :"I;, reali'adas pela Secretaria de

.iscali'ação de "ecnologia da Informação :Sefti;, do "ri#unal de Contas da $nião, 6 a erificação da

conformidade e do desempen!o das aç4es goernamentais em aspectos de segurança de tecnologia

da informação, utili'ando crit6rios fundamentados+ < principal o#=etio dessas fiscali'aç4es 6 contri#uir

para o aperfeiçoamento da gestão p)#lica, para assegurar *ue a tecnologia da informação agreguealor ao neg>cio da 0dministração &)#lica .ederal em #enefício da sociedade+

< "ri#unal de Contas da $nião, ciente da impor t?ncia de seu papel pedag>gico =unto aos

administradores p)#licos e da utilidade de apresentar sua forma de atuação @s unidades =urisdicionadas,

aos parlamentares, aos >rgãos goernamentais, @ sociedade ci7il e @s organi'aç4es não8

goer namentais, ela#orou esta pu#licação com o intuito de despertar a atenção para os aspectos

da segurança de tecnologia da informação nas organi'aç4es goer namentais+

Aspera8se *ue este tra#al!o se=a uma #oa fonte de consulta, e *ue o "ri#unal, mais uma e',

cola#ore para o aperfeiçoamento da 0dministração &)#lica+

alton lencar odrigues

1inistro8&residente



Sumário

Introdução +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++7

Controles de cesso >gico ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++D

&olítica de Segurança de Informaç4es +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++2E

&lano de Conting9ncias ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++FF

"C$ e a 3B2 IS<%IAC /77DD ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++FD



Introdução

3a 6poca em *ue as informaç4es eram arma'enadas apenas em papel, a segurança era

relatiamente simples+ Bastaa trancar os documentos em algum lugar e restringir o acesso físico@*uele local+ Com as mudanças tecnol>gicas e com o uso de computadores de grande porte, a

estrutura de segurança ficou um pouco mais sofisticada, englo#ando controles l>gicos, por6m ainda

centrali'ados+ Com a c!egada dos computadores pessoais e das redes de computadores *ue

conectam o mundo inteiro, os aspectos de segurança atingiram taman!a compleGidade *ue !á a

necessidade de desenolimento de e*uipes e de m6todos de segurança cada e' mais sofisticados+

&aralelamente, os sistemas de informação tam#6m ad*uiriram import?ncia ital para a

so#rei9ncia da maioria das organi'aç4es modernas, =á *ue, sem computadores e redes decomunicação, a prestação de seriços de infor mação pode se tornar iniáel+

< o#=etio desta pu#licação 6 apresentar, na forma de capítulos, #oas práticas em segurança da

informação, a *ual*uer pessoa *ue intera=a de alguma forma com am#ientes informati'ados, desde

profissionais de informática enolidos com segurança de informaç4es at6 auditores, usuários e

dirigentes preocupados em proteger o patrim5nio, os inestimentos e os neg>cios de sua organi'ação,

em especial, os gestores da 0dministração &)#lica .ederal+

Asta segunda edição inclui um noo capítulo, *ue comenta a 3B2 IS<%IAC /77DD e lista ac>rdãos

e decis4es do "ri#unal so#re segurança de tecnologia da informação, al6m dos tr9s capítulos *ue

constaam da primeira edição :controles de acesso l>gico, política de segurança de informaç4es e

plano de conting9ncias;+ ( nossa intenção continuar a pu#licar noas ediç4es, incluindo capítulos

so#re assuntos correlatos+

Hiretoria de 0uditoria de "ecnologia da Infor mação



B<S &2"IC0S A1 SAJ$203K0 H I3.<1KL<"2IB$30 HA C<3"0S H0

DD

1. Controles de Acesso Lgico 3este capítulo serão apresentados conceitos

impor tantes so#re controles de acesso l>gico

a serem implantados em instituiç4es *ue

utili'am a informática como meio de geração,

arma'enamento e diulgação de infor maç4es,

com o o#=etio de proer segurança de acesso a

essas infor maç4es+

1.1 ! "ue são controles de acesso#

<s controles de acesso, físicos ou l>gicos, t9m

como o#=etio proteger e*uipamentos, aplicatios

e ar*uios de dados contra perda, modificação

ou diulgação não autori'ada+ <s sistemas

computacionais, #em diferentes de outros tipos de

recursos, não podem ser facilmente controlados

apenas com dispositios físicos, como cadeados,

alarmes ou guardas de segurança+

1.$ ! "ue são controlesde acesso lgico#

<s controles de acesso l>gico são um

con=unto de procedimentos e medidas com o

o#=etio de proteger dados, programas e sistemas

contra tentatias de acesso não autori'adas

feitas por pessoas ou por outros programas de

computador+

< controle de acesso l>gico pode ser encarado

de duas formas diferentes- a par tir do recurso

computacional *ue se *uer proteger e a partir do

usuário a *uem serão concedidos certos priil6gios

e acessos aos recursos+

0 proteção aos recursos computacionais #aseia8

se nas necessidades de acesso de cada usuário,

en*uanto *ue a identificação e autenticação do

usuário :confirmação de *ue o usuário realmente 6

*uem ele di' ser; 6 feita normalmente por meio de

um identificador de usuário :IH; e por uma sen!a

durante o processo de logon no sistema+

1.% &ue recursos devemser protegidos#

0 proteção aos recursos computacionais

inclui desde aplicatios e ar*uios de dados at6



utilitários e o pr>prio sistema operacional+ #aiGo

serão apresentados os motios pelos *uais esses

recursos deem ser protegidos+

plicatios :programas fonte e

o#=eto;

< acesso não autori'ado ao c>digo fonte

dos aplicatios pode ser usado para alterar suas

funç4es e a l>gica do programa+ &or eGemplo,em um aplicatio #ancário, pode8se 'erar os

centaos de todas as contas8correntes e transferir

o total dos centaos para uma determinada conta,

#eneficiando ilegalmente esse cor rentista+

r*uios de

dados

Bases de dados, ar*uios ou transaç4es de

#ancos de dados deem ser protegidos para eitar

*ue os dados se=am apagados ou alterados sem

autori'ação, como, por eGemplo, ar*uios com

a configuração do sistema, dados da fol!a de

pagamento, dados estrat6gicos da empresa+

$tilitários e sistema

operacional

< acesso a utilitários, como editores,

compiladores, softMares de manutenção,

monitoração e diagn>stico dee ser restrito, =á *ue

essas ferramentas podem ser usadas para alterar

aplicatios, ar*uios de dados e de configuração

do sistema operacional, por eGemplo+

< sistema operacional 6 sempre um alo

#astante isado, pois sua configuração 6 o

ponto8c!ae de todo o es*uema de segurança+ 0

fragilidade do sistema operacional compromete

a segurança de todo o con=unto de aplicatios,

utilitários e ar*uios+

r*uios de sen!a

0 falta de proteção ade*uada aos ar*uios

*ue arma'enam as sen!as pode comprometer

todo o sistema, pois uma pessoa não autori'ada,

ao o#ter identificador :IH; e sen!a de um usuário

priilegiado, pode, intencionalmente, causar danos

ao sistema+ Assa pessoa dificilmente será #arrada

por *ual*uer controle de segurança instalado, =á

*ue se fa' passar por um usuário autori'ado+

r*uios de log

<s ar*uios de log são usados para registrar aç4es dos usuários, constituindo8se em >timas

fontes de informação para auditorias futuras+

<s logs registram *uem acessou os recursos

computacionais, aplicatios, ar*uios de dados e

utilitários, *uando foi feito o acesso e *ue tipo de

operaç4es foram efetuadas+

$m inasor ou usuário não autori'ado pode

tentar acessar o sistema, apagar ou alterar dados,

acessar aplicatios, alterar a configuração do

sistema operacional para facilitar futuras inas4es,

e depois alterar os ar*uios de log para *ue suas

aç4es não possam ser identificadas+ Hessa forma,

o administrador do sistema não ficará sa#endo

*ue !oue uma inasão+

1.' ! "ue os controles de acesso

lgico pretendem garantir em

relação ( segurança de in)ormaç*es#



<s controles de acesso l>gico são implantados

com o o#=etio de garantir *ue-

apenas usuários autori'ados ten!am

acesso aos recursosN

os usuários ten!am acesso apenas

aos recursos realmente necessários para a

eGecução de suas tarefasN

o acesso a recursos críticos se=a #em monitorado e restrito a poucas pessoasN

os usuários este=am impedidos de

eGecutar transaç4es incompatíeis com sua função

ou al6m de suas responsa#ilidades+

< controle de acesso pode ser tradu'ido,

então, em termos de funç4es de identificação

e autenticação de usuáriosN alocação, ger9ncia

e monitoramento de priil6giosN limitação,

monitoramento e desa#ilitação de acessosN e

preenção de acessos não autori'ados+

1.+ Como os usuários são

identi)icados e autenticados#

<s usuários dos sistemas computacionais são

identificados e autenticados durante um processo,

c!amado ogon+ <s processos de logon são usados

para conceder acesso aos dados e aplicatios em

um sistema computacional, e orientam os usuários

durante sua identificação e autenticação+

3ormalmente esse processo enole a entrada

de um IH :identificação do usuário; e de uma sen!a

:autenticação do usuário;+ 0 identificação define

para o computador *uem 6 o usuário e a sen!a 6

um autenticador, isto 6, ela proa ao computador *ue o usuário 6 realmente *uem ele di' ser +

1.+.1 Como deve ser pro,etado um processo

de logon para ser considerado e)iciente#

< procedimento de logon dee diulgar o

mínimo de informaç4es so#re o sistema, eitando

fornecer a um usuário não autori'ado infor maç4es

detal!adas+ $m procedimento de logon eficiente

dee-

informar *ue o computador s> dee

ser acessado por pessoas autori'adasN

eitar identificar o sistema ou suasaplicaç4es at6 *ue o processo de logon este=a

completamente concluídoN

durante o processo de logon, eitar

o fo r necimento de mensagens de a=uda

*ue poderiam auGiliar um usuário não

autori'ado a completar esse procedimentoN

alidar a infor mação de logon

apenas *uando todos os dados de entrada

estierem completos+ Caso ocorra algum erro,

o sistema não dee indicar *ual parte do dado

de entrada está correta ou incorreta, como, por

eGemplo, IH ou sen!aN

limitar o n)mero de tentatias de

logon sem sucesso :6 recomendado um máGimo

de tr9s tentatias;, e ainda-



a; registrar as tentatias de acesso inálidasN

#; forçar um tempo de espera antes de

per mitir noas tentatias de entrada no

sistema ou re=eitar *ual*uer tentatia

posterior de acesso sem autori'ação

específicaN

c; encerrar as coneG4es com o computador+

limitar o tempo máGimo para o

procedimento de logon+ Se eGcedido, o sistema

deerá encer rar o procedimentoN

mostrar as seguintes informaç4es,

*uando o procedimento de logon no sistema

finali'ar com 9Gito-

a; data e !ora do )ltimo logon com sucessoN

#; detal!es de *ual*uer tentatia de logon

sem sucesso, desde o )ltimo procedimento

reali'ado com sucesso+

1.+.$ ! "ue - identi)icação do usuário#

0 identificação do usuário, ou IH, dee ser

)nica, isto 6, cada usuário dee ter uma

identificação pr>pria+ "odos os usuários

autori'ados deem ter um IH, *uer se=a um

c>digo de caracteres, car tão inteligente ou

*ual*uer outro meio de identificação+ Assaunicidade de identificação permite um controle

das aç4es praticadas pelos usuários atra6s dos

logs+

3o caso de identificação a partir de caracteres,

6 comum esta#elecer certas regras de composição,

como, por eGemplo, *uantidade mínima e máGima

de caracteres, misturando letras, n)meros e

sím#olos+

1.+.% ! "ue - autenticação do usuário#

p>s a identificação do usuário, dee8se

proceder @ sua autenticação, isto 6, o sistema

dee confirmar se o usuário 6 realmente *uem

ele di' ser+ <s sistemas de autenticação são

uma com#inação de !ardMare, softMare e de

procedimentos *ue permitem o acesso de usuários

aos recursos computacionais+

3a autenticação, o usuário dee apresentar

algo *ue s> ele sai#a ou possua, podendo at6

enoler a erificação de características físicas pessoais+ 0 maioria dos sistemas atuais solicita

uma sen!a :algo *ue, supostamente, s> o

usuário con!ece;, mas =á eGistem sistemas mais

modernos utili'ando cart4es inteligentes :algo *ue

o usuário possui; ou ainda características físicas

:algo intrínseco ao usuário;, como o formato da

mão, da retina ou do rosto, impressão digital e

recon!ecimento de o'+

1.+.' Como orientar os usuários

em relação (s senas#

&ara *ue os controles de sen!a funcionem,

os usuários deem ter pleno con!ecimento das

políticas de sen!a da organi'ação, e deem ser

orientados e estimulados a segui8las fielmente+

"odos os usuários deem ser solicitados a-

manter a confidencialidade das sen!asN



não compartil!ar sen!asN

eitar registrar as sen!as em papelN

selecionar sen!as de #oa *ualidade,

eitando o uso de sen!as muito curtas ou muito

longas, *ue os o#riguem a escre98las em um

pedaço de papel para não serem es*uecidas

:recomenda8se taman!o entre seis e oito

caracteres;N

alterar a sen!a sempre *ue eGistir

*ual*uer indicação de possíel

comprometimento do sistema ou da pr>pria

sen!aN

alterar a sen!a em interalos regulares

ou com #ase no n)mero de acessos :sen!as

para usuários priilegiados deem ser alteradascom maior fre*O9ncia *ue sen!as nor mais;N

eitar reutili'ar as mesmas sen!asN

alterar sen!as temporárias no primeiro

acesso ao sistemaN

não incluir sen!as em processos

automáticos de acesso ao sistema :por eGemplo,

ar ma'enadas em macros;+

Pale lem#rar tam#6m *ue utili'ar a mesma

sen!a para ários sistemas não 6 uma #oa prática,

pois a primeira atitude de um inasor, *uando

desco#re a sen!a de um usuário em um sistema

ulneráel, 6 tentar a mesma sen!a em outros

sistemas a *ue o usuário tem acesso+

1.+.+ &ue tipos de senas

devem ser evitadas#

<s usuários deem eitar sen!as compostas de

elementos facilmente identificáeis por possíeis

inasores, como por eGemplo-

nome do usuárioN

identificador do usuário :IH;, mesmo

*ue seus caracteres este=am em#aral!adosN

nome de mem#ros de sua família ou

de amigos íntimosN

nomes de pessoas ou lugares em geralN

nome do sistema operacional ou da

má*uina *ue está sendo utili'adaN

nomes pr>priosN

datasN

n)meros de telefone, de car tão

de cr6dito, de carteira de identidade ou de

outros documentos pessoaisN

placas ou marcas de car roN

palaras *ue constam de dicionários em

*ual*uer idiomaN

letras ou n)meros repetidosN



letras seguidas do teclado do

computador

:0 SH.J, Q$I<&;N

o#=etos ou locais *ue podem ser istos

a partir da mesa do usuário :nome de um liro

na estante, nome de uma lo=a ista pela =anela;N

*ual*uer sen!a com menos de seis

caracteres+

lguns softMares são capa'es de identificar

sen!as frágeis, como algumas dessas citadas

acima, a par tir de #ases de dados de nomes e

se*O9ncias de caracteres mais comuns, e ainda

#lo*uear a escol!a dessas sen!as por parte do

usuário+ Assas #ases de dados normalmente fa'em

par te do pacote de softMare de segurança, e

podem ser atuali'adas pelo gerente de segurança

com noas inclus4es+

1.+./ Como escoler uma boa sena#

Jeralmente são consideradas #oas sen!as

a*uelas *ue incluem, em sua composição, letras:mai)sculas e min)sculas;, n)meros e sím#olos

em#aral!ados, totali'ando mais de seis caracteres+

&or6m, para ser #oa mesmo, a sen!a tem de ser

difícil de ser adiin!ada por outra pessoa, mas de

fácil memori'ação, para *ue não se=a necessário

anotá8la em algum lugar+ "am#6m 6 coneniente

escol!er sen!as *ue possam ser digitadas

rapidamente, dificultando *ue outras pessoas, a

uma certa dist?ncia ou por cima de seus om#ros,

possam identificar a se*O9ncia de caracteres+

$m m6todo #astante difundido 6 selecionar

uma frase significatia para o usuário e utili'ar

os primeiros caracteres de cada palara *ue a

comp4e, inserindo sím#olos entre eles+ ( tam#6m

recomendáel não utili'ar a mesma sen!a para

ários sistemas+ Se um deles não for deidamente

protegido, a sen!a poderá ser desco#er ta e

utili'ada nos sistemas *ue, a priori, estariam

seguros+ <utro consel!o- ad*uira o !á#ito de

trocar sua sen!a com fre*O9ncia+ "rocá8la a cada

sessenta, noenta dias 6 considerada uma #oa

prática+

Se oc9 realmente não conseguir memori'ar

sua sen!a e tier *ue escre98la em algum pedaço

de papel, ten!a pelo menos o cuidado de não

identificá8la como sendo uma sen!a+ 3ão pregueesse pedaço de papel no pr>prio computador, não

guarde a sen!a =unto com a sua identificação de

usuário, e nunca a enie por e8mail ou a ar ma'ene

em ar*uios do computador+

1.+.0 Como deve ser )eita a concessão

de senas aos usuários#

0 concessão de sen!as dee ser feita de

maneira for mal, considerando os seguintes

pontos-

solicitar aos usuários a assinatura de

uma declaração, a fim de manter a

confidencialidade de sua sen!a pessoal :isso pode estar incluso nos termos e condiç4es do

contrato de tra#al!o do usuário;N



garantir, aos usuários, *ue estão

sendo fornecidas sen!as iniciais seguras e

temporárias, forçando 8 os a alterá8las

imediatamente no pr imeiro logon+ < for

necimento de sen!as temporárias, nos casos

de es*uecimento por par te dos usuários, dee

ser efetuado somente ap>s a identificação

positia do respectio usuárioN

fornecer as sen!as temporárias aos

usuários de fo r ma segura+ < uso deterceiros ou de mensagens de correio

eletr5nico desprotegidas :não criptografadas;

