3 - denis a rezende.doc

201
Brasília, 2007 Boas práticas em Segurança da Informação 2ª edição

Upload: robson-de-sousa-freitas-freitas

Post on 10-Mar-2016

238 views

Category:

Documents


0 download

DESCRIPTION

Boas práticas em 2ª edição Brasília, 2007 Impresso no Brasil / Printed in Brazil Ficha catalográfica elaborada pela Biblioteca Ministro Ruben Rosa desde que citada a fonte e sem fins comerciais. em parte ou no todo, sem alteração do conteúdo, É permitida a reprodução desta publicação,

TRANSCRIPT

  • Braslia, 2007

    Boas prticas em

    Segurana da Informao 2 edio

  • Copyright 2007, Tribunal de Contas da Unio

    Impresso no Brasil / Printed in Brazil

    permitida a reproduo desta publicao,

    em parte ou no todo, sem alterao do contedo,

    desde que citada a fonte e sem fins comerciais.

    Brasil. Tribunal de Contas da Unio. Boas prticas em segurana da informao / Tribunal de Contas da Unio. 2. ed. Braslia : TCU, Secretaria de Fiscalizao de Tecnologia da Informao, 2007. 70 p.

    1. Segurana da informao 2. Auditoria, Tecnologia da informao I. Ttulo.

    Ficha catalogrfica elaborada pela Biblioteca Ministro Ruben Rosa

  • Apresentao

    Na sociedade da informao, ao mesmo tempo em que as informaes so consideradas o principal patrimnio de uma organizao, esto tambm sob constante risco, como nunca estiveram antes. Com isso, a segurana da informao tornou-se um ponto crucial para a sobrevivncia das instituies.

    Um dos focos das fiscalizaes de Tecnologia da Informao (TI), realizadas pela Secretaria de Fiscalizao de Tecnologia da Informao (Sefti), do Tribunal de Contas da Unio, a verificao da conformidade e do desempenho das aes governamentais em aspectos de segurana de tecnologia da informao, utilizando critrios fundamentados. O principal objetivo dessas fiscalizaes contribuir para o aperfeioamento da gesto pblica, para assegurar que a tecnologia da informao agregue valor ao negcio da Administrao Pblica Federal em benefcio da sociedade.

    O Tribunal de Contas da Unio, ciente da importncia de seu papel pedaggico junto aos administradores pblicos e da utilidade de apresentar sua forma de atuao s unidades jurisdicionadas, aos parlamentares, aos rgos governamentais, sociedade civil e s organizaes no-governamentais, elaborou esta publicao com o intuito de despertar a ateno para os aspectos da segurana de tecnologia da informao nas organizaes governamentais.

    Espera-se que este trabalho seja uma boa fonte de consulta, e que o Tribunal, mais uma vez, colabore para o aperfeioamento da Administrao Pblica.

    Walton Alencar Rodrigues

    Ministro-Presidente

  • Sumrio

    Introduo .............................................................................................................7

    Controles de Acesso Lgico ....................................................................................9

    Poltica de Segurana de Informaes ...................................................................25

    Plano de Contingncias ........................................................................................33

    TCU e a NBR ISO/IEC 17799 ..................................................................................39

  • Introduo

    Na poca em que as informaes eram armazenadas apenas em papel, a segurana era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso fsico quele local. Com as mudanas tecnolgicas e com o uso de computadores de grande porte, a estrutura de segurana ficou um pouco mais sofisticada, englobando controles lgicos, porm ainda centralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidade de desenvolvimento de equipes e de mtodos de segurana cada vez mais sofisticados. Paralelamente, os sistemas de informao tambm adquiriram importncia vital para a sobrevivncia da maioria das organizaes modernas, j que, sem computadores e redes de comunicao, a prestao de servios de informao pode se tornar invivel.

    O objetivo desta publicao apresentar, na forma de captulos, boas prticas em segurana da informao, a qualquer pessoa que interaja de alguma forma com ambientes informatizados, desde profissionais de informtica envolvidos com segurana de informaes at auditores, usurios e dirigentes preocupados em proteger o patrimnio, os investimentos e os negcios de sua organizao, em especial, os gestores da Administrao Pblica Federal.

    Esta segunda edio inclui um novo captulo, que comenta a NBR ISO/IEC 17799 e lista acrdos e decises do Tribunal sobre segurana de tecnologia da informao, alm dos trs captulos que constavam da primeira edio (controles de acesso lgico, poltica de segurana de informaes e plano de contingncias). nossa inteno continuar a publicar novas edies, incluindo captulos sobre assuntos correlatos.

    Diretoria de Auditoria de Tecnologia da Informao

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    9

    1. Controles de Acesso Lgico

    Neste captulo sero apresentados conceitos importantes sobre controles de acesso lgico a serem implantados em instituies que utilizam a informtica como meio de gerao, armazenamento e divulgao de informaes, com o objetivo de prover segurana de acesso a essas informaes.

    1.1 O que so controles de acesso?

    Os controles de acesso, fsicos ou lgicos, tm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificao ou divulgao no autorizada. Os sistemas computacionais, bem diferentes de outros tipos de recursos, no podem ser facilmente controlados apenas com dispositivos fsicos, como cadeados, alarmes ou guardas de segurana.

    1.2 O que so controles de acesso lgico?

    Os controles de acesso lgico so um conjunto de procedimentos e medidas com o

    objetivo de proteger dados, programas e sistemas contra tentativas de acesso no autorizadas feitas por pessoas ou por outros programas de computador.

    O controle de acesso lgico pode ser encarado de duas formas diferentes: a partir do recurso computacional que se quer proteger e a partir do usurio a quem sero concedidos certos privilgios e acessos aos recursos.

    A proteo aos recursos computacionais baseia-se nas necessidades de acesso de cada usurio, enquanto que a identificao e autenticao do usurio (confirmao de que o usurio realmente quem ele diz ser) feita normalmente por meio de um identificador de usurio (ID) e por uma senha durante o processo de logon no sistema.

    1.3 Que recursos devem ser protegidos?

    A proteo aos recursos computacionais inclui desde aplicativos e arquivos de dados at

  • 10

    TRIBUNAL DE CONTAS DA UNIO

    utilitrios e o prprio sistema operacional. Abaixo sero apresentados os motivos pelos quais esses recursos devem ser protegidos.

    Aplicativos (programas fonte e objeto)

    O acesso no autorizado ao cdigo fonte dos aplicativos pode ser usado para alterar suas funes e a lgica do programa. Por exemplo, em um aplicativo bancrio, pode-se zerar os centavos de todas as contas-correntes e transferir o total dos centavos para uma determinada conta, beneficiando ilegalmente esse correntista.

    Arquivos de dados

    Bases de dados, arquivos ou transaes de bancos de dados devem ser protegidos para evitar que os dados sejam apagados ou alterados sem autorizao, como, por exemplo, arquivos com a configurao do sistema, dados da folha de pagamento, dados estratgicos da empresa.

    Utilitrios e sistema operacional

    O acesso a uti l itrios, como editores, compiladores, softwares de manuteno, monitorao e diagnstico deve ser restrito, j que essas ferramentas podem ser usadas para alterar aplicativos, arquivos de dados e de configurao do sistema operacional, por exemplo.

    O sistema operacional sempre um alvo bastante visado, pois sua configurao o ponto-chave de todo o esquema de segurana. A fragilidade do sistema operacional compromete

    a segurana de todo o conjunto de aplicativos, utilitrios e arquivos.

    Arquivos de senha

    A falta de proteo adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pessoa no autorizada, ao obter identificador (ID) e senha de um usurio privilegiado, pode, intencionalmente, causar danos ao sistema. Essa pessoa dificilmente ser barrada por qualquer controle de segurana instalado, j que se faz passar por um usurio autorizado.

    Arquivos de log

    Os arquivos de log so usados para registrar aes dos usurios, constituindo-se em timas fontes de informao para auditorias futuras. Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e utilitrios, quando foi feito o acesso e que tipo de operaes foram efetuadas.

    Um invasor ou usurio no autorizado pode tentar acessar o sistema, apagar ou alterar dados, acessar aplicativos, alterar a configurao do sistema operacional para facilitar futuras invases, e depois alterar os arquivos de log para que suas aes no possam ser identificadas. Dessa forma, o administrador do sistema no ficar sabendo que houve uma invaso.

    1.4 O que os controles de acesso lgico pretendem garantir em relao segurana de informaes?

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    11

    Os controles de acesso lgico so implantados com o objetivo de garantir que:

    apenas usurios autorizados tenham acesso aos recursos;

    os usurios tenham acesso apenas aos recursos realmente necessrios para a execuo de suas tarefas;

    o acesso a recursos crticos seja bem monitorado e restrito a poucas pessoas;

    os usurios estejam impedidos de executar transaes incompatveis com sua funo ou alm de suas responsabilidades.

    O controle de acesso pode ser traduzido, ento, em termos de funes de identificao e autenticao de usurios; alocao, gerncia e monitoramento de privilgios; limitao, monitoramento e desabilitao de acessos; e preveno de acessos no autorizados.

    1.5 Como os usurios so identificados e autenticados?

    Os usurios dos sistemas computacionais so identificados e autenticados durante um processo, chamado Logon. Os processos de logon so usados para conceder acesso aos dados e aplicativos em um sistema computacional, e orientam os usurios durante sua identificao e autenticao.

    Normalmente esse processo envolve a entrada de um ID (identificao do usurio) e de uma senha

    (autenticao do usurio). A identificao define para o computador quem o usurio e a senha um autenticador, isto , ela prova ao computador que o usurio realmente quem ele diz ser.

    1.5.1 Como deve ser projetado um processo de logon para ser considerado eficiente?

    O procedimento de logon deve divulgar o mnimo de informaes sobre o sistema, evitando fornecer a um usurio no autorizado informaes detalhadas. Um procedimento de logon eficiente deve:

    informar que o computador s deve ser acessado por pessoas autorizadas;

    evitar identificar o sistema ou suas aplicaes at que o processo de logon esteja completamente concludo;

    durante o processo de logon, evitar o fornecimento de mensagens de ajuda que poderiam auxiliar um usurio no autorizado a completar esse procedimento;

    validar a informao de logon apenas quando todos os dados de entrada estiverem completos. Caso ocorra algum erro, o sistema no deve indicar qual parte do dado de entrada est correta ou incorreta, como, por exemplo, ID ou senha;

    limitar o nmero de tentativas de logon sem sucesso ( recomendado um mximo de trs tentativas), e ainda:

  • 12

    TRIBUNAL DE CONTAS DA UNIO

    a) registrar as tentativas de acesso invlidas;

    b) forar um tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeitar qualquer tentativa posterior de acesso sem autorizao especfica;

    c) encerrar as conexes com o computador.

    limitar o tempo mximo para o procedimento de logon. Se excedido, o sistema dever encerrar o procedimento;

    mostrar as seguintes informaes, quando o procedimento de logon no sistema finalizar com xito:

    a) data e hora do ltimo logon com sucesso;

    b) detalhes de qualquer tentativa de logon sem sucesso, desde o ltimo procedimento realizado com sucesso.

