Post on 10-Apr-2018
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
1/71
Braslia, 2007
Boas prticas em
Segurana da Informao2 edio
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
2/71
Copyright 2007, Tribunal de Contas da Unio
Impresso no Brasil / Printed in Brazil
permitida a reproduo desta publicao,
em parte ou no todo, sem alterao do contedo,
desde que citada a fonte e sem fins comerciais.
Brasil. Tribunal de Contas da Unio.Boas prticas em segurana da informao / Tribunal de Contas da Unio. 2. ed. Braslia :
TCU, Secretaria de Fiscalizao de Tecnologia da Informao, 2007.70 p.
1. Segurana da informao 2. Auditoria, Tecnologia da informao I. Ttulo.
Ficha catalogrfica elaborada pela Biblioteca Ministro Ruben Rosa
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
3/71
Apresentao
Na sociedade da informao, ao mesmo tempo em que as informaes so consideradas o principal
patrimnio de uma organizao, esto tambm sob constante risco, como nunca estiveram antes. Comisso, a segurana da informao tornou-se um ponto crucial para a sobrevivncia das instituies.
Um dos focos das fiscalizaes de Tecnologia da Informao (TI), realizadas pela Secretaria de
Fiscalizao de Tecnologia da Informao (Sefti), do Tribunal de Contas da Unio, a verificao da
conformidade e do desempenho das aes governamentais em aspectos de segurana de tecnologia
da informao, utilizando critrios fundamentados. O principal objetivo dessas fiscalizaes contribuir
para o aperfeioamento da gesto pblica, para assegurar que a tecnologia da informao agreguevalor ao negcio da Administrao Pblica Federal em benefcio da sociedade.
O Tribunal de Contas da Unio, ciente da importncia de seu papel pedaggico junto aos
administradores pblicos e da utilidade de apresentar sua forma de atuao s unidades jurisdicionadas,
aos parlamentares, aos rgos governamentais, sociedade civil e s organizaes no-governamentais,
elaborou esta publicao com o intuito de despertar a ateno para os aspectos da segurana de
tecnologia da informao nas organizaes governamentais.
Espera-se que este trabalho seja uma boa fonte de consulta, e que o Tribunal, mais uma vez, colabore
para o aperfeioamento da Administrao Pblica.
Walton Alencar Rodrigues
Ministro-Presidente
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
4/71
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
5/71
Sumrio
Introduo .............................................................................................................7
Controles de Acesso Lgico ....................................................................................9
Poltica de Segurana de Informaes ...................................................................25
Plano de Contingncias ........................................................................................33
TCU e a NBR ISO/IEC 17799 ..................................................................................39
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
6/71
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
7/71
Introduo
Na poca em que as informaes eram armazenadas apenas em papel, a segurana era relativamente
simples. Bastava trancar os documentos em algum lugar e restringir o acesso fsico quele local. Comas mudanas tecnolgicas e com o uso de computadores de grande porte, a estrutura de segurana
ficou um pouco mais sofisticada, englobando controles lgicos, porm ainda centralizados. Com a
chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os
aspectos de segurana atingiram tamanha complexidade que h a necessidade de desenvolvimento
de equipes e de mtodos de segurana cada vez mais sofisticados. Paralelamente, os sistemas de
informao tambm adquiriram importncia vital para a sobrevivncia da maioria das organizaes
modernas, j que, sem computadores e redes de comunicao, a prestao de servios de informaopode se tornar invivel.
O objetivo desta publicao apresentar, na forma de captulos, boas prticas em segurana da
informao, a qualquer pessoa que interaja de alguma forma com ambientes informatizados, desde
profissionais de informtica envolvidos com segurana de informaes at auditores, usurios e
dirigentes preocupados em proteger o patrimnio, os investimentos e os negcios de sua organizao,
em especial, os gestores da Administrao Pblica Federal.
Esta segunda edio inclui um novo captulo, que comenta a NBR ISO/IEC 17799 e lista acrdos
e decises do Tribunal sobre segurana de tecnologia da informao, alm dos trs captulos que
constavam da primeira edio (controles de acesso lgico, poltica de segurana de informaes e
plano de contingncias). nossa inteno continuar a publicar novas edies, incluindo captulos
sobre assuntos correlatos.
Diretoria de Auditoria de Tecnologia da Informao
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
8/71
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
9/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
9
1. Controles de Acesso LgicoNeste captulo sero apresentados conceitos
importantes sobre controles de acesso lgico
a serem implantados em instituies que
utilizam a informtica como meio de gerao,
armazenamento e divulgao de informaes,com o objetivo de prover segurana de acesso a
essas informaes.
1.1 O que so controles de acesso?
Os controles de acesso, fsicos ou lgicos, tm
como objetivo proteger equipamentos, aplicativos
e arquivos de dados contra perda, modificao
ou divulgao no autorizada. Os sistemas
computacionais, bem diferentes de outros tipos de
recursos, no podem ser facilmente controlados
apenas com dispositivos fsicos, como cadeados,
alarmes ou guardas de segurana.
1.2 O que so controlesde acesso lgico?
Os controles de acesso lgico so um
conjunto de procedimentos e medidas com o
objetivo de proteger dados, programas e sistemas
contra tentativas de acesso no autorizadas
feitas por pessoas ou por outros programas de
computador.
O controle de acesso lgico pode ser encarado
de duas formas diferentes: a partir do recurso
computacional que se quer proteger e a partir do
usurio a quem sero concedidos certos privilgios
e acessos aos recursos.
A proteo aos recursos computacionais baseia-
se nas necessidades de acesso de cada usurio,
enquanto que a identificao e autenticao do
usurio (confirmao de que o usurio realmente
quem ele diz ser) feita normalmente por meio de
um identificador de usurio (ID) e por uma senha
durante o processo de logon no sistema.
1.3 Que recursos devemser protegidos?
A proteo aos recursos computacionais
inclui desde aplicativos e arquivos de dados at
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
10/71
10
TRIBUNAL DE CONTAS DA UNIO
utilitrios e o prprio sistema operacional. Abaixo
sero apresentados os motivos pelos quais esses
recursos devem ser protegidos.
Aplicativos (programas fonte e objeto)
O acesso no autorizado ao cdigo fonte
dos aplicativos pode ser usado para alterar suas
funes e a lgica do programa. Por exemplo,
em um aplicativo bancrio, pode-se zerar oscentavos de todas as contas-correntes e transferir
o total dos centavos para uma determinada conta,
beneficiando ilegalmente esse correntista.
Arquivos de dados
Bases de dados, arquivos ou transaes debancos de dados devem ser protegidos para evitar
que os dados sejam apagados ou alterados sem
autorizao, como, por exemplo, arquivos com
a configurao do sistema, dados da folha de
pagamento, dados estratgicos da empresa.
Utilitrios e sistema operacional
O acesso a uti l itrios, como editores,
compiladores, softwares de manuteno,
monitorao e diagnstico deve ser restrito, j que
essas ferramentas podem ser usadas para alterar
aplicativos, arquivos de dados e de configurao
do sistema operacional, por exemplo.
O sistema operacional sempre um alvo
bastante visado, pois sua configurao o
ponto-chave de todo o esquema de segurana. A
fragilidade do sistema operacional compromete
a segurana de todo o conjunto de aplicativos,
utilitrios e arquivos.
Arquivos de senha
A falta de proteo adequada aos arquivos
que armazenam as senhas pode comprometer
todo o sistema, pois uma pessoa no autorizada,
ao obter identificador (ID) e senha de um usurio
privilegiado, pode, intencionalmente, causar danosao sistema. Essa pessoa dificilmente ser barrada
por qualquer controle de segurana instalado, j
que se faz passar por um usurio autorizado.
Arquivos de log
Os arquivos de log so usados para registraraes dos usurios, constituindo-se em timas
fontes de informao para auditorias futuras.
Os logs registram quem acessou os recursos
computacionais, aplicativos, arquivos de dados e
utilitrios, quando foi feito o acesso e que tipo de
operaes foram efetuadas.
Um invasor ou usurio no autorizado pode
tentar acessar o sistema, apagar ou alterar dados,
acessar aplicativos, alterar a configurao do
sistema operacional para facilitar futuras invases,
e depois alterar os arquivos de log para que suas
aes no possam ser identificadas. Dessa forma,
o administrador do sistema no ficar sabendo
que houve uma invaso.
1.4 O que os controles de acessolgico pretendem garantir emrelao segurana de informaes?
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
11/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
11
Os controles de acesso lgico so implantados
com o objetivo de garantir que:
apenas usurios autorizados tenham acesso
aos recursos;
os usurios tenham acesso apenas aos
recursos realmente necessrios para a execuo
de suas tarefas;
o acesso a recursos crticos seja bem
monitorado e restrito a poucas pessoas;
os usurios estejam impedidos de executar
transaes incompatveis com sua funo ou alm
de suas responsabilidades.
O controle de acesso pode ser traduzido,
ento, em termos de funes de identificao
e autenticao de usurios; alocao, gerncia
e monitoramento de privilgios; limitao,
monitoramento e desabilitao de acessos; e
preveno de acessos no autorizados.
1.5 Como os usurios soidentificados e autenticados?
Os usurios dos sistemas computacionais so
identificados e autenticados durante um processo,
chamado Logon. Os processos de logon so usados
para conceder acesso aos dados e aplicativos em
um sistema computacional, e orientam os usuriosdurante sua identificao e autenticao.
Normalmente esse processo envolve a entrada
de um ID (identificao do usurio) e de uma senha
(autenticao do usurio). A identificao define
para o computador quem o usurio e a senha
um autenticador, isto , ela prova ao computadorque o usurio realmente quem ele diz ser.