dee ser eitado+

1.+. ! "ue a instituição pode )a2erpara proteger e controlar as senas

de acesso a seus sistemas#

< sistema de controle de sen!as dee ser

configurado para proteger as sen!as ar ma'enadas

contra uso não autori'ado, sem apresentá8las na

tela do computador, mantendo8as em ar*uios

criptografados e estipulando datas de eG piração

:normalmente se recomenda a troca de sen!as

ap>s R0 ou D0 dias;+ lguns sistemas, al6m de

criptografar as sen!as, ainda guardam essas

informaç4es em ar*uios escondidos *ue não

podem ser istos por usuários, dificultando, assim,

a ação dos !acers+

&ara eitar o uso fre*Oente das mesmas

sen!as, o sistema de controle de sen!as deemanter um !ist>rico das )ltimas sen!as

utili'adas por cada usuário+ Hee8se ressaltar,

entretanto, *ue a

troca muito fre*Oente de sen!as tam#6m pode

confundir o usuário, *ue poderá passar a escreer

a sen!a em algum lugar isíel ou escol!er uma

sen!a mais fácil, comprometendo, assim, sua

segurança+

< gerente de segurança dee desa#ilitar contas

inatias, sem sen!as ou com sen!as padroni'adas+

t6 mesmo a sen!a temporária fornecida ao

usuário pela ger9ncia de segurança dee ser

gerada de forma *ue =á entre eGpirada no sistema,

eGigindo uma noa sen!a para os pr>Gimos logons+

&ortanto, dee !aer um procedimento *ue force

a troca de sen!a imediatamente ap>s a primeira

autenticação, *uando o usuário poderá escol!er

a sen!a *ue será utili'ada dali por diante+

AG8funcionários deem ter suas sen!as #lo*ueadas+ &ara isso, deem eGistir

procedimentos administratios eficientes *ue

informem o gerente de segurança, ou o

administrador dos sistemas, da ocorr9ncia de

demiss4es ou de desligamentos de funcionários+

Asses procedimentos, na prática, nem sempre são

seguidos, eGpondo aorgani'ação

a riscosindese=áeis+

"a m#6m deem ser #lo*ueadas contas

de usuários ap>s um deter minado n)mero

de tentatias de acesso sem sucesso+ A sse

procedimento diminui os riscos de algu6m tentar

adiin!ar as sen!as+ 0tingido esse limite, s> o

administrador do sistema poderá des#lo*uear a

conta do usuário, por eGemplo+



1.+.3 45istem outras )ormas de autenticação

do usuário6 al-m do uso de senas#

Sim+ 0 autenticação dos usuários pode ser

feita a par tir de toens, ou ainda, de sistemas

#iom6tricos+

1.+.17 ! "ue são to8 ens#

0 id6ia de fo r necer toens a os usuárioscomo forma de identificá8los 6 #astante antiga+

3o nosso dia8a8dia, estamos fre*Oentemente

utili'ando toens para acessar alguma coisa+ s

c!aes *ue a#rem a porta da sua resid9ncia ou

seu cartão com tar=a magn6tica para utili'ar o caiGa

eletr5nico do #anco são eGemplos de toens+ <

cartão magn6tico 6 ainda uma toen especial, poisguarda outras informaç4es, como, por eGemplo, a

sua conta #ancária+

"oen pode ser definida, então, como um

o#=eto *ue o usuário possui, *ue o diferencia das

outras pessoas e o !a#ilita a acessar algum o#=eto+

0 desantagem das toens em relação @s sen!as 6

*ue essas, por serem o#=etos, podem ser perdidas,

rou#adas ou reprodu'idas com maior facilidade+

1.+.11 ! "ue são cart*es

magn-ticos inteligentes#

<s cart4es inteligentes são toens *ue cont9m

microprocessadores e capacidade de mem>ria

suficiente para arma'enar dados, a fim de dificultar

sua utili'ação por outras pessoas *ue não seus

proprietários legítimos+

< primeiro car tão inteligente, patenteado

em /D7E, foi o de oland 1oreno, considerado

o pai do car tão inteligente+ Comparado ao

cartão magn6tico, *ue 6 um simples dispositio

de mem>ria, o cartão inteligente não s> pode

arma'enar informaç4es para serem lidas, mas

tam#6m 6 capa' de processar informaç4es+ Sua

clonagem 6 mais difícil e a maioria dos car t4es

inteligentes ainda oferece criptografia+

3ormalmente o usuário de cartão inteligente

precisa fornecer uma sen!a @ leitora de cartão para

*ue o acesso se=a permitido, como uma medida de

proteção a mais contra o rou#o de car t4es+

s instituiç4es #ancárias, financeiras e

goer namentais são os principais usuáriosdessa tecnologia, em função de seus #enefícios

em relação @ segurança de informaç4es e pela

possi#ilidade de redução de custos de instalaç4es e

de pessoal, como, por eGemplo, a su#stituição dos

guic!9s de atendimento ao p)#lico nos #ancos por

caiGas eletr5nicos+ <s cart4es inteligentes t9m sido

usados em diersas aplicaç4es- cart4es #ancários,

telef5nicos e de cr6dito, din!eiro eletr5nico,

segurança de acesso, carteiras de identidade+

1.+.1$ ! "ue são sistemas biom-tricos#

<s sistemas #iom6tricos são sistemas

automáticos de erificação de identidade

#aseados em características físicas dousuá rio + Asses sistemas t9m como o#=etio

suprir defici9ncias de segurança das sen!as, *ue

podem ser reeladas ou desco#er tas, e das

toens, *ue podem ser perdidas ou rou#adas+



<s sistemas #iom6tricos automáticos são

uma eolução natural dos sistemas manuais

de recon!ecimento amplamente difundidos !á

muito tempo, como a análise grafol>gica de

assinaturas, a análise de impress4es digitais e o

recon!ecimento de o'+ To=e =á eGistem sistemas

ainda mais sofisticados, como os sistemas de

análise da conformação dos asos sangOíneos

na retina+

1.+.1% &ue caracter9sticas umanas podem

ser veri)icadas por sistemas biom-tricos#

"eoricamente, *ual*uer característica !umana

pode ser usada como #ase para a identificação

#iom6trica + 3a prática, entretanto, e Gistem

algumas limitaç4es+ 0 tecnologia dee ser capa'

de medir determinada característica de tal for ma*ue o indiíduo se=a realmente )nico, distinguindo

inclusie g9meos, por6m não dee ser inasia ou

ferir os direitos dos indiíduos+

$m dos pro#lemas enfrentados pelos sistemas

#iom6tricos atuais 6 sua alta taGa de erro, em

função da mudança das características de uma

pessoa com o passar dos anos, ou deido a

pro#lemas de sa)de ou o pr>prio nerosismo,

por eGemplo+ 0 toler?ncia a erros dee ser

esta#elecida com precisão, de forma a não ser

grande o suficiente para admitir impostores,

nem pe*uena demais a ponto de negar acesso

a usuários legítimos+ #aiGo serão apresentadas

algumas características !umanas erificadas por sistemas #iom6tricos eGistentes-

Impress4es digitais são

características )nicas e consistentes+ 3os

sistemas #iom6tricos *ue utili'am essa opção,

são arma'enados de

U0 a R0 pontos para erificar uma identidade+ <

sistema compara a impressão lida com impress4es

digitais de pessoas autori'adas, ar ma'enadas

em sua #ase de dados+ 0tualmente, estão sendo

utili'adas impress4es digitais em alguns sistemas

goernamentais, como, por eGemplo, o sistema

de preid9ncia social na Aspan!a e o de registro

de eleitores na Costa icaN

Po' os sistemas de recon!ecimento de

o' são usados para controle de acesso, por6m

não são tão confiáeis como as impress4es

digitais, em função dos erros causados por ruídos

do am#iente e de pro#lemas de garganta ou nascordas ocais das pessoas a eles su#metidasN

Jeometria da mão tam#6m 6

usada em sistemas de controle de acesso, por6m

essa característica pode ser alterada por

aumento ou diminuição de peso ou pela artriteN

Configuraç ão da íris e da retin a os sistemas *ue utili'am essas características

se prop4em a efetuar identificação mais

confiáel do *ue os sistemas *ue erificam

impress4es digitais+ Antretanto, são sistemas

inasios, pois direcionam feiGes de lu' aos ol!os

das pessoas *ue se su#metem @ sua

identificaçãoN

econ!ecimento facial a tra6s

de ter mogramas 8 o ter mograma facial 6

uma



imagem captada por uma c?mera infraer mel!a

*ue mostra os padr4es t6rmicos de uma face+ Assa

imagem 6 )nica e, com#inada com algoritmos

sofisticados de comparação de diferentes níeis

de temperatura distri#uídos pela face, constitui8se

em uma t6cnica não8inasia, altamente confiáel,

não sendo afetada por alteraç4es de sa)de, idade

ou temperatura do corpo+ São arma'enados ao

todo /D+000 pontos de identificação, podendo

distinguir g9meos id9nticos, mesmo no escuro+< desenolimento dessa tecnologia tem como

um de seus o#=etios #aratear seu custo para

*ue possa ser usada em um n)mero maior de

aplicaç4es de identificação e de autenticação+

1./ Como restringir o acesso

aos recursos in)ormacionais#

< fato de um usuário ter sido identificado

e autenticado não *uer di'er *ue ele poderá

acessar *ual*uer informação ou aplicatio sem

*ual*uer restrição+ Hee8se implementar um

controle específico, restringindo o acesso dos

usuários apenas @s aplicaç4es, ar*uios e utilitários

imprescindíeis para desempen!ar suas funç4es

na organi'ação+ Asse controle pode ser feito por

menus, funç4es ou ar*uios+

1./.1 :ara "ue servem os controles de menu#

<s controles de menu podem ser usados para

restringir o acesso de diferentes categorias de

usuários apenas @*ueles aplicatios ou utilitários

indispensáeis a cada categoria+

&or e Gemplo , em um sistema de fol!a de

pagamento, poderá ser apresentado um menu

inicial com tr9s opç4es diferentes- funcionário,

gerente e setor de recursos !umanos+ 3esse caso,

o administrador do sistema deerá conceder

acesso a cada uma das opç4es de acordo com a

função desempen!ada pelo usuário+ &ortanto, o

funcionário s> terá acesso a dados da sua fol!a

de pagamento pessoal, en*uanto *ue o gerente

poderá ter acesso a algumas infor maç4es da

fol!a de seus funcionários+ < setor de recursos

!umanos, para poder alimentar a #ase de dados

de pagamento, o#terá um níel diferente de

acesso e sua interação com o sistema será feita a

partir de menus pr>prios para a administração de

pessoal+ <s menus apresentados ap>s a seleção de

uma das opç4es :funcionário, gerente ou setor derecursos !umanos; serão, portanto, diferentes+

1./.$ :ara "ue servem os controles

de )unç*es de aplicativos#

3o *ue di' respeito @s funç4es internas dos

aplicatios, os respectios proprietários deerão

definir *uem poderá acessá8las e como, por meio

de autori'ação para uso de funç4es específicas ou

para restrição de acesso a funç4es de acordo com

o usuário :menus de acesso predefinidos;, !orário

ou tipo de recursos :impressoras, fitas #acup;+

1./.% Como proteger ar"uivos#

0 maioria dos sistemas operacionais possui

mecanismos de controle de acesso *ue definem



as permiss4es e os priil6gios de acesso para

cada recurso ou ar*uio no sistema+ Vuando

um usuário tenta acessar um recurso, o sistema

operacional erifica se as definiç4es de acesso

desse usuário e do recurso dese=ado conferem+ <

usuário s> conseguirá o acesso se essa erificação

for positia+

&ara garantir a segurança l>gica, pode8se

especificar dois tipos de controle, so# >ticas

diferentes-

< *ue um su=eito pode fa'erN ou

< *ue pode ser feito com um o#=eto+

1./.' ! "ue são direitos e

permiss*es de acesso#

Hefinir direitos de acesso indiidualmente para

cada su=eito e o#=eto pode ser uma maneira um

tanto tra#al!osa *uando estierem enolidas

grandes *uantidades de su=eitos e o#=etos+ 0

forma mais comum de definição de direitos de

acesso, nesse caso, 6 a matri' de controle de

acesso+ 3essa matri' pode8se fa'er duas análises-

uma em relação aos su=eitosN outra, em relação

aos o#=etos+

3a primeira a#ordagem, cada su=eito rece#e

uma permissão :ou capacidade; *ue define todos

os seus direitos de acesso+ s permiss4es de acesso

são, então, atri#utos, associados a um su=eito ouo#=eto, *ue definem o *ue ele pode ou não fa'er

com outros o#=etos+ Assa a#ordagem, no

entanto, 6 pouco utili'ada, =á *ue, na prática,

com grandes

*uantidades de su=eitos e o#=etos, a isuali'ação

eGata de *uem tem acesso a um deter minado

o#=eto não 6 tão clara, comprometendo, assim,

a ger9ncia de controle de acesso+

3a segunda a#ordagem, os direitos de acesso

são arma'enados com o pr>prio o#=eto for mando

a c!amada lista de controle de acesso :0ccess

Control ist :C;;+

1./.+ ! "ue são listas de controle de acesso#

An*uanto a permissão de acesso define o

*ue um o#=eto pode ou não fa'er com outros, a

lista de controle de acesso define o *ue os outros

o#=etos ou su=eitos podem fa'er com o o#=eto a

ela associado+ s listas de controle de acesso nada

mais são do *ue #ases de dados, associadas a umo#=eto, *ue descreem os relacionamentos entre

a*uele o#=eto e outros, constituindo8se em um

mecanismo de garantia de confidencialidade e

integridade de dados+

0 definição das listas de controle de acesso

dee ser sempre feita pelos proprietários dosrecursos, os *uais determinam o tipo de proteção

ade*uada a cada recurso e *uem efetiamente

terá acesso a eles+

0 ger9ncia das listas de controle de acesso,

na prática, tam#6m 6 complicada+ &ara redu'ir

os pro#lemas de gerenciamento dessas listas e o

espaço de mem>ria ou disco por elas ocupado,

costuma8se agrupar os su=eitos com características

semel!antes ou direitos de acesso iguais+ Hessa

forma, os direitos de acesso são associados a



grupos, e não a su=eitos indiiduali'ados+ Pale

ressaltar *ue um su=eito pode per tencer a um

ou mais grupos, de acordo com o o#=eto a ser

acessado+

1.0 Como monitorar o acessoaos recursos in)ormacionais#

< monitoramento dos sistemas de infor mação

6 feito, normalmente, pelos registros de log, tril!asde auditoria ou outros mecanismos capa'es de

detectar inas4es+ Asse monitoramento 6 essencial

@ e*uipe de segurança de informaç4es, =á *ue 6

praticamente impossíel eliminar por completo

todos os riscos de inasão por meio da identificação

e autenticação de usuários+

3a ocorr9ncia de uma inasão, fal!a do sistema

ou atiidade não autori'ada, 6 imprescindíel

reunir eid9ncias suficientes para *ue possam

ser tomadas medidas corretias necessárias ao

resta#elecimento do sistema @s suas condiç4es

normais, assim como medidas administratias e%

ou =udiciais para inestigar e punir os inasores+

0 forma mais simples de monitoramento 6

a coleta de informaç4es, so#re deter minados

eentos, em ar*uios !ist>ricos, mais con!ecidos

como logs+ Com essas informaç4es, a e*uipe

de segurança 6 capa' de registrar eentos e de

detectar tentatias de acesso e atiidades não

autori'adas ap>s sua ocorr9ncia+

1.0.1 ! "ue são logs#

<s logs são registros cronol>gicos de atiidades

do sistema *ue possi#ilitam a reconstrução, reisão

e análise dos am#ientes e das atiidades relatias

a uma operação, procedimento ou eento,

acompan!ados do início ao fim+

<s logs são utili'ados como medidas de

detecção e monitoramento, registrando atiidades,

fal!as de acesso :tentatias frustradas de logon ou

de acesso a recursos protegidos; ou uso do sistema

operacional, utilitários e aplicatios, e detal!ando

o *ue foi acessado, por *uem e *uando+ Com

os dados dos logs, pode8se identificar e corrigir

fal!as da estrat6gia de segurança+ &or conterem

informaç4es essenciais para a detecção de acesso

não autori'ado, os ar*uios de log deem ser

protegidos contra alteração ou destruição por usuários ou inasores *ue *ueiram enco#rir suas

atiidades+

1.0.$ ! "ue deve ser registrado em logs#

Heido @ grande *uantidade de dados

arma'enada em logs, dee8se lear em

consideração *ue seu uso pode degradar o

desempen!o dos sistemas+ Sendo assim, 6

aconsel!áel #alancear a necessidade de

registro de atiidades críticas e os custos, em

termos de desempen!o glo#al dos sistemas+

3ormalmente, os registros de log incluem-

identificação dos usuáriosN

datas e !orários de entrada :logon; e

saída do sistema :logoff;N



identificação da estação de tra#al!oe,

*uando possíel, sua locali'açãoN

#lo*ueio :por eGemplo, proteção de tela com

sen!a;N

registros das tentatias de acesso :aceitas

e re=eitadas; ao sistemaN

registros das tentatias de acesso :aceitas

e re=eitadas; a outros recursos e dados+

o definir o *ue será registrado, 6 preciso

considerar *ue *uantidades enormes de registros

podem ser iniáeis de serem monitoradas+ 3ada

adianta ter um log se ele não 6 periodicamente

reisado+ &ara auGiliar a ger9ncia de segurança

na árdua tarefa de análise de logs, podem ser

preiamente definidas tril!as de auditoria mais

simples e utili'ados softMares especiali'ados

disponíeis no mercado, específicos para cada

sistema operacional+

1. !utros controles

de acesso lgico

<utro recurso de proteção #astante utili'ado

em alguns sistemas 6 o time8out automático, isto6, a sessão 6 desatiada ap>s um deter minado