    1.5.2 O que identificao do usurio?

    A identificao do usurio, ou ID, deve ser nica, isto , cada usurio deve ter uma identificao prpria. Todos os usurios autorizados devem ter um ID, quer seja um cdigo de caracteres, carto inteligente ou qualquer outro meio de identificao. Essa unicidade de identificao permite um controle das aes praticadas pelos usurios atravs dos logs.

    No caso de identificao a partir de caracteres, comum estabelecer certas regras de composio,

    como, por exemplo, quantidade mnima e mxima de caracteres, misturando letras, nmeros e smbolos.

    1.5.3 O que autenticao do usurio?

    Aps a identificao do usurio, deve-se proceder sua autenticao, isto , o sistema deve confirmar se o usurio realmente quem ele diz ser. Os sistemas de autenticao so uma combinao de hardware, software e de procedimentos que permitem o acesso de usurios aos recursos computacionais.

    Na autenticao, o usurio deve apresentar algo que s ele saiba ou possua, podendo at envolver a verificao de caractersticas fsicas pessoais. A maioria dos sistemas atuais solicita uma senha (algo que, supostamente, s o usurio conhece), mas j existem sistemas mais modernos utilizando cartes inteligentes (algo que o usurio possui) ou ainda caractersticas fsicas (algo intrnseco ao usurio), como o formato da mo, da retina ou do rosto, impresso digital e reconhecimento de voz.

    1.5.4 Como orientar os usurios em relao s senhas?

    Para que os controles de senha funcionem, os usurios devem ter pleno conhecimento das polticas de senha da organizao, e devem ser orientados e estimulados a segui-las fielmente. Todos os usurios devem ser solicitados a:

    manter a confidencialidade das senhas;

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    13

    no compartilhar senhas;

    evitar registrar as senhas em papel;

    selecionar senhas de boa qualidade, evitando o uso de senhas muito curtas ou muito longas, que os obriguem a escrev-las em um pedao de papel para no serem esquecidas (recomenda-se tamanho entre seis e oito caracteres);

    alterar a senha sempre que existir qualquer indicao de possvel comprometimento do sistema ou da prpria senha;

    alterar a senha em intervalos regulares ou com base no nmero de acessos (senhas para usurios privilegiados devem ser alteradas com maior freqncia que senhas normais);

    evitar reutilizar as mesmas senhas;

    alterar senhas temporrias no primeiro acesso ao sistema;

    no incluir senhas em processos automticos de acesso ao sistema (por exemplo, armazenadas em macros).

    Vale lembrar tambm que utilizar a mesma senha para vrios sistemas no uma boa prtica, pois a primeira atitude de um invasor, quando descobre a senha de um usurio em um sistema vulnervel, tentar a mesma senha em outros sistemas a que o usurio tem acesso.

    1.5.5 Que tipos de senhas devem ser evitadas?

    Os usurios devem evitar senhas compostas de elementos facilmente identificveis por possveis invasores, como por exemplo:

    nome do usurio;

    identificador do usurio (ID), mesmo que seus caracteres estejam embaralhados;

    nome de membros de sua famlia ou de amigos ntimos;

    nomes de pessoas ou lugares em geral;

    nome do sistema operacional ou da mquina que est sendo utilizada;

    nomes prprios;

    datas;

    nmeros de telefone, de car to de crdito, de carteira de identidade ou de outros documentos pessoais;

    placas ou marcas de carro;

    palavras que constam de dicionrios em qualquer idioma;

    letras ou nmeros repetidos;

  • 14

    TRIBUNAL DE CONTAS DA UNIO

    letras seguidas do teclado do computador (ASDFG, YUIOP);

    objetos ou locais que podem ser vistos a partir da mesa do usurio (nome de um livro na estante, nome de uma loja vista pela janela);

    qualquer senha com menos de seis caracteres.

    Alguns softwares so capazes de identificar senhas frgeis, como algumas dessas citadas acima, a partir de bases de dados de nomes e seqncias de caracteres mais comuns, e ainda bloquear a escolha dessas senhas por parte do usurio. Essas bases de dados normalmente fazem parte do pacote de software de segurana, e podem ser atualizadas pelo gerente de segurana com novas incluses.

    1.5.6 Como escolher uma boa senha?

    Geralmente so consideradas boas senhas aquelas que incluem, em sua composio, letras (maisculas e minsculas), nmeros e smbolos embaralhados, totalizando mais de seis caracteres. Porm, para ser boa mesmo, a senha tem de ser difcil de ser adivinhada por outra pessoa, mas de fcil memorizao, para que no seja necessrio anot-la em algum lugar. Tambm conveniente escolher senhas que possam ser digitadas rapidamente, dificultando que outras pessoas, a uma certa distncia ou por cima de seus ombros, possam identificar a seqncia de caracteres.

    Um mtodo bastante difundido selecionar uma frase significativa para o usurio e utilizar os primeiros caracteres de cada palavra que a compe, inserindo smbolos entre eles. tambm recomendvel no utilizar a mesma senha para vrios sistemas. Se um deles no for devidamente protegido, a senha poder ser descoberta e utilizada nos sistemas que, a priori, estariam seguros. Outro conselho: adquira o hbito de trocar sua senha com freqncia. Troc-la a cada sessenta, noventa dias considerada uma boa prtica.

    Se voc realmente no conseguir memorizar sua senha e tiver que escrev-la em algum pedao de papel, tenha pelo menos o cuidado de no identific-la como sendo uma senha. No pregue esse pedao de papel no prprio computador, no guarde a senha junto com a sua identificao de usurio, e nunca a envie por e-mail ou a armazene em arquivos do computador.

    1.5.7 Como deve ser feita a concesso de senhas aos usurios?

    A concesso de senhas deve ser feita de maneira formal, considerando os seguintes pontos:

    solicitar aos usurios a assinatura de uma declarao, a fim de manter a confidencialidade de sua senha pessoal (isso pode estar incluso nos termos e condies do contrato de trabalho do usurio);

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    15

    garantir, aos usurios, que esto sendo fornecidas senhas iniciais seguras e temporrias, forando-os a alter-las imediatamente no primeiro logon. O fornecimento de senhas temporrias, nos casos de esquecimento por parte dos usurios, deve ser efetuado somente aps a identificao positiva do respectivo usurio;

    fornecer as senhas temporrias aos usurios de forma segura. O uso de terceiros ou de mensagens de correio eletrnico desprotegidas (no criptografadas) deve ser evitado.

    1.5.8 O que a instituio pode fazer para proteger e controlar as senhas de acesso a seus sistemas?

    O sistema de controle de senhas deve ser configurado para proteger as senhas armazenadas contra uso no autorizado, sem apresent-las na tela do computador, mantendo-as em arquivos criptografados e estipulando datas de expirao (normalmente se recomenda a troca de senhas aps 60 ou 90 dias). Alguns sistemas, alm de criptografar as senhas, ainda guardam essas informaes em arquivos escondidos que no podem ser vistos por usurios, dificultando, assim, a ao dos hackers.

    Para evitar o uso freqente das mesmas senhas, o sistema de controle de senhas deve manter um histrico das ltimas senhas utilizadas por cada usurio. Deve-se ressaltar, entretanto, que a

    troca muito freqente de senhas tambm pode confundir o usurio, que poder passar a escrever a senha em algum lugar visvel ou escolher uma senha mais fcil, comprometendo, assim, sua segurana.

    O gerente de segurana deve desabilitar contas inativas, sem senhas ou com senhas padronizadas. At mesmo a senha temporria fornecida ao usurio pela gerncia de segurana deve ser gerada de forma que j entre expirada no sistema, exigindo uma nova senha para os prximos logons. Portanto, deve haver um procedimento que force a troca de senha imediatamente aps a primeira autenticao, quando o usurio poder escolher a senha que ser utilizada dali por diante.

    Ex-funcionrios devem ter suas senhas bloqueadas. Para isso, devem existir procedimentos administrativos eficientes que informem o gerente de segurana, ou o administrador dos sistemas, da ocorrncia de demisses ou de desligamentos de funcionrios. Esses procedimentos, na prtica, nem sempre so seguidos, expondo a organizao a riscos indesejveis.

    Tambm devem ser bloqueadas contas de usurios aps um determinado nmero de tentativas de acesso sem sucesso. Esse procedimento diminui os riscos de algum tentar adivinhar as senhas. Atingido esse limite, s o administrador do sistema poder desbloquear a conta do usurio, por exemplo.

  • 16

    TRIBUNAL DE CONTAS DA UNIO

    1.5.9 Existem outras formas de autenticao do usurio, alm do uso de senhas?

    Sim. A autenticao dos usurios pode ser feita a partir de tokens, ou ainda, de sistemas biomtricos.

    1.5.10 O que so tokens?

    A idia de fornecer tokens aos usurios como forma de identific-los bastante antiga. No nosso dia-a-dia, estamos freqentemente utilizando tokens para acessar alguma coisa. As chaves que abrem a porta da sua residncia ou seu carto com tarja magntica para utilizar o caixa eletrnico do banco so exemplos de tokens. O carto magntico ainda uma token especial, pois guarda outras informaes, como, por exemplo, a sua conta bancria.

    Token pode ser definida, ento, como um objeto que o usurio possui, que o diferencia das outras pessoas e o habilita a acessar algum objeto. A desvantagem das tokens em relao s senhas que essas, por serem objetos, podem ser perdidas, roubadas ou reproduzidas com maior facilidade.

    1.5.11 O que so cartes magnticos inteligentes?

    Os cartes inteligentes so tokens que contm microprocessadores e capacidade de memria suficiente para armazenar dados, a fim de dificultar sua utilizao por outras pessoas que no seus proprietrios legtimos.

    O primeiro carto inteligente, patenteado em 1975, foi o de Roland Moreno, considerado o pai do carto inteligente. Comparado ao carto magntico, que um simples dispositivo de memria, o carto inteligente no s pode armazenar informaes para serem lidas, mas tambm capaz de processar informaes. Sua clonagem mais difcil e a maioria dos cartes inteligentes ainda oferece criptografia.

    Normalmente o usurio de carto inteligente precisa fornecer uma senha leitora de carto para que o acesso seja permitido, como uma medida de proteo a mais contra o roubo de cartes.