1.5.1 Como deve ser projetado um processode logon para ser considerado eficiente?
O procedimento de logon deve divulgar o
mnimo de informaes sobre o sistema, evitandofornecer a um usurio no autorizado informaes
detalhadas. Um procedimento de logon eficiente
deve:
informar que o computador s deve ser
acessado por pessoas autorizadas;
evitar identificar o sistema ou suas aplicaes
at que o processo de logon esteja completamente
concludo;
durante o processo de logon, evitar o
fornecimento de mensagens de ajuda que
poderiam auxiliar um usurio no autorizado a
completar esse procedimento;
validar a informao de logon apenas
quando todos os dados de entrada estiverem
completos. Caso ocorra algum erro, o sistema
no deve indicar qual parte do dado de entrada
est correta ou incorreta, como, por exemplo, ID
ou senha;
limitar o nmero de tentativas de logon
sem sucesso ( recomendado um mximo de trs
tentativas), e ainda:
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
12/71
12
TRIBUNAL DE CONTAS DA UNIO
a) registrar as tentativas de acesso invlidas;
b) forar um tempo de espera antes de permitirnovas tentativas de entrada no sistema ou
rejeitar qualquer tentativa posterior de acesso
sem autorizao especfica;
c) encerrar as conexes com o computador.
limitar o tempo mximo para o procedimentode logon. Se excedido, o sistema dever encerrar
o procedimento;
mostrar as seguintes informaes, quando
o procedimento de logon no sistema finalizar
com xito:
a) data e hora do ltimo logon com sucesso;
b) detalhes de qualquer tentativa de logon
sem sucesso, desde o ltimo procedimento
realizado com sucesso.
1.5.2 O que identificao do usurio?
A identificao do usurio, ou ID, deve ser nica,
isto , cada usurio deve ter uma identificao
prpria. Todos os usurios autorizados devem
ter um ID, quer seja um cdigo de caracteres,
carto inteligente ou qualquer outro meio de
identificao. Essa unicidade de identificao
permite um controle das aes praticadas pelosusurios atravs dos logs.
No caso de identificao a partir de caracteres,
comum estabelecer certas regras de composio,
como, por exemplo, quantidade mnima e mxima
de caracteres, misturando letras, nmeros e
smbolos.
1.5.3 O que autenticao do usurio?
Aps a identificao do usurio, deve-se
proceder sua autenticao, isto , o sistema
deve confirmar se o usurio realmente quem
ele diz ser. Os sistemas de autenticao souma combinao de hardware, software e de
procedimentos que permitem o acesso de usurios
aos recursos computacionais.
Na autenticao, o usurio deve apresentar
algo que s ele saiba ou possua, podendo at
envolver a verificao de caractersticas fsicaspessoais. A maioria dos sistemas atuais solicita
uma senha (algo que, supostamente, s o
usurio conhece), mas j existem sistemas mais
modernos utilizando cartes inteligentes (algo que
o usurio possui) ou ainda caractersticas fsicas
(algo intrnseco ao usurio), como o formato da
mo, da retina ou do rosto, impresso digital e
reconhecimento de voz.
1.5.4 Como orientar os usuriosem relao s senhas?
Para que os controles de senha funcionem,
os usurios devem ter pleno conhecimento das
polticas de senha da organizao, e devem serorientados e estimulados a segui-las fielmente.
Todos os usurios devem ser solicitados a:
manter a confidencialidade das senhas;
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
13/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
13
no compartilhar senhas;
evitar registrar as senhas em papel;
selecionar senhas de boa qualidade, evitando
o uso de senhas muito curtas ou muito longas,
que os obriguem a escrev-las em um pedao de
papel para no serem esquecidas (recomenda-se
tamanho entre seis e oito caracteres);
alterar a senha sempre que existir qualquer
indicao de possvel comprometimento do
sistema ou da prpria senha;
alterar a senha em intervalos regulares ou
com base no nmero de acessos (senhas para
usurios privilegiados devem ser alteradas commaior freqncia que senhas normais);
evitar reutilizar as mesmas senhas;
alterar senhas temporrias no primeiro
acesso ao sistema;
no incluir senhas em processos automticos
de acesso ao sistema (por exemplo, armazenadas
em macros).
Vale lembrar tambm que utilizar a mesma
senha para vrios sistemas no uma boa prtica,
pois a primeira atitude de um invasor, quando
descobre a senha de um usurio em um sistemavulnervel, tentar a mesma senha em outros
sistemas a que o usurio tem acesso.
1.5.5 Que tipos de senhasdevem ser evitadas?
Os usurios devem evitar senhas compostas de
elementos facilmente identificveis por possveis
invasores, como por exemplo:
nome do usurio;
identificador do usurio (ID), mesmo queseus caracteres estejam embaralhados;
nome de membros de sua famlia ou de
amigos ntimos;
nomes de pessoas ou lugares em geral;
nome do sistema operacional ou da
mquina que est sendo utilizada;
nomes prprios;
datas;
nmeros de telefone, de carto de
crdito, de carteira de identidade ou de outros
documentos pessoais;
placas ou marcas de carro;
palavras que constam de dicionrios em
qualquer idioma;
letras ou nmeros repetidos;
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
14/71
14
TRIBUNAL DE CONTAS DA UNIO
letras seguidas do teclado do computador
(ASDFG, YUIOP);
objetos ou locais que podem ser vistos a
partir da mesa do usurio (nome de um livro na
estante, nome de uma loja vista pela janela);
qualquer senha com menos de seis
caracteres.
Alguns softwares so capazes de identificar
senhas frgeis, como algumas dessas citadas
acima, a partir de bases de dados de nomes e
seqncias de caracteres mais comuns, e ainda
bloquear a escolha dessas senhas por parte do
usurio. Essas bases de dados normalmente fazem
parte do pacote de software de segurana, epodem ser atualizadas pelo gerente de segurana
com novas incluses.
1.5.6 Como escolher uma boa senha?
Geralmente so consideradas boas senhas
aquelas que incluem, em sua composio, letras
(maisculas e minsculas), nmeros e smbolos
embaralhados, totalizando mais de seis caracteres.
Porm, para ser boa mesmo, a senha tem de ser
difcil de ser adivinhada por outra pessoa, mas de
fcil memorizao, para que no seja necessrio
anot-la em algum lugar. Tambm conveniente
escolher senhas que possam ser digitadas
rapidamente, dificultando que outras pessoas, auma certa distncia ou por cima de seus ombros,
possam identificar a seqncia de caracteres.
Um mtodo bastante difundido selecionar
uma frase significativa para o usurio e utilizar
os primeiros caracteres de cada palavra que acompe, inserindo smbolos entre eles. tambm
recomendvel no utilizar a mesma senha para
vrios sistemas. Se um deles no for devidamente
protegido, a senha poder ser descoberta e
utilizada nos sistemas que, a priori, estariam
seguros. Outro conselho: adquira o hbito de
trocar sua senha com freqncia. Troc-la a cadasessenta, noventa dias considerada uma boa
prtica.
Se voc realmente no conseguir memorizar
sua senha e tiver que escrev-la em algum pedao
de papel, tenha pelo menos o cuidado de no
identific-la como sendo uma senha. No pregueesse pedao de papel no prprio computador, no
guarde a senha junto com a sua identificao de
usurio, e nunca a envie por e-mail ou a armazene
em arquivos do computador.
1.5.7 Como deve ser feita a concessode senhas aos usurios?
A concesso de senhas deve ser feita de
maneira formal, considerando os seguintes
pontos:
solicitar aos usurios a assinatura de uma
declarao, a fim de manter a confidencialidade
de sua senha pessoal (isso pode estar incluso nostermos e condies do contrato de trabalho do
usurio);
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
15/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
15
garantir, aos usurios, que esto sendo
fornecidas senhas iniciais seguras e temporrias,
forando-os a alter-las imediatamente noprimeiro logon. O fornecimento de senhas
temporrias, nos casos de esquecimento por parte
dos usurios, deve ser efetuado somente aps a
identificao positiva do respectivo usurio;
fornecer as senhas temporrias aos usurios
de forma segura. O uso de terceiros ou demensagens de correio eletrnico desprotegidas
(no criptografadas) deve ser evitado.
1.5.8 O que a instituio pode fazerpara proteger e controlar as senhasde acesso a seus sistemas?
O sistema de controle de senhas deve ser
configurado para proteger as senhas armazenadas
contra uso no autorizado, sem apresent-las na
tela do computador, mantendo-as em arquivos
criptografados e estipulando datas de expirao
(normalmente se recomenda a troca de senhas
aps 60 ou 90 dias). Alguns sistemas, alm de
criptografar as senhas, ainda guardam essas
informaes em arquivos escondidos que no
podem ser vistos por usurios, dificultando, assim,
a ao dos hackers.
Para evitar o uso freqente das mesmas senhas,
o sistema de controle de senhas deve manter um
histrico das ltimas senhas utilizadas por cadausurio. Deve-se ressaltar, entretanto, que a
troca muito freqente de senhas tambm pode
confundir o usurio, que poder passar a escrever
a senha em algum lugar visvel ou escolher umasenha mais fcil, comprometendo, assim, sua
segurana.
O gerente de segurana deve desabilitar contas
inativas, sem senhas ou com senhas padronizadas.
At mesmo a senha temporria fornecida ao
usurio pela gerncia de segurana deve sergerada de forma que j entre expirada no sistema,
exigindo uma nova senha para os prximos logons.
Portanto, deve haver um procedimento que force
a troca de senha imediatamente aps a primeira
autenticao, quando o usurio poder escolher
a senha que ser utilizada dali por diante.
Ex-funcionrios devem ter suas senhas
bloqueadas. Para isso, devem existir procedimentos
administrativos eficientes que informem o gerente
de segurana, ou o administrador dos sistemas,
da ocorrncia de demisses ou de desligamentos
de funcionrios. Esses procedimentos, na prtica,
nem sempre so seguidos, expondo a organizao
a riscos indesejveis.
Tambm devem ser bloqueadas contas
de usurios aps um determinado nmero
de tentativas de acesso sem sucesso. Esse
procedimento diminui os riscos de algum tentar
adivinhar as senhas. Atingido esse limite, s o
administrador do sistema poder desbloquear aconta do usurio, por exemplo.