tempo sem *ual*uer atiidade no terminal ou

computador+ &ara restaurá8la, o usuário 6

o#rigado a fornecer noamente seu IH e sen!a+

Am alguns sistemas operacionais, o pr>prio

usuário, ap>s sua !a#ilitação no processo de

logon, pode atiar e desatiar essa função de

time8out+ 3esse sentido, os usuários deem ser

orientados a-

encerrar as sess4es atias, a menos

*ue elas possam ser protegidas por

mecanismo de

no caso de terminal conectado a

computador de grande porte, efetuar a

desconeGão *uando a sessão for finali'ada

:não apenas desligar o terminal, mas utili'ar

o procedimento para desconeGão;+

Como controle de acesso l>gico, a ger9ncia

de segurança pode ainda limitar o !orário de uso

dos recursos computacionais de acordo com a real

necessidade de acesso aos sistemas+ &ode8se, por

eGemplo, desa#ilitar o uso dos recursos nos fins

de semana ou @ noite+

( usual tam#6m limitar a *uantidade de

sess4es concorrentes, impedindo *ue o usuárioconsiga entrar no sistema ou na rede a partir de

mais de um terminal ou computador

simultaneamente+ Isso redu' os riscos de acesso

ao sistema por inasores, pois se o usuário

autori'ado =á estier conectado, o inasor não

poderá entrar no sistema+ Ha mesma forma, se o

inasor estier logado, o usuário autori'ado, aotentar se conectar, identificará *ue sua conta =á

está sendo usada e poderá notificar o fato @

ger9ncia de segurança+

1.3 !nde as regras de controle

de acesso são de)inidas#

s regras de controle e direitos de acesso para

cada usuário ou grupo deem estar claramente

definidas no documento da política de controle de

acesso da instituição, o *ual deerá ser for necido

aos usuários e proedores de ser iço para *ue



tomem con!ecimento dos re*uisitos de segurança

esta#elecidos pela ger9ncia+

1.3.1 ! "ue considerar na elaboração

da pol9tica de controle de acesso#

0 política de controle de acesso dee lear em

conta-

1.3.$ &ue cuidados devem ser tomados na

de)inição das regras de controle de acesso#

o especificar as regras de controle de acesso,

deem ser considerados os seguintes aspectos-

diferenciar regras *ue sempre deem

ser cumpridas das regras opcionais ou

condicionaisN

os re*uisitos de segurança de

aplicaç4es específicas do neg>cio da instituiçãoN

a identificação de toda informação

referente @s aplicaç4es de neg>cioN

esta#elecer regras #aseadas na

premissa W "udo dee s e r p ro i# ido a

menos *ue eGpressamente permitidoX ao

in6s da regra W"udo 6 permitido a menos *ue

eGpressamente

proi#idoXN

as políticas para autori'ação e

distri#uição de informação :por eGemplo, a

necessidade de con!ecer os princípios e níeis de

segurança, #em

como a classificação da infor mação;N

diferenciar as permiss4es de usuários

*ue são atri#uídas automaticamente por um

sistema de infor mação da*uelas atri#uídas

por um

administradorN

a compati#ilidade entre o controle de

acesso e as políticas de classificação dainformação dos diferentes sistemas e redesN

a legislação igente e *ual*uer

o#rigação contratual, considerando a proteção

do acesso a dados ou ser içosN

o per fil de acesso padrão para categorias

de usuários comunsN

priori'ar regras *ue necessitam da

aproação de um administrador antes dali#eração da*uelas *ue não necessitam de tal

aproação+

1.3.% &ue tipo de regras de controle de

acesso devem ser )ormali2adas na pol9tica#

< acesso aos sistemas de informação dee ser

controlado por um processo formal, o *ual deerá

a#ordar, entre outros, os seguintes t>picos-

o gerenciamento dos direitos de acesso

em todos os tipos de coneG4es disponíeis em

um am#iente distri#uído conectado em rede+

utili'ação de um identificador de usuário

:IH; )nico, de forma *ue cada usuário possa ser

identificado e responsa#ili'ado por suas aç4esN



erificação se o usuário o#tee

autori'ação do proprietário do sistema de

informação ou seriço para sua utili'açãoN

erificação se o níel de acesso

concedido ao usuário está ade*uado aos

prop>sitos do neg>cio e consistente com a

política de segurança da organi'açãoN

fornecimento, aos usuários, de

documento escrito com seus direitos de acesso+

<s usuários deerão assinar esse documento,

indicando *ue entenderam as condiç4es de

seus direitos de acessoN

manutenção de um registro formal de

todas as pessoas cadastradas para usar cada

sistema de infor maç4esN

remoção imediata dos direitos de

acesso de usuários *ue mudarem de função ou

saírem da organi'açãoN

erificação peri>dica da lista de

usuários, com intuito de remoer usuários

ineGistentes e IHs em duplicidadeN

inclusão de cláusulas nos contratos

de funcionários e prestadores de ser iço,

*ue especifi*uem as sanç4es a *ue estarão

su=eitos em caso de tentatia de acesso não

autori'ado+

1.17 &uem - o responsável peloscontroles de acesso lgico#

0 responsa#ilidade so#re os controles de

acesso l>gico pode ser tanto do gerente do

am#iente operacional como dos proprietários :ou

gerentes; de aplicatios+ < gerente do am#iente

operacional dee controlar o acesso @ rede, ao

sistema operacional e seus recursos e, ainda, aos

aplicatios e ar*uios de dados+ ( responsáel,

assim, por proteger os recursos do sistema contra

inasores ou funcionários não autori'ados+

An*uanto isso, os proprietários dos aplicatios

são responsáeis por seu controle de acesso,

identificando *uem pode acessar cada um dos

sistemas e *ue tipo de operaç4es pode eGecutar +

&or con!ecerem #em o sistema aplicatio so# sua

responsa#ilidade, os proprietários são as pessoas

mais indicadas para definir priil6gios de acesso de

acordo com as reais necessidades dos usuários+

Hessa for ma, as responsa#ilidades so#re

segurança de acesso são segregadas entre o

gerente do am#iente operacional de infor mática

e os gerentes de aplicatios+

1.11 4m "ue os usuários podem

a,udar na implantação doscontroles de acesso lgico#

0 cooperação dos usuários autori'ados 6

essencial para a eficácia da segurança+ <s usuários

deem estar cientes de suas responsa#ilidades para

a manutenção efetia dos controles de acesso,

considerando, particularmente, o uso de sen!as

e a segurança dos e*uipamentos de infor mática

*ue costumam utili'ar+




22

$. :ol9tica de Segurança de In)ormaç*es 3este Capítulo serão apresentados conceitos

relatios @ política de segurança de infor maç4es,

#em como *uest4es *ue demonstram a

import?ncia de sua ela#oração, implementação

e diulgação+

$.1 ! "ue visa a segurança

de in)ormaç*es#

0 segurança de informaç4es isa garantir a

integridade, confidencialidade, autenticidade e

disponi#ilidade das informaç4es processadas pela

organi'ação+ 0 integridade, a confidencialidade ea autenticidade de informaç4es estão

intimamente relacionadas com os controles de

acesso a#ordados no Capítulo /+

$.1.1 ! "ue - integridade de in)ormaç*es#

Consiste na fidedignidade de infor maç4es+

Sinali'a a conformidade de dados ar ma'enados

com re lação @s inserç4es , a l te raç4es e

processamentos autori'ados efetuados+ Sinali'a,

ainda, a conformidade dos dados transmitidos

pelo emissor com os rece#idos pelo destinatário+ 0

manutenção da integridade pressup4e a garantia

de não 8iolação dos dados com intuito de

alteração, graação ou eGclusão, se=a ela acidental

ou proposital+

$.1.$ ! "ue - con)idencialidade

de in)ormaç*es#

Consiste na garantia de *ue somente pessoas

autori'adas ten!am acesso @s infor maç4es

arma'enadas ou transmitidas por meio de redes

de comunicação+ 1anter a confidencialidade pressup4e assegurar *ue as pessoas não tomem

con!ecimento de informaç4es, de forma acidental

ou proposital, sem *ue possuam autori'ação para

tal procedimento+

$.1.% ! "ue - autenticidade de in)ormaç*es#

Consiste na garantia da eracidade da fonte

das informaç4es+ &or meio da autenticação 6

possíe l confirmar a identidade da pessoa ou

entidade *ue presta as infor maç4es+



$.1.' ! "ue - disponibilidade

de in)ormaç*es#

Consiste na garantia de *ue as infor maç4es

este=am acessíeis @s pessoas e aos processos

autori'ados, a *ual*uer momento re*uerido,

durante o período acordado entre os gestores

da informação e a área de informática+ 1anter a

disponi#ilidade de informaç4es pressup4e garantir

a prestação contínua do seriço, sem inter r upç4esno fornecimento de informaç4es para *uem de

direito+

$.$ :or "ue - importante 2elarpela segurança de in)ormaç*es#

&or*u e a info r mação 6 um atio muito

importante para *ual*uer organi'ação, podendo

ser considerada, atualmente, o recurso patrimonial

mais crítico+ Infor maç4es adulteradas, não 8

disponíeis, so# con!ecimento de pessoas de

má8f6 ou de concorrentes podem comprometer

significatiamente, não apenas a imagem da

organi'ação perante terceiros, como tam#6m o

andamento dos pr>prios processos organi'acionais+

( possíel inia#ili'ar a continuidade de uma

organi'ação se não for dada a deida atenção @

segurança de suas infor maç4es+

$.% ! "ue - pol9tica de segurança

de in)ormaç*es ; :SI#

&olítica de segurança de informaç4es 6 um

con=unto de princípios *ue nor teiam a gestão

de segurança de informaç4es e *ue dee ser

o#ser ado pelo corpo t6cnico e gerencia l e

pelos usuários internos e eGternos+ s diretri'es

esta#elecidas nesta política determinam as lin!as

mestras *ue deem ser seguidas pela organi'ação

pa ra *ue se =a m assegurados seus recursos

computacionais e suas infor maç4es+

$.' &uem são os responsáveis

por elaborar a :SI#

( recomendáel *ue na est r utu ra da

organi'ação eGista uma área responsáel pela

segurança de informaç4es, a *ual dee iniciar o

processo de ela#oração da política de segurança

de infor maç4es, #em como coordenar sua

implantação, aproá8la e reisá8la, al6m de

designar funç4es de segurança+

Pale salientar, entretanto, *ue pessoas de

áreas críticas da organi'ação deem par ticipar

do processo de ela#oração da &SI, como a

alta administração e os diersos gerentes e

proprietários dos sistemas informati'ados+ l6m

disso, 6 recomendáel *ue a &SI se=a aproada pelo

mais alto dirigente da organi'ação+

$.+ &ue assuntos devem

ser abordados na :SI#

0 po lí ti ca de segurança de infor maç4es

dee eGtrapolar o escopo a#rangido pelas áreas

de sistemas de infor mação e pelos recursos

computacionais+ Ala não dee ficar restrita @

área de informática+ o contrário, ela dee estar

integrada @ isão, @ missão, ao neg>cio e @s metas



institucionais, #em como ao plano estrat6gico

de infor mática e @s políticas da organi'ação

concernentes @ segurança em geral+

políticas de controle de acesso a recursos

e sistemas computacionaisN

classifi cação das infor maç4es :deuso

< conte)do da &SI aria, de organi'ação

para organi'ação, em função de seu estágio de

maturidade, grau de informati'ação, área de

atuação, cultura organi'acional, necessidades

re*ueridas, re*uisitos de segurança, entre outros

aspectos+ 3o entanto, 6 comum a presença dealguns t>picos na &SI, tais como-

definição de segurança de informaç4es e

de sua import?ncia como mecanismo *ue

possi#ilita o compartil!amento de infor maç4esN

irrestrito, interno, confidencial e secretas;N

procedimentos de preenção e

detecção de írusN

princípios legais *ue deem ser o#serados *uanto @ tecnologia da informação

:direitos de propriedade de produção

intelectual, direitos so#re softMare, normas

legais correlatas aos sistemas desenolidos,

cláusulas contratuais;N

pr inc íp ios de super isão constante

declaração do comprometimento da

alta administração com a &SI, apoiando suas

metas e princípiosN

o#=etios de segurança da organi'açãoN

das tentatias de iolação da segurança de

infor maç4esN

conse*O9ncias de iolaç4es de

nor mas esta#elecidas na política de segurançaN

definição de responsa#ilidades gerais

nagestão de segurança de infor maç4esN

princípios de gestão da continuidade do

neg>cioN

orientaç4es so#re análise e ger9ncia

de riscosN

princípios de conformidade dos

sistemas computacionais com a &SIN

padr4es mínimos de *ualidade *ue

esses sistemas deem possuirN

plano de treinamento em segurança

de infor maç4es+

$./ &ual o n9vel de pro)undidade

"ue os assuntos abordadosna :SI devem ter#

0 política de segurança de informaç4es dee

conter princípios, diretri'es e regras gen6ricos e



amplos, para aplicação em toda a organi'ação+

l6m disso, ela dee ser clara o suficiente para ser

#em compreendida pelo leitor em foco, aplicáele de fácil aceitação+ 0 compleGidade e eGtensão

eGageradas da &SI pode lear ao fracasso de sua

implementação+

Ca#e destacar *ue a &SI pode ser composta

por árias polí ticas inter8relacionadas, como a

política de sen!as, de #acup, de contratação einstalação de e*uipamentos e softMares+

0 demais, *uando a organi'ação ac!ar

coneniente e necessário *ue sua &SI se=a mais

a#rangente e detal!ada, sugere8se a criação de

outros documentos *ue especifi*uem práticas

e procedimentos e *ue descream com mais

detal!es as regras de uso da tecnologia da

informação+ Asses documentos costumam dispor

so#re regras mais específicas, *ue detal!am

as responsa#ilidades dos usuários, gerentes

e auditores e, normalmente, são atuali'ados

com maior fre*O9ncia+ 0 &SI 6 o primeiro de

muitos documentos com informaç4es cada e'

mais detal!adas so#re procedimentos, práticas

e padr4es a serem aplicados em deter minadas

circunst?ncias, sistemas ou recursos+

$.0 Como se dá o processo

de implantação da :SI#

< processo de implantação da política desegurança de informaç4es dee ser formal+ 3o

decorrer desse processo, a &SI dee per manecer

passíel a a=ustes para mel!or adaptar8se @s

reais necessidades+ < tempo desde o início at6

a completa implantação tende a ser longo+ Am

resumo, as principais etapas *ue condu'em @

implantação #em8sucedida da &SI são- ela#oração,

aproação, implementação, diulgação e

manutenção+ 1uita atenção dee ser dada @s

duas )ltimas etapas, !a=a ista ser comum sua

não8 o#ser?ncia+ 3ormalmente, ap>s a

consecução das tr9s primeiras etapas, as

ger9ncias de segurança acreditam ter cumpridoo deer e es*uecem da import?ncia da

diulgação e atuali'ação da &SI+

He forma mais detal!ada, pode8se citar como

as principais fases *ue comp4em o processo de

implantação da &SI-

identificação dos recursos críticosN

classificação das infor maç4esN

definição, em lin!as gerais, dos o#=etios

de segurança a serem atingidosN

análise das necessidades de segurança:identificação das possíeis ameaças, análise de

riscos e impactos;N

ela#oração de proposta de políticaN

discuss4es a#ertas com os enolidosN

apresentação de documento for mal@ ger9ncia superiorN

aproaçãoN



pu#licaçãoN

diulgaçãoN

treinamentoN

implementaçãoN

aaliação e identificação das

mudanças necessáriasN

reisão+

$. &ual o papel da alta

administração na elaboração

e implantação da :SI#

< sucesso da & S I está di re tamente

relacionado com o enolimento e a atuaçãoda alta administração+ Vuanto maior for o

comprometimento da ger9ncia superior com

os processos de ela#oração e implantação da

&SI, maior a pro#a#ilidade de ela ser efetia e

efica'+ Asse comprometimento dee ser eGpresso

formalmente, por escrito+

$.3 A "uem deve ser

divulgada a :SI#

0 diulgação ampla a todos os usuários

int er no s e e Gter nos @ organi'a ção 6 um

passo indispensáel para *ue o processo de

implantação da &SI ten!a sucesso+ 0 &SI dee ser

de con!ecimento de todos *ue interagem com a

organi'ação e *ue, direta ou indiretamente, serão

afetados por ela+ ( necessário *ue fi*ue #astante

claro, para todos, as conse*O9ncias adindas do

uso inade*uado dos sistemas computacionais e de

informaç4es, as medidas preentias e cor retias

*ue estão a seu cargo para o #om, regular e

efetio controle dos atios computacionais+ 0 &SI

fornece orientação #ásica aos agentes enolidos

de como agir corretamente para atender @s regras

nela esta#elecidas+ ( importante, ainda, *ue a &SI

este=a permanentemente acessíel a todos+

$.17 ! "ue )a2er "uandoa :SI )or violada#

0 pr>pria &olítica de Segurança de Infor maç4es

dee preer os procedimentos a serem adotados

para cada caso de iolação, de acordo com sua

seeridade, amplitude e tipo de infrator *ue a perpetra+ 0 punição pode ser desde uma simples

ader t9ncia er#al ou escr ita at6 uma ação

=udicial+

0 ei n+Y D+DZF, de /U de =ul!o de 2000, *ue

altera o C>digo &enal Brasileiro, =á pre9 penas

para os casos de iolação de integridade e *ue#ra

de sigilo de sistemas informati'ados ou #anco de

dados da 0dministração &)#lica+ < noo art+ F/F8

0 trata da inserção de dados falsos em sistemas de

informação, en*uanto o art+ F/F8B discorre so#re

a modificação ou alteração não autori'ada desses

mesmos sistemas+ < [ /Y do art+ /EF do C>digo

&enal foi alterado e, atualmente, define penas

*uando da diulgação de informaç4es sigilosasou reser adas, contidas ou não nos #ancos de

dados da 0dministração &)#lica+ < for necimento



ou empr6stimo de sen!a *ue possi#ilite o

acesso de pessoas não autori'adas a sistemas de

informaç4es 6 tratado no inciso I do [ /Y do art+

F2E do C>digo &enal+

3este t>pico, fica ainda mais eidente a

import?ncia da conscienti'ação dos funcionários

*uanto @ &SI+ $ma e' *ue a &olítica se=a de

con!ecimento de todos da organi'ação, não será

admissíel *ue as pessoas aleguem ignor?ncia*uanto @s regras nela esta#elecidas a fim de