    As instituies bancrias, financeiras e governamentais so os principais usurios dessa tecnologia, em funo de seus benefcios em relao segurana de informaes e pela possibilidade de reduo de custos de instalaes e de pessoal, como, por exemplo, a substituio dos guichs de atendimento ao pblico nos bancos por caixas eletrnicos. Os cartes inteligentes tm sido usados em diversas aplicaes: cartes bancrios, telefnicos e de crdito, dinheiro eletrnico, segurana de acesso, carteiras de identidade.

    1.5.12 O que so sistemas biomtricos?

    Os sistemas biomtricos so sistemas automticos de verificao de identidade baseados em caractersticas fsicas do usurio. Esses sistemas tm como objetivo suprir deficincias de segurana das senhas, que podem ser reveladas ou descobertas, e das tokens, que podem ser perdidas ou roubadas.

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    17

    Os sistemas biomtricos automticos so uma evoluo natural dos sistemas manuais de reconhecimento amplamente difundidos h muito tempo, como a anlise grafolgica de assinaturas, a anlise de impresses digitais e o reconhecimento de voz. Hoje j existem sistemas ainda mais sofisticados, como os sistemas de anlise da conformao dos vasos sangneos na retina.

    1.5.13 Que caractersticas humanas podem ser verificadas por sistemas biomtricos?

    Teoricamente, qualquer caracterstica humana pode ser usada como base para a identificao biomtrica. Na prtica, entretanto, existem algumas limitaes. A tecnologia deve ser capaz de medir determinada caracterstica de tal forma que o indivduo seja realmente nico, distinguindo inclusive gmeos, porm no deve ser invasiva ou ferir os direitos dos indivduos.

    Um dos problemas enfrentados pelos sistemas biomtricos atuais sua alta taxa de erro, em funo da mudana das caractersticas de uma pessoa com o passar dos anos, ou devido a problemas de sade ou o prprio nervosismo, por exemplo. A tolerncia a erros deve ser estabelecida com preciso, de forma a no ser grande o suficiente para admitir impostores, nem pequena demais a ponto de negar acesso a usurios legtimos. Abaixo sero apresentadas algumas caractersticas humanas verificadas por sistemas biomtricos existentes:

    Impresses digitais so caractersticas nicas e consistentes. Nos sistemas biomtricos que utilizam essa opo, so armazenados de 40 a 60 pontos para verificar uma identidade. O sistema compara a impresso lida com impresses digitais de pessoas autorizadas, armazenadas em sua base de dados. Atualmente, esto sendo utilizadas impresses digitais em alguns sistemas governamentais, como, por exemplo, o sistema de previdncia social na Espanha e o de registro de eleitores na Costa Rica;

    Voz os sistemas de reconhecimento de voz so usados para controle de acesso, porm no so to confiveis como as impresses digitais, em funo dos erros causados por rudos do ambiente e de problemas de garganta ou nas cordas vocais das pessoas a eles submetidas;

    Geometria da mo tambm usada em sistemas de controle de acesso, porm essa caracterstica pode ser alterada por aumento ou diminuio de peso ou pela artrite;

    Configurao da ris e da retina os sistemas que utilizam essas caractersticas se propem a efetuar identificao mais confivel do que os sistemas que verificam impresses digitais. Entretanto, so sistemas invasivos, pois direcionam feixes de luz aos olhos das pessoas que se submetem sua identificao;

    Reconhec imento fac ia l a t ravs de termogramas - o termograma facial uma

  • 18

    TRIBUNAL DE CONTAS DA UNIO

    imagem captada por uma cmera infravermelha que mostra os padres trmicos de uma face. Essa imagem nica e, combinada com algoritmos sofisticados de comparao de diferentes nveis de temperatura distribudos pela face, constitui-se em uma tcnica no-invasiva, altamente confivel, no sendo afetada por alteraes de sade, idade ou temperatura do corpo. So armazenados ao todo 19.000 pontos de identificao, podendo distinguir gmeos idnticos, mesmo no escuro. O desenvolvimento dessa tecnologia tem como um de seus objetivos baratear seu custo para que possa ser usada em um nmero maior de aplicaes de identificao e de autenticao.

    1.6 Como restringir o acesso aos recursos informacionais?

    O fato de um usurio ter sido identificado e autenticado no quer dizer que ele poder acessar qualquer informao ou aplicativo sem qualquer restrio. Deve-se implementar um controle especfico, restringindo o acesso dos usurios apenas s aplicaes, arquivos e utilitrios imprescindveis para desempenhar suas funes na organizao. Esse controle pode ser feito por menus, funes ou arquivos.

    1.6.1 Para que servem os controles de menu?

    Os controles de menu podem ser usados para restringir o acesso de diferentes categorias de usurios apenas queles aplicativos ou utilitrios indispensveis a cada categoria.

    Por exemplo, em um sistema de folha de pagamento, poder ser apresentado um menu inicial com trs opes diferentes: funcionrio, gerente e setor de recursos humanos. Nesse caso, o administrador do sistema dever conceder acesso a cada uma das opes de acordo com a funo desempenhada pelo usurio. Portanto, o funcionrio s ter acesso a dados da sua folha de pagamento pessoal, enquanto que o gerente poder ter acesso a algumas informaes da folha de seus funcionrios. O setor de recursos humanos, para poder alimentar a base de dados de pagamento, obter um nvel diferente de acesso e sua interao com o sistema ser feita a partir de menus prprios para a administrao de pessoal. Os menus apresentados aps a seleo de uma das opes (funcionrio, gerente ou setor de recursos humanos) sero, portanto, diferentes.

    1.6.2 Para que servem os controles de funes de aplicativos?

    No que diz respeito s funes internas dos aplicativos, os respectivos proprietrios devero definir quem poder acess-las e como, por meio de autorizao para uso de funes especficas ou para restrio de acesso a funes de acordo com o usurio (menus de acesso predefinidos), horrio ou tipo de recursos (impressoras, fitas backup).

    1.6.3 Como proteger arquivos?

    A maioria dos sistemas operacionais possui mecanismos de controle de acesso que definem

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    19

    as permisses e os privilgios de acesso para cada recurso ou arquivo no sistema. Quando um usurio tenta acessar um recurso, o sistema operacional verifica se as definies de acesso desse usurio e do recurso desejado conferem. O usurio s conseguir o acesso se essa verificao for positiva.

    Para garantir a segurana lgica, pode-se especificar dois tipos de controle, sob ticas diferentes:

    O que um sujeito pode fazer; ou

    O que pode ser feito com um objeto.

    1.6.4 O que so direitos e permisses de acesso?

    Definir direitos de acesso individualmente para cada sujeito e objeto pode ser uma maneira um tanto trabalhosa quando estiverem envolvidas grandes quantidades de sujeitos e objetos. A forma mais comum de definio de direitos de acesso, nesse caso, a matriz de controle de acesso. Nessa matriz pode-se fazer duas anlises: uma em relao aos sujeitos; outra, em relao aos objetos.

    Na primeira abordagem, cada sujeito recebe uma permisso (ou capacidade) que define todos os seus direitos de acesso. As permisses de acesso so, ento, atributos, associados a um sujeito ou objeto, que definem o que ele pode ou no fazer com outros objetos. Essa abordagem, no entanto, pouco utilizada, j que, na prtica, com grandes

    quantidades de sujeitos e objetos, a visualizao exata de quem tem acesso a um determinado objeto no to clara, comprometendo, assim, a gerncia de controle de acesso.

    Na segunda abordagem, os direitos de acesso so armazenados com o prprio objeto formando a chamada lista de controle de acesso (Access Control List (ACL)).

    1.6.5 O que so listas de controle de acesso?

    Enquanto a permisso de acesso define o que um objeto pode ou no fazer com outros, a lista de controle de acesso define o que os outros objetos ou sujeitos podem fazer com o objeto a ela associado. As listas de controle de acesso nada mais so do que bases de dados, associadas a um objeto, que descrevem os relacionamentos entre aquele objeto e outros, constituindo-se em um mecanismo de garantia de confidencialidade e integridade de dados.

    A definio das listas de controle de acesso deve ser sempre feita pelos proprietrios dos recursos, os quais determinam o tipo de proteo adequada a cada recurso e quem efetivamente ter acesso a eles.

    A gerncia das listas de controle de acesso, na prtica, tambm complicada. Para reduzir os problemas de gerenciamento dessas listas e o espao de memria ou disco por elas ocupado, costuma-se agrupar os sujeitos com caractersticas semelhantes ou direitos de acesso iguais. Dessa forma, os direitos de acesso so associados a

  • 20

    TRIBUNAL DE CONTAS DA UNIO

    grupos, e no a sujeitos individualizados. Vale ressaltar que um sujeito pode pertencer a um ou mais grupos, de acordo com o objeto a ser acessado.

    1.7 Como monitorar o acesso aos recursos informacionais?

    O monitoramento dos sistemas de informao feito, normalmente, pelos registros de log, trilhas de auditoria ou outros mecanismos capazes de detectar invases. Esse monitoramento essencial equipe de segurana de informaes, j que praticamente impossvel eliminar por completo todos os riscos de invaso por meio da identificao e autenticao de usurios.

    Na ocorrncia de uma invaso, falha do sistema ou atividade no autorizada, imprescindvel reunir evidncias suficientes para que possam ser tomadas medidas corretivas necessrias ao restabelecimento do sistema s suas condies normais, assim como medidas administrativas e/ou judiciais para investigar e punir os invasores.

    A forma mais simples de monitoramento a coleta de informaes, sobre determinados eventos, em arquivos histricos, mais conhecidos como logs. Com essas informaes, a equipe de segurana capaz de registrar eventos e de detectar tentativas de acesso e atividades no autorizadas aps sua ocorrncia.

    1.7.1 O que so logs?

    Os logs so registros cronolgicos de atividades do sistema que possibilitam a reconstruo, reviso e anlise dos ambientes e das atividades relativas a uma operao, procedimento ou evento, acompanhados do incio ao fim.

    Os logs so utilizados como medidas de deteco e monitoramento, registrando atividades, falhas de acesso (tentativas frustradas de logon ou de acesso a recursos protegidos) ou uso do sistema operacional, utilitrios e aplicativos, e detalhando o que foi acessado, por quem e quando. Com os dados dos logs, pode-se identificar e corrigir falhas da estratgia de segurana. Por conterem informaes essenciais para a deteco de acesso no autorizado, os arquivos de log devem ser protegidos contra alterao ou destruio por usurios ou invasores que queiram encobrir suas atividades.

    1.7.2 O que deve ser registrado em logs?

    Devido grande quantidade de dados armazenada em logs, deve-se levar em considerao que seu uso pode degradar o desempenho dos sistemas. Sendo assim, aconselhvel balancear a necessidade de registro de atividades crticas e os custos, em termos de desempenho global dos sistemas. Normalmente, os registros de log incluem:

    identificao dos usurios;

    datas e horrios de entrada (logon) e sada do sistema (logoff);

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    21

    identificao da estao de trabalho e, quando possvel, sua localizao;

    registros das tentativas de acesso (aceitas e rejeitadas) ao sistema;

    registros das tentativas de acesso (aceitas e rejeitadas) a outros recursos e dados.