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
16/71
16
TRIBUNAL DE CONTAS DA UNIO
1.5.9 Existem outras formas de autenticaodo usurio, alm do uso de senhas?
Sim. A autenticao dos usurios pode ser
feita a partir de tokens, ou ainda, de sistemas
biomtricos.
1.5.10 O que so tokens?
A idia de fornecer tokens aos usurioscomo forma de identific-los bastante antiga.
No nosso dia-a-dia, estamos freqentemente
utilizando tokens para acessar alguma coisa. As
chaves que abrem a porta da sua residncia ou
seu carto com tarja magntica para utilizar o caixa
eletrnico do banco so exemplos de tokens. O
carto magntico ainda uma token especial, poisguarda outras informaes, como, por exemplo, a
sua conta bancria.
Token pode ser definida, ento, como um
objeto que o usurio possui, que o diferencia das
outras pessoas e o habilita a acessar algum objeto.
A desvantagem das tokens em relao s senhas
que essas, por serem objetos, podem ser perdidas,
roubadas ou reproduzidas com maior facilidade.
1.5.11 O que so cartesmagnticos inteligentes?
Os cartes inteligentes so tokens que contm
microprocessadores e capacidade de memriasuficiente para armazenar dados, a fim de dificultar
sua utilizao por outras pessoas que no seus
proprietrios legtimos.
O primeiro carto inteligente, patenteado
em 1975, foi o de Roland Moreno, considerado
o pai do carto inteligente. Comparado aocarto magntico, que um simples dispositivo
de memria, o carto inteligente no s pode
armazenar informaes para serem lidas, mas
tambm capaz de processar informaes. Sua
clonagem mais difcil e a maioria dos cartes
inteligentes ainda oferece criptografia.
Normalmente o usurio de carto inteligente
precisa fornecer uma senha leitora de carto para
que o acesso seja permitido, como uma medida de
proteo a mais contra o roubo de cartes.
As instituies bancrias, financeiras e
governamentais so os principais usuriosdessa tecnologia, em funo de seus benefcios
em relao segurana de informaes e pela
possibilidade de reduo de custos de instalaes e
de pessoal, como, por exemplo, a substituio dos
guichs de atendimento ao pblico nos bancos por
caixas eletrnicos. Os cartes inteligentes tm sido
usados em diversas aplicaes: cartes bancrios,
telefnicos e de crdito, dinheiro eletrnico,
segurana de acesso, carteiras de identidade.
1.5.12 O que so sistemas biomtricos?
Os sistemas biomtricos so sistemas
automticos de verificao de identidade baseados
em caractersticas fsicas do usurio. Essessistemas tm como objetivo suprir deficincias de
segurana das senhas, que podem ser reveladas
ou descobertas, e das tokens, que podem ser
perdidas ou roubadas.
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
17/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
17
Os sistemas biomtricos automticos so
uma evoluo natural dos sistemas manuais
de reconhecimento amplamente difundidos hmuito tempo, como a anlise grafolgica de
assinaturas, a anlise de impresses digitais e o
reconhecimento de voz. Hoje j existem sistemas
ainda mais sofisticados, como os sistemas de
anlise da conformao dos vasos sangneos
na retina.
1.5.13 Que caractersticas humanas podemser verificadas por sistemas biomtricos?
Teoricamente, qualquer caracterstica humana
pode ser usada como base para a identificao
biomtrica. Na prtica, entretanto, existem
algumas limitaes. A tecnologia deve ser capazde medir determinada caracterstica de tal forma
que o indivduo seja realmente nico, distinguindo
inclusive gmeos, porm no deve ser invasiva ou
ferir os direitos dos indivduos.
Um dos problemas enfrentados pelos sistemas
biomtricos atuais sua alta taxa de erro, em funo
da mudana das caractersticas de uma pessoa
com o passar dos anos, ou devido a problemas
de sade ou o prprio nervosismo, por exemplo.
A tolerncia a erros deve ser estabelecida com
preciso, de forma a no ser grande o suficiente
para admitir impostores, nem pequena demais
a ponto de negar acesso a usurios legtimos.
Abaixo sero apresentadas algumas caractersticashumanas verificadas por sistemas biomtricos
existentes:
Impresses digitais so caractersticas
nicas e consistentes. Nos sistemas biomtricos
que utilizam essa opo, so armazenados de40 a 60 pontos para verificar uma identidade. O
sistema compara a impresso lida com impresses
digitais de pessoas autorizadas, armazenadas
em sua base de dados. Atualmente, esto sendo
utilizadas impresses digitais em alguns sistemas
governamentais, como, por exemplo, o sistema
de previdncia social na Espanha e o de registrode eleitores na Costa Rica;
Voz os sistemas de reconhecimento de voz
so usados para controle de acesso, porm no
so to confiveis como as impresses digitais, em
funo dos erros causados por rudos do ambiente
e de problemas de garganta ou nas cordas vocaisdas pessoas a eles submetidas;
Geometria da mo tambm usada
em sistemas de controle de acesso, porm essa
caracterstica pode ser alterada por aumento ou
diminuio de peso ou pela artrite;
Configurao da ris e da retina os
sistemas que utilizam essas caractersticas se
propem a efetuar identificao mais confivel
do que os sistemas que verificam impresses
digitais. Entretanto, so sistemas invasivos, pois
direcionam feixes de luz aos olhos das pessoas que
se submetem sua identificao;
Reconhecimento fac ia l atravs de
termogramas - o termograma facial uma
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
18/71
18
TRIBUNAL DE CONTAS DA UNIO
imagem captada por uma cmera infravermelha
que mostra os padres trmicos de uma face. Essa
imagem nica e, combinada com algoritmossofisticados de comparao de diferentes nveis
de temperatura distribudos pela face, constitui-se
em uma tcnica no-invasiva, altamente confivel,
no sendo afetada por alteraes de sade, idade
ou temperatura do corpo. So armazenados ao
todo 19.000 pontos de identificao, podendo
distinguir gmeos idnticos, mesmo no escuro.O desenvolvimento dessa tecnologia tem como
um de seus objetivos baratear seu custo para
que possa ser usada em um nmero maior de
aplicaes de identificao e de autenticao.
1.6 Como restringir o acesso
aos recursos informacionais?O fato de um usurio ter sido identificado
e autenticado no quer dizer que ele poder
acessar qualquer informao ou aplicativo sem
qualquer restrio. Deve-se implementar um
controle especfico, restringindo o acesso dos
usurios apenas s aplicaes, arquivos e utilitrios
imprescindveis para desempenhar suas funes
na organizao. Esse controle pode ser feito por
menus, funes ou arquivos.
1.6.1 Para que servem os controles de menu?
Os controles de menu podem ser usados para
restringir o acesso de diferentes categorias deusurios apenas queles aplicativos ou utilitrios
indispensveis a cada categoria.
Por exemplo, em um sistema de folha de
pagamento, poder ser apresentado um menu
inicial com trs opes diferentes: funcionrio,gerente e setor de recursos humanos. Nesse caso,
o administrador do sistema dever conceder
acesso a cada uma das opes de acordo com a
funo desempenhada pelo usurio. Portanto, o
funcionrio s ter acesso a dados da sua folha
de pagamento pessoal, enquanto que o gerente
poder ter acesso a algumas informaes dafolha de seus funcionrios. O setor de recursos
humanos, para poder alimentar a base de dados
de pagamento, obter um nvel diferente de
acesso e sua interao com o sistema ser feita a
partir de menus prprios para a administrao de
pessoal. Os menus apresentados aps a seleo de
uma das opes (funcionrio, gerente ou setor derecursos humanos) sero, portanto, diferentes.
1.6.2 Para que servem os controlesde funes de aplicativos?
No que diz respeito s funes internas dos
aplicativos, os respectivos proprietrios devero
definir quem poder acess-las e como, por meio
de autorizao para uso de funes especficas ou
para restrio de acesso a funes de acordo com
o usurio (menus de acesso predefinidos), horrio
ou tipo de recursos (impressoras, fitas backup).
1.6.3 Como proteger arquivos?
A maioria dos sistemas operacionais possui
mecanismos de controle de acesso que definem
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
19/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
19
as permisses e os privilgios de acesso para
cada recurso ou arquivo no sistema. Quando
um usurio tenta acessar um recurso, o sistemaoperacional verifica se as definies de acesso
desse usurio e do recurso desejado conferem. O
usurio s conseguir o acesso se essa verificao
for positiva.
Para garantir a segurana lgica, pode-se
especificar dois tipos de controle, sob ticasdiferentes:
O que um sujeito pode fazer; ou
O que pode ser feito com um objeto.
1.6.4 O que so direitos epermisses de acesso?
Definir direitos de acesso individualmente para
cada sujeito e objeto pode ser uma maneira um
tanto trabalhosa quando estiverem envolvidas
grandes quantidades de sujeitos e objetos. A
forma mais comum de definio de direitos de
acesso, nesse caso, a matriz de controle deacesso. Nessa matriz pode-se fazer duas anlises:
uma em relao aos sujeitos; outra, em relao
aos objetos.
Na primeira abordagem, cada sujeito recebe
uma permisso (ou capacidade) que define todos
os seus direitos de acesso. As permisses de acessoso, ento, atributos, associados a um sujeito ou
objeto, que definem o que ele pode ou no fazer
com outros objetos. Essa abordagem, no entanto,
pouco utilizada, j que, na prtica, com grandes
quantidades de sujeitos e objetos, a visualizao
exata de quem tem acesso a um determinado
objeto no to clara, comprometendo, assim,a gerncia de controle de acesso.
Na segunda abordagem, os direitos de acesso
so armazenados com o prprio objeto formando
a chamada lista de controle de acesso (Access
Control List (ACL)).