lirar8 se da culpa so#re iolaç4es cometidas+

Vuando detectada uma iolação, 6 preciso

aeriguar suas causas, conse*O9ncias e

circunst?ncias em *ue ocorreu+ &ode ter sido

deriada de um simples acidente, erro ou mesmo

descon!ecimento da &SI, como tam#6m de

neglig9ncia, ação deli#erada e fraudulenta+ Assa

aeriguação possi#ilita *ue ulnera#ilidades, at6

então descon!ecidas pelo pessoal da ger9ncia de

segurança, passem a ser consideradas, eGigindo,

se for o caso, alteraç4es na &SI+

$.11 <ma ve2 de)inida6 a:SI pode ser alterada#

0 &SI não s> pode ser alterada, como dee

passar por processo de reisão definido e peri>dico

*ue garanta sua reaaliação a *ual*uer mudança

*ue en!a afetar a análise de risco original, tais

como- incidente de segurança significatio, noasulnera#ilidades, mudanças organi'acionais ou

na infra8estrutura tecnol>gica+ l6m disso, dee

!aer análise peri>dica da efetiidade da política,

demonstrada pelo tipo, olume e impacto dos

incidentes de segurança registrados+ ( dese=áel,

tam#6m, *ue se=am aaliados o custo e o impacto

dos controles na efici9ncia do neg>cio, a fim de

*ue esta não se=a comprometida pelo eGcesso ou

escasse' de controles+

( importante frisar, ainda, *ue a &SI dee ter

um gestor responsáel por sua manutenção e

análise crítica+

$.1$ 45istem normas sobre :SI para

a Administração :=blica >ederal#

< Hecreto n+Y F+E0E, de /F de =un!o de 2000,

instituiu a &olítica de Segurança da Infor mação

nos >rgãos e entidades da 0 dministração

&)#lica .ederal+ Am lin!as gerais, os o#=etios

traçados nessa &SI di'em respeito @ necessidade

de capacitação e conscienti'ação das pessoas

lotadas nos >rgãos e entidades da 0dministração

&)#lica .ederal *uanto aos aspectos de segurança

da informaçãoN e necessidade de ela#oração e

edição de instrumentos =urídicos, nor matios

e organi'acionais *ue promoam a efetia

implementação da segurança da informação+ Com

relação @s mat6rias *ue esses instrumentos deem

ersar, o Hecreto menciona-

padr4es relacionados ao

emprego dos produtos *ue incorporam

recursos criptográficosN

normas gerais para uso e

comerciali'ação dos recursos criptográficosN



no r mas, pa dr 4es e demais aspectos

necessários para assegurar a confidencialidade

dos dadosN

nor ma s relacionadas @ emissão de

certificados de confor midadeN

normas relatias @ implementação dos

sistemas de segurança da informação, com intuito

de garantir a sua interopera#ilidade, o#tenção

dos níeis de segurança dese=ados e per manente

disponi#ilidade dos dados de interesse para a

defesa nacional+

L




FF

%. :lano de Conting?ncias 3este Capítulo será apresentada a import?ncia

de definição de estrat6gias *ue permitam *ue uma

instituição retorne @ sua normalidade, em caso de

acontecimento de situaç4es inesperadas+

%.1 ! "ue - :lano de Conting?ncias#

&lano de Conting9ncias consiste num con=unto

de estrat6gias e procedimentos *ue deem ser

adotados *uando a instituição ou uma área

depara8se com pro#lemas *ue comprometem o

andamento normal dos processos e a conse*Oente

prestação dos ser iços + Assas estrat 6gias e

procedimentos deerão minimi'ar o impacto

sofrido diante do acontecimento de situaç4es

inesperadas, desastres, fal!as de segurança, entre

outras, at6 *ue se retorne @ normalidade+ < &lano

de Conting9ncias 6 um con=unto de medidas *ue

com#inam aç4es preentias e de recuperação+

<#iamente, os tipos de riscos a *ue estão

su=eitas as organi'aç4es ariam no tempo e no

espaço+ &or6m, pode8se citar como eGemplos

de riscos mais comuns a ocorr9ncia de desastres

naturais :enc!entes, ter remotos, furac4es;,

inc9ndios, desa#amentos, fal!as de e*uipamentos,

acidentes, grees, terrorismo, sa#otagem, aç4es

intencionais+

< &lano de Cont ing9ncias pode ser desenolido por organi'aç4es *ue conten!am

ou não sistemas computadori'ados+ &or6m,

para efeito desta car til!a, o &lano aplica8se @s

organi'aç4es *ue, em menor ou maior grau,

dependem da tecnologia da informação, pois fa'8

se refer9ncia aos riscos a *ue essa área está su=eita,

#em como aos aspectos releantes para superar pro#lemas decor rentes+

%.$ &ual - a import@ncia do

:lano de Conting?ncias#

0tualmente, 6 in*uestionáel a depend9ncia

das organi'aç4es aos computadores, se=am

eles de pe*ueno, m6dio ou grande porte+ Assa

característica *uase generali'ada, por si s>, =á

6 capa' de eGplicar a impor t?ncia do &lano de

Conting9ncias, pois se para fins de manutenção



de seus ser iços, as organi'aç4es dependem de

computadores e de informaç4es ar ma'enadas

em meio eletr5nico, o *ue fa'er na ocor r9ncia

de situaç4es inesperadas *ue comprometam

o processamento ou a disponi#ilidade desses

computadores ou informaç4es\ o contrário

do *ue ocorria antigamente, os funcionários

não mais det9m o con!ecimento integral, assim

como a !a#ilidade para consecução dos processos

organi'acionais, pois eles são, muitas e'es,eGecutados de forma transparente+ l6m disso, as

informaç4es não mais se restringem ao papel, ao

contrário, elas estão estrategicamente organi'adas

em ar*uios magn6ticos+

&or conseguinte, pode8se considerar o &lano

de Conting9ncias *uesito essencial para as

organi'aç4es preocupadas com a segurança de

suas infor maç4es+

seriços temporários ou com restriç4es, *ue, pelo

menos, supram as necessidades imediatas e mais

críticas+ Ca#e destacar *ue o &lano 6 um entre

ários re*uisitos de segurança necessários para

*ue os aspectos de integridade e disponi#ilidade

se=am preserados durante todo o tempo+

%.' Como iniciar a elaboração

do :lano de Conting?ncias#

ntes da ela#oração do &lano de Conting9ncias

propriamente dito, 6 importante analisar alguns

aspectos-

riscos a *ue está eGposta a organi'ação,

pro#a#il idade de ocor r9ncia e os impactos

decorrentes :tanto a*ueles relatios @ escala do

dano como ao tempo de recuperação;N

conse*O9ncias *ue poderão adir da

%.% &ual - o ob,etivo do


< o#=etio do &lano de Conting9ncias 6 manter

a integridade e a disponi#ilidade dos dados da

organi'ação, #em como a disponi#ilidade dos

seus seriços *uando da ocorr9ncia de situaç4es

fortuitas *ue comprometam o #om andamento

dos neg>cios+ &ossui como o#=etio, ainda,

garantir *ue o funcionamento dos sistemas

infor mati'ados se=a resta#elecido no menor

tempo possíel a fim de redu'ir os impactoscausados por fatos impreistos+ ( normal *ue,

em determinadas situaç4es de anormalidade, o

&lano pree=a a possi#ilidade de fornecimento de

interrupção de cada sistema computacionalN

identificação e priori'ação de

recursos, sistemas, processos críticosN

tempo limite para recuperação dos

recursos, sistemas, processosN

alternatias para recuperação dos

recursos, sistemas, processos, mensurando os

custos e #enefícios de cada alternatia+

%.+ &ue assuntos devem

ser abordados no :lano

de Conting?ncias#



He maneira geral, o &lano de Conting9ncias

cont6m informaç4es so#re-

condiç4es e procedimentos paraatiação do &lano :como se aaliar a situação

proocada por um incidente;N

proced imentos a serem seguidos

imediatamente ap>s a ocor r9nc ia de um

desastre :como, por eGemplo, contato efica' com

as autoridades p)#licas apropriadas- polícia, #om#eiro, goerno local;N

documentação dos aplicatios

críticos, sistema operacional e utilitários,

#em como suprimentos de informática, am#os

disponíeis na instalação resera e capa'es degarantir a #oa eGecução dos processos definidosN

depend9ncia de recursos e seriços

eGter nos ao neg>cioN

procedimentos necessários para restaurar

os seriços computacionais na instalação

reseraN

pess oas re sponsáe is po r e Gecutare

a instalação reser a, com

especificação dos #en s de infor mática nela

disponíeis, como !ardMare, softMare e

e*uipamentos de telecomunicaç4esN

a escala de prioridade dos

aplicatios, de acordo com seu grau de

inter fer9ncia nos resultados operacionais e

financeiros da organi'ação+ Vuanto mais o

aplicatio influenciar na capacidade de

funcionamento da organi'ação, na sua situação

econ5mica e na sua imagem, mais crítico ele seráN

ar*uios, programas,

procedimentos necessários para *ue os

aplicatios críticos entrem em operação no

menor tempo possíel, mesmo *ue

parcialmenteN

sistema operacional, utilitários erecursos de telecomunicaç4es necessários para

assegurar o processamento dos aplicatios

críticos, em grau pr68esta#elecidoN

comandar cada uma das atiidades preistas no

&lano :6 interessante definir suplentes, *uando

se =ulgar necessário;N

refer9ncias para contato dosresponsáeis, se=am eles funcionários ou

terceirosN

organi'aç4es responsáeis por oferecer

seriços, e*uipamentos, suprimentos ou *uais*uer

outros #ens necessários para a restauraçãoN

contratos e acordos *ue façam parte

do plano para recuperação dos ser iços,

como a *u el es efetuados com outros

centros de processamento de dados+

%./ &ual o papel da alta

ger?ncia na elaboração do


( imprescindíel o comprometimento da alta

administração com o &lano de Conting9ncias+ 3a

erdade, este &lano 6 de responsa#ilidade direta



da alta ger9ncia, 6 um pro#lema corporatio, pois

trata8se de esta#elecimento de procedimentos *ue

garantirão a so#rei9ncia da organi'ação comoum todo e não apenas da área de infor mática+

inda, muitas das definiç4es a serem especificadas

são definiç4es relatias ao neg>cio da organi'ação

e não @ tecnologia da infor mação+

0 alta ger9ncia dee designar uma e*uipe

de segurança específica para ela#oração,implementação, diulgação, treinamento,

testes, manutenção e coordenação do &lano

de Conting9ncias+ Aste dee possuir, ainda, um

responsáel específico *ue este=a a frente das

demandas, negociaç4es e tudo mais *ue se fi'er

necessário+

&roaelmente, a alta ger9ncia será demandada

a fi r mar acordos de cooperação com outras

organi'aç4es, assinar contratos orientados para a

recuperação dos seriços, entre outros atos+

Tá de ser considerada, ainda, a *uestão dos

custos+ .a' parte das decis4es da alta ger9ncia o

orçamento a ser disponi#ili'ado para garantir a

eGe*Oi#ilidade do &lano de Conting9ncias, ou se=a,

para possi#ilitar, al6m da sua implementação, sua

manutenção, treinamento e testes+

Hiante dos fatos anteriormente a#ordados,

fic a eid ent e a necessidade precípua de

enolimento da alta ger9ncia com todo processo*ue garantirá o sucesso de implantação do &lano

de Conting9ncias+

%.0 Como garantir "ue o :lano

)uncionará como esperado#

( possíel citar tr9s for mas de garantir a

eficácia do &lano de Conting9ncias- treinamento

e conscienti'ação das pessoas enolidasN testes

peri>dicos do &lano, integrais e parciaisN processo

de manutenção contínua+

%.0.1 Como deve ser reali2ado o treinamentoe a conscienti2ação das pessoas#

( essencial o desenolimento de atiidades

educatias e de conscienti'ação *ue isem ao

perfeito entendimento do processo de continuidade

de ser iços e *ue garantam, por conseguinte, a

efetiidade do &lano deConting9ncias+

Cada funcionário enolido com o processo de

continuidade de seriços, especialmente a*ueles

componentes de e*uipes com responsa#ilidades

específicas em caso de conting9ncias, dee ter em

mente as atiidades *ue dee desempen!ar em

situaç4es emergenciais+ < treinamento dee ser

te>rico e prático, inclusie com simulaç4es+ l6m

do treinamento, a conscienti'ação pode ser feita

de outras formas, como distri#uição de fol!etos e

promoção de palestras informatias e educatias

so#re possíeis acidentes e respectios planos de

recuperação+

&or fim, ale salientar *ue um programa deeducação continuada *ue faça com *ue as pessoas

enolidas sintam8se como participantes atios do

programa de segurança 6 a mel!or maneira de

alcançar o sucesso esperado+



%.0.$ :or "ue o :lano de

Conting?ncias deve ser testado#

<s planos de continuidade do neg>cio

podem apresentar fal!as *uando testados,

geralmente deido a pressupostos incor retos,

omiss4es ou mudanças de e*uipamentos, de

pessoal, de prioridades+ &or isto eles deem ser

testados regularmente, de forma a garantir sua

permanente atuali'ação e efetiidade+ "ais testes

tam#6m deem assegurar *ue todos os enolidosna recuperação e os alocados em outras funç4es

críticas possuam con!ecimento do &lano+

Hee eGistir uma programação *ue especifi*ue

*uando e como o &lano de Conting9ncias deerá

ser testado+ Ale pode ser testado na sua totalidade,

caracteri'ando uma situação #em pr>Gima da

realidadeN pode ser testado parcialmente, *uando

se restringem os testes a apenas um con=unto

de procedimentos, atiidades ou aplicatios

componentes do &lanoN ou, ainda, pode ser

testado por meio de simulaç4es, *uando ocorre

representaç4es de situação emergencial+ 0 par tir

da aaliação dos resultados dos testes, 6 possíel

reaaliar o &lano, alterá8lo e ade*uá8lo, se for o caso+

%.0.% &ue )atos podem provocar

a necessidade de atuali2ação do


1udanças *ue ten!am ocorrido e *ue nãoeste=am contempladas no &lano de Conting9ncias

deem gerar atuali'aç4es+ Vuando noos

re*uisitos forem identificados, os procedimentos

de emerg9ncia relacionados deem ser a=ustados

de forma apropriada+ Hiersas situaç4es podem

demandar atuali'aç4es no &lano, tais como as

mudanças-

no par*ue ou am#iente computacional

:eG+- a*uisição de noo e*uipamento,

atuali'ação de sistemas operacionais, migração

de sistemas de grande porte para am#iente

cliente8ser idor;N

administratias, de pessoas enolidas

e responsa#ilidadesN

de endereços ou n)meros telef5nicosN

de estrat6gia de neg>cioN

na locali'ação e instalaç4esN

na legislaçãoN

em prestadores de seriço, fornecedores

e clientes8c!aeN

de processos :inclus4es e eGclus4es;N

no risco :operacional e financeiro;+

Como demonstrado, as atuali'aç4es regulares

do &lano de Conting9ncias são de import?ncia

fundamental para alcançar a sua efetiidade+

Hee eGistir uma programação *ue especifi*ue

a forma de se proceder @ manutenção do &lano+&rocedimentos com essa finalidade podem ser

incluídos no processo de ger9ncia de mudanças

a fim de *ue as *uest4es relatias @ continuidade



de neg>cios se=am deidamente tratadas+ <

controle formal de mudanças permite assegurar

*ue o processo de atuali'ação este=a distri#uídoe garantido por reis4es per i>dicas do &lano

como um todo+ 0 responsa#ilidade pelas reis4es

e atuali'aç4es de cada parte do &lano dee ser

definida e esta#elecida+



'. C< e a BD IS!EI4C 10033

3este capítulo será comentada a norma 3B

IS<%IAC /77DD como ferramenta de auditoria de

segurança da informação utili'ada pelo "ri#unal

de Contas da $nião :"C$;+ 0 fim de facilitar as

atiidades, tanto de gestão *uanto de auditoria

de segurança da informação, serão eGplanadas as

seç4es da norma e citados ac>rdãos e decis4es

do "ri#unal *ue tratam, entre outros aspectos, de

segurança da infor mação+

'.1 Fe "ue trata a BD IS!EI4C 10033#

0 3B2 IS<%IAC /77DD, norma da ssociação

Brasileira de 3or mas "6cnicas :0B3";, trata

de t6cnicas de segurança em "ecnologia da

Infor mação, e funciona como um c>digo de

prática para a gestão da segurança da infor mação+

Assa norma foi ela#orada no Comit9 Brasileirode Computadores e &rocessamento de Hados,

pela Comissão de Astudo de Segurança .ísica

em Instalaç4es de Informática, e 6 e*uialente @

norma IS<%IAC /77DD+

'.$ :or "ue o C< utili2a essa norma

como padrão em suas auditorias

de segurança da in)ormação#

l6m do recon!ecimento da 0B3", como

instituição normali'adora #rasileira, as instituiç4es

internacionais IS< :International <rgani'ation for

Standardi'ation; e IAC :International Aletrotec!nical

Commission;, autoras da norma, são mundialmente

recon!ecidas por sua capac itação t6cnica + 0

nor ma IS<%IAC /77DD, e*uialente @ nor ma

#rasileira, 6 amplamente recon!ecida e utili'ada

por Antidades .iscali'adoras Superiores, >rgãos de

goerno, empresas p)#licas e priadas nacionais

e internacionais atentas ao tema Segurança daInfor mação+



<s o#=etios definidos nessa norma pro9em

diretri'es gerais so#re as práticas geralmente

aceitas para a gestão da segurança da infor mação+pesar de não ter força de lei, a 3B 2 IS<%IAC