    Ao definir o que ser registrado, preciso considerar que quantidades enormes de registros podem ser inviveis de serem monitoradas. Nada adianta ter um log se ele no periodicamente revisado. Para auxiliar a gerncia de segurana na rdua tarefa de anlise de logs, podem ser previamente definidas trilhas de auditoria mais simples e utilizados softwares especializados disponveis no mercado, especficos para cada sistema operacional.

    1.8 Outros controles de acesso lgico

    Outro recurso de proteo bastante utilizado em alguns sistemas o time-out automtico, isto , a sesso desativada aps um determinado tempo sem qualquer atividade no terminal ou computador. Para restaur-la, o usurio obrigado a fornecer novamente seu ID e senha. Em alguns sistemas operacionais, o prprio usurio, aps sua habilitao no processo de logon, pode ativar e desativar essa funo de time-out. Nesse sentido, os usurios devem ser orientados a:

    encerrar as sesses ativas, a menos que elas possam ser protegidas por mecanismo de

    bloqueio (por exemplo, proteo de tela com senha);

    no caso de terminal conectado a computador de grande porte, efetuar a desconexo quando a sesso for finalizada (no apenas desligar o terminal, mas utilizar o procedimento para desconexo).

    Como controle de acesso lgico, a gerncia de segurana pode ainda limitar o horrio de uso dos recursos computacionais de acordo com a real necessidade de acesso aos sistemas. Pode-se, por exemplo, desabilitar o uso dos recursos nos fins de semana ou noite.

    usual tambm limitar a quantidade de sesses concorrentes, impedindo que o usurio consiga entrar no sistema ou na rede a partir de mais de um terminal ou computador simultaneamente. Isso reduz os riscos de acesso ao sistema por invasores, pois se o usurio autorizado j estiver conectado, o invasor no poder entrar no sistema. Da mesma forma, se o invasor estiver logado, o usurio autorizado, ao tentar se conectar, identificar que sua conta j est sendo usada e poder notificar o fato gerncia de segurana.

    1.9 Onde as regras de controle de acesso so definidas?

    As regras de controle e direitos de acesso para cada usurio ou grupo devem estar claramente definidas no documento da poltica de controle de acesso da instituio, o qual dever ser fornecido aos usurios e provedores de servio para que

  • 22

    TRIBUNAL DE CONTAS DA UNIO

    tomem conhecimento dos requisitos de segurana estabelecidos pela gerncia.

    1.9.1 O que considerar na elaborao da poltica de controle de acesso?

    A poltica de controle de acesso deve levar em conta:

    os requisitos de segurana de aplicaes especficas do negcio da instituio;

    a identificao de toda informao referente s aplicaes de negcio;

    as polticas para autorizao e distribuio de informao (por exemplo, a necessidade de conhecer os princpios e nveis de segurana, bem como a classificao da informao);

    a compatibilidade entre o controle de acesso e as polticas de classificao da informao dos diferentes sistemas e redes;

    a legislao vigente e qualquer obrigao contratual, considerando a proteo do acesso a dados ou servios;

    o perfil de acesso padro para categorias de usurios comuns;

    o gerenciamento dos direitos de acesso em todos os tipos de conexes disponveis em um ambiente distribudo conectado em rede.

    1.9.2 Que cuidados devem ser tomados na definio das regras de controle de acesso?

    Ao especificar as regras de controle de acesso, devem ser considerados os seguintes aspectos:

    diferenciar regras que sempre devem ser cumpridas das regras opcionais ou condicionais;

    estabelecer regras baseadas na premissa Tudo deve ser pro ib ido a menos que expressamente permitido ao invs da regra Tudo permitido a menos que expressamente proibido;

    diferenciar as permisses de usurios que so atribudas automaticamente por um sistema de informao daquelas atribudas por um administrador;

    priorizar regras que necessitam da aprovao de um administrador antes da liberao daquelas que no necessitam de tal aprovao.

    1.9.3 Que tipo de regras de controle de acesso devem ser formalizadas na poltica?

    O acesso aos sistemas de informao deve ser controlado por um processo formal, o qual dever abordar, entre outros, os seguintes tpicos:

    utilizao de um identificador de usurio (ID) nico, de forma que cada usurio possa ser identificado e responsabilizado por suas aes;

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    23

    verificao se o usurio obteve autorizao do proprietrio do sistema de informao ou servio para sua utilizao;

    verificao se o nvel de acesso concedido ao usurio est adequado aos propsitos do negcio e consistente com a poltica de segurana da organizao;

    fornecimento, aos usurios, de documento escrito com seus direitos de acesso. Os usurios devero assinar esse documento, indicando que entenderam as condies de seus direitos de acesso;

    manuteno de um registro formal de todas as pessoas cadastradas para usar cada sistema de informaes;

    remoo imediata dos direitos de acesso de usurios que mudarem de funo ou sarem da organizao;

    verificao peridica da lista de usurios, com intuito de remover usurios inexistentes e IDs em duplicidade;

    incluso de clusulas nos contratos de funcionrios e prestadores de servio, que especifiquem as sanes a que estaro sujeitos em caso de tentativa de acesso no autorizado.

    1.10 Quem o responsvel pelos controles de acesso lgico?

    A responsabilidade sobre os controles de acesso lgico pode ser tanto do gerente do ambiente operacional como dos proprietrios (ou gerentes) de aplicativos. O gerente do ambiente operacional deve controlar o acesso rede, ao sistema operacional e seus recursos e, ainda, aos aplicativos e arquivos de dados. responsvel, assim, por proteger os recursos do sistema contra invasores ou funcionrios no autorizados.

    Enquanto isso, os proprietrios dos aplicativos so responsveis por seu controle de acesso, identificando quem pode acessar cada um dos sistemas e que tipo de operaes pode executar. Por conhecerem bem o sistema aplicativo sob sua responsabilidade, os proprietrios so as pessoas mais indicadas para definir privilgios de acesso de acordo com as reais necessidades dos usurios.

    Dessa forma, as responsabilidades sobre segurana de acesso so segregadas entre o gerente do ambiente operacional de informtica e os gerentes de aplicativos.

    1.11 Em que os usurios podem ajudar na implantao dos controles de acesso lgico?

    A cooperao dos usurios autorizados essencial para a eficcia da segurana. Os usurios devem estar cientes de suas responsabilidades para a manuteno efetiva dos controles de acesso, considerando, particularmente, o uso de senhas e a segurana dos equipamentos de informtica que costumam utilizar.

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    25

    Neste Captulo sero apresentados conceitos relativos poltica de segurana de informaes, bem como questes que demonstram a importncia de sua elaborao, implementao e divulgao.

    2.1 O que visa a segurana de informaes?

    A segurana de informaes visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informaes processadas pela organizao. A integridade, a confidencialidade e a autenticidade de informaes esto intimamente relacionadas com os controles de acesso abordados no Captulo 1.

    2.1.1 O que integridade de informaes?

    Consiste na fidedignidade de informaes. Sinaliza a conformidade de dados armazenados com re lao s inseres , a l te raes e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos

    pelo emissor com os recebidos pelo destinatrio. A manuteno da integridade pressupe a garantia de no-violao dos dados com intuito de alterao, gravao ou excluso, seja ela acidental ou proposital.

    2.1.2 O que confidencialidade de informaes?

    Consiste na garantia de que somente pessoas autorizadas tenham acesso s informaes armazenadas ou transmitidas por meio de redes de comunicao. Manter a confidencialidade pressupe assegurar que as pessoas no tomem conhecimento de informaes, de forma acidental ou proposital, sem que possuam autorizao para tal procedimento.

    2.1.3 O que autenticidade de informaes?

    Consiste na garantia da veracidade da fonte das informaes. Por meio da autenticao possvel confirmar a identidade da pessoa ou entidade que presta as informaes.

    2. Poltica de Segurana de Informaes

  • 26

    TRIBUNAL DE CONTAS DA UNIO

    2.1.4 O que disponibilidade de informaes?

    Consiste na garantia de que as informaes estejam acessveis s pessoas e aos processos autorizados, a qualquer momento requerido, durante o perodo acordado entre os gestores da informao e a rea de informtica. Manter a disponibilidade de informaes pressupe garantir a prestao contnua do servio, sem interrupes no fornecimento de informaes para quem de direito.

    2.2 Por que importante zelar pela segurana de informaes?

    Porque a informao um ativo muito importante para qualquer organizao, podendo ser considerada, atualmente, o recurso patrimonial mais crtico. Informaes adulteradas, no-disponveis, sob conhecimento de pessoas de m-f ou de concorrentes podem comprometer significativamente, no apenas a imagem da organizao perante terceiros, como tambm o andamento dos prprios processos organizacionais. possvel inviabilizar a continuidade de uma organizao se no for dada a devida ateno segurana de suas informaes.

    2.3 O que poltica de segurana de informaes - PSI?

    Poltica de segurana de informaes um conjunto de princpios que norteiam a gesto de segurana de informaes e que deve ser

    observado pelo corpo tcnico e gerencial e pelos usurios internos e externos. As diretrizes estabelecidas nesta poltica determinam as linhas mestras que devem ser seguidas pela organizao para que sejam assegurados seus recursos computacionais e suas informaes.

    2.4 Quem so os responsveis por elaborar a PSI?

    recomendvel que na estrutura da organizao exista uma rea responsvel pela segurana de informaes, a qual deve iniciar o processo de elaborao da poltica de segurana de informaes, bem como coordenar sua implantao, aprov-la e revis-la, alm de designar funes de segurana.

    Vale salientar, entretanto, que pessoas de reas crticas da organizao devem participar do processo de elaborao da PSI, como a alta administrao e os diversos gerentes e proprietrios dos sistemas informatizados. Alm disso, recomendvel que a PSI seja aprovada pelo mais alto dirigente da organizao.

    2.5 Que assuntos devem ser abordados na PSI?

    A poltica de segurana de informaes deve extrapolar o escopo abrangido pelas reas de sistemas de informao e pelos recursos computacionais. Ela no deve ficar restrita rea de informtica. Ao contrrio, ela deve estar integrada viso, misso, ao negcio e s metas

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    27

    institucionais, bem como ao plano estratgico de informtica e s polticas da organizao concernentes segurana em geral.

