nr-08 norma de segurança da informação

LEA

NR-8 Norma de Segurança da Informação

versão 3.3 release 6

São Paulo, 16 de Março de 2010

Código e Título NR-8 Norma de Segurança da Informação

Versão versão 3.3 release 6

Data de emissão 16 de Março de 2010

Autor(es) Volnys Borges Bernal

Aprovador Gerente de Segurança

Proprietário Gerente de Segurança

Origem Interna: LEA

Destino Interno: LEA

Classificação de segurança Restrito

Controle de acesso Sem restrições

Restrição de cópia Não é permitida a cópia deste documento

LEA 2/50

Sumário Listas de Ilustrações ................................................................................................................. 5

Controle de versão ................................................................................................................... 6

1 Introdução .............................................................................................................................. 7

1.1 Objetivo ............................................................................................................................ 7

1.2 Público-alvo ..................................................................................................................... 7

1.3 Validade ........................................................................................................................... 7

2 Segurança de Pessoal ............................................................................................................. 8

2.1 Das atribuições da função ................................................................................................ 8

2.2 Do processo de admissão ................................................................................................. 9

2.3 Da conscientização, treinamento e reciclagem .............................................................. 10

2.4 Do desempenho da função e do comportamento do colaborador .................................. 11

2.5 Do processo de desligamento ......................................................................................... 11

2.6 Das responsabilidades e deveres ................................................................................... 11

3 Segurança Física e de Ambiente ......................................................................................... 14

3.1 Níveis de Segurança ....................................................................................................... 14

3.2 Controles físicos ............................................................................................................ 17

3.3 Mecanismos de emergência ........................................................................................... 18

3.4 Prevenção e proteção contra incêndio ............................................................................ 18

3.5 Destruição de ativos de informação impressos e eletrônicos ......................................... 18

3.6 Identificação pessoal e credencial de acesso físico ........................................................ 18

3.7 Controle de equipamentos .............................................................................................. 19

3.8 Ambiente operacional .................................................................................................... 20

4 Classificação e Controle dos Ativos de Informação .......................................................... 21

4.1 Classificação quanto à forma de apresentação ............................................................... 21

4.2 Classificação quanto à criticidade do ativo de informação ............................................ 21

4.3 Rótulo de ativo de informação ....................................................................................... 22

4.4 Tratamento de ativo de informação ............................................................................... 24

5 Manipulação de Ativo de Ensaio ........................................................................................ 29

5.1 Classificação quando à origem ...................................................................................... 29

5.2 Classificação quanto ao tipo do material ....................................................................... 29

5.3 Recebimento ................................................................................................................... 29

5.4 Manipulação ................................................................................................................... 30

Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito

LEA 3/50

5.5 Identificação ................................................................................................................... 30

5.6 Relação de ativos de um processo .................................................................................. 30

5.7 Armazenamento ............................................................................................................. 30

5.8 Cadeia de custódia ......................................................................................................... 31

5.9 Ensaio ............................................................................................................................. 31

5.10 Divulgação .................................................................................................................. 31

6 Uso de material criptográfico .............................................................................................. 32

6.1 Proteção de arquivos com criptografia .......................................................................... 32

6.2 Assinatura digital ........................................................................................................... 33

7 Privacidade .......................................................................................................................... 34

7.1 Uso da sessão de usuário ............................................................................................... 34

7.2 Uso de recursos computacionais .................................................................................... 34

7.3 Uso de recursos computacionais com finalidade pessoal .............................................. 34

7.4 Auditoria ........................................................................................................................ 34

7.5 Monitoração .................................................................................................................. 34

8 Utilização do ambiente computacional .............................................................................. 36

8.1 Uso do ambiente computacional .................................................................................... 36

8.2 Atividades proibidas ...................................................................................................... 37

8.3 Negação de responsabilização pelo uso da Internet ....................................................... 37

8.4 Utilização de correio eletrônico ..................................................................................... 37

8.5 Outros sistemas de comunicação ................................................................................... 39

8.6 Senhas ............................................................................................................................ 39

8.7 Sessão de uso aberta com usuário ausente ..................................................................... 40

8.8 Uso de software, dispositivos e equipamentos ............................................................... 40

8.9 Notificação sobre mau funcionamento .......................................................................... 40

8.10 Notificação de incidente .............................................................................................. 40

8.11 Treinamento para uso do ambiente computacional ...................................................... 41

9 Controles para o ambiente computacional ........................................................................ 42

9.1 Controle de Ativos ......................................................................................................... 42

9.2 Gerenciamento de identidade de usuários ...................................................................... 42

9.3 Compartilhamento de identidade de usuário .................................................................. 44

9.4 Controle de acesso aos recursos computacionais ........................................................... 44

9.5 Controles automatizados ................................................................................................ 44

9.6 Acessos Externos .......................................................................................................... 45 Título Versão Data de emissão Classificação de segurança

NR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito

LEA 4/50

9.7 Sincronização de tempo ................................................................................................. 46

9.8 Registros (logs) .............................................................................................................. 46

9.9 Segregação de redes ....................................................................................................... 47

9.10 Tecnologias móveis ...................................................................................................... 47

10 Investigação de Infração e Penalidades ........................................................................... 48

10.1 Infração ........................................................................................................................ 48

10.2 Investigação interna ..................................................................................................... 48

10.3 Das Penalidades ........................................................................................................... 48

10.4 Responsabilização ........................................................................................................ 49

Referências Bibliográficas ..................................................................................................... 50


LEA 5/50

Listas de Ilustrações

Lista de FigurasFigura 1 – Aninhamento dos Níveis de Segurança...................................................................15

Lista de TabelasTabela 1 – Definição dos Níveis de Segurança.........................................................................14

Tabela 2 – Rótulo de Classificação de Informação...................................................................22

Tabela 3 – Componentes de Rotulagem da Informação...........................................................23

Tabela 4 – Obrigatoriedade de Rótulo de Classificação da Informação...................................23

Tabela 5 – Definição do valor dos parâmetros de senhas.........................................................44


LEA 6/50

Controle de versão

Versão Data Responsável Alterações

2.0.r.1 14/06/2005 Volnys Primeira versão da política de segurança.3.0.r.8 01/02/2006 Volnys Alteração de alguns controles físicos.3.1.r.4 01/06/2006 Volnys Alteração do capítulo “Ambiente

Computacional” separando em dois, um voltado

para o usuário e outro para a equipe de

segurança.