/77DD configura8se como a mel!or ferramenta de

auditoria de segurança da informação disponíel

at6 a data de pu#licação deste Capítulo+ Am seus

ac>rdãos e decis4es, o "r i#unal =á mencionou

duas ers4es dessa norma- a mais recente, de

200E, e a anterior, de 200/+

'.% Como está estruturada

a BD IS!EI4C 10033#

0 3B2 IS<%IAC /77DD, ersão 200E, está

diidida em // seç4es-

a; &olítica de segurança da infor maçãoN

#; <rgani'ando a segurança da infor maçãoN

c; Jestão de atiosN

d; Segurança em recursos !umanosN

e; Segurança física e do am#ienteN

f; Jestão das operaç4es e comunicaç4esN

g; Controle de acessosN

!; 0*uisição, desenolimento e manutenção

de sistemas de infor maçãoN

i; Jestão de incidentes de segurança da

infor maçãoN

=; Jestão da continuidade do neg>cioN

; Confor midade+

'.' Fe "ue trata a seção G:ol9ticade segurança da in)ormaçãoH#

Assa seção orienta a direção no esta#elecimento

de uma política clara de segurança da infor mação,

alin!ada com os o#=etios do neg>cio, comdemonstração de seu apoio e comprometimento

com a segurança da informação por meio da

pu#licação, manutenção e diulgação da política

para toda a organi'ação+ São fornecidas diretri'es

para ela#oração do documento e sua análise

crítica+

'.+ &ue acrdãos e decis*esdo C< tratam6 entre outros

aspectos6 de G:ol9tica desegurança da in)ormaçãoH#

Acrdão 173$E$770 ; :lenário

D+/+2+ ela#ore, aproe e diulgue &olíticade Segurança da Informação 8 &SI conforme o

esta#elecido na 3B2 IS<%IAC /77DD-200E, item

E+/+/N

D+/+U+ crie mecanismos para *ue as políticas

e normas de segurança da informação se tor nem

con!ecidas, acessíeis e o#ser adas por todosos funcionários e cola#oradores da Ampresa

confor me o esta#elecido na 3 B2 IS<%IAC

/77DD-200E, item E+/+/N



Acrdão 01E$770 ; :lenário

D+2+R+ defina formalmente uma &olítica de

Segurança da Informação 8 &SI 8 para o Infoseg,

*ue forneça orientação e apoio para a segurança

da informação da rede, promoendo8se ampla

diulgação do documento para todos os usuários,

de acordo com o preisto no item E+/+/ da 3B

IS<%IAC /77DD-200EN

D+2+/0+ crie mecanismos para *ue as políticase normas se tornem con!ecidas, acessíeis e

o#ser adas por todos os usuários e gestores do

Infoseg, de acordo com o preisto no item E+/+/

da 3B2 IS<%IAC /77DD-200EN

Acrdão +/$E$77/ ; :lenário

D+2+/+ desenola &lano de "ecnologia da

Informação para ser utili'ado no ?m#ito do Sistema

3acional de "ransplantes :S3"; *ue contemple

]+++^ o atendimento aos princípios de segurança

da

pelo Hecreto nY F+E0E%2000 e pelo Ja#inete

de Segurança Institucional da &resid9ncia da

ep)#lica, confor me Hecreto n+ E+U0Z,

de /Y%0U%200EN

D+/+R+ crie mecanismos para *ue as políticas

e normas se tornem con!ecidas, acessíeis e

o#seradas por todos os seridores e prestadores

de seriços do 1inist6rioN

Acrdão 0$E$77' 1J C@mara

D+U+ ]+++^ formali'em a política de segurança

de infor mação do sistema infor mati'ado

de pagamento de pessoal ]+++^N

Acrdão '/1E$77' ; :lenário

D+/+/+ a concepção e implementação de uma

política de segurança de informaç4es formal e,

preferencialmente, #aseada nos ditames da norma

3B2 IS<%IAC /77DDN

infor mação, preconi'ados no item F+/ da 3or ma

3B2 IS<% IAC /77DD-200/N

Acrdão $7$%E$77+ ; :lenário

Fecisão %E$77% ; :lenário

D+2 d; promoa a aproação de sua política de

segurança da infor mação+

D+/+2+ defina uma &olítica de Segurança da

Informação, nos termos das orientaç4es contidas

no item F da 3B2 IS <%I AC /77DD-200/, *ue

esta#eleça os princípios norteadores da gestão da

segurança da informação no 1inist6rio e *ueeste=a integrada @ isão, @ missão, ao neg>cio e @s

metas institucionais, o#serando a

regulamentação ou as recomendaç4es

porentura feitas pelo Comit9 Jestor de

Segurança da Informação instituído

Fecisão +3+E$77$ ; :lenário

Z+/+2F #; ela#orar e implantar política de

segurança de informaç4es, com a#rang9ncia

nacional e inculando os prestadores de ser iços,

preendo um programa de conscienti'ação

dos usuários a respeito das responsa#ilidades

inerentes ao acesso @s informaç4es e @ utili'ação



dos recursos de "I, reaaliando as situaç4es

eGistentes, especialmente no tocante @ segurança

l>gica e físicaN

especiais+ São fornecidas ainda diretri'es para

o relacionamento com pa r te s e Gter nas,

na identificação dos riscos relacionados e dos

re*uisitos de segurança da informação necessários

Fecisão 31E$777 ; :lenário

Z+2+R+F+ definir e implementar política formal

de segurança l>gica, consoante as diretri'es

preistas no &ro=eto B%D7802U, de cooperaçãot6cnica, ]+++^ incluindo aç4es e procedimentos para

disseminar a import?ncia da segurança da

informação para os funcionários da unidade, e

esta#elecer segregação

ao tratar com clientes e terceiros+

'.0 &ue acrdãos e decis*esdo C< tratam6 entre outros

aspectos6 da G!rgani2ação dasegurança da in)ormaçãoH#

In)ra;estrutura da segurança da in)ormação

de funç4es dentro do am#iente de infor mática,

notadamente entre desenolimento, produção

e administração de segurança l>gicaN

'./ Fe "ue trata a seção

G!rgani2ando a segurança

da in)ormaçãoH#

Assa seção da norma orienta a direção de como

gerenciar a segurança da informação dentro da

organi'ação e, ainda, de como manter a segurança

de seus recursos de processamento da infor mação,

*ue são acessados, processados, comunicados ou

gerenciados por partes eGter nas+


D+/+/+ esta#eleça responsa#ilidades inter nas

*uanto @ segurança da informação confor me

o esta#elecido na 3B2 IS <%I AC /77DD-200E,

item R+/+FN


D+2+E+ esta#eleça e identifi*ue for malmente

responsa#ilidades relatias @s *uest4es de

segurança das informaç4es do Infoseg, de acordo

com o preisto no item R+/+F da 3B2 IS<%IAC

/77DD-200EN

São for necidas diretri'es para definição de infra8

estrutura de segurança da informação, detal!ando

os itens- comprometimento da ger9ncia,coordenação, atri#uição de responsa#ilidades,

pr oc es so de au to ri 'açã o pa ra recur so s de

processamento da infor mação, acordos de

confidencialidade, análise crítica independente,

contato com autoridades e grupos de interesses


D+/+/+ esta#eleça institucionalmente as

atri#uiç4es relatias @ segurança da infor mação,

conforme preceituam os itens U+/+/, U+/+2 e U+/+F

da 3B2 IS <% IA C /777D-200/ e o item &<U+R

do Co#itN



D+/+/F+R+ o#rigatoriedade de assinatura

de "e r mo de Compromisso ou 0 cordo

de Confidencialidade por parte dos prestadores

de ser iços, contendo declaraç4es *ue per mitam aferir *ue os mesmos tomaram ci9ncia

das nor mas de segurança igentes no >rgãoN

Acrdão 0$E$77' ; 1J C@mara

D+F+/+ enide esforços para proceder @

redefinição do regimento interno da unidade, demodo *ue fi*uem claramente eGplicitadas suas

atri#uiç4es, responsa#ilidades e poderes como

gestor de segurança do sistema informati'ado de

pagamento de pessoal ]+++^N

c; assegurar *ue os procedimentos deWr estar tX

se=am eGecutados de maneira cor retaN

d; monitorar as atiidades de entrada de dados

no ter minal, microcomputador ou outro

dispositio similarN e

e; inestigar *ual*uer desio dos

procedimentos de entrada de dados pr68

esta#elecidosN

Z+F+F+ *uando de sua reestr uturação

organi'acional, atente para o posicionamento

!ierár*uico da área de segurança física e l>gica de

sistemas, *ue dee constar em um níel superior ,

de forma a conter todas as funç4es de segurança

delineadas como necessárias, esta#elecendo,

Acrdão '/1E$77' ; :lenário em conse*O9ncia, segregação na eGecução das

mesmasN

D+/+Z+ estudos com istas @ criação de uma

ger9ncia específica de segurança, preferencialmente

inculada @ direção geralN

Fecisão 17'3E$777 ; :lenário

Z+/+7+ estude a possi#ilidade de criação de

um grupo de controle%segurança, na área de


Z+2+R+2+ reali'ar estudos com o o#=etio de

instituir setor ou ger9ncia específica para segurança

l>gica na unidadeN

:artes e5ternas

infor mática, *ue se=a responsáel por-


a; inestigar e corrigir *ual*uer pro#lema

operacional em terminal, microcomputador

ou outro dispositio de entrada de dadosN

#; inestigar *ual*uer ação de inter enção

do operadorN

D+2+2/+ formali'e, =unto @ g9ncia Astadual

de "ecnologia da Infor mação do As tado de&ernam#uco 8 0"I 8, um termo de compromisso

*ue contemple de maneira específica a c>pia

das #ases de dados do Infoseg *ue se encontra

na*uelas instalaç4es, esta#elecendo nele cláusulas



de sigilo e responsa#ili'ação pelo uso indeido

dos e*uipamentos ou diulgação não autori'ada

dos dadosN

D+U+ ]+++^ defina claramente, tanto nos editais

de licitação como nos contratos, cláusulas

contemplando re*uisitos de segurança da

informação como os preistos no item R+2+F da

3B2 IS<%IAC /77DD-200EN

D+F+/+/+ participantes do acordo, funç4es e

responsa#ilidadesN

D+F+/+2+ descrição detal!ada dos seriços *ue

serão prestadosN

D+F+/+ F+ níeis de ser iços dese=ados e

respectios crit6rios de medição e indicadores,

em termos de disponi#ilidade, confia#ilidade,

tempo de resposta, atendimento ao usuário :!elp8Acrdão 1//%E$77/ ; :lenário

D+2+F+ ela#ore o acordo de níel de ser iço

do SipiaN

Acrdão 31'E$77/ ; :lenário

D+/+/+ f ir mem contrato com relação ao

&rograma do .undo de .inanciamento ao

Astudante do Ansino Superior :.ies;, deendo

ser esta#elecida nesse instrumento cláusula *ue

des;, capacidade de crescimento, pra'os para

solicitação e atendimento de demandas :inclusie

emergenciais;, testes, !omologação, segurança e

outros *ue as partes =ulgarem necessáriosN

D+F+/+U+ responsáel pela medição dos

ser içosN

D+F+/+E+ aç4es a serem tomadas *uando da

ocorr9ncia de pro#lemas na prestação dos ser iços

:aç4es corretias, penalidades e outras;N

dispon!a so#re a propriedade intelectual de

programas, documentação t6cnica e dados do

Sistema do .inanciamento Astudantil :Sifes;N

D+F+/+ firmem 0cordo de 3íel de Ser iço,

ou documento correlato, em relação ao Sifes,

contemplando as áreas enolidas, em especial a

de desenolimento do sistema, com o o#=etio

de esta#elecer entendimento comum so#re a

nature'a dos seriços propostos e os crit6rios de

medição de desempen!o, deendo este acordoconsiderar elementos tais como-

Acrdão $7+E$77+ ; :lenário

D+U+F+ faça preer nos contratos de terceiri'ação

de ser iços de desenolimento de softMare o

repasse da respectia tecnologia, incluindo toda

a documentação do produto desenolido, com

o intuito de se eitar a futura depend9ncia do

suporte e da manutenção desse produto, o *ue

elearia os custos da terceiri'ação dessa atiidade,

#em como impedir *ue terceiros ten!am acesso

irrestrito aos sistemas desenolidosN




D+/+/F+ inclua os seguintes re*uisitos de

segurança em contratos de prestação de ser içose locação de mão8de8o#ra em "ecnologia da

Informação *ue ierem a ser cele#rados a par tir

da presente data, em atenção aos itens U+2+2 e

U+F+/ da 3B2 IS<%IAC /77DD-200/-

D+/+/F+/+ o#rigatoriedade de ader9ncia

@ &olítica de Segurança da Infor mação, @

&olítica de Controle de 0cesso, @ 1etodologia

de Hesenolimento de Sistemas e @s outras

normas de segurança da informação igentes no

1inist6rioN

D+/+/F+2+ 0 cord o de 3íe l de Se r iço,

negociado entre os gr upos de usuár ios e o

for necedor dos ser iços, com o o#=etio de

esta#elecer um entendimento comum da nature'a

dos seriços propostos e crit6rios de medição de

desempen!o, *ue deerá conter, no mínimo, os

seguintes elementos- participantes do acordoN

descrição clara dos ser iços e funcionalidades

disponíeis, para contratos de prestação de

ser içosN descrição clara dos perfis profissionais

dese=ados, para contratos de locação de mão8

de8o#raN funç4es e responsa#ilidadesN níeis de

seriços dese=ados em termos de disponi#ilidade,

pra'os, desempen!o, segurança, *uantidade,

*ualidade e outrosN indicadores de níeis de

seriçosN responsáel pela medição dos ser içosN

aç4es a serem tomadas *uando da ocorr9ncia de pro#lemas de mau desempen!o :aç4es cor retias,

penalidades financeiras e outras;N

D+/+/F+F+ definição clara acerca da propriedade

dos dados entregues pela 0dministração &)#lica

a empresas contratadas, coletados por essas

empresas em nome da 0 dministração &)#licaou produ'idos por programas de computadores

decor rentes de contratos de pr es tação de

ser içosN

D+/+/F+U+ definição acerca dos direitos de

propriedade de programas, de acordo com a

ei n+ D+R0D%/DDZ, de documentação t6cnica eforma de acesso a elesN se o contrato dispuser

*ue programas e documentação t6cnica não

per tencem @ 0dministração &)#lica, o pro=eto

#ásico dee apresentar a =ustificatia de tal escol!aN

caso contrário, o contrato dee esta#elecer de

*ue for ma e em *ue pra'o se dará o acesso

aos mesmos, inclusie na ocorr9ncia de fatos

impreisíeis ou de força maiorN recomenda8se

*ue se esta#eleça, como data limite para entrega

de programas fontes e documentação, a data de

!omologação dos mesmosN

D+/+/F+E+ o#rigatoriedade de manter sigilo

so#re o conte)do de programas de computadores

:fontes e eGecutáeis;, documentação e #ases de

dadosN dee ser esta#elecido um período durante o

*ual su#sistirão as o#rigaç4es de manter sigiloN

D+/+/F+R+ o#rigatoriedade de assinatura

de "e r mo de Compromisso ou 0 cordo

de Confidencialidade por parte dos prestadores

de ser iços, contendo declaraç4es *ue per mitam aferir *ue os mesmos tomaram ci9ncia

das nor mas de segurança igentes no >rgãoN



D+/+/F+7+ garantia do direito de auditar, por

parte da contratada e dos >rgãos de controle, e

forma de eGercício deste direitoN

D+U+U+ adote cláusulas contratuais pa ra

assegurar *ue a documentação t6cnica, programas

fontes e dados de sistemas regidos por contratos

de prestação de ser iços este=am acessíeis ao

1inist6rioN

Acrdão ''1E$77+ 1J C@mara

/+F ela#ore o 0cordo de 3íel de Seriço do

SisfinN

/ + U in c l ua n as nor mas in te r na s a

o#rigatoriedade da ela#oração de 0cordo de

3íel de Seriço para os sistemas críticosN

não, reaaliando, entre outros aspectos, a

pertin9ncia da eGist9ncia de funcionários de

outros >rgãos ou entidades, especialmentedo SA&<, *ue atualmente desempen!am

esse papelN

'. Fe "ue trata a seção

GKestão de ativosH#

Assa seção da nor ma orienta a direção aalcançar e manter a proteção ade*uada dos

atios da organi'ação, al6m de assegurar *ue a

informação se=a classificada de acordo com seu

níel ade*uado de proteção+ São for necidas

diretri'es para reali'ação de inentário dos atios,

definição de seus proprietários e regras para seu

uso+ Am relação @ classificação da infor mação,

a norma fa' algumas recomendaç4es e sugere

a definição de procedimentos para rotulação e

Fecisão $3+E$77$ ; :lenário

Z+/+/ 8 *uanto aos sistemas infor mati'ados-

a; reise os atuais crit6rios de !a#ilitação

de cadastradores do Sistema Integrado de0 dministração &atrimonial :SI0&0;, se=am

tratamento da infor mação+

'.3 &ue acrdãos e decis*es do C< tratam6 entre outros

aspectos6 da GKestão de ativosH#

Desponsabilidade pelos ativos

eles gerais, parciais ou locais, reaaliando a

pertin9ncia da eGist9ncia de funcionários do

Ser iço .ederal de &rocessamento de Hados

:SA2&2<; desempen!ando esse papelN

f; reise os atuais crit6rios de !a#ilitação decadastradores do Sistema do &atrim5nio