    O contedo da PSI varia, de organizao para organizao, em funo de seu estgio de maturidade, grau de informatizao, rea de atuao, cultura organizacional, necessidades requeridas, requisitos de segurana, entre outros aspectos. No entanto, comum a presena de alguns tpicos na PSI, tais como:

    definio de segurana de informaes e de sua importncia como mecanismo que possibilita o compartilhamento de informaes;

    declarao do comprometimento da alta administrao com a PSI, apoiando suas metas e princpios;

    objetivos de segurana da organizao;

    definio de responsabilidades gerais na gesto de segurana de informaes;

    orientaes sobre anlise e gerncia de riscos;

    princpios de conformidade dos sistemas computacionais com a PSI;

    padres mnimos de qualidade que esses sistemas devem possuir;

    polticas de controle de acesso a recursos e sistemas computacionais;

    classificao das informaes (de uso irrestrito, interno, confidencial e secretas);

    procedimentos de preveno e deteco de vrus;

    princpios legais que devem ser observados quanto tecnologia da informao (direitos de propriedade de produo intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, clusulas contratuais);

    princpios de super viso constante das tentativas de violao da segurana de informaes;

    conseqncias de violaes de normas estabelecidas na poltica de segurana;

    princpios de gesto da continuidade do negcio;

    plano de treinamento em segurana de informaes.

    2.6 Qual o nvel de profundidade que os assuntos abordados na PSI devem ter?

    A poltica de segurana de informaes deve conter princpios, diretrizes e regras genricos e

  • 28

    TRIBUNAL DE CONTAS DA UNIO

    amplos, para aplicao em toda a organizao. Alm disso, ela deve ser clara o suficiente para ser bem compreendida pelo leitor em foco, aplicvel e de fcil aceitao. A complexidade e extenso exageradas da PSI pode levar ao fracasso de sua implementao.

    Cabe destacar que a PSI pode ser composta por vrias polticas inter-relacionadas, como a poltica de senhas, de backup, de contratao e instalao de equipamentos e softwares.

    Ademais, quando a organizao achar conveniente e necessrio que sua PSI seja mais abrangente e detalhada, sugere-se a criao de outros documentos que especifiquem prticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia da informao. Esses documentos costumam dispor sobre regras mais especficas, que detalham as responsabilidades dos usurios, gerentes e auditores e, normalmente, so atualizados com maior freqncia. A PSI o primeiro de muitos documentos com informaes cada vez mais detalhadas sobre procedimentos, prticas e padres a serem aplicados em determinadas circunstncias, sistemas ou recursos.

    2.7 Como se d o processo de implantao da PSI?

    O processo de implantao da poltica de segurana de informaes deve ser formal. No decorrer desse processo, a PSI deve permanecer passvel a ajustes para melhor adaptar-se s

    reais necessidades. O tempo desde o incio at a completa implantao tende a ser longo. Em resumo, as principais etapas que conduzem implantao bem-sucedida da PSI so: elaborao, aprovao, implementao, divulgao e manuteno. Muita ateno deve ser dada s duas ltimas etapas, haja vista ser comum sua no-observncia. Normalmente, aps a consecuo das trs primeiras etapas, as gerncias de segurana acreditam ter cumprido o dever e esquecem da importncia da divulgao e atualizao da PSI.

    De forma mais detalhada, pode-se citar como as principais fases que compem o processo de implantao da PSI:

    identificao dos recursos crticos;

    classificao das informaes;

    definio, em linhas gerais, dos objetivos de segurana a serem atingidos;

    anlise das necessidades de segurana (identificao das possveis ameaas, anlise de riscos e impactos);

    elaborao de proposta de poltica;

    discusses abertas com os envolvidos;

    apresentao de documento formal gerncia superior;

    aprovao;

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    29

    publicao;

    divulgao;

    treinamento;

    implementao;

    avaliao e identificao das mudanas necessrias;

    reviso.

    2.8 Qual o papel da alta administrao na elaborao e implantao da PSI?

    O suces so da PS I e s t d i r e tamente relacionado com o envolvimento e a atuao da alta administrao. Quanto maior for o comprometimento da gerncia superior com os processos de elaborao e implantao da PSI, maior a probabilidade de ela ser efetiva e eficaz. Esse comprometimento deve ser expresso formalmente, por escrito.

    2.9 A quem deve ser divulgada a PSI?

    A divulgao ampla a todos os usurios internos e externos organizao um passo indispensvel para que o processo de implantao da PSI tenha sucesso. A PSI deve ser de conhecimento de todos que interagem com a organizao e que, direta ou indiretamente, sero

    afetados por ela. necessrio que fique bastante claro, para todos, as conseqncias advindas do uso inadequado dos sistemas computacionais e de informaes, as medidas preventivas e corretivas que esto a seu cargo para o bom, regular e efetivo controle dos ativos computacionais. A PSI fornece orientao bsica aos agentes envolvidos de como agir corretamente para atender s regras nela estabelecidas. importante, ainda, que a PSI esteja permanentemente acessvel a todos.

    2.10 O que fazer quando a PSI for violada?

    A prpria Poltica de Segurana de Informaes deve prever os procedimentos a serem adotados para cada caso de violao, de acordo com sua severidade, amplitude e tipo de infrator que a perpetra. A punio pode ser desde uma simples advertncia verbal ou escrita at uma ao judicial.

    A Lei n. 9.983, de 14 de julho de 2000, que altera o Cdigo Penal Brasileiro, j prev penas para os casos de violao de integridade e quebra de sigilo de sistemas informatizados ou banco de dados da Administrao Pblica. O novo art. 313-A trata da insero de dados falsos em sistemas de informao, enquanto o art. 313-B discorre sobre a modificao ou alterao no autorizada desses mesmos sistemas. O 1 do art. 153 do Cdigo Penal foi alterado e, atualmente, define penas quando da divulgao de informaes sigilosas ou reservadas, contidas ou no nos bancos de dados da Administrao Pblica. O fornecimento

  • 30

    TRIBUNAL DE CONTAS DA UNIO

    ou emprstimo de senha que possibilite o acesso de pessoas no autorizadas a sistemas de informaes tratado no inciso I do 1 do art. 325 do Cdigo Penal.

    Neste tpico, fica ainda mais evidente a importncia da conscientizao dos funcionrios quanto PSI. Uma vez que a Poltica seja de conhecimento de todos da organizao, no ser admissvel que as pessoas aleguem ignorncia quanto s regras nela estabelecidas a fim de livrar-se da culpa sobre violaes cometidas.

    Quando detectada uma violao, preciso aver iguar suas causas, conseqncias e circunstncias em que ocorreu. Pode ter sido derivada de um simples acidente, erro ou mesmo desconhecimento da PSI, como tambm de negligncia, ao deliberada e fraudulenta. Essa averiguao possibilita que vulnerabilidades, at ento desconhecidas pelo pessoal da gerncia de segurana, passem a ser consideradas, exigindo, se for o caso, alteraes na PSI.

    2.11 Uma vez definida, a PSI pode ser alterada?

    A PSI no s pode ser alterada, como deve passar por processo de reviso definido e peridico que garanta sua reavaliao a qualquer mudana que venha afetar a anlise de risco original, tais como: incidente de segurana significativo, novas vulnerabilidades, mudanas organizacionais ou na infra-estrutura tecnolgica. Alm disso, deve haver anlise peridica da efetividade da poltica,

    demonstrada pelo tipo, volume e impacto dos incidentes de segurana registrados. desejvel, tambm, que sejam avaliados o custo e o impacto dos controles na eficincia do negcio, a fim de que esta no seja comprometida pelo excesso ou escassez de controles.

    importante frisar, ainda, que a PSI deve ter um gestor responsvel por sua manuteno e anlise crtica.

    2.12 Existem normas sobre PSI para a Administrao Pblica Federal?

    O Decreto n. 3.505, de 13 de junho de 2000, instituiu a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. Em linhas gerais, os objetivos traados nessa PSI dizem respeito necessidade de capacitao e conscientizao das pessoas lotadas nos rgos e entidades da Administrao Pblica Federal quanto aos aspectos de segurana da informao; e necessidade de elaborao e edio de instrumentos jurdicos, normativos e organizacionais que promovam a efetiva implementao da segurana da informao. Com relao s matrias que esses instrumentos devem versar, o Decreto menciona:

    padres re lac ionados ao emprego dos produtos que incorporam recursos criptogrficos;

    normas gerais para uso e comercializao dos recursos criptogrficos;

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    31

    normas, padres e demais aspectos necessrios para assegurar a confidencialidade dos dados;

    normas re lacionadas emisso de certificados de conformidade;

    normas relativas implementao dos sistemas de segurana da informao, com intuito de garantir a sua interoperabilidade, obteno dos nveis de segurana desejados e permanente disponibilidade dos dados de interesse para a defesa nacional.

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    33

    Neste Captulo ser apresentada a importncia de definio de estratgias que permitam que uma instituio retorne sua normalidade, em caso de acontecimento de situaes inesperadas.

    3.1 O que Plano de Contingncias?

    Plano de Contingncias consiste num conjunto de estratgias e procedimentos que devem ser adotados quando a instituio ou uma rea depara-se com problemas que comprometem o andamento normal dos processos e a conseqente prestao dos servios. Essas estratgias e procedimentos devero minimizar o impacto sofrido diante do acontecimento de situaes inesperadas, desastres, falhas de segurana, entre outras, at que se retorne normalidade. O Plano de Contingncias um conjunto de medidas que combinam aes preventivas e de recuperao.

    Obviamente, os tipos de riscos a que esto sujeitas as organizaes variam no tempo e no espao. Porm, pode-se citar como exemplos de riscos mais comuns a ocorrncia de desastres

    naturais (enchentes, terremotos, furaces), incndios, desabamentos, falhas de equipamentos, acidentes, greves, terrorismo, sabotagem, aes intencionais.

    O P lano de Cont ingnc ias pode ser desenvolvido por organizaes que contenham ou no sistemas computadorizados. Porm, para efeito desta cartilha, o Plano aplica-se s organizaes que, em menor ou maior grau, dependem da tecnologia da informao, pois faz-se referncia aos riscos a que essa rea est sujeita, bem como aos aspectos relevantes para superar problemas decorrentes.

    3.2 Qual a importncia do Plano de Contingncias?

    Atualmente, inquestionvel a dependncia das organizaes aos computadores, sejam eles de pequeno, mdio ou grande porte. Essa caracterstica quase generalizada, por si s, j capaz de explicar a importncia do Plano de Contingncias, pois se para fins de manuteno

    3. Plano de Contingncias

  • 34

    TRIBUNAL DE CONTAS DA UNIO

    de seus servios, as organizaes dependem de computadores e de informaes armazenadas em meio eletrnico, o que fazer na ocorrncia de situaes inesperadas que comprometam o processamento ou a disponibilidade desses computadores ou informaes? Ao contrrio do que ocorria antigamente, os funcionrios no mais detm o conhecimento integral, assim como a habilidade para consecuo dos processos organizacionais, pois eles so, muitas vezes, executados de forma transparente. Alm disso, as informaes no mais se restringem ao papel, ao contrrio, elas esto estrategicamente organizadas em arquivos magnticos.