1.6.5 O que so listas de controle de acesso?
Enquanto a permisso de acesso define o
que um objeto pode ou no fazer com outros, a
lista de controle de acesso define o que os outros
objetos ou sujeitos podem fazer com o objeto a
ela associado. As listas de controle de acesso nadamais so do que bases de dados, associadas a um
objeto, que descrevem os relacionamentos entre
aquele objeto e outros, constituindo-se em um
mecanismo de garantia de confidencialidade e
integridade de dados.
A definio das listas de controle de acesso
deve ser sempre feita pelos proprietrios dosrecursos, os quais determinam o tipo de proteo
adequada a cada recurso e quem efetivamente
ter acesso a eles.
A gerncia das listas de controle de acesso,
na prtica, tambm complicada. Para reduzir
os problemas de gerenciamento dessas listas e oespao de memria ou disco por elas ocupado,
costuma-se agrupar os sujeitos com caractersticas
semelhantes ou direitos de acesso iguais. Dessa
forma, os direitos de acesso so associados a
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
20/71
20
TRIBUNAL DE CONTAS DA UNIO
grupos, e no a sujeitos individualizados. Vale
ressaltar que um sujeito pode pertencer a um
ou mais grupos, de acordo com o objeto a seracessado.
1.7 Como monitorar o acessoaos recursos informacionais?
O monitoramento dos sistemas de informao
feito, normalmente, pelos registros de log, trilhasde auditoria ou outros mecanismos capazes de
detectar invases. Esse monitoramento essencial
equipe de segurana de informaes, j que
praticamente impossvel eliminar por completo
todos os riscos de invaso por meio da identificao
e autenticao de usurios.
Na ocorrncia de uma invaso, falha do sistema
ou atividade no autorizada, imprescindvel
reunir evidncias suficientes para que possam
ser tomadas medidas corretivas necessrias ao
restabelecimento do sistema s suas condies
normais, assim como medidas administrativas e/
ou judiciais para investigar e punir os invasores.
A forma mais simples de monitoramento
a coleta de informaes, sobre determinados
eventos, em arquivos histricos, mais conhecidos
como logs. Com essas informaes, a equipe
de segurana capaz de registrar eventos e de
detectar tentativas de acesso e atividades no
autorizadas aps sua ocorrncia.
1.7.1 O que so logs?
Os logs so registros cronolgicos de atividades
do sistema que possibilitam a reconstruo, reviso
e anlise dos ambientes e das atividades relativasa uma operao, procedimento ou evento,
acompanhados do incio ao fim.
Os logs so utilizados como medidas de
deteco e monitoramento, registrando atividades,
falhas de acesso (tentativas frustradas de logon ou
de acesso a recursos protegidos) ou uso do sistemaoperacional, utilitrios e aplicativos, e detalhando
o que foi acessado, por quem e quando. Com
os dados dos logs, pode-se identificar e corrigir
falhas da estratgia de segurana. Por conterem
informaes essenciais para a deteco de acesso
no autorizado, os arquivos de log devem ser
protegidos contra alterao ou destruio porusurios ou invasores que queiram encobrir suas
atividades.
1.7.2 O que deve ser registrado em logs?
Devido grande quantidade de dados
armazenada em logs, deve-se levar em considerao
que seu uso pode degradar o desempenho dossistemas. Sendo assim, aconselhvel balancear
a necessidade de registro de atividades crticas
e os custos, em termos de desempenho global
dos sistemas. Normalmente, os registros de log
incluem:
identificao dos usurios;
datas e horrios de entrada (logon) e sada
do sistema (logoff);
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
21/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
21
identificao da estao de trabalho e,
quando possvel, sua localizao;
registros das tentativas de acesso (aceitas e
rejeitadas) ao sistema;
registros das tentativas de acesso (aceitas e
rejeitadas) a outros recursos e dados.
Ao definir o que ser registrado, precisoconsiderar que quantidades enormes de registros
podem ser inviveis de serem monitoradas. Nada
adianta ter um log se ele no periodicamente
revisado. Para auxiliar a gerncia de segurana
na rdua tarefa de anlise de logs, podem ser
previamente definidas trilhas de auditoria mais
simples e utilizados softwares especializados
disponveis no mercado, especficos para cada
sistema operacional.
1.8 Outros controlesde acesso lgico
Outro recurso de proteo bastante utilizado
em alguns sistemas o time-out automtico, isto, a sesso desativada aps um determinado
tempo sem qualquer atividade no terminal ou
computador. Para restaur-la, o usurio obrigado
a fornecer novamente seu ID e senha. Em alguns
sistemas operacionais, o prprio usurio, aps sua
habilitao no processo de logon, pode ativar e
desativar essa funo de time-out. Nesse sentido,os usurios devem ser orientados a:
encerrar as sesses ativas, a menos que
elas possam ser protegidas por mecanismo de
bloqueio (por exemplo, proteo de tela com
senha);
no caso de terminal conectado a computador
de grande porte, efetuar a desconexo quando
a sesso for finalizada (no apenas desligar
o terminal, mas utilizar o procedimento para
desconexo).
Como controle de acesso lgico, a gernciade segurana pode ainda limitar o horrio de uso
dos recursos computacionais de acordo com a real
necessidade de acesso aos sistemas. Pode-se, por
exemplo, desabilitar o uso dos recursos nos fins
de semana ou noite.
usual tambm limitar a quantidade de sesses
concorrentes, impedindo que o usurio consiga
entrar no sistema ou na rede a partir de mais de um
terminal ou computador simultaneamente. Isso
reduz os riscos de acesso ao sistema por invasores,
pois se o usurio autorizado j estiver conectado,
o invasor no poder entrar no sistema. Da mesma
forma, se o invasor estiver logado, o usurio
autorizado, ao tentar se conectar, identificar quesua conta j est sendo usada e poder notificar
o fato gerncia de segurana.
1.9 Onde as regras de controlede acesso so definidas?
As regras de controle e direitos de acesso paracada usurio ou grupo devem estar claramente
definidas no documento da poltica de controle de
acesso da instituio, o qual dever ser fornecido
aos usurios e provedores de servio para que
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
22/71
22
TRIBUNAL DE CONTAS DA UNIO
tomem conhecimento dos requisitos de segurana
estabelecidos pela gerncia.
1.9.1 O que considerar na elaboraoda poltica de controle de acesso?
A poltica de controle de acesso deve levar em
conta:
os requisitos de segurana de aplicaesespecficas do negcio da instituio;
a identificao de toda informao referente
s aplicaes de negcio;
as polticas para autorizao e distribuio
de informao (por exemplo, a necessidade de
conhecer os princpios e nveis de segurana, bem
como a classificao da informao);
a compatibilidade entre o controle de acesso
e as polticas de classificao da informao dos
diferentes sistemas e redes;
a legislao vigente e qualquer obrigaocontratual, considerando a proteo do acesso a
dados ou servios;
o perfil de acesso padro para categorias de
usurios comuns;
o gerenciamento dos direitos de acesso emtodos os tipos de conexes disponveis em um
ambiente distribudo conectado em rede.
1.9.2 Que cuidados devem ser tomados nadefinio das regras de controle de acesso?
Ao especificar as regras de controle de acesso,
devem ser considerados os seguintes aspectos:
diferenciar regras que sempre devem ser
cumpridas das regras opcionais ou condicionais;
estabelecer regras baseadas na premissaTudo deve ser pro ib ido a menos que
expressamente permitido ao invs da regra
Tudo permitido a menos que expressamente
proibido;
diferenciar as permisses de usurios que
so atribudas automaticamente por um sistema
de informao daquelas atribudas por um
administrador;
priorizar regras que necessitam da aprovao
de um administrador antes da liberao daquelas
que no necessitam de tal aprovao.
1.9.3 Que tipo de regras de controle deacesso devem ser formalizadas na poltica?
O acesso aos sistemas de informao deve ser
controlado por um processo formal, o qual dever
abordar, entre outros, os seguintes tpicos:
utilizao de um identificador de usurio(ID) nico, de forma que cada usurio possa ser
identificado e responsabilizado por suas aes;
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
23/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
23
verificao se o usurio obteve autorizao
do proprietrio do sistema de informao ou
servio para sua utilizao;
verificao se o nvel de acesso concedido
ao usurio est adequado aos propsitos do
negcio e consistente com a poltica de segurana
da organizao;
fornecimento, aos usurios, de documentoescrito com seus direitos de acesso. Os usurios
devero assinar esse documento, indicando que
entenderam as condies de seus direitos de
acesso;
manuteno de um registro formal de todas
as pessoas cadastradas para usar cada sistema de
informaes;
remoo imediata dos direitos de acesso
de usurios que mudarem de funo ou sarem
da organizao;
verificao peridica da lista de usurios,
com intuito de remover usurios inexistentes eIDs em duplicidade;
incluso de clusulas nos contratos de
funcionrios e prestadores de servio, que
especifiquem as sanes a que estaro sujeitos
em caso de tentativa de acesso no autorizado.
1.10 Quem o responsvel peloscontroles de acesso lgico?
A responsabilidade sobre os controles de
acesso lgico pode ser tanto do gerente do
ambiente operacional como dos proprietrios (ougerentes) de aplicativos. O gerente do ambiente
operacional deve controlar o acesso rede, ao
sistema operacional e seus recursos e, ainda, aos
aplicativos e arquivos de dados. responsvel,
assim, por proteger os recursos do sistema contra
invasores ou funcionrios no autorizados.
Enquanto isso, os proprietrios dos aplicativos
so responsveis por seu controle de acesso,
identificando quem pode acessar cada um dos
sistemas e que tipo de operaes pode executar.
Por conhecerem bem o sistema aplicativo sob sua
responsabilidade, os proprietrios so as pessoas
mais indicadas para definir privilgios de acesso de
acordo com as reais necessidades dos usurios.
Dessa forma, as responsabilidades sobre
segurana de acesso so segregadas entre o
gerente do ambiente operacional de informtica
e os gerentes de aplicativos.