Imo#iliário da $nião :S&I$;, se=am eles

gerais, parciais ou locais, lotados na S&$ ou


D+/+F+ inentarie os atios de infor mação

confor me o esta#elecido na 3 B 2 IS<%IAC

/77DD-200E, itens 7+/+/ e 7+/+2, e esta#eleça

crit6rios para a classificação desses atios confor me

o esta#elecido na 3B2 IS <%I AC /77DD-200E,

item 7+2N





D+2+/D+ formali'e o inentário dos atios do

Infoseg, em conformidade com o preisto no item

7+/+/ da 3B2 IS<%IAC /77DD-200EN

D+2+20 defina formalmente o proprietário de

cada atio constante do inentário acima, em

conformidade com o item 7+/+2 da 3B2 IS<%IAC

/77DD-200E, atentando para a assinatura das

cautelas *ue se fi'erem necessáriasN

Classi)icação da in)ormação


D+/+F+ inentarie os atios de infor mação

confor me o esta#elecido na 3 B2 IS<%IAC

/77DD-200E, itens 7+/+/ e 7+/+2, e esta#eleça

crit6rios para a classificação desses atios confor me

o esta#elecido na 3B 2 IS <% IA C /77DD-200E,

item 7+2N

Acrdão 1%$E$77/ ; :lenário


D+F+2+ adote proid9ncias para designar

for malmente um mem#ro ]+++^ como gestor

do sistema Siappes, e futuramente, do sistema

SispagN

D+F+E+ formule ]+++^ o inentário de atios

de informação, compreendendo a classificação

do níel de confidencialidade de cada atio

D+/+D implemente crit6rios para a classificação

e marcação de info r maç4e s e documentos

sigilososN

D+2+// 8 institua procedimento para atri#uir grau de sigilo a todos os documentos *ue

conten!am, de algum modo, infor maç4es

estrat6gicas e%ou priilegiadas, não importando a

*uem se destine, ou *uem deterá a sua posseN

e a definição de procedimentos para garantir

a segurança nas diersas mídias nas *uais a

infor mação 6 ar ma'enada ou pelas *uais

6 transmitida, como o papel, as fitas magn6ticas

e as redes local e eGter naN


D+/+U+ crie crit6rios de classificação das

informaç4es a fim de *ue possam ter tratamento

diferenciado conforme seu grau de import?ncia,


Z+U+/+ adote medidas no sentido de ia#ili'ar

um controle efetio dos e*uipamentos de !ardMare

*ue comp4em o par*ue computacionalN

criticidade e sensi#ilidade, a teor do disposto pelo

item E da 3B2 IS<% IAC /77DD-200/N



Acrdão ''1E$77+ 1J C@mara

/+E implemente a indicação de classificação dasinformaç4es apresentadas nas telas e relat>rios dos

noos sistemas *ue estão em desenolimento em

su#stituição ao SisfinN

conscientes das ameaças relatias @ segurança

da informação e prontos para apoiar a política

de segurança da informação da organi'ação+ Sãofornecidas diretri'es para definição de pap6is e

responsa#ilidades, inclusie da direção, seleção

de pessoal, termos e condiç4es de contratação,

conscienti'ação, educação e treinamento em


D+F+E+ formule ]+++^ o inentário de atios

de informação, compreendendo a classificação

do níel de confidencialidade de cada atio

e a definição de procedimentos para garantir

a segurança nas diersas mídias nas *uais a

info r mação 6 ar ma'enada ou pelas *uais




D+/+R+ a classificação do níel de segurança

e controle de acesso aos dados, no ?m#ito do

&ro=eto Weposit>rioXN

segurança da informação, e processo disciplinar +

&ara os casos de encerramento ou mudançada contratação, são fornecidas diretri'es para

encer ramento de atiidades, deolução de

atios e retirada de direitos de acesso+ Assa seção

a#range contratação temporária ou de longa

duração de pessoas, nomeação e mudança de

funç4es, atri#uição de contratos e encer ramento

de *ual*uer uma dessas situaç4es+


aspectos6 da GSegurança derecursos umanosH#


Fecisão 173E$77$ ; :lenário

Z+F ]+++^ coordene a ela#oração de

metodologia para classificação das informaç4es,

nos termos do item E+2 da 3orma IS<%IAC

/77DD-200/+

'.17 Fe "ue trata a seção

GSegurança em recursos umanosH#

Assa seção da nor ma orienta a direção a

assegurar *ue funcionários, fornecedores e terceiros

compreendam suas responsa#ilidades, este=am

D+/+F+U+ identificação dos responsáeis pela

guarda dos termos de compromisso assinados,

al6m do tempo mínimo de arma'enamento desses

documentos, conforme prop4em os itens R+/+U e

R+F+E da 3B2 IS<%IAC /77DD-200/N


D+2+/+ adote proced imentos fo r mais de

concessão e de alidação peri>dica de sen!as de

usuários de sistemas informati'ados, #em como




de cancelamento de acesso de usuários *ue são

desligados da unidadeN

D+2+U+ e D+F+U+ adote um programa de

treinamento específico para a área de segurança

de sistemas, enfocando aspectos de segurança

física e l>gica, #em assim a reação dos funcionários

frente @ ocorr9ncia de conting9ncias *ue possam

afetar a continuidade dos ser içosN


Z+2+R automati'ação de procedimento de

cancelamento de acessos e autori'aç4es, no caso

de mudança de situação do seridorN

SA&<, inclusie per tencentes @ e*uipe de

manutenção do sistemaN

Fecisão 31E$777 :lenário

Z+/+/ adote aç4es específicas de orientação aos

gestores locais, *uanto aos aspectos de segurança

do IT%S$S, ela#orando, se necessário, normas e

cartil!as para tal misterN

Z+2+R+F+ definir e implementar política formalde segurança l>gica, consoante as diretri'es

preistas no &ro=eto B%D7802U, de cooperação

t6cnica ]+++^, incluindo aç4es e procedimentos para

disseminar a import?ncia da segurança da

informação para os

funcionários da unidade, e esta#elecer segregação



#; ree=a as !a#ilitaç4es de todos os usuários

do SI0&0 lotados na ]+++^, reaaliando não apenas

sua perman9ncia na Secretaria, como tam#6m seu

local de tra#al!o :ger9ncia; e a pertin9ncia dos

níeis de acesso concedidosN

d; esta#eleça controle sistemático e oriente as

Jer9ncias egionais ]+++^ *uanto @ necessidade de

eGclusão de usuários do SI0&0, no Sen!a8ede,

*uando das suas saídas da ]++^N

!; ree=a as !a#ilitaç4es de todos os usuários

do S&I$, lotados na ]+++^ ou não, reaaliando sua

perman9ncia no >rgão e a pertin9ncia dos níeis

de acesso concedidos, assim como os in)meros

acessos concedidos a funcionários lotados no

de funç4es dentro do am#iente de infor mática,

notadamente entre desenolimento, produção

e administração de segurança l>gicaN

'.1$ Fe "ue trata a seção

GSegurança )9sica e do ambienteH#

Assa seção da nor ma orienta a direção a preenir acesso físico não autori'ado, danos

e interfer9ncias nas instalaç4es e infor maç4es,

assim como a impedir perdas, danos, furto ou

comprometimento de atios e inter r upção

das atiidades da organi'ação+ São for necidas

diretri'es para áreas seguras, incluindo perímetro

de segurança física, controles de entrada física,

segurança em escrit>rios, salas e instalaç4es,

proteção contra ameaças eGternas e do meio

am#iente e acesso do p)#lico, áreas de entrega

e car regamento+



&ara a segurança de e*uipamentos, são dadas

recomendaç4es para instalação e proteção de

e*uipamento, inclusie contra falta de energiael6trica e outras interrupç4es proocadas por

fal!as das utilidades, segurança do ca#eamento,

manutenção de e*uipamentos, segurança

de e*uipamentos fora das depend9ncias da

organi'ação, reutili'ação e alienação segura

de e*uipamentos, e, por fim, remoção de

propriedade+

'.1% &ue acrdãos e decis*es

do C< tratam6 entre outros

aspectos6 da GSegurança

)9sica e do ambienteH#

Lreas seguras


D+2+/7+ esta#eleça um perímetro de segurança

nas instalaç4es da ger9ncia do Infoseg :#ar reiras

tais como paredes, port4es de entrada controlados

por car tão ou #alcão com recepcionista; , em

conformidade com o item D+/+/ da 3B2 IS<%IAC/77DD-200EN

D+2+/Z+ reali'e as o#ras necessárias de for ma

*ue se constituam #arreiras físicas suficientes

nas instalaç4es da ger9ncia do Infoseg *ue

impeçam o acesso de pessoas não autori'adas,

em conformidade com a diretri' W#X do item D+/+/

da 3B2 IS<%IAC /77DD-200EN


D+2+D 8 implemente medidas no sentido degarantir maior segurança @s informaç4es relatias

@ díida, notadamente no *ue tange ao acesso

de pessoas estran!as ou não autori'adas aos

diersos recintos enolidos com a operação da

díida p)#lica, at6 *ue o W&ro=eto de SegurançaX

se=a definitiamente implantadoN

Acrdão $7+E$77+ ; :lenário

D+U+/+ não autori'e o acesso de terceiros @s

áreas dos sistemas informati'ados da empresa

*ue possam possi#ilitar a eGecução de transaç4es

indeidas, de forma a eitar a sua eGposição a um

risco maior de fraudesN


D+F+7+ formali'e um es*uema de segurança

especial para guarda e manipulação das fitas, com

a criação de um am#iente de acesso restrito para

o seu arma'enamento, isando garantir *ue a

informação nelas contida não se=a consultada oualterada indeidamenteN


Z+2+R+/0+ adotar procedimentos de segurança

física efetios para preenir o acesso de pessoas

não autori'adas ao am#iente de processamento

de dados :C&H;N

Z+2+R+//+ diulgar in te r namente os fornecidas diretri'es tam#6m para gerenciamento



Z+2+R+//+ diulgar in te r namente os

procedimentos de proteção contra inc9ndios e

enidar esforços para instituir Comissão Inter na

de &reenção de 0cidentes :Cipa;N

fornecidas diretri'es tam#6m para gerenciamento

de seriços terceiri'ados, plane=amento e aceitação

de sistemas, proteção contra c>digos maliciosos e

m>eis, c>pias de segurança, gerenciamento da segurança em redes, manuseio de mídias, troca

Fecisão ''+E133 ; :lenário

F+7+/+ disciplinar de forma rígida o acesso

de pessoas aos andares do pr6dio onde a

Jer9ncia AGecutia de "ecnologia ]+++^ se encontra

instaladaN

Segurança de e"uipamentos

de informaç4es, seriços de correio eletr5nico e,

por fim, monitoramento+

'.1+ &ue acrdãos e decis*es do C< tratam6 entre outros

aspectos6 do GKerenciamento dasoperaç*es e comunicaç*esH#

:rocedimentos e responsabilidades

Acrdão $7%E$77+ $J C@mara

D+F+/F+ adote medidas no sentido da instalação

de W3o BreaX nos computadores da Ampresa de

modo a afastar o risco de perda de dados e aarias

no softMareN

operacionais


D+E+F+ proidencie a implantação do Sifes

em am#iente de !omologação dedicado a essa

finalidadeN


D+/+/E+ aprimore os controles de acesso físico

aos computadores e e*uipamentos considerados

críticosN

'.1' Fe "ue trata a seção

GKerenciamento das operaç*es

e comunicaç*esH#

Assa seção da n or ma ori enta a direção

*uanto aos procedimentos e responsa#ilidadesoperacionais, incluindo gestão de mudanças,

segregação de funç4es e separação dos am#ientes

de produção, desenolimento e teste+ São

Acrdão +/$E$77/ ; :lenário

D+2+2+ ela#ore e distri#ua a todas as C3CH<s

manual de procedimentos, instr uindo so#re

operação e controle dos sistemas monousuários,

*ue contemple pe lo menos procedimentos

detal!ados para reali'ação, guarda e restauração

de c>pias de segurançaN orientação *uanto ao

uso de sen!as por par te dos operadores do

sistemaN orientação *uanto @ segurança física dos

e*uipamentos *ue efetuam o processamento dosistemaN orientação *uanto @ utili'ação de softMare

de proteção contra programas maliciosos :írus;N

e ela#oração de Wplano de conting9nciaX para o



sistema, de forma a eitar *ue, em eentuais fal!as

no seu funcionamento ou nos e*uipamentos,

as listas de proáeis receptores deiGem de ser emitidasN

ocasionadas pelo fato de um mesmo usuário ser

detentor de permiss4es para modificar o c>digo

fonte do sistema, inserir e consultar dadosN

Fecisão 1%7E$77$ ; :lenário


D+/+/U+ o acesso ao am#iente de produção

por t6cnicos da CJI se=a feito de forma controlada

pelos gestores dos sistemasN

D+U+Z+ não assuma responsa#ilidades inerentes

@s áreas de neg>cio, como a inserção, alteração e

eGclusão de informaç4es em #ases de dadosN

D+U+D+ eite e Gecutar procedimentos *ue

enolam alteraç4es de informaç4es diretamente

na #ase de dados de produção, deendo as

situaç4es de eGceção, depois de deidamente

identificadas, ser implementadas dentro das

funcionalidades dos respectios sistemas,

tornando8as disponíeis para serem utili'adas de

forma segura pelos usuários desses sistemasN

D+U+//+ crie procedimentos automati'ados:preferencialmente um sistema; *ue permitam o

acompan!amento detal!ado das demandas de "I

Z+F+U defina procedimentos claros, escritos

ou automati'ados, *ue esclareçam os passos

a serem adotados em caso de necessidade de

reprocessamento de *ual*uer rotina #atc!N

Fecisão $3+E$77$ :lenário


c; proceda @ reaaliação geral das pessoas

!a#ilitadas no SI0&0, particularmente com relação

@*uelas lotadas em outros >rgãos%entidades,

como o SA&<N





acessos concedidos a funcionários lotados noSA&<, inclusie per tencentes @ e*uipe de


feitas pelas outras áreas do 1inist6rioN

Fecisão 17'3E$777 :lenário


D+F+F+ adote proid9ncias para ela#orar um

es*uema de segregação de funç4es e atiidades,

incluindo a separação dos am#ientes de

desenolimento, teste e produção, de modo a

minimi'ar a possi#ilidade de ocorr9ncia de fraudes

Z+F+/R+ estude a possi#ilidade de criar um

pseudo 8siste ma dentro do Hesigner 2000*ue per mita o acesso somente @ leitura da

documentação pelas e*uipes de desenolimento,

para *ue não se perca o controle so#re alteraç4es

efetuadasN

Fecisão 31E$777 ; :lenário Fecisão 17'3E$777 ; :lenário



Z+2+R+F+ ]+++^ esta#elecer segregação de

funç4es dentro do am#iente de informática,notadamente entre desenolimento, produção e

administração de segurança l>gicaN

Z+2+Z+ adote proid9ncias com istas a eGercer

super isão direta e efetia das atiidades de

operação do C&HN

:lane,amento e aceitação dos sistemas


D+2+/F+ esta#eleça crit6rios fo r mais para

!omologação e aceitação de atuali'aç4es e noas

ers4es do Infoseg, de acordo com o preisto no

item /0+F+2 da 3B2 IS<%IAC /77DD-200EN

Z+F+/+ proceda a estudos o#=etiando a

otimi'ação da utili'ação de seus mainframes,incluindo pro=eç4es futuras dessa utili'ação, com

istas a eitar pro#lemas no processamento de

dadosN

:roteção contra cdigos

maliciosos e cdigos mveis


Z+2+/0+F+ intensificar aç4es isando tornar mais

eficientes os procedimentos de proteção

antiír us dos seus microcomputadores,

implementando, assim *ue possíel, dispositios

para automati'ar a atuali'ação das ers4es de

softMares antiírus nos e*uipamentos instalados, #em como diulgando

internamente a necessidade de aplicar o programa

Acrdão 1//%E$77/ ; :lenário

D+/+U+ implemente sistemática de !omologação

e controle das ers4es implantadas do SipiaN


D+F+2+ façam constar do contrato fi rmado

entre am#os a e Gig9ncia de etapa for mal

de !omologação ]+++̂ das alteraç4es

implementadas no Sifes pelo agente operadorN

D+E+/+ reali'e ade*uadamente os testes e

!omologação do Sifes, mantendo a

documentação dos procedimentos reali'adosN

antiírus so#re dis*uetes proenientes de outros

e*uipamentosN

Cpias de segurança


D+2+/E+ fo r mali'e política de geração de

c>pias de segurança para o Infoseg, de acordo

com o preisto no item /0+E+/ da 3B2 IS<%IAC

/77DD-200EN

D+2+/R+ arma'ene as mídias contendo c>pias

de segurança do Infoseg em local dierso da

operação do sistema, de acordo com a diretri' WdX

do item /0+E+/ da 3B2 IS<%IAC /77DD-200EN



Acrdão 17'3E$777 :lenário

Z+F+/F+ adote proid9ncias com istas a-

de redeN utili'ação de softMare ade*uado para

ger9ncia de redeN implementação, tão logo

possíel, de dispositio tipo fireMall para preser ar a segurança da redeN

a; preser ar as ers4es anteriores das estr uturas

de #anco de dados, de fo r ma a recompor

emergencialmente situaç4es anterioresN


F+7+2+ definir, oficialmente, =unto aos gestores

responsáeis, uma sistemática de W#ac8upX para

os sistemas eGistentesN

Kerenciamento da segurança em redes


Z+2+/0+ adote proid9ncias para mel!orar

a efici9ncia e eficácia das aç4es%procedimentos

referentes @ ger9ncia da sua rede de comunicação

e de microcomputadores, sem pre=uí'o de-

Z+2+/0+/+ reali'ar estudos com o fito de

instituir setor ou ger9ncia específica para rede naunidade, sem pre=uí'o de definir e implementar

política formal de gerenciamento da rede,

consoante as diretri'es preistas no &ro=eto

B%D7802UN

Fecisão ''+E133 :lenário

F+7+F+ definir, com a maior #reidade possíel,

mecanismos de segurança na área de transmissão

de dadosN

Manuseio de m9dias


D+/ +U es ta#e leça procedimento para

controlar fisicamente o acesso de pessoas aos

documentosN

D+/+/0 esta#eleça procedimento para controlar

fisicamente e registrar o acesso de pessoas aos

documentos *ue conten!am infor maç4es

estrat6gicas e%ou priilegiadas, *ue possam

#eneficiar terceirosN

D+2+/2 adote procedimento especial para o

registro e a tramitação de todos os documentos,

*ue conten!am, de algum modo, infor maç4es

estrat6gicas e%ou priilegiadasN

Z+2+/0+2+ aprimorar o controle do processamento

em rede, especialmente *uanto @ adoção de- testes

e erificaç4es sistemáticas dos procedimentos erecursos relatios ao processamento de redeN