    Por conseguinte, pode-se considerar o Plano de Contingncias quesito essencial para as organizaes preocupadas com a segurana de suas informaes.

    3.3 Qual o objetivo do Plano de Contingncias?

    O objetivo do Plano de Contingncias manter a integridade e a disponibilidade dos dados da organizao, bem como a disponibilidade dos seus servios quando da ocorrncia de situaes fortuitas que comprometam o bom andamento dos negcios. Possui como objetivo, ainda, garantir que o funcionamento dos sistemas informatizados seja restabelecido no menor tempo possvel a fim de reduzir os impactos causados por fatos imprevistos. normal que, em determinadas situaes de anormalidade, o Plano preveja a possibilidade de fornecimento de

    servios temporrios ou com restries, que, pelo menos, supram as necessidades imediatas e mais crticas. Cabe destacar que o Plano um entre vrios requisitos de segurana necessrios para que os aspectos de integridade e disponibilidade sejam preservados durante todo o tempo.

    3.4 Como iniciar a elaborao do Plano de Contingncias?

    Antes da elaborao do Plano de Contingncias propriamente dito, importante analisar alguns aspectos:

    riscos a que est exposta a organizao, probabilidade de ocorrncia e os impactos decorrentes (tanto aqueles relativos escala do dano como ao tempo de recuperao);

    conseqncias que podero advir da interrupo de cada sistema computacional;

    identificao e priorizao de recursos, sistemas, processos crticos;

    tempo limite para recuperao dos recursos, sistemas, processos;

    alternativas para recuperao dos recursos, sistemas, processos, mensurando os custos e benefcios de cada alternativa.

    3.5 Que assuntos devem ser abordados no Plano de Contingncias?

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    35

    De maneira geral, o Plano de Contingncias contm informaes sobre:

    condies e procedimentos para ativao do Plano (como se avaliar a situao provocada por um incidente);

    p roced imentos a se rem segu idos imediatamente aps a ocorrncia de um desastre (como, por exemplo, contato eficaz com as autoridades pblicas apropriadas: polcia, bombeiro, governo local);

    a instalao reserva, com especificao dos bens de informtica nela disponveis, como hardware, software e equipamentos de telecomunicaes;

    a escala de prioridade dos aplicativos, de acordo com seu grau de inter ferncia nos resultados operacionais e financeiros da organizao. Quanto mais o aplicativo influenciar na capacidade de funcionamento da organizao, na sua situao econmica e na sua imagem, mais crtico ele ser;

    arquivos, programas, procedimentos necessrios para que os aplicativos crticos entrem em operao no menor tempo possvel, mesmo que parcialmente;

    sistema operacional, utilitrios e recursos de telecomunicaes necessrios para assegurar o processamento dos aplicativos crticos, em grau pr-estabelecido;

    documentao dos aplicativos crticos, sistema operacional e utilitrios, bem como suprimentos de informtica, ambos disponveis na instalao reserva e capazes de garantir a boa execuo dos processos definidos;

    dependncia de recursos e servios externos ao negcio;

    procedimentos necessrios para restaurar os servios computacionais na instalao reserva;

    pessoas responsveis por executar e comandar cada uma das atividades previstas no Plano ( interessante definir suplentes, quando se julgar necessrio);

    referncias para contato dos responsveis, sejam eles funcionrios ou terceiros;

    organizaes responsveis por oferecer servios, equipamentos, suprimentos ou quaisquer outros bens necessrios para a restaurao;

    contratos e acordos que faam parte do plano para recuperao dos servios, como aqueles efetuados com outros centros de processamento de dados.

    3.6 Qual o papel da alta gerncia na elaborao do Plano de Contingncias?

    imprescindvel o comprometimento da alta administrao com o Plano de Contingncias. Na verdade, este Plano de responsabilidade direta

  • 36

    TRIBUNAL DE CONTAS DA UNIO

    da alta gerncia, um problema corporativo, pois trata-se de estabelecimento de procedimentos que garantiro a sobrevivncia da organizao como um todo e no apenas da rea de informtica. Ainda, muitas das definies a serem especificadas so definies relativas ao negcio da organizao e no tecnologia da informao.

    A alta gerncia deve designar uma equipe de segurana especf ica para elaborao, implementao, divulgao, treinamento, testes, manuteno e coordenao do Plano de Contingncias. Este deve possuir, ainda, um responsvel especfico que esteja a frente das demandas, negociaes e tudo mais que se fizer necessrio.

    Provavelmente, a alta gerncia ser demandada a firmar acordos de cooperao com outras organizaes, assinar contratos orientados para a recuperao dos servios, entre outros atos.

    H de ser considerada, ainda, a questo dos custos. Faz parte das decises da alta gerncia o oramento a ser disponibilizado para garantir a exeqibilidade do Plano de Contingncias, ou seja, para possibilitar, alm da sua implementao, sua manuteno, treinamento e testes.

    Diante dos fatos anteriormente abordados, f ica evidente a necessidade precpua de envolvimento da alta gerncia com todo processo que garantir o sucesso de implantao do Plano de Contingncias.

    3.7 Como garantir que o Plano funcionar como esperado?

    possvel citar trs formas de garantir a eficcia do Plano de Contingncias: treinamento e conscientizao das pessoas envolvidas; testes peridicos do Plano, integrais e parciais; processo de manuteno contnua.

    3.7.1 Como deve ser realizado o treinamento e a conscientizao das pessoas?

    essencial o desenvolvimento de atividades educativas e de conscientizao que visem ao perfeito entendimento do processo de continuidade de servios e que garantam, por conseguinte, a efetividade do Plano de Contingncias.

    Cada funcionrio envolvido com o processo de continuidade de servios, especialmente aqueles componentes de equipes com responsabilidades especficas em caso de contingncias, deve ter em mente as atividades que deve desempenhar em situaes emergenciais. O treinamento deve ser terico e prtico, inclusive com simulaes. Alm do treinamento, a conscientizao pode ser feita de outras formas, como distribuio de folhetos e promoo de palestras informativas e educativas sobre possveis acidentes e respectivos planos de recuperao.

    Por fim, vale salientar que um programa de educao continuada que faa com que as pessoas envolvidas sintam-se como participantes ativos do programa de segurana a melhor maneira de alcanar o sucesso esperado.

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    37

    3.7.2 Por que o Plano de Contingncias deve ser testado?

    Os planos de continuidade do negcio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omisses ou mudanas de equipamentos, de pessoal, de prioridades. Por isto eles devem ser testados regularmente, de forma a garantir sua permanente atualizao e efetividade. Tais testes tambm devem assegurar que todos os envolvidos na recuperao e os alocados em outras funes crticas possuam conhecimento do Plano.

    Deve existir uma programao que especifique quando e como o Plano de Contingncias dever ser testado. Ele pode ser testado na sua totalidade, caracterizando uma situao bem prxima da realidade; pode ser testado parcialmente, quando se restringem os testes a apenas um conjunto de procedimentos, atividades ou aplicativos componentes do Plano; ou, ainda, pode ser testado por meio de simulaes, quando ocorre representaes de situao emergencial. A partir da avaliao dos resultados dos testes, possvel reavaliar o Plano, alter-lo e adequ-lo, se for o caso.

    3.7.3 Que fatos podem provocar a necessidade de atualizao do Plano de Contingncias?

    Mudanas que tenham ocorrido e que no estejam contempladas no Plano de Contingncias devem gerar atualizaes. Quando novos requisitos forem identificados, os procedimentos

    de emergncia relacionados devem ser ajustados de forma apropriada. Diversas situaes podem demandar atualizaes no Plano, tais como as mudanas:

    no parque ou ambiente computacional (ex.: aquisio de novo equipamento, atualizao de sistemas operacionais, migrao de sistemas de grande porte para ambiente cliente-servidor);

    administrativas, de pessoas envolvidas e responsabilidades;

    de endereos ou nmeros telefnicos;

    de estratgia de negcio;

    na localizao e instalaes;

    na legislao;

    em prestadores de servio, fornecedores e clientes-chave;

    de processos (incluses e excluses);

    no risco (operacional e financeiro).

    Como demonstrado, as atualizaes regulares do Plano de Contingncias so de importncia fundamental para alcanar a sua efetividade. Deve existir uma programao que especifique a forma de se proceder manuteno do Plano. Procedimentos com essa finalidade podem ser includos no processo de gerncia de mudanas a fim de que as questes relativas continuidade

  • 38

    TRIBUNAL DE CONTAS DA UNIO

    de negcios sejam devidamente tratadas. O controle formal de mudanas permite assegurar que o processo de atualizao esteja distribudo e garantido por revises peridicas do Plano como um todo. A responsabilidade pelas revises e atualizaes de cada parte do Plano deve ser definida e estabelecida.

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    39

    Neste captulo ser comentada a norma NBR ISO/IEC 17799 como ferramenta de auditoria de segurana da informao utilizada pelo Tribunal de Contas da Unio (TCU). A fim de facilitar as atividades, tanto de gesto quanto de auditoria de segurana da informao, sero explanadas as sees da norma e citados acrdos e decises do Tribunal que tratam, entre outros aspectos, de segurana da informao.

    4.1 De que trata a NBR ISO/IEC 17799?

    A NBR ISO/IEC 17799, norma da Associao Brasileira de Normas Tcnicas (ABNT), trata de tcnicas de segurana em Tecnologia da Informao, e funciona como um cdigo de prtica para a gesto da segurana da informao. Essa norma foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados,

    pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica, e equivalente norma ISO/IEC 17799.

    4.2 Por que o TCU utiliza essa norma como padro em suas auditorias de segurana da informao?

    Alm do reconhecimento da ABNT, como instituio normalizadora brasileira, as instituies internacionais ISO (International Organization for Standardization) e IEC (International Eletrotechnical Commission), autoras da norma, so mundialmente reconhecidas por sua capacitao tcnica. A norma ISO/IEC 17799, equivalente norma brasileira, amplamente reconhecida e utilizada por Entidades Fiscalizadoras Superiores, rgos de governo, empresas pblicas e privadas nacionais e internacionais atentas ao tema Segurana da Informao.

    4. TCU e a NBR ISO/IEC 17799

  • 40

    TRIBUNAL DE CONTAS DA UNIO

    Os objetivos definidos nessa norma provem diretrizes gerais sobre as prticas geralmente aceitas para a gesto da segurana da informao. Apesar de no ter fora de lei, a NBR ISO/IEC 17799 configura-se como a melhor ferramenta de auditoria de segurana da informao disponvel at a data de publicao deste Captulo. Em seus acrdos e decises, o Tribunal j mencionou duas verses dessa norma: a mais recente, de 2005, e a anterior, de 2001.