Adequação de alguns controles físicos.3.2.r.4 Volnys Classificação da informação: alteração do termo

“interno” para “restrito”;

Alteração de requisitos de aninhamento de

níveis de segurança para compatibilizar

restrições do ambiente físico.

Alteração do termo “remoção de usuário” para

“bloqueio de usuário”.

Supressão de subseções relacionadas ao

gerenciamento do ciclo de vida dos usuáros

devido à redundância com o “Procedimento de

gerenciamento do ciclo de vida dos usuários”Renata Adequação dos nomes de cargos;

Alteração dos tempos verbais;

Mudança do termo “prestador de serviços” para

“colaborador”;


LEA 7/50

1 Introdução

1.1 Objetivo

Este documento tem o objetivo de garantir a preservação e segurança da informação durante

as atividades do LEA. As normas devem ser aplicadas nas áreas internas e no trânsito de ativo

de ensaio ou ativo de informação com entidades externas. Sugestões e comentários sobre a

Norma de Segurança da Informação podem ser encaminhados para [email protected].

1.2 Público-alvo

Este documento é direcionado a todos os colaboradores e às pessoas que transitam nas

instalações do LEA. Pessoas não vinculadas devem sempre transitar acompanhadas por um

colaborador e serem informadas das restrições definidas pela Norma de Segurança da

Informação.

1.3 Validade

Esta norma entra em vigor em 1 de junho de 2006 e possui validade indefinida. Pode ser

substituída por uma versão atualizada a qualquer momento. Nesta situação, esta norma torna-

se nula. O leitor deve sempre verificar qual a versão da norma vigente.


LEA 8/50

2 Segurança de Pessoal

Esta seção descreve os controles de segurança dos colaboradores e tem o objetivo de:

1. Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude ou uso

não apropriado dos ativos do LEA.

2. Prevenir e neutralizar as ações sobre as pessoas que possam comprometer a segurança

do LEA.

3. Orientar e capacitar todo colaborador envolvido na realização de trabalhos

relacionados ao LEA, além de colaboradores que desempenham funções de apoio,

como a manutenção das instalações físicas.

4. Adotar medidas de proteção compatíveis com a natureza da função que desempenham.

5. Orientar o processo de avaliação de todo colaborador do LEA, mesmo em caso de

funções desempenhadas por colaboradores terceirizados.

2.1 Das atribuições da função

2.1.1 Atribuições de cada função

As atribuições de cada função devem ser claramente relacionadas de acordo com a

característica da atividade, com objetivo de determinar o grupo (perfil) de usuário de TI

necessário do colaborador considerando-se:

a. A descrição sumária das tarefas inerentes à função.

b. As necessidades de acesso às informações sensíveis.

c. O grau de sensibilidade do setor onde a função é exercida.

d. As necessidades de contato de serviço interno e/ou externo.

e. As características de responsabilidade, decisão e iniciativa inerente à função.

f. A qualificação técnica necessária ao desempenho da função.

2.1.2 Estagiários

O LEA não admite estagiários no exercício de atividades diretamente relacionadas aos

processos de ensaios.


LEA 9/50

2.1.3 Colaboradores terceirizados

O LEA não admite colaboradores terceirizados no exercício de atividades relacionadas aos

processos de ensaios.

2.2 Do processo de admissão

2.2.1 Processo seletivo

Devem ser adotados critérios rígidos para o processo seletivo de candidatos com o objetivo de

selecionar para os quadros do LEA pessoas reconhecidamente idôneas e sem antecedentes que

possam comprometer a segurança ou credibilidade do LEA.

2.2.2 Levantamento de dados pessoais

Deve ser elaborada uma pesquisa do histórico da vida pública do candidato, com o objetivo de

levantamento de seu perfil.

2.2.3 Procedimento de verificação de antecedentes

Com o propósito de resguardar a segurança e a credibilidade da entidade, todo colaborador

envolvido em atividades diretamente relacionadas aos ensaios deve ser submetido a:

a. Verificação de antecedentes criminais.

b. Verificação de situação de crédito.

c. Verificação de histórico de empregos anteriores.

d. Comprovação de escolaridade.

e. Comprovação de residência.

2.2.4 Entrevista de admissão

Durante a pesquisa para a admissão, a entrevista deve ser realizada por profissional

qualificado, com o propósito de confirmar e/ou identificar dados não-detectados ou não-

confirmados.

2.2.5 Entrevista inicial

Na entrevista inicial devem ser avaliadas as características de interesse e motivação do

candidato, sendo que as informações veiculadas na entrevista do candidato só devem ser

aquelas de caráter público.


LEA 10/50

2.2.6 Termos de compromisso

A gerência de recursos humanos deve garantir que todos os colaboradores do LEA

encarregados de tarefas operacionais terão registrado em contrato ou termo de

responsabilidade os seguintes compromissos:

a. Compromisso de sigilo, mesmo quando desligado, sobre todos os ativos de

informação e de processos do LEA.

b. Ciência das condições do perfil que ocuparão.

c. Compromisso de observar a Norma de Segurança da Informação.