políticas e procedimentos específicos de auditoria


D+U+2+ crie e defina mecanismos de

gerenciamento *ue garantam a guarda

e recuperação das ers4es atual i'adas processamento mensal;, #em como o processo



da documentação de sistemas pelo setor

responsáelN


D+F+E+ ]+++^ definição de procedimentos para

garantir a segurança nas diersas mídias nas

*uais a informação 6 arma'enada ou pelas *uais



de disponi#ili'ação dos respectios ar*uios de

saída na BBS%1SN


F+7+7+ ela#orar documentação completa

dos sistemas *ue comp4em o .J"S e mant98la

atuali'ada em am#ientes de fácil acesso por *uem

for autori'adoN

Aroca de in)ormaç*es

D+F+7+ for mali'e um es*uema de segurança

especial para guarda e manipulação das fitas, com

a criação de um am#iente de acesso restrito para

o seu arma'enamento, isando garantir *ue a

informação nelas contida não se=a consultada ou

alterada indeidamenteN


D+2+/2 8 adote procedimento especial para o

registro e a tramitação de todos os documentos,

*ue conten!am, de algum modo, infor maç4es

estrat6gicas e%ou priilegiadasN


Z+F+/R+ estude a possi#ilidade de criar um

pseudo 8siste ma dentro do Hesigne r 2000

*ue per mita o acesso somente @ leitura da

documentação pelas e*uipes de desenolimento,

para *ue não se perca o controle so#re alteraç4esefetuadasN


Z+/+R+ enide esforços para automati'ar

o controle de *ualidade do processamento

do SIT%S$S :confer9ncia da regularidade do


D+F+E+ ]+++^ definição de procedimentos para

garantir a segurança nas diersas mídias nas

*uais a informação 6 arma'enada ou pelas *uais

6 transmitida, como o papel, as fitas magn6ticase as redes local e eGter naN


F+7+F+ definir, com a maior #reidade possíel,

mecanismos de segurança na área de transmissão

de dadosN

Monitoramento i ? i i il fi i d i



Monitoramento impor t?ncia similar, fi*ue registrada a autoria,

com a identificação do ser idor, deendo os


D+2+2U+ implemente controles compensat>rios

:autori'ação formal, registro e monitoramento das

sistemas permitir *ue o controle possa rastrear *ual*uer operação reali'ada, de forma *ue estes

mesmos sistemas não permitam *ue !a=a *ual*uer

condição de #urlar informaç4es eG8postN

alteraç4es; para as operaç4es dos administradores

de #anco de dados do Infoseg de fo r ma a

permitir o registro e rastreamento das operaç4es

reali'adas na #ase de dados com priil6gios, em

conformidade com o preisto no item /0+/0+U da

3B2 IS<%IAC /77DD-200EN

D+2+2Z+ implemente tril!as de auditoria para

as atuali'aç4es no _ndice 3acional do Infoseg, em

conformidade com o preisto no item /0+/0+/ da

3B2 IS<%IAC /77DD-200E, contendo, no mínimo,

a data8!ora da alteração, o dado alterado e a

identificação do responsáel pela alteraçãoN

D+2+2D+ implemente tril!as de auditoria para as

concess4es e reogaç4es das contas de T<S" do

Infoseg, em conformidade com o preisto no item

/0+/0+/ da 3B2 IS<%IAC /77DD-200EN


D+/+/+ inclua nos ar*uios log e Gistentesno Sipia, as informaç4es relatias @s alteraç4es

efetuadasN


D+U+/0+ altere o sistema de ger9ncia de acessos

para *ue nele se=am acrescentadas tril!as de

auditoria para permitir futuras inestigaç4es de

concessão e reogação de acesso de usuários aos

sistemas ]+++^, contendo, entre outras, infor maç4es

so#re as datas e os responsáeis por essas

concess4es e reogaç4esN

D+E+/+ retire do sistema C&1 a possi#ilidade

de eGclusão física de processosN o processo pode


D+2+/7 implante mecanismos nos sistemas

da díida, de modo *ue não !a=a possi#ilidade

de alteração de informaç4es e de decis4es =á

processadas e *ue, em *ual*uer manuseio de

infor mação ou *ual*uer tomada de decisãoestrat6gica, *ue enola altos olumes de

recursos, ou outras decis4es com níel de

ser eGcluído desde *ue todas as suas infor maç4es,

inclusie as da eGclusão, continuem registradas

no sistemaN

D+E+2+ implemente rotinas *ue manten!am o

registro de eentos releantes do sistema C&1N

esses registros deem conter, no mínimo, o autor ,

a data e a descrição do eentoN

Acrdão 0$E$77' ; 1J C@mara Fecisão 17'3E$777 :lenário



D+2+2+ inclua, no ?m#ito do plane=amento de

segurança do sistema de pagamento de pessoal]+++^, a análise regular e sistemática dos registros

:logs; de sistema operacional e do pr>prio sistema

de pagamentoN

D+2+F+ utili'e, preferencialmente, fer ramentas

de auditoria, como softMares especiali'ados, na

análise dos registros :logs; de sistema a serem

efetuadasN

Z+F+/F+ adote proid9ncias com istas a-

#; manter um !is t> ri co das alteraç4es

efetuadas nos #ancos de dados, =untamente

com suas =ustificatias, com istas a fundamentar

decis4es tomadas, assim como dar su#sídios a

decis4es futurasN

Z+U+2+ adote medidas isando agili'ar a

implementação dos produtos do &ro=eto H& /2, atentando para procedimentos relatios ao


D+/+U+ a análise regular de ar*uios logs com

utili'ação, sempre *ue possíel, de softMares

utilitários específicos, para monitoramento do

uso dos sistemasN


Z+/+/+/ crie ar*uio contendo !ist>rico das

operaç4es reali'adasN

programa de segurança, especialmente *uanto

a- análise dos logs e relat>rios de iolaç4es dos

procedimentos de segurançaN proteção dos

logs contra destruição intencional ou acidentalN

iolaç4es de segurançaN e tentatias frustadas de

acesso ao sistemaN


Z+2+R+D+ adotar procedimentos de análise

regular de ar*uios tipo log, isando detectar

eentuais iolaç4es ou tentatias de iolação dos


Z+2+D manutenção de logs de concessão de

acesso e de autori'ação, permitindo consultas

rápidasN

procedimentos de segurançaN

Z+2+D+ implemente meios e procedimentos

oltados @ ger9ncia de pro#lemas relatios ao seu

am#iente computacional, adotando, se possíel,

softMare ade*uado para essa finalidade, #em

como análise sistemática das fal!as erificadas,

mantendo os respectios registros !ist>ricos como fito de promoer aç4es preentias nessa áreaN

Fecisão ''+E133 ; :lenário de acesso e responsa#ilidades do usuário controle




F+7+/Z+ reali'ar o controle diário, no S.J e

.JI, das alteraç4es efetuadas nos dados

cadastrais de empregados, principalmente no *ue

se refere aos dados *ue *ualificam o titular da

conta, nome de empregado, n)mero do

&IS%&asep e n)mero da Carteira de "ra#al!o e

&reid9ncia SocialN

F+7+/D+ aprimorar os recursos !o=e eGistentes

nos sistemas S.J e .JI referentes a consultas

de alteraç4es efetuadas em dados cadastrais de

empregados com istas a mel!or ade*uá8las ao

controle, facilitando o acompan!amento das

transaç4es processadasN

F+7+20+ ela#orar procedimentos, consultas%relat>rios, *ue possi#ilitem o controle concomitante

das alteraç4es processadas no Sistema de Controle

de Ampr6stimos e efinanciamentos 8 CAN

F+7+22+ ela#orar consultas on8line no Sistema de

Controle de Segurança, SSJ, e reer as =á eGistentes

no intuito de possi#ilitar um acompan!amentomais rigoroso por parte dos responsáeis pelo

controle de acesso l>gico aos sistemasN

'.1/ Fe "ue trata a seção

GControle de acessosH#

Assa seção da norma orienta a direção *uanto

aos controles de acesso @ infor mação e aos

recursos de processamento das informaç4es+ São

fornecidas diretri'es para definição de re*uisitos de

neg>cio para controle de acesso, gerenciamento

de acesso e responsa#ilidades do usuário, controle

de acesso @ rede, sistema operacional, aplicação e

informação, e, por fim, aspectos so#re computaçãom>el e tra#al!o remoto+ "ais diretri'es englo#am

desde a definição de uma política de controle de

acesso e o gerenciamento de priil6gios at6 o

isolamento de sistemas sensíeis+

'.10 &ue acrdãos e decis*es do

C< tratam6 entre outros aspectos6

do GControle de acessosH#

De"uisitos de negcio para

controle de acesso


D+/+E+ defina e diulgue &olítica de Controle

de cesso 8 &C0 conforme o esta#elecido na 3B

IS<%IAC /77DD-200E, item //+/+/N


D+2+7+ defina fo r malmente uma &olíti ca

de Controle de cesso 8 &C0 8 para o Infoseg,contemplando usuários e#, W!ost de atuali'açãoX

e da rede interna da ger9ncia do Infoseg, de

acordo com o preisto no item //+/+/ da 3B2

IS<%IAC /77DD-200EN


D+/+2+ esta#eleça processo formal de concessão

de sen!as e aumente o controle so#re os priil6gios

dos usuáriosN


Acrdão $7$%E$77+ ; :lenário D+2+2E+ utili'e identificadores de usuários )nicos

para o Infoseg :sen!a )nica não compartil!ada;



D+/+F+ defina uma &olít ica de Controle de

cesso aos atios de informação *ue conten!a,no mínimo-

para o Infoseg :sen!a )nica não compar til!ada;

de forma fiGar a responsa#ilidade de cada usuário,

inclusie para os usuários com priil6gios deadministração, em conformidade com o preisto

no item //+2+/ da 3B2 IS<%IAC /77DD-200EN



g; proceda @ reaaliação completa dos perfis

definidos no Sen!a8ede para o S&I$, eGcluindo

D+2+27+ atri#ua a cada usuário do #anco de

dados do Infoseg somente os priil6gios mínimos

necessários ao desempen!o de suas funç4es,

conforme preisto no item //+2+2 da 3B2 IS<%IAC

/77DD-200EN

a*ueles redundantes ou *ue não mais se=am

utili'adosN


F+7+U+ criar controle )nico de acesso l>gico para


D+/+2+ esta#eleça processo formal de concessão

de sen!as e aumente o controle so#re os priil6gios

dos usuáriosN

o am#iente do Jerenciador de Banco de Hados HB2, a eGemplo do SSJ no am#iente IH1SN

F+7+E+ definir regras *ue regulamentem

o acesso de usuár ios e Gter nos ao

am#iente computacional do .J"SN

Kerenciamento de acesso do usuário


D+2+Z+ condu'a, a inter alos regulares, a

análise crítica dos direitos de acesso dos usuários

do Infoseg, por meio de um processo formal, de

acordo com o preisto no item //+2+U da 3B2 IS<%IAC /77DD-200EN


D+/+F+/+ regras de concessão, de controle

e de direitos de acesso para cada usuário e%ou

grupo de usuários de recursos computacionais de

"ecnologia da Informação 8 "I, conforme preceitua

o item D+/+/ da 3B2 IS<%IAC /77DD-200/N

D+/+F+2+ responsa#ilidades dos gestores de

neg>cios so#re os seus sistemas, #em como a

o#rigação deles e dos gerentes da rede ]+++^ fa'erem

a reisão peri>dica, com inter alos de tempo

preiamente definidos, dos direitos de acesso dos

usuários, conforme pre9em os itens D+2+/, incisos! e i, e D+2+U da 3B2 IS<% IAC /77DD-200/N

D+/+F+F+ o#rigatoriedade de usuários de D+/+R+ a classificação do níel de segurança



g

recursos de "I e gestores de neg>cios assinarem

termos de

compromisso nos *uais este=am discriminados os

D+/+R+ a classificação do níel de segurança

e controle de acesso aos dados, no ?m#ito do

&ro=eto Weposit>rioXN

direitos de acesso, os compromissos assumidos

e suas responsa#ilidades e as sanç4es em caso

de iolação das políticas e dos procedimentos de

segurança organi'acional, a teor do *ue prescree

o item D+2+/ da 3B2 IS<%IAC /77DD-200/N

D+U+E+ ree=a a política de acesso do per fil


Z+2 +Z i m pl e m en t a çã o da rotina d e

confor midad e de operadores, nos moldes

da e Gisten te no Sistema SI0.I, confor me =á

determinado por este "ri#unalN

administrador dos sistemas para *ue l!e se=am

retirados-

D+U+E+/+ o poder de criação de noos perfis e

cadastro de usuários, centrali'ando essas funç4es

e responsa#ilidades nos gestores de neg>cioN

D+U+E+2+ o acesso irrestrito e permanente aos

sistemas de produçãoN



#; ree=a as !a#ilitaç4es de todos os usuários

do SI0&0 lotados na ]+++^, reaaliando não apenas

sua perman9ncia na Secretaria, como tam#6m seu

local de tra#al!o :ger9ncia; e a pertin9ncia dos

níeis de acesso concedidosN


D+2+/+ adote procedimentos fo r mais de

concessão e de alidação peri>dica de sen!as deusuários de sistemas informati'ados, #em como

de cancelamento de acesso de usuários *ue são

desligados da unidadeN

c; proceda @ reaaliação geral das pessoas

!a#ilitadas no SI0&0, particularmente com relação

@*uelas lotadas em outros >rgãos%entidades,

como o SA&<N

e; esta#eleça controle sistemático e oriente as

Jer9ncias egionais da ]+++^ *uanto @ necessidade


D+/+F+ aela#oração

de lista de pessoasautori'adas a ter acesso aos ser idores centrais,

#em como, a sua reisão peri>dicaN

de reisão dos níeis de acesso e acerto do local

de tra#al!o, no Sen!a8ede, *uando da mudança

de lotação de seridores da ]+++^N





d did i i )

Z+2+R+U+ adotar procedimentos regulares




acessos concedidos a funcionários lotados no

SA&<, inclusie per tencentes @ e*uipe de


para atuali'ação das listas de acesso aos recursos

computacionaisN

Z+2+R+E+ o#serar com rigor os procedimentos

for mais para adicionar indiíduos @ lista de


Z+/+Z+ adote medidas com istas a manter o

controle so#re as rotinas *ue fogem @ regra geral

de concessão ou atuali'ação de #enefícios, como atransação 0AB 0tuali'ação Aspecial de

Benefício e a*uelas com #ase em decis4es

=udiciais :regidas pelos Hespac!os 0F e 0U;, de

forma a impedir acesso indeido @s transaç4es

on8lineN

Z+F+R+ adote as seguintes medidas, *uanto ao

controle de acesso aos sistemas-

#; efetiação de estudos no sentido de o#rigar

a confirmação de acesso de usuários, por gestor,

nos moldes, por eGemplo, da Conformidade de

<peradores do sistema SI0.IN

pessoas autori'adas a ter acesso aos recursos

computacionais, #em como adotar procedimentos

específicos para a concessão de acessos

emergenciais e%ou temporáriosN

Z+2+R+7+ implementar controles de segurança

para as sen!as de acesso, incluindo- eGig9ncia

de alteraç4es peri>dicas de sen!as, eitando a

sua repetiçãoN esta#elecimento de regras seguras

para a definição de sen!as pelos usuários, *ue

eGi=am o n)mero mínimo de caracteres definido

nos padr4es usuais para am#ientes de infor mática:em regra, pelo menos seis caracteres;N adoção

de sen!as iniciais distintas, fornecidas pela área

de segurança l>gica, para os usuários :a#olindo

o uso de sen!a inicial )nica;N implementação de

rotinas de suspensão de c>digos de identificação

de usuário ou de desa#ilitação de terminal ou


Z+/+E+ estude a ia#ilidade de instituir

dispositios de gerenciamento de acesso dos

microcomputador ap>s um determinado n)mero

de tentatias de iolação de segurançaN

Desponsabilidades dos usuários

aplicatios do SIT%S$S :sen!as, funç4es e relat>rios

de controle, logs etc+;, *uanto @s funç4es de

cadastramento, alidação e enio das ITs pelos

gestores locais do S$S e das unidades prestadoras

de ser içosN


D+E+E+ implemente as regras de formação de

sen!as, para edar a utili'ação de sen!as triiais,

*ue fragili'em a segurança do sistema, utili'ando,

por eGemplo, suas normas inter nasN

Acrdão $7$%E$77+ ; :lenário de alteraç4es peri>dicas de sen!as, eitando a



D+/+F+E+ re*uisitos mínimos de *ualidade de

sen!as, descritos pelo item D+F+/ da 3B IS<%IAC

/77DD-200/N

D+/+ 7+ info r me seus usuá rio s *uanto @

necessidade de #lo*uearem suas estaç4es de

tra#al!o *uando delas se afastarem e de não

compartil!arem suas sen!as de acesso, confor me

pre9 o item D+F+2 da 3B2 IS<%IAC /77DD-200/N

D+/+ Z+ info r me seus usu ário s *uanto @

necessidade de criarem sen!as *ue satisfaçam

aos re*uisitos mínimos definidos na &olítica de

Controle de cesso *ue ier a ser esta#elecida e

sua repetiçãoN esta#elecimento de regras seguras

para a definição de sen!as pelos usuários, *ueeGi=am o n)mero mínimo de caracteres definido