1.11 Em que os usurios podemajudar na implantao doscontroles de acesso lgico?
A cooperao dos usurios autorizados
essencial para a eficcia da segurana. Os usurios
devem estar cientes de suas responsabilidades para
a manuteno efetiva dos controles de acesso,considerando, particularmente, o uso de senhas
e a segurana dos equipamentos de informtica
que costumam utilizar.
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
24/71
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
25/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
25
Neste Captulo sero apresentados conceitos
relativos poltica de segurana de informaes,
bem como questes que demonstram a
importncia de sua elaborao, implementao
e divulgao.
2.1 O que visa a seguranade informaes?
A segurana de informaes visa garantir a
integridade, confidencialidade, autenticidade e
disponibilidade das informaes processadas pela
organizao. A integridade, a confidencialidade e aautenticidade de informaes esto intimamente
relacionadas com os controles de acesso abordados
no Captulo 1.
2.1.1 O que integridade de informaes?
Consiste na fidedignidade de informaes.Sinaliza a conformidade de dados armazenados
com re lao s inseres, a l teraes e
processamentos autorizados efetuados. Sinaliza,
ainda, a conformidade dos dados transmitidos
pelo emissor com os recebidos pelo destinatrio. A
manuteno da integridade pressupe a garantia
de no-violao dos dados com intuito de
alterao, gravao ou excluso, seja ela acidental
ou proposital.
2.1.2 O que confidencialidadede informaes?
Consiste na garantia de que somente pessoas
autorizadas tenham acesso s informaes
armazenadas ou transmitidas por meio de redes
de comunicao. Manter a confidencialidadepressupe assegurar que as pessoas no tomem
conhecimento de informaes, de forma acidental
ou proposital, sem que possuam autorizao para
tal procedimento.
2.1.3 O que autenticidade de informaes?
Consiste na garantia da veracidade da fonte
das informaes. Por meio da autenticao
possvel confirmar a identidade da pessoa ou
entidade que presta as informaes.
2. Poltica de Segurana de Informaes
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
26/71
26
TRIBUNAL DE CONTAS DA UNIO
2.1.4 O que disponibilidadede informaes?
Consiste na garantia de que as informaes
estejam acessveis s pessoas e aos processos
autorizados, a qualquer momento requerido,
durante o perodo acordado entre os gestores
da informao e a rea de informtica. Manter a
disponibilidade de informaes pressupe garantir
a prestao contnua do servio, sem interrupesno fornecimento de informaes para quem de
direito.
2.2 Por que importante zelarpela segurana de informaes?
Porque a informao um ativo muito
importante para qualquer organizao, podendo
ser considerada, atualmente, o recurso patrimonial
mais crtico. Informaes adulteradas, no-
disponveis, sob conhecimento de pessoas de
m-f ou de concorrentes podem comprometer
significativamente, no apenas a imagem da
organizao perante terceiros, como tambm o
andamento dos prprios processos organizacionais. possvel inviabilizar a continuidade de uma
organizao se no for dada a devida ateno
segurana de suas informaes.
2.3 O que poltica de seguranade informaes - PSI?
Poltica de segurana de informaes um
conjunto de princpios que norteiam a gesto
de segurana de informaes e que deve ser
observado pelo corpo tcnico e gerencial e
pelos usurios internos e externos. As diretrizes
estabelecidas nesta poltica determinam as linhasmestras que devem ser seguidas pela organizao
para que sejam assegurados seus recursos
computacionais e suas informaes.
2.4 Quem so os responsveispor elaborar a PSI?
recomendvel que na estrutura da
organizao exista uma rea responsvel pela
segurana de informaes, a qual deve iniciar o
processo de elaborao da poltica de segurana
de informaes, bem como coordenar sua
implantao, aprov-la e revis-la, alm de
designar funes de segurana.
Vale salientar, entretanto, que pessoas de
reas crticas da organizao devem participar
do processo de elaborao da PSI, como a
alta administrao e os diversos gerentes e
proprietrios dos sistemas informatizados. Alm
disso, recomendvel que a PSI seja aprovada pelo
mais alto dirigente da organizao.
2.5 Que assuntos devemser abordados na PSI?
A poltica de segurana de informaes
deve extrapolar o escopo abrangido pelas reas
de sistemas de informao e pelos recursoscomputacionais. Ela no deve ficar restrita
rea de informtica. Ao contrrio, ela deve estar
integrada viso, misso, ao negcio e s metas
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
27/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
27
institucionais, bem como ao plano estratgico
de informtica e s polticas da organizao
concernentes segurana em geral.
O contedo da PSI varia, de organizao
para organizao, em funo de seu estgio de
maturidade, grau de informatizao, rea de
atuao, cultura organizacional, necessidades
requeridas, requisitos de segurana, entre outros
aspectos. No entanto, comum a presena dealguns tpicos na PSI, tais como:
definio de segurana de informaes e de
sua importncia como mecanismo que possibilita
o compartilhamento de informaes;
declarao do comprometimento da alta
administrao com a PSI, apoiando suas metas
e princpios;
objetivos de segurana da organizao;
definio de responsabilidades gerais na
gesto de segurana de informaes;
orientaes sobre anlise e gerncia de
riscos;
princpios de conformidade dos sistemas
computacionais com a PSI;
padres mnimos de qualidade que essessistemas devem possuir;
polticas de controle de acesso a recursos e
sistemas computacionais;
classificao das informaes (de uso
irrestrito, interno, confidencial e secretas);
procedimentos de preveno e deteco
de vrus;
princpios legais que devem ser observadosquanto tecnologia da informao (direitos de
propriedade de produo intelectual, direitos
sobre software, normas legais correlatas aos
sistemas desenvolvidos, clusulas contratuais);
princpios de superviso constante
das tentativas de violao da segurana de
informaes;
conseqncias de violaes de normas
estabelecidas na poltica de segurana;
princpios de gesto da continuidade do
negcio;
plano de treinamento em segurana de
informaes.
2.6 Qual o nvel de profundidadeque os assuntos abordadosna PSI devem ter?
A poltica de segurana de informaes deve
conter princpios, diretrizes e regras genricos e
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
28/71
28
TRIBUNAL DE CONTAS DA UNIO
amplos, para aplicao em toda a organizao.
Alm disso, ela deve ser clara o suficiente para ser
bem compreendida pelo leitor em foco, aplicvele de fcil aceitao. A complexidade e extenso
exageradas da PSI pode levar ao fracasso de sua
implementao.
Cabe destacar que a PSI pode ser composta
por vrias polticas inter-relacionadas, como a
poltica de senhas, de backup, de contratao einstalao de equipamentos e softwares.
Ademais, quando a organizao achar
conveniente e necessrio que sua PSI seja mais
abrangente e detalhada, sugere-se a criao de
outros documentos que especifiquem prticas
e procedimentos e que descrevam com mais
detalhes as regras de uso da tecnologia da
informao. Esses documentos costumam dispor
sobre regras mais especficas, que detalham
as responsabilidades dos usurios, gerentes
e auditores e, normalmente, so atualizados
com maior freqncia. A PSI o primeiro de
muitos documentos com informaes cada vez
mais detalhadas sobre procedimentos, prticase padres a serem aplicados em determinadas
circunstncias, sistemas ou recursos.
2.7 Como se d o processode implantao da PSI?
O processo de implantao da poltica desegurana de informaes deve ser formal. No
decorrer desse processo, a PSI deve permanecer
passvel a ajustes para melhor adaptar-se s
reais necessidades. O tempo desde o incio at
a completa implantao tende a ser longo. Em
resumo, as principais etapas que conduzem implantao bem-sucedida da PSI so: elaborao,
aprovao, implementao, divulgao e
manuteno. Muita ateno deve ser dada s duas
ltimas etapas, haja vista ser comum sua no-
observncia. Normalmente, aps a consecuo das
trs primeiras etapas, as gerncias de segurana
acreditam ter cumprido o dever e esquecem daimportncia da divulgao e atualizao da PSI.
De forma mais detalhada, pode-se citar como
as principais fases que compem o processo de
implantao da PSI:
identificao dos recursos crticos;
classificao das informaes;
definio, em linhas gerais, dos objetivos de
segurana a serem atingidos;
anlise das necessidades de segurana
(identificao das possveis ameaas, anlise deriscos e impactos);
elaborao de proposta de poltica;
discusses abertas com os envolvidos;
apresentao de documento formal gerncia superior;
aprovao;
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
29/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
29
publicao;
divulgao;
treinamento;
implementao;
avaliao e identificao das mudanas
necessrias;
reviso.
2.8 Qual o papel da altaadministrao na elaboraoe implantao da PSI?
O sucesso da PS I es t d i re tamente
relacionado com o envolvimento e a atuao
da alta administrao. Quanto maior for o
comprometimento da gerncia superior com
os processos de elaborao e implantao da
PSI, maior a probabilidade de ela ser efetiva e
eficaz. Esse comprometimento deve ser expresso
formalmente, por escrito.
2.9 A quem deve serdivulgada a PSI?
A divulgao ampla a todos os usurios
internos e externos organizao um
passo indispensvel para que o processo deimplantao da PSI tenha sucesso. A PSI deve ser
de conhecimento de todos que interagem com a
organizao e que, direta ou indiretamente, sero
afetados por ela. necessrio que fique bastante
claro, para todos, as conseqncias advindas do
uso inadequado dos sistemas computacionais e deinformaes, as medidas preventivas e corretivas
que esto a seu cargo para o bom, regular e
efetivo controle dos ativos computacionais. A PSI
fornece orientao bsica aos agentes envolvidos
de como agir corretamente para atender s regras
nela estabelecidas. importante, ainda, que a PSI
esteja permanentemente acessvel a todos.
2.10 O que fazer quandoa PSI for violada?
A prpria Poltica de Segurana de Informaes
deve prever os procedimentos a serem adotados
para cada caso de violao, de acordo com sua
severidade, amplitude e tipo de infrator que a
perpetra. A punio pode ser desde uma simples
advertncia verbal ou escrita at uma ao
judicial.
A Lei n. 9.983, de 14 de julho de 2000, que
altera o Cdigo Penal Brasileiro, j prev penas
para os casos de violao de integridade e quebrade sigilo de sistemas informatizados ou banco de
dados da Administrao Pblica. O novo art. 313-
A trata da insero de dados falsos em sistemas de
informao, enquanto o art. 313-B discorre sobre
a modificao ou alterao no autorizada desses
mesmos sistemas. O 1 do art. 153 do Cdigo
Penal foi alterado e, atualmente, define penasquando da divulgao de informaes sigilosas
ou reservadas, contidas ou no nos bancos de
dados da Administrao Pblica. O fornecimento
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
30/71
30
TRIBUNAL DE CONTAS DA UNIO
ou emprstimo de senha que possibilite o
acesso de pessoas no autorizadas a sistemas de
informaes tratado no inciso I do 1 do art.325 do Cdigo Penal.
Neste tpico, fica ainda mais evidente a
importncia da conscientizao dos funcionrios
quanto PSI. Uma vez que a Poltica seja de
conhecimento de todos da organizao, no ser
admissvel que as pessoas aleguem ignornciaquanto s regras nela estabelecidas a fim de livrar-
se da culpa sobre violaes cometidas.
Quando detectada uma violao, preciso
averiguar suas causas, conseqncias e
circunstncias em que ocorreu. Pode ter sido
derivada de um simples acidente, erro ou mesmo
desconhecimento da PSI, como tambm de
negligncia, ao deliberada e fraudulenta. Essa
averiguao possibilita que vulnerabilidades, at
ento desconhecidas pelo pessoal da gerncia de
segurana, passem a ser consideradas, exigindo,
se for o caso, alteraes na PSI.
2.11 Uma vez definida, aPSI pode ser alterada?
A PSI no s pode ser alterada, como deve
passar por processo de reviso definido e peridico
que garanta sua reavaliao a qualquer mudana
que venha afetar a anlise de risco original, tais
como: incidente de segurana significativo, novasvulnerabilidades, mudanas organizacionais ou
na infra-estrutura tecnolgica. Alm disso, deve
haver anlise peridica da efetividade da poltica,
demonstrada pelo tipo, volume e impacto dos
incidentes de segurana registrados. desejvel,
tambm, que sejam avaliados o custo e o impactodos controles na eficincia do negcio, a fim de
que esta no seja comprometida pelo excesso ou
escassez de controles.
importante frisar, ainda, que a PSI deve ter
um gestor responsvel por sua manuteno e
anlise crtica.
2.12 Existem normas sobre PSI paraa Administrao Pblica Federal?
O Decreto n. 3.505, de 13 de junho de 2000,
instituiu a Poltica de Segurana da Informao
nos rgos e entidades da Administrao
Pblica Federal. Em linhas gerais, os objetivos
traados nessa PSI dizem respeito necessidade
de capacitao e conscientizao das pessoas
lotadas nos rgos e entidades da Administrao
Pblica Federal quanto aos aspectos de segurana
da informao; e necessidade de elaborao e
edio de instrumentos jurdicos, normativos
e organizacionais que promovam a efetivaimplementao da segurana da informao. Com
relao s matrias que esses instrumentos devem
versar, o Decreto menciona:
padres re lac ionados ao emprego
dos produtos que incorporam recursos
criptogrficos;
normas gerais para uso e comercializao
dos recursos criptogrficos;
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
31/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
31
normas, padres e demais aspectos
necessrios para assegurar a confidencialidade
dos dados;
normas relacionadas emisso de
certificados de conformidade;
normas relativas implementao dos
sistemas de segurana da informao, com intuito
de garantir a sua interoperabilidade, obtenodos nveis de segurana desejados e permanente
disponibilidade dos dados de interesse para a
defesa nacional.
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
32/71
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
33/71
33
Neste Captulo ser apresentada a importncia
de definio de estratgias que permitam que uma
instituio retorne sua normalidade, em caso de
acontecimento de situaes inesperadas.
3.1 O que Plano de Contingncias?
Plano de Contingncias consiste num conjunto
de estratgias e procedimentos que devem ser
adotados quando a instituio ou uma rea
depara-se com problemas que comprometem o
andamento normal dos processos e a conseqente
prestao dos servios. Essas estratgias eprocedimentos devero minimizar o impacto
sofrido diante do acontecimento de situaes
inesperadas, desastres, falhas de segurana, entre
outras, at que se retorne normalidade. O Plano
de Contingncias um conjunto de medidas que
combinam aes preventivas e de recuperao.
Obviamente, os tipos de riscos a que esto
sujeitas as organizaes variam no tempo e no
espao. Porm, pode-se citar como exemplos
de riscos mais comuns a ocorrncia de desastres
naturais (enchentes, terremotos, furaces),
incndios, desabamentos, falhas de equipamentos,
acidentes, greves, terrorismo, sabotagem, aes
intencionais.
O P lano de Cont ingncias pode ser
desenvolvido por organizaes que contenham
ou no sistemas computadorizados. Porm,
para efeito desta cartilha, o Plano aplica-se s
organizaes que, em menor ou maior grau,
dependem da tecnologia da informao, pois faz-
se referncia aos riscos a que essa rea est sujeita,
bem como aos aspectos relevantes para superarproblemas decorrentes.
3.2 Qual a importncia doPlano de Contingncias?
Atualmente, inquestionvel a dependncia
das organizaes aos computadores, sejameles de pequeno, mdio ou grande porte. Essa
caracterstica quase generalizada, por si s, j
capaz de explicar a importncia do Plano de
Contingncias, pois se para fins de manuteno
3. Plano de Contingncias
TRIBUNAL DE CONTAS DA UNIO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
34/71
34
TRIBUNAL DE CONTAS DA UNIO
de seus servios, as organizaes dependem de
computadores e de informaes armazenadas
em meio eletrnico, o que fazer na ocorrnciade situaes inesperadas que comprometam
o processamento ou a disponibilidade desses
computadores ou informaes? Ao contrrio
do que ocorria antigamente, os funcionrios
no mais detm o conhecimento integral, assim
como a habilidade para consecuo dos processos
organizacionais, pois eles so, muitas vezes,executados de forma transparente. Alm disso, as
informaes no mais se restringem ao papel, ao
contrrio, elas esto estrategicamente organizadas
em arquivos magnticos.
Por conseguinte, pode-se considerar o Plano
de Contingncias quesito essencial para as
organizaes preocupadas com a segurana desuas informaes.
3.3 Qual o objetivo doPlano de Contingncias?
O objetivo do Plano de Contingncias manter
a integridade e a disponibilidade dos dados daorganizao, bem como a disponibilidade dos
seus servios quando da ocorrncia de situaes
fortuitas que comprometam o bom andamento
dos negcios. Possui como objetivo, ainda,
garantir que o funcionamento dos sistemas
informatizados seja restabelecido no menor
tempo possvel a fim de reduzir os impactoscausados por fatos imprevistos. normal que,
em determinadas situaes de anormalidade, o
Plano preveja a possibilidade de fornecimento de
servios temporrios ou com restries, que, pelo
menos, supram as necessidades imediatas e mais
crticas. Cabe destacar que o Plano um entrevrios requisitos de segurana necessrios para
que os aspectos de integridade e disponibilidade
sejam preservados durante todo o tempo.
3.4 Como iniciar a elaboraodo Plano de Contingncias?
Antes da elaborao do Plano de Contingncias
propriamente dito, importante analisar alguns
aspectos:
riscos a que est exposta a organizao,
probabilidade de ocorrncia e os impactos
decorrentes (tanto aqueles relativos escala do
dano como ao tempo de recuperao);
conseqncias que podero advir da
interrupo de cada sistema computacional;
identificao e priorizao de recursos,
sistemas, processos crticos;
tempo limite para recuperao dos recursos,
sistemas, processos;
alternativas para recuperao dos recursos,
sistemas, processos, mensurando os custos e
benefcios de cada alternativa.
3.5 Que assuntos devemser abordados no Planode Contingncias?
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
35/71
35
De maneira geral, o Plano de Contingncias
contm informaes sobre:
condies e procedimentos para ativao
do Plano (como se avaliar a situao provocada
por um incidente);
p roced imentos a se rem segu idos
imediatamente aps a ocorrncia de um
desastre (como, por exemplo, contato eficaz comas autoridades pblicas apropriadas: polcia,
bombeiro, governo local);
a instalao reserva, com especificao
dos bens de informtica nela disponveis,
como hardware, software e equipamentos de
telecomunicaes;
a escala de prioridade dos aplicativos,
de acordo com seu grau de interferncia
nos resultados operacionais e financeiros da
organizao. Quanto mais o aplicativo influenciar
na capacidade de funcionamento da organizao,
na sua situao econmica e na sua imagem, mais
crtico ele ser;
arquivos, programas, procedimentos
necessrios para que os aplicativos crticos entrem
em operao no menor tempo possvel, mesmo
que parcialmente;
sistema operacional, utilitrios e recursosde telecomunicaes necessrios para assegurar
o processamento dos aplicativos crticos, em grau
pr-estabelecido;
documentao dos aplicativos crticos,
sistema operacional e utilitrios, bem como
suprimentos de informtica, ambos disponveisna instalao reserva e capazes de garantir a boa
execuo dos processos definidos;
dependncia de recursos e servios externos
ao negcio;
procedimentos necessrios para restaurar osservios computacionais na instalao reserva;
pessoas responsveis por executar e
comandar cada uma das atividades previstas no
Plano ( interessante definir suplentes, quando se
julgar necessrio);
referncias para contato dos responsveis,sejam eles funcionrios ou terceiros;
organizaes responsveis por oferecer
servios, equipamentos, suprimentos ou quaisquer
outros bens necessrios para a restaurao;
contratos e acordos que faam parte doplano para recuperao dos servios, como
aqueles efetuados com outros centros de
processamento de dados.