    4.3 Como est estruturada a NBR ISO/IEC 17799?

    A NBR ISO/IEC 17799, verso 2005, est dividida em 11 sees:

    a) Poltica de segurana da informao;

    b) Organizando a segurana da informao;

    c) Gesto de ativos;

    d) Segurana em recursos humanos;

    e) Segurana fsica e do ambiente;

    f) Gesto das operaes e comunicaes;

    g) Controle de acessos;

    h) Aquisio, desenvolvimento e manuteno de sistemas de informao;

    i) Gesto de incidentes de segurana da informao;

    j) Gesto da continuidade do negcio;

    k) Conformidade.

    4.4 De que trata a seo Poltica de segurana da informao?

    Essa seo orienta a direo no estabelecimento de uma poltica clara de segurana da informao, alinhada com os objetivos do negcio, com demonstrao de seu apoio e comprometimento com a segurana da informao por meio da publicao, manuteno e divulgao da poltica para toda a organizao. So fornecidas diretrizes para elaborao do documento e sua anlise crtica.

    4.5 Que acrdos e decises do TCU tratam, entre outros aspectos, de Poltica de segurana da informao?

    Acrdo 1092/2007 - Plenrio

    9.1.2. elabore, aprove e divulgue Poltica de Segurana da Informao - PSI conforme o estabelecido na NBR ISO/IEC 17799:2005, item 5.1.1;

    9.1.4. crie mecanismos para que as polticas e normas de segurana da informao se tornem conhecidas, acessveis e observadas por todos os funcionrios e colaboradores da Empresa conforme o estabelecido na NBR ISO/IEC 17799:2005, item 5.1.1;

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    41

    Acrdo 71/2007 - Plenrio

    9.2.6. defina formalmente uma Poltica de Segurana da Informao - PSI - para o Infoseg, que fornea orientao e apoio para a segurana da informao da rede, promovendo-se ampla divulgao do documento para todos os usurios, de acordo com o previsto no item 5.1.1 da NBR ISO/IEC 17799:2005;

    9.2.10. crie mecanismos para que as polticas e normas se tornem conhecidas, acessveis e observadas por todos os usurios e gestores do Infoseg, de acordo com o previsto no item 5.1.1 da NBR ISO/IEC 17799:2005;

    Acrdo 562/2006 - Plenrio

    9.2.1. desenvolva Plano de Tecnologia da Informao para ser utilizado no mbito do Sistema Nacional de Transplantes (SNT) que contemple [...] o atendimento aos princpios de segurana da informao, preconizados no item 3.1 da Norma NBR ISO/IEC 17799:2001;

    Acrdo 2023/2005 - Plenrio

    9.1.2. defina uma Poltica de Segurana da Informao, nos termos das orientaes contidas no item 3 da NBR ISO/IEC 17799:2001, que estabelea os princpios norteadores da gesto da segurana da informao no Ministrio e que esteja integrada viso, misso, ao negcio e s metas institucionais, observando a regulamentao ou as recomendaes porventura feitas pelo Comit Gestor de Segurana da Informao institudo

    pelo Decreto n 3.505/2000 e pelo Gabinete de Segurana Institucional da Presidncia da Repblica, conforme Decreto n. 5.408, de 1/04/2005;

    9.1.6. crie mecanismos para que as polticas e normas se tornem conhecidas, acessveis e observadas por todos os servidores e prestadores de servios do Ministrio;

    Acrdo 782/2004 1 Cmara

    9.4. [...] formalizem a poltica de segurana de informao do sistema informatizado de pagamento de pessoal [...];

    Acrdo 461/2004 - Plenrio

    9.1.1. a concepo e implementao de uma poltica de segurana de informaes formal e, preferencialmente, baseada nos ditames da norma NBR ISO/IEC 17799;

    Deciso 38/2003 - Plenrio

    9.2 d) promova a aprovao de sua poltica de segurana da informao.

    Deciso 595/2002 - Plenrio

    8.1.23 b) elaborar e implantar poltica de segurana de informaes, com abrangncia nacional e vinculando os prestadores de servios, prevendo um programa de conscientizao dos usurios a respeito das responsabilidades inerentes ao acesso s informaes e utilizao

  • 42

    TRIBUNAL DE CONTAS DA UNIO

    dos recursos de TI, reavaliando as situaes existentes, especialmente no tocante segurana lgica e fsica;

    Deciso 918/2000 - Plenrio

    8.2.6.3. definir e implementar poltica formal de segurana lgica, consoante as diretrizes previstas no Projeto BRA/97-024, de cooperao tcnica, [...] incluindo aes e procedimentos para disseminar a importncia da segurana da informao para os funcionrios da unidade, e estabelecer segregao de funes dentro do ambiente de informtica, notadamente entre desenvolvimento, produo e administrao de segurana lgica;

    4.6 De que trata a seo Organizando a segurana da informao?

    Essa seo da norma orienta a direo de como gerenciar a segurana da informao dentro da organizao e, ainda, de como manter a segurana de seus recursos de processamento da informao, que so acessados, processados, comunicados ou gerenciados por partes externas.

    So fornecidas diretrizes para definio de infra-estrutura de segurana da informao, detalhando os itens: comprometimento da gerncia, coordenao, atribuio de responsabilidades, processo de autorizao para recursos de processamento da informao, acordos de confidencialidade, anlise crtica independente, contato com autoridades e grupos de interesses

    especiais. So fornecidas ainda diretrizes para o relacionamento com partes externas, na identificao dos riscos relacionados e dos requisitos de segurana da informao necessrios ao tratar com clientes e terceiros.

    4.7 Que acrdos e decises do TCU tratam, entre outros aspectos, da Organizao da segurana da informao?

    Infra-estrutura da segurana da informao

    Acrdo 1092/2007 - Plenrio

    9.1.1. estabelea responsabilidades internas quanto segurana da informao conforme o estabelecido na NBR ISO/IEC 17799:2005, item 6.1.3;

    Acrdo 71/2007 - Plenrio

    9.2.5. estabelea e identifique formalmente responsabilidades relativas s questes de segurana das informaes do Infoseg, de acordo com o previsto no item 6.1.3 da NBR ISO/IEC 17799:2005;

    Acrdo 2023/2005 - Plenrio

    9.1.1. estabelea institucionalmente as atribuies relativas segurana da informao, conforme preceituam os itens 4.1.1, 4.1.2 e 4.1.3 da NBR ISO/IEC 17779:2001 e o item PO4.6 do Cobit;

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    43

    9.1.13.6. obrigatoriedade de assinatura de Termo de Compromisso ou Acordo de Confidencialidade por parte dos prestadores de servios, contendo declaraes que permitam aferir que os mesmos tomaram cincia das normas de segurana vigentes no rgo;

    Acrdo 782/2004 - 1 Cmara

    9.3.1. envide esforos para proceder redefinio do regimento interno da unidade, de modo que fiquem claramente explicitadas suas atribuies, responsabilidades e poderes como gestor de segurana do sistema informatizado de pagamento de pessoal [...];

    Acrdo 461/2004 - Plenrio

    9.1.8. estudos com vistas criao de uma gerncia especfica de segurana, preferencialmente vinculada direo geral;

    Deciso 1049/2000 - Plenrio

    8.1.7. estude a possibilidade de criao de um grupo de controle/segurana, na rea de informtica, que seja responsvel por:

    a) investigar e corrigir qualquer problema operacional em terminal, microcomputador ou outro dispositivo de entrada de dados;

    b) investigar qualquer ao de interveno do operador;

    c) assegurar que os procedimentos de restart sejam executados de maneira correta;

    d) monitorar as atividades de entrada de dados no terminal, microcomputador ou outro dispositivo similar; e

    e) investigar qualquer desvio dos procedimentos de entrada de dados pr-estabelecidos;

    8.3.3. quando de sua reestruturao organizacional, atente para o posicionamento hierrquico da rea de segurana fsica e lgica de sistemas, que deve constar em um nvel superior, de forma a conter todas as funes de segurana delineadas como necessrias, estabelecendo, em conseqncia, segregao na execuo das mesmas;

    Deciso 918/2000 - Plenrio

    8.2.6.2. realizar estudos com o objetivo de instituir setor ou gerncia especfica para segurana lgica na unidade;

    Partes externas

    Acrdo 71/2007 - Plenrio

    9.2.21. formalize, junto Agncia Estadual de Tecnologia da Informao do Estado de Pernambuco - ATI -, um termo de compromisso que contemple de maneira especfica a cpia das bases de dados do Infoseg que se encontra naquelas instalaes, estabelecendo nele clusulas

  • 44

    TRIBUNAL DE CONTAS DA UNIO

    de sigilo e responsabilizao pelo uso indevido dos equipamentos ou divulgao no autorizada dos dados;

    9.4. [...] defina claramente, tanto nos editais de licitao como nos contratos, clusulas contemplando requisitos de segurana da informao como os previstos no item 6.2.3 da NBR ISO/IEC 17799:2005;

    Acrdo 1663/2006 - Plenrio

    9.2.3. elabore o acordo de nvel de servio do Sipia;

    Acrdo 914/2006 - Plenrio

    9.1.1. firmem contrato com relao ao Programa do Fundo de Financiamento ao Estudante do Ensino Superior (Fies), devendo ser estabelecida nesse instrumento clusula que disponha sobre a propriedade intelectual de programas, documentao tcnica e dados do Sistema do Financiamento Estudantil (Sifes);

    9.3.1. firmem Acordo de Nvel de Servio, ou documento correlato, em relao ao Sifes, contemplando as reas envolvidas, em especial a de desenvolvimento do sistema, com o objetivo de estabelecer entendimento comum sobre a natureza dos servios propostos e os critrios de medio de desempenho, devendo este acordo considerar elementos tais como:

    9.3.1.1. participantes do acordo, funes e responsabilidades;

    9.3.1.2. descrio detalhada dos servios que sero prestados;

    9.3.1.3. nveis de servios desejados e respectivos critrios de medio e indicadores, em termos de disponibilidade, confiabilidade, tempo de resposta, atendimento ao usurio (help-desk), capacidade de crescimento, prazos para solicitao e atendimento de demandas (inclusive emergenciais), testes, homologao, segurana e outros que as partes julgarem necessrios;

    9.3.1.4. responsvel pela medio dos servios;

    9.3.1.5. aes a serem tomadas quando da ocorrncia de problemas na prestao dos servios (aes corretivas, penalidades e outras);

    Acrdo 2085/2005 - Plenrio

    9.4.3. faa prever nos contratos de terceirizao de servios de desenvolvimento de software o repasse da respectiva tecnologia, incluindo toda a documentao do produto desenvolvido, com o intuito de se evitar a futura dependncia do suporte e da manuteno desse produto, o que elevaria os custos da terceirizao dessa atividade, bem como impedir que terceiros tenham acesso irrestrito aos sistemas desenvolvidos;