nos padr4es usuais para am#ientes de infor mática

:em regra, pelo menos seis caracteres;N adoção

de sen!as iniciais distintas, fornecidas pela área

de segurança l>gica, para os usuários :a#olindo

o uso de sen!a inicial )nica;N implementação de

rotinas de suspensão de c>digos de identificação

de usuário ou de desa#ilitação de terminal ou



Z+2+R+Z+ diulgar internamente a necessidade

de preseração do sigilo das sen!asN

*uanto @ import?ncia da *ualidade e segurança

das sen!asN


D+F+Z+ adote proid9ncias para *ue os pap6is

e documentos *ue conten!am infor

maç4es releantes so#re o pagamento de

pessoal se=am


F+7+2D+ disseminar *ue !a=a maior cuidado na

criação e utili'ação de sen!as entre usuários de

sistemas do .J"S a fim de eitar fraudesN

Controle de acesso ao sistema operacional

ade*uadamente guardados em ar mários ou

gaetas, com fec!aduras ou outras formas de

proteção, especialmente fora do !orário nor mal

de ser içoN


D+2+2R+ esta#eleça procedimentos for mais

para a eGecução de operaç4es diretamente so#re


Z+2+R+7+ implementar controles de segurança

para as sen!as de acesso, incluindo- eGig9ncia

as #ases de dados do Infoseg com a utili'ação

de utilitários, documentando os procedimentos

reali'ados, em conformidade com o preisto no

item //+E+U da 3B2 IS<%IAC /77DD-200EN

Acrdão $7$%E$77+ ; :lenário usuário ou de desa#ili tação de ter minal ou




D+/+F+R+ procedimentos de troca peri>dica de

sen!as, não permitindo reutili'ação das )ltimas,

conforme pre9 o item D+E+U da 3B 2 IS<%IAC

/77DD-200/N

D+/+F+7+ procedimentos de #lo*ueio de contas

de usuários ap>s longos períodos de não utili'ação

ou de árias tentatias de acesso sem sucessoN

D+U+R+ estude a possi#ilidade de implantação

de procedimentos de segurança *ue #lo*ueiem

as estaç4es de tra#al!o e%ou sistemas ap>s

determinado período de não8utili'açãoN


Controle de acesso ( aplicação

e ( in)ormação


D+U+E+ ree=a a política de acesso do per fil

administrador dos sistemas para *ue l!e se=am

retirados-

D+U+E+/+ o poder de criação de noos perfis e

cadastro de usuários, centrali'ando essas funç4es

e responsa#ilidades nos gestores de neg>cioN

Acrdão ''1E$77+ ; 1J C@mara

/+/ inclua nas rotinas de acesso ao Sisfin, ap>s

D+U+E+2+ o acesso irrestrito e permanente aos

sistemas de produçãoN

a entrada no Sistema com sucesso, a apresentação

das informaç4es ao usuário da data e !ora de

)ltima entrada álida no SisfinN

/+D reali'e estudos e implemente o mel!or

procedimento *ue prote=a o set8up de seus

computadores atra6s do uso de sen!as seguras,impedindo, especialmente, *ue os sistemas

operacionais possam ser iniciali'ados atra6s de

dis*uetes ou CHsN


Z+/+/+F crie mecanismo de proteção *uanto

ao acesso aos dados do operador Super por

interm6dio do eGtrator de dados ou transação

C<3$S$N

'.1 Fe "ue trata a seçãoGA"uisição6 desenvolvimento

e manutenção de sistemas


Z+2+R+7+ ]+++^ implementação de rotinas

de suspensão de c>digos de identificação de

de in)ormaçãoH#

Assa seção da norma orienta a direção *uanto@ definição dos re*uisitos necessários de segurança

de sistemas de informação, medidas preentias

t i t d li 4




contra processamento incorreto das aplicaç4es,

uso de controles criptográficos, al6m de for necer

diretri'es para a segurança dos ar*uios de sistema,

segurança em processos de desenolimento e

suporte, e gestão de ulnera#ilidades t6cnicas+


aspectos6 da GA"uisição6

desenvolvimento e manutençãode sistemas de in)ormaçãoH#

:rocessamento correto nas aplicaç*es

Z+/+2+ estude ]+++^ a ia#ilidade de implantar

no SIT%S$S e no SI0%S$S maior n)mero de críticas

automáticas so#re *uantitatios informados em

ITs, B&s e &Cs, #aseadas em indicadores

e padr4es preesta#elecidos a par tir de m6dias

!ist>ricas locais ou regionais, de modo a detectar

eentuais distorç4es nas informaç4es eniadas ]+++^

pelos prestadores de seriço, isando mel!orar o

controle de fraudes nesses sistemasN

Z+/+F+ enide esforços para ade*uar o SIT%S$S

e o SI0%S$S @ reali'ação de críticas automáticas com

#ase na .CAS, em su#stituição progressia @ .CT e @


D+2+F+ institua mecanismos *ue garantam aconsist9ncia entre o _ndice 3acional 8 I3 8 e as

#ases dos entes *ue alimentam o I3, erificando

periodicamente a eficácia dos mecanismos

implementados, de acordo com o preisto no item

/2+2+2, da 3B2 IS<%IAC /77DD-200EN

.C, com istas a mel!orar a efici9ncia do controle

de ITs, B&s e 0&0CS, proporcionalmente ao

grau de implementação da .CAS no atendimento

!ospitalar e am#ulatorialN

Z+/+U+ aprimore os m>dulos de CH S"2<

do SIT%S$S e do SI0%S$S, com istas a- minimi'ar

as possi#ilidades de inserção de dados incor retos

durante a digitação, #em como tor nar mais

Fecisão +3+E$77$ ; :lenário

Z+/+D recomendar @ Hiisão de 1oderni'ação

e Informática 8 Himinf *ue se=a incluída uma

alidação na entrada de dados capa' de minimi'ar

os erros de digitação dos pedidos de registros

na #ase de dados de marcas, eitando assim a

repu#licação do pedidoN

auto8eGplicatias as respectias telas do sistema,

mediante a adição de teclas de atal!o para ta#elas

:a eGemplo das teclas W./X, de a=uda ou !elp;,

acionáeis diretamente a partir dos campos de

preenc!imento e para teGtos eGplicatiosN

Z+/+R+ enide esforços para automati'ar

o controle de *ualidade do processamentodo SIT%S$S :confer9ncia da regularidade do

processamento mensal;, #em como o processo

de disponi#ili'ação dos respectios ar*uios de

saída na BBS%1SN

Z+/+7+ estude a ia#ilidade de implantar

uma rotina de crítica automática no SI0%

S$S #= i d f i l d

F+7+/U+ reisar rotina de consulta do .JI, isto

*ue algumas contas não são locali'adas *uando o



S$S, com o o#=etio de conferir o olume de

informaç4es contidas em cada remessa mensal

dos gestores locais do S$S com os olumes

estatisticamente preistos, com #ase em padr4es

preesta#elecidosN


F+7+D+ reisar os procedimentos de crítica dos

Sistemas de Controle de Contas tias e Inatias,

S.J e .JI, a fim de *ue não permitam a inserção

de contas inculadas com &IS%&0 SA& iciados,

argumento de pes*uisa 6 o &IS%&asepN

F+7+/E+ reisar rotina de pagamento *uanto @

eGig9ncia do &IS%&asep cor retoN

F+7+/R+ reisar os procedimentos de crítica do

CA2 *uanto @ inserção ou @ alteração de dados

cadastrais, como =uros de mora, índice de rea=uste,

pra'o de car9ncia, dia de pagamento, dados de

retor noN

Controles criptográ)icos

de nomes com apenas uma palara, com letras

repetidas mais *ue duas e'es consecutiamente

e com espaços em #ranco e Gcedentes entre

palarasN

F+7+/0+ reisar as rotinas de crítica do S.J%.JI

*uanto @ inserção de contas inculadas com &IS%


D+F+D+ estude ]+++^ a possi#ilidade de utili'ar

recursos de criptografia e alidação digital na

proteção dos ar*uios a serem gerados pelo

programa .0& Higital em suas futuras ers4esN

&0 SA& inálido ou ineGistente na #ase de dadosN


F+7+//+ sanear as #ases de contas inculadas

atias e inatias *uanto @ eGist9ncia de contas

com saldo negatio e não mais per mitir suaocor r9nciaN

F+7+/2+ reisar as rotinas de crítica do S.J

*uanto @ inserção de empresas com CJC inálido

ou ineGistente na #ase de dadosN

F+7+/F+ inserir críticas no S.J com istas anão permitir mais de um dep>sito na mesma

conta inculada para uma mesma compet9nciaN

Z+2+U+ adote proid9ncias para dificultar

a alteração de dados nas ta#elas do programaSI0 +eGe, incluindo, se necessário, os mesmos

mecanismos de controle adotados no SIT%S$S

:campos de controle criptografados;N

Z+2+R+R+ a#ster8se de usar c!aes p)#licas

de acesso @ rede, sem estarem associadas a um

responsáelN

Segurança em processos de

desenvolvimento e de suporte

'.$7 Fe "ue trata a seçãoGKestão de incidentes de



desenvolvimento e de suporte Kestão de incidentes de

segurança da in)ormaçãoH#


D+2+/2+esta#eleça procedimentos for mais

de controle de demandas e de mudanças no

Infoseg, de acordo com o preisto no item /2+E+/

da 3B2 IS<%IAC /77DD-200E e @ semel!ança das

orientaç4es contidas no item IR+2 do C<BI"

U+0N

Assa seção da norma orienta a direção para *ue

fragilidades e eentos de segurança da infor mação

associados com sistemas de informação se=am

comunicados e gerenciados de forma consistente

e efetia, permitindo a tomada de ação cor retia

em tempo !á#il+ São fornecidas diretri'es para

notificação de eentos e fragilidades de segurança

da informação, definição de responsa#ilidades


D+/+U+ implemente sistemática de !omologação

e controle das ers4es implantadas do SipiaN

e procedimentos de gestão desses eentos e

fragilidades, al6m da coleta de eid9ncias e do

esta#elecimento de mecanismos para análise dos

incidentes recorrentes ou de alto impacto com

istas @ sua *uantificação e monitoramento+


D +U +2 + c r i e e de f ina mecan i smos de

gerenciamento *ue garantam a guarda

e recuperação das ers4es atual i'adas

'.$1 &ue acrdãos e decis*es do C< tratam6 entre outros aspectos6 da GKestão de incidentes de segurança da in)ormaçãoH#

da documentação de sistemas pelo setor

responsáelN

D+U+U+ adote cláusulas contratuais pa ra

assegurar *ue a documentação t6cnica, programas

fontes e dados de sistemas regidos por contratos

de prestação de ser iços este=am acessíeis ao

1inist6rioN


D+/+F+ implemente seriço de atendimento ao

usuário do Infoseg :!elp des; ade*uado @s suas

necessidades, em conformidade com o preisto

no item /F+/+/ da 3B2 IS<%IAC /77DD-200E e @

semel!ança das orientaç4es contidas no HSZ+/ do

C<BI" U+0, aaliando a coneni9ncia de implantá8

lo em regime ininterrupto :2U !oras por dia e 7

dias por semana;N


D 2 U e D F U adote um programa de

IAC /77DD-200E, itens /U+/+/, /U+/+2 e /U+/+F,

e ela#ore o &lano de Continuidade do 3eg>cio

&C3 f t # l id 3B2 IS<%IAC



D+2+U+ e D+F+U+ adote um programa de

treinamento específico para a área de segurança

8 &C3 conforme o esta#elecido na 3B2 IS<%IAC

/77DD-200E, itens /U+/+U e /U+/+ENde sistemas, enfocando aspectos de segurança

física e l>gica, #em assim a reação dos funcionários

frente @ ocorr9ncia de conting9ncias *ue possam

afetar a continuidade dos ser içosN

'.$$ Fe "ue trata a seção GKestão

da continuidade do negcioH#

Assa seção da norma orienta a direção *uanto

@s medidas a serem tomadas para preenir a


D+2+/U+ defina for malmente um &lano de

Continuidade do 3eg>cio 8 &C3 8 específico para o

Infoseg, *ue garanta em caso de fal!as ou desastre

natural significatio, a retomada em tempo !á#il

das atiidades do sistema, protegendo os processos

críticos, de acordo com o preisto nos itens /U+/+U

e /U+/+E da 3B2 IS<%IAC /77DD-200EN

inter r upção das atiidades do neg>cio e proteger

os processos críticos contra defeitos, fal!as ou

desastres significatios, assegurando sua retomada

em tempo !á#il, se for o caso+ São for necidas

diretri'es para incluir a segurança da infor mação

no processo de gestão da continuidade de neg>cio

e para reali'ar análise e aaliação de riscos, al6m

de desenoler, implementar, testar e reaaliar

planos de continuidade relatios @ segurança da

infor mação+


D+/+F implante um &lano de Conting9ncia ]+++^,

com prioridade e atenção especial @s áreas com

grande eGposição a riscos, @s áreas enolidas com

eleados olumes de recursos e *uantidade de

transaç4es, #em assim @*uelas *ue possam tra'er

riscos de imagem @ Instituição, o#ser ando8se

as peculiaridades e características intrínsecas do

]+++^N

'.$% &ue acrdãos e decis*es do C< tratam6 entre outros

aspectos6 da GKestão da

continuidade do negcioH#

Acrdão $7%E$77+ ; $J C@mara

D+F+7+/+ crie normatios para a condução

dos diersos seriços passíeis de acidentes, com


D+/+R+ implante a gestão de continuidade doneg>cio conforme o esta#elecido na 3B2 IS<%

manuais de procedimentosN aç4es mais efetias

da CI&0N promoção de encontros, seminários e

palestras so#re o temaN propagandas isuais deconscienti'ação e reali'ação da SI&0"N

D+F+7+F+ priori'e as aç4es de preenção,

reali'ando cursos específicos, reciclagem e




p , g

especiali'aç4esN F+7+R+ proidenciar, com a maior #reidade

possíel, o &lano de Conting9nciasN


D+/+E+ a ela#oração e implementação de um

&lano de Conting9ncias de acordo com o item

//+/+U da 3B2 IS<%IAC /77DD-200/N

Fecisão //3E133+ ; :lenário

2+/+ estude a possi#ilidade de implementar ,

a m6dio pra'o, no ?m#ito do seu plano de

conting9ncia, uma solução alternatia para o


Z+F+F ela#ore &lano de Conting9ncias ]+++^ *ue

possa orientar os t6cnicos em caso de ocor r9ncia

de sinistros ou de situaç4es *ue en!am a

comprometer a operação do sistemaN


Z+F+U+ adote as medidas recomendadas por

sua 0uditoria Interna ]+++^ como por eGemplo a

implementação de um plano formal *ue conten!a

medidas de conting9ncia e recuperação de

processosN

caso de perda total das instalaç4es da .ilial São

&aulo, nas *uais se opera o processamento da

rrecadação .ederal, para *ue o tratamento

das informaç4es essenciais não sofra solução de

continuidade no caso de ocorr9ncia de sinistro de

grande proporç4esN

'.$' Fe "ue trata a seçãoGCon)ormidadeH#

Assa seção da norma orienta a direção a eitar

iolação de *ual*uer lei criminal ou ciil, estatutos,

regulamentaç4es ou o#rigaç4es contratuais e de

*uais*uer re*uisitos de segurança da infor mação,

al6m de garantir conformidade dos sistemas comFecisão 31E$777 ; :lenário

Z+2+R+/+ ela#orar plano de conting9ncia,

incluindo a preisão de testes de alidação e de

roteiros específicos para os procedimentos de

conting9nciaN

as políticas e normas organi'acionais de segurança

da informação+ São fornecidas diretri'es para

identificação da legislação igente, proteção dos

direitos de propriedade intelectual, proteção dos

registros organi'acionais, proteção de dados e

priacidade de informaç4es pessoais, preenção

de mau uso de recursos de processamento da

informação e regulamentação de controles de

criptografia+ l6m disso, são feitas algumas

a garantir a o#ser ?ncia das políticas e nor mas

*ue en!am a ser instituídas pelo 1inist6rio,

como a &olítica de Segurança da Informação a



p g , g

consideraç4es *uanto @ auditoria de sistemas de

infor mação+

'.$+ &ue acrdãos e decis*esdo C< tratam6 entre outros

aspectos6 da GCon)ormidadeH#

Con)ormidade com re"uisitos legais


D+2+/2 8 adote procedimento especial para o

registro e a tramitação de todos os

documentos, *ue conten!am, de algum

modo, infor maç4es estrat6gicas e%ou

priilegiadasN

Acrdão $7%E$77+ ; $J C@mara

D+F+//+ a#sten!a8se da utili'ação de softMares

não licenciadosN

Con)ormidade com normas e

pol9ticas de segurança da in)ormação

e con)ormidade t-cnica


D+U+/+ implemente os pro ced imen tos

informati'ados necessários no sentido de a=udar

como a &olítica de Segurança da Informação, a

&olítica de Controle de cesso e a 1etodologia para Hesenolimento de SistemasN


F+7+2/+ incorporar ao Sistema de Controle de

Segurança, SSJ, as restriç4es impostas pela norma

de controle de acesso l>gico, 13 .J+0/+0E+00N

F+7+2F+ desautori'ar prestadores de ser iços

*ue este=am !a#ilitados de forma contrária @

norma constante no 13 .J+0/+0E+00N

Consideraç*es "uanto ( auditoria

de sistemas de in)ormaç*es


D+/+Z+ implante, por meio de sua 0uditoria

Interna, política de auditoria nos diersos sistemas

de tecnol ogia da infor mação per tinen tes @

arrecadação de receitas da AmpresaN

efer9ncias #i#liográficas



SS<CIKL< B20SIAI20 HA 3<210S "(C3IC0S+ 3B IS<%IAC /77DD- tecnologia da infor mação-

c>digo de prática para a gestão da segurança da informação+ io de àneiro- 0B3", 200/+

0 SS<CIKL< B20 SIAI20 HA 3<1 S "(C3IC0 S+ 3B IS<%IAC /77DD-200E- tecnologia

da informação, t6cnicas de segurança, c>digo de prática para a gestão da segurança da informação+

2+ ed+ io de àneiro- 0B3", 200E+

B20SI+ Hecreto n+Y F+E0E, de /F de =un!o de 2000+ Institui a &olítica de Segurança da

Infor mação nos >rgãos e entidades da 0dministração &)#lica .ederal+ Hisponíel em-!ttp-%%MM M+planalto+go+ #r%cciilb0F%decreto%HFE0E+!tm+ cesso em- 2U out+ 2007+

+ ei n+Y D+DZF, de /U de =ul!o de 2000+ ltera o Hecreto8ei n+Y 2+ZUZ, de 7 de

de'em#ro de /DU0 C>digo &enal e dá outras proid9ncias+ Hisponíel em-

!ttp-%%MM M +planalto+go +#r% cciilb0F%eis%DDZF+!tm+ cesso em- 2U out+ 2007+

HI0 S, Cláudia+ Segurança e auditoria da tecnologia da informação+ io de àneiro- GcelBoos, 2000+

http://www.planalto.gov/


http://www.planalto.gov.br/


http://www.planalto.gov.br/



DI<BAL F4 C!BAS FA <BIN!

S.S Vuadra U lote /

700U28D00 Brasília8H.

!ttp-%%MM M+tcu+go +#r





Documents

Boas Práticas Em Segurança Da Informação - 2ª Edição