3.6 Qual o papel da altagerncia na elaborao do
Plano de Contingncias?
imprescindvel o comprometimento da alta
administrao com o Plano de Contingncias. Na
verdade, este Plano de responsabilidade direta
TRIBUNAL DE CONTAS DA UNIO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
36/71
36
TRIBUNAL DE CONTAS DA UNIO
da alta gerncia, um problema corporativo, pois
trata-se de estabelecimento de procedimentos que
garantiro a sobrevivncia da organizao comoum todo e no apenas da rea de informtica.
Ainda, muitas das definies a serem especificadas
so definies relativas ao negcio da organizao
e no tecnologia da informao.
A alta gerncia deve designar uma equipe
de segurana especf ica para elaborao,implementao, divulgao, treinamento,
testes, manuteno e coordenao do Plano
de Contingncias. Este deve possuir, ainda, um
responsvel especfico que esteja a frente das
demandas, negociaes e tudo mais que se fizer
necessrio.
Provavelmente, a alta gerncia ser demandadaa firmar acordos de cooperao com outras
organizaes, assinar contratos orientados para a
recuperao dos servios, entre outros atos.
H de ser considerada, ainda, a questo dos
custos. Faz parte das decises da alta gerncia o
oramento a ser disponibilizado para garantir aexeqibilidade do Plano de Contingncias, ou seja,
para possibilitar, alm da sua implementao, sua
manuteno, treinamento e testes.
Diante dos fatos anteriormente abordados,
f ica evidente a necessidade precpua de
envolvimento da alta gerncia com todo processoque garantir o sucesso de implantao do Plano
de Contingncias.
3.7 Como garantir que o Planofuncionar como esperado?
possvel citar trs formas de garantir a
eficcia do Plano de Contingncias: treinamento
e conscientizao das pessoas envolvidas; testes
peridicos do Plano, integrais e parciais; processo
de manuteno contnua.
3.7.1 Como deve ser realizado o treinamentoe a conscientizao das pessoas?
essencial o desenvolvimento de atividades
educativas e de conscientizao que visem ao
perfeito entendimento do processo de continuidade
de servios e que garantam, por conseguinte, a
efetividade do Plano de Contingncias.
Cada funcionrio envolvido com o processo de
continuidade de servios, especialmente aqueles
componentes de equipes com responsabilidades
especficas em caso de contingncias, deve ter em
mente as atividades que deve desempenhar em
situaes emergenciais. O treinamento deve ser
terico e prtico, inclusive com simulaes. Almdo treinamento, a conscientizao pode ser feita
de outras formas, como distribuio de folhetos e
promoo de palestras informativas e educativas
sobre possveis acidentes e respectivos planos de
recuperao.
Por fim, vale salientar que um programa deeducao continuada que faa com que as pessoas
envolvidas sintam-se como participantes ativos do
programa de segurana a melhor maneira de
alcanar o sucesso esperado.
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
37/71
37
3.7.2 Por que o Plano deContingncias deve ser testado?
Os planos de continuidade do negcio
podem apresentar falhas quando testados,
geralmente devido a pressupostos incorretos,
omisses ou mudanas de equipamentos, de
pessoal, de prioridades. Por isto eles devem ser
testados regularmente, de forma a garantir sua
permanente atualizao e efetividade. Tais testes
tambm devem assegurar que todos os envolvidos
na recuperao e os alocados em outras funes
crticas possuam conhecimento do Plano.
Deve existir uma programao que especifique
quando e como o Plano de Contingncias dever
ser testado. Ele pode ser testado na sua totalidade,
caracterizando uma situao bem prxima darealidade; pode ser testado parcialmente, quando
se restringem os testes a apenas um conjunto
de procedimentos, atividades ou aplicativos
componentes do Plano; ou, ainda, pode ser
testado por meio de simulaes, quando ocorre
representaes de situao emergencial. A partir
da avaliao dos resultados dos testes, possvelreavaliar o Plano, alter-lo e adequ-lo, se for
o caso.
3.7.3 Que fatos podem provocara necessidade de atualizao doPlano de Contingncias?
Mudanas que tenham ocorrido e que no
estejam contempladas no Plano de Contingncias
devem gerar atualizaes. Quando novos
requisitos forem identificados, os procedimentos
de emergncia relacionados devem ser ajustados
de forma apropriada. Diversas situaes podem
demandar atualizaes no Plano, tais como asmudanas:
no parque ou ambiente computacional (ex.:
aquisio de novo equipamento, atualizao de
sistemas operacionais, migrao de sistemas de
grande porte para ambiente cliente-servidor);
administrativas, de pessoas envolvidas e
responsabilidades;
de endereos ou nmeros telefnicos;
de estratgia de negcio;
na localizao e instalaes;
na legislao;
em prestadores de servio, fornecedores e
clientes-chave;
de processos (incluses e excluses);
no risco (operacional e financeiro).
Como demonstrado, as atualizaes regulares
do Plano de Contingncias so de importncia
fundamental para alcanar a sua efetividade.
Deve existir uma programao que especifiquea forma de se proceder manuteno do Plano.
Procedimentos com essa finalidade podem ser
includos no processo de gerncia de mudanas
a fim de que as questes relativas continuidade
TRIBUNAL DE CONTAS DA UNIO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
38/71
38
de negcios sejam devidamente tratadas. O
controle formal de mudanas permite assegurar
que o processo de atualizao esteja distribudoe garantido por revises peridicas do Plano
como um todo. A responsabilidade pelas revises
e atualizaes de cada parte do Plano deve ser
definida e estabelecida.
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
39/71
39
Neste captulo ser comentada a norma NBR
ISO/IEC 17799 como ferramenta de auditoria de
segurana da informao utilizada pelo Tribunal
de Contas da Unio (TCU). A fim de facilitar asatividades, tanto de gesto quanto de auditoria
de segurana da informao, sero explanadas as
sees da norma e citados acrdos e decises
do Tribunal que tratam, entre outros aspectos, de
segurana da informao.
4.1 De que trata a NBRISO/IEC 17799?
A NBR ISO/IEC 17799, norma da Associao
Brasileira de Normas Tcnicas (ABNT), trata
de tcnicas de segurana em Tecnologia da
Informao, e funciona como um cdigo de
prtica para a gesto da segurana da informao.Essa norma foi elaborada no Comit Brasileiro
de Computadores e Processamento de Dados,
pela Comisso de Estudo de Segurana Fsica
em Instalaes de Informtica, e equivalente
norma ISO/IEC 17799.
4.2 Por que o TCU utiliza essa normacomo padro em suas auditoriasde segurana da informao?
Alm do reconhecimento da ABNT, como
instituio normalizadora brasileira, as instituies
internacionais ISO (International Organization forStandardization) e IEC (International Eletrotechnical
Commission), autoras da norma, so mundialmente
reconhecidas por sua capacitao tcnica. A
norma ISO/IEC 17799, equivalente norma
brasileira, amplamente reconhecida e utilizada
por Entidades Fiscalizadoras Superiores, rgos de
governo, empresas pblicas e privadas nacionaise internacionais atentas ao tema Segurana da
Informao.
4. TCU e a NBR ISO/IEC 17799
TRIBUNAL DE CONTAS DA UNIO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
40/71
40
Os objetivos definidos nessa norma provem
diretrizes gerais sobre as prticas geralmente
aceitas para a gesto da segurana da informao.Apesar de no ter fora de lei, a NBR ISO/IEC
17799 configura-se como a melhor ferramenta de
auditoria de segurana da informao disponvel
at a data de publicao deste Captulo. Em seus
acrdos e decises, o Tribunal j mencionou duas
verses dessa norma: a mais recente, de 2005, e
a anterior, de 2001.
4.3 Como est estruturadaa NBR ISO/IEC 17799?
A NBR ISO/IEC 17799, verso 2005, est
dividida em 11 sees:
a) Poltica de segurana da informao;
b) Organizando a segurana da informao;
c) Gesto de ativos;
d) Segurana em recursos humanos;
e) Segurana fsica e do ambiente;
f) Gesto das operaes e comunicaes;
g) Controle de acessos;
h) Aquisio, desenvolvimento e manutenode sistemas de informao;
i) Gesto de incidentes de segurana da
informao;
j) Gesto da continuidade do negcio;
k) Conformidade.
4.4 De que trata a seo Polticade segurana da informao?
Essa seo orienta a direo no estabelecimento
de uma poltica clara de segurana da informao,
alinhada com os objetivos do negcio, com
demonstrao de seu apoio e comprometimento
com a segurana da informao por meio da
publicao, manuteno e divulgao da poltica
para toda a organizao. So fornecidas diretrizes
para elaborao do documento e sua anlise
crtica.
4.5 Que acrdos e decisesdo TCU tratam, entre outrosaspectos, de Poltica desegurana da informao?
Acrdo 1092/2007 - Plenrio
9.1.2. elabore, aprove e divulgue Polticade Segurana da Informao - PSI conforme o
estabelecido na NBR ISO/IEC 17799:2005, item
5.1.1;
9.1.4. crie mecanismos para que as polticas
e normas de segurana da informao se tornem
conhecidas, acessveis e observadas por todosos funcionrios e colaboradores da Empresa
conforme o estabelecido na NBR ISO/IEC
17799:2005, item 5.1.1;
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
41/71
41
Acrdo 71/2007 - Plenrio
9.2.6. defina formalmente uma Poltica deSegurana da Informao - PSI - para o Infoseg,
que fornea orientao e apoio para a segurana
da informao da rede, promovendo-se ampla
divulgao do documento para todos os usurios,
de acordo com o previsto no item 5.1.1 da NBR
ISO/IEC 17799:2005;
9.2.10. crie mecanismos para que as polticas
e normas se tornem conhecidas, acessveis e
observadas por todos os usurios e gestores do
Infoseg, de acordo com o previsto no item 5.1.1
da NBR ISO/IEC 17799:2005;
Acrdo 562/2006 - Plenrio
9.2.1. desenvolva Plano de Tecnologia da
Informao para ser utilizado no mbito do Sistema
Nacional de Transplantes (SNT) que contemple [...]
o atendimento aos princpios de segurana da
informao, preconizados no item 3.1 da Norma
NBR ISO/IEC 17799:2001;
Acrdo 2023/2005 - Plenrio
9.1.2. defina uma Poltica de Segurana da
Informao, nos termos das orientaes contidas
no item 3 da NBR ISO/IEC 17799:2001, que
estabelea os princpios norteadores da gesto da
segurana da informao no Ministrio e que estejaintegrada viso, misso, ao negcio e s metas
institucionais, observando a regulamentao ou
as recomendaes porventura feitas pelo Comit
Gestor de Segurana da Informao institudo
pelo Decreto n 3.505/2000 e pelo Gabinete
de Segurana Institucional da Presidncia da
Repblica, conforme Decreto n. 5.408, de1/04/2005;
9.1.6. crie mecanismos para que as polticas
e normas se tornem conhecidas, acessveis e
observadas por todos os servidores e prestadores
de servios do Ministrio;
Acrdo 782/2004 1 Cmara
9.4. [...] formalizem a poltica de segurana
de informao do sistema informatizado de
pagamento de pessoal [...];
Acrdo 461/2004 - Plenrio
9.1.1. a concepo e implementao de uma
poltica de segurana de informaes formal e,
preferencialmente, baseada nos ditames da norma
NBR ISO/IEC 17799;
Deciso 38/2003 - Plenrio
9.2 d) promova a aprovao de sua poltica de
segurana da informao.
Deciso 595/2002 - Plenrio
8.1.23 b) elaborar e implantar poltica de
segurana de informaes, com abrangncianacional e vinculando os prestadores de servios,
prevendo um programa de conscientizao
dos usurios a respeito das responsabilidades
inerentes ao acesso s informaes e utilizao
TRIBUNAL DE CONTAS DA UNIO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
42/71
42
dos recursos de TI, reavaliando as situaes
existentes, especialmente no tocante segurana
lgica e fsica;
Deciso 918/2000 - Plenrio
8.2.6.3. definir e implementar poltica formal de
segurana lgica, consoante as diretrizes previstas
no Projeto BRA/97-024, de cooperao tcnica, [...]
incluindo aes e procedimentos para disseminar
a importncia da segurana da informao para os
funcionrios da unidade, e estabelecer segregao
de funes dentro do ambiente de informtica,
notadamente entre desenvolvimento, produo
e administrao de segurana lgica;
4.6 De que trata a seo
Organizando a seguranada informao?
Essa seo da norma orienta a direo de como
gerenciar a segurana da informao dentro da
organizao e, ainda, de como manter a segurana
de seus recursos de processamento da informao,
que so acessados, processados, comunicados ougerenciados por partes externas.
So fornecidas diretrizes para definio de infra-
estrutura de segurana da informao, detalhando
os itens: comprometimento da gerncia,
coordenao, atribuio de responsabilidades,
processo de autorizao para recursos deprocessamento da informao, acordos de
confidencialidade, anlise crtica independente,
contato com autoridades e grupos de interesses
especiais. So fornecidas ainda diretrizes para
o relacionamento com partes externas, na
identificao dos riscos relacionados e dosrequisitos de segurana da informao necessrios
ao tratar com clientes e terceiros.
4.7 Que acrdos e decisesdo TCU tratam, entre outrosaspectos, da Organizao dasegurana da informao?
Infra-estrutura da segurana da informao
Acrdo 1092/2007 - Plenrio
9.1.1. estabelea responsabilidades internas
quanto segurana da informao conforme
o estabelecido na NBR ISO/IEC 17799:2005,item 6.1.3;
Acrdo 71/2007 - Plenrio
9.2.5. estabelea e identifique formalmente
responsabilidades relativas s questes de
segurana das informaes do Infoseg, de acordocom o previsto no item 6.1.3 da NBR ISO/IEC
17799:2005;
Acrdo 2023/2005 - Plenrio
9.1.1. estabelea institucionalmente as
atribuies relativas segurana da informao,conforme preceituam os itens 4.1.1, 4.1.2 e 4.1.3
da NBR ISO/IEC 17779:2001 e o item PO4.6
do Cobit;
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
43/71
43
9.1.13.6. obrigatoriedade de assinatura
de Termo de Compromisso ou Acordo de
Confidencialidade por parte dos prestadores deservios, contendo declaraes que permitam
aferir que os mesmos tomaram cincia das normas
de segurana vigentes no rgo;
Acrdo 782/2004 - 1 Cmara
9.3.1. envide esforos para proceder
redefinio do regimento interno da unidade, de
modo que fiquem claramente explicitadas suas
atribuies, responsabilidades e poderes como
gestor de segurana do sistema informatizado de
pagamento de pessoal [...];
Acrdo 461/2004 - Plenrio
9.1.8. estudos com vistas criao de uma
gerncia especfica de segurana, preferencialmente
vinculada direo geral;
Deciso 1049/2000 - Plenrio
8.1.7. estude a possibilidade de criao deum grupo de controle/segurana, na rea de
informtica, que seja responsvel por:
a) investigar e cor rigir qualquer problema
operacional em terminal, microcomputador
ou outro dispositivo de entrada de dados;
b) investigar qualquer ao de interveno
do operador;
c) assegurar que os procedimentos de restart
sejam executados de maneira correta;
d) monitorar as atividades de entrada de dados
no terminal, microcomputador ou outro
dispositivo similar; e
e) investigar qualquer desvio dos procedimentos
de entrada de dados pr-estabelecidos;
8.3.3. quando de sua reestruturao
organizacional, atente para o posicionamento
hierrquico da rea de segurana fsica e lgica de
sistemas, que deve constar em um nvel superior,
de forma a conter todas as funes de segurana
delineadas como necessrias, estabelecendo,
em conseqncia, segregao na execuo das
mesmas;
Deciso 918/2000 - Plenrio
8.2.6.2. realizar estudos com o objetivo de
instituir setor ou gerncia especfica para segurana
lgica na unidade;
Partes externas
Acrdo 71/2007 - Plenrio
9.2.21. formalize, junto Agncia Estadual
de Tecnologia da Informao do Estado de
Pernambuco - ATI -, um termo de compromissoque contemple de maneira especfica a cpia
das bases de dados do Infoseg que se encontra
naquelas instalaes, estabelecendo nele clusulas
TRIBUNAL DE CONTAS DA UNIO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
44/71
44
de sigilo e responsabilizao pelo uso indevido
dos equipamentos ou divulgao no autorizada
dos dados;
9.4. [...] defina claramente, tanto nos editais
de licitao como nos contratos, clusulas
contemplando requisitos de segurana da
informao como os previstos no item 6.2.3 da
NBR ISO/IEC 17799:2005;
Acrdo 1663/2006 - Plenrio
9.2.3. elabore o acordo de nvel de servio
do Sipia;
Acrdo 914/2006 - Plenrio
9.1.1. firmem contrato com relao aoPrograma do Fundo de Financiamento ao
Estudante do Ensino Superior (Fies), devendo
ser estabelecida nesse instrumento clusula que
disponha sobre a propriedade intelectual de
programas, documentao tcnica e dados do
Sistema do Financiamento Estudantil (Sifes);
9.3.1. firmem Acordo de Nvel de Servio,
ou documento correlato, em relao ao Sifes,
contemplando as reas envolvidas, em especial a
de desenvolvimento do sistema, com o objetivo
de estabelecer entendimento comum sobre a
natureza dos servios propostos e os critrios de
medio de desempenho, devendo este acordo
considerar elementos tais como:
9.3.1.1. participantes do acordo, funes e
responsabilidades;
9.3.1.2. descrio detalhada dos servios que
sero prestados;
9.3.1.3. nveis de servios desejados e
respectivos critrios de medio e indicadores,
em termos de disponibilidade, confiabilidade,
tempo de resposta, atendimento ao usurio (help-
desk), capacidade de crescimento, prazos para
solicitao e atendimento de demandas (inclusive
emergenciais), testes, homologao, segurana e
outros que as partes julgarem necessrios;
9.3.1.4. responsvel pela medio dos
servios;
9.3.1.5. aes a serem tomadas quando da
ocorrncia de problemas na prestao dos servios
(aes corretivas, penalidades e outras);
Acrdo 2085/2005 - Plenrio
9.4.3. faa prever nos contratos de terceirizaode servios de desenvolvimento de software o
repasse da respectiva tecnologia, incluindo toda
a documentao do produto desenvolvido, com
o intuito de se evitar a futura dependncia do
suporte e da manuteno desse produto, o que
elevaria os custos da terceirizao dessa atividade,
bem como impedir que terceiros tenham acesso
irrestrito aos sistemas desenvolvidos;
BOAS PRTICAS EM SEGURANA DA INFORMAO
8/8/2019 Boas Praticas Em Seguranca Da Informacao 0
45/71
45
Acrdo 2023/2005 - Plenrio
9.1.13. inclua os seguintes requisitos desegurana em contratos de prestao de servios
e locao de mo-de-obra em Tecnologia da
Informao que vierem a ser celebrados a partir
da presente data, em ateno aos itens 4.2.2 e
4.3.1 da NBR ISO/IEC 17799:2001:
9.1.13.1. obrigatoriedade de aderncia
Poltica de Segurana da Informao,
Poltica de Controle de Acesso, Metodologia
de Desenvolvimento de Sistemas e s outras
normas de segurana da informao vigentes no
Ministrio;
9.1.13.2. Acordo de Nvel de Servio,
negociado entre os grupos de usurios e ofornecedor dos servios, com o objetivo de
estabelecer um entendimento comum da natureza
dos servios propostos e critrios de medio de