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    45

    Acrdo 2023/2005 - Plenrio

    9.1.13. inclua os seguintes requisitos de segurana em contratos de prestao de servios e locao de mo-de-obra em Tecnologia da Informao que vierem a ser celebrados a partir da presente data, em ateno aos itens 4.2.2 e 4.3.1 da NBR ISO/IEC 17799:2001:

    9.1.13.1. obrigatoriedade de aderncia Polt ica de Segurana da Informao, Poltica de Controle de Acesso, Metodologia de Desenvolvimento de Sistemas e s outras normas de segurana da informao vigentes no Ministrio;

    9.1.13.2. Acordo de Nvel de Ser vio, negociado entre os grupos de usurios e o fornecedor dos servios, com o objetivo de estabelecer um entendimento comum da natureza dos servios propostos e critrios de medio de desempenho, que dever conter, no mnimo, os seguintes elementos: participantes do acordo; descrio clara dos servios e funcionalidades disponveis, para contratos de prestao de servios; descrio clara dos perfis profissionais desejados, para contratos de locao de mo-de-obra; funes e responsabilidades; nveis de servios desejados em termos de disponibilidade, prazos, desempenho, segurana, quantidade, qualidade e outros; indicadores de nveis de servios; responsvel pela medio dos servios; aes a serem tomadas quando da ocorrncia de problemas de mau desempenho (aes corretivas, penalidades financeiras e outras);

    9.1.13.3. definio clara acerca da propriedade dos dados entregues pela Administrao Pblica a empresas contratadas, coletados por essas empresas em nome da Administrao Pblica ou produzidos por programas de computadores decorrentes de contratos de prestao de servios;

    9.1.13.4. definio acerca dos direitos de propriedade de programas, de acordo com a Lei n. 9.609/1998, de documentao tcnica e forma de acesso a eles; se o contrato dispuser que programas e documentao tcnica no pertencem Administrao Pblica, o projeto bsico deve apresentar a justificativa de tal escolha; caso contrrio, o contrato deve estabelecer de que forma e em que prazo se dar o acesso aos mesmos, inclusive na ocorrncia de fatos imprevisveis ou de fora maior; recomenda-se que se estabelea, como data limite para entrega de programas fontes e documentao, a data de homologao dos mesmos;

    9.1.13.5. obrigatoriedade de manter sigilo sobre o contedo de programas de computadores (fontes e executveis), documentao e bases de dados; deve ser estabelecido um perodo durante o qual subsistiro as obrigaes de manter sigilo;

    9.1.13.6. obrigatoriedade de assinatura de Termo de Compromisso ou Acordo de Confidencialidade por parte dos prestadores de servios, contendo declaraes que permitam aferir que os mesmos tomaram cincia das normas de segurana vigentes no rgo;

  • 46

    TRIBUNAL DE CONTAS DA UNIO

    9.1.13.7. garantia do direito de auditar, por parte da contratada e dos rgos de controle, e forma de exerccio deste direito;

    9.4.4. adote clusulas contratuais para assegurar que a documentao tcnica, programas fontes e dados de sistemas regidos por contratos de prestao de servios estejam acessveis ao Ministrio;

    Acrdo 441/2005 1 Cmara

    1.3 elabore o Acordo de Nvel de Servio do Sisfin;

    1 . 4 i n c l u a n a s n o r m a s i n t e r n a s a obrigatoriedade da elaborao de Acordo de Nvel de Servio para os sistemas crticos;

    Deciso 295/2002 - Plenrio

    8.1.1 - quanto aos sistemas informatizados:

    a) revise os atuais critrios de habilitao de cadastradores do Sistema Integrado de Administrao Patrimonial (SIAPA), sejam eles gerais, parciais ou locais, reavaliando a pertinncia da existncia de funcionrios do Servio Federal de Processamento de Dados (SERPRO) desempenhando esse papel;

    f) revise os atuais critrios de habilitao de cadastradores do Sistema do Patrimnio Imobilirio da Unio (SPIU), sejam eles gerais, parciais ou locais, lotados na SPU ou

    no, reavaliando, entre outros aspectos, a pertinncia da existncia de funcionrios de outros rgos ou entidades, especialmente do SERPRO, que atualmente desempenham esse papel;

    4.8 De que trata a seo Gesto de ativos?

    Essa seo da norma orienta a direo a alcanar e manter a proteo adequada dos ativos da organizao, alm de assegurar que a informao seja classificada de acordo com seu nvel adequado de proteo. So fornecidas diretrizes para realizao de inventrio dos ativos, definio de seus proprietrios e regras para seu uso. Em relao classificao da informao, a norma faz algumas recomendaes e sugere a definio de procedimentos para rotulao e tratamento da informao.

    4.9 Que acrdos e decises do TCU tratam, entre outros aspectos, da Gesto de ativos?

    Responsabilidade pelos ativos

    Acrdo 1092/2007 - Plenrio

    9.1.3. inventarie os ativos de informao conforme o estabelecido na NBR ISO/IEC 17799:2005, itens 7.1.1 e 7.1.2, e estabelea critrios para a classificao desses ativos conforme o estabelecido na NBR ISO/IEC 17799:2005, item 7.2;

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    47

    Acrdo 71/2007 - Plenrio

    9.2.19. formalize o inventrio dos ativos do Infoseg, em conformidade com o previsto no item 7.1.1 da NBR ISO/IEC 17799:2005;

    9.2.20 defina formalmente o proprietrio de cada ativo constante do inventrio acima, em conformidade com o item 7.1.2 da NBR ISO/IEC 17799:2005, atentando para a assinatura das cautelas que se fizerem necessrias;

    Acrdo 782/2004 - 1 Cmara

    9.3.2. adote providncias para designar formalmente um membro [...] como gestor do sistema Siappes, e futuramente, do sistema Sispag;

    9.3.5. formule [...] o inventrio de ativos de informao, compreendendo a classificao do nvel de confidencialidade de cada ativo e a definio de procedimentos para garantir a segurana nas diversas mdias nas quais a informao armazenada ou pelas quais transmitida, como o papel, as fitas magnticas e as redes local e externa;

    Deciso 1049/2000 - Plenrio

    8.4.1. adote medidas no sentido de viabilizar um controle efetivo dos equipamentos de hardware que compem o parque computacional;

    Classificao da informao

    Acrdo 1092/2007 - Plenrio

    9.1.3. inventarie os ativos de informao conforme o estabelecido na NBR ISO/IEC 17799:2005, itens 7.1.1 e 7.1.2, e estabelea critrios para a classificao desses ativos conforme o estabelecido na NBR ISO/IEC 17799:2005, item 7.2;

    Acrdo 1832/2006 - Plenrio

    9.1.9 implemente critrios para a classificao e marcao de informaes e documentos sigilosos;

    9.2.11 - institua procedimento para atribuir grau de sigilo a todos os documentos que contenham, de algum modo, informaes estratgicas e/ou privilegiadas, no importando a quem se destine, ou quem deter a sua posse;

    Acrdo 2023/2005 - Plenrio

    9.1.4. crie critrios de classificao das informaes a fim de que possam ter tratamento diferenciado conforme seu grau de importncia, criticidade e sensibilidade, a teor do disposto pelo item 5 da NBR ISO/IEC 17799:2001;

  • 48

    TRIBUNAL DE CONTAS DA UNIO

    Acrdo 441/2005 1 Cmara

    1.5 implemente a indicao de classificao das informaes apresentadas nas telas e relatrios dos novos sistemas que esto em desenvolvimento em substituio ao Sisfin;

    Acrdo 782/2004 - 1 Cmara

    9.3.5. formule [...] o inventrio de ativos de informao, compreendendo a classificao do nvel de confidencialidade de cada ativo e a definio de procedimentos para garantir a segurana nas diversas mdias nas quais a informao armazenada ou pelas quais transmitida, como o papel, as fitas magnticas e as redes local e externa;

    Acrdo 461/2004 - Plenrio

    9.1.6. a classificao do nvel de segurana e controle de acesso aos dados, no mbito do Projeto Repositrio;

    Deciso 1098/2002 - Plenrio

    8.3 [...] coordene a elaborao de metodologia para classificao das informaes, nos termos do item 5.2 da Norma ISO/IEC 17799:2001.

    4.10 De que trata a seo Segurana em recursos humanos?

    Essa seo da norma orienta a direo a assegurar que funcionrios, fornecedores e terceiros compreendam suas responsabilidades, estejam

    conscientes das ameaas relativas segurana da informao e prontos para apoiar a poltica de segurana da informao da organizao. So fornecidas diretrizes para definio de papis e responsabilidades, inclusive da direo, seleo de pessoal, termos e condies de contratao, conscientizao, educao e treinamento em segurana da informao, e processo disciplinar.

    Para os casos de encerramento ou mudana da contratao, so fornecidas diretrizes para encerramento de atividades, devoluo de ativos e retirada de direitos de acesso. Essa seo abrange contratao temporria ou de longa durao de pessoas, nomeao e mudana de funes, atribuio de contratos e encerramento de qualquer uma dessas situaes.

    4.11 Que acrdos e decises do TCU tratam, entre outros aspectos, da Segurana de recursos humanos?

    Acrdo 2023/2005 - Plenrio

    9.1.3.4. identificao dos responsveis pela guarda dos termos de compromisso assinados, alm do tempo mnimo de armazenamento desses documentos, conforme propem os itens 6.1.4 e 6.3.5 da NBR ISO/IEC 17799:2001;

    Acrdo 782/2004 - 1 Cmara

    9.2.1. adote procedimentos formais de concesso e de validao peridica de senhas de usurios de sistemas informatizados, bem como

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    49

    de cancelamento de acesso de usurios que so desligados da unidade;

    9.2.4. e 9.3.4. adote um programa de treinamento especfico para a rea de segurana de sistemas, enfocando aspectos de segurana fsica e lgica, bem assim a reao dos funcionrios frente ocorrncia de contingncias que possam afetar a continuidade dos servios;

    Deciso 1098/2002 - Plenrio

    8.2.6 automatizao de procedimento de cancelamento de acessos e autorizaes, no caso de mudana de situao do servidor;

    Deciso 295/2002 - Plenrio

    8.1.1 - quanto aos sistemas informatizados:

    b) reveja as habilitaes de todos os usurios do SIAPA lotados na [...], reavaliando no apenas sua permanncia na Secretaria, como tambm seu local de trabalho (gerncia) e a pertinncia dos nveis de acesso concedidos;

    d) estabelea controle sistemtico e oriente as Gerncias Regionais [...] quanto necessidade de excluso de usurios do SIAPA, no Senha-Rede, quando das suas sadas da [..];

    h) reveja as habilitaes de todos os usurios do SPIU, lotados na [...] ou no, reavaliando sua permanncia no rgo e a pertinncia dos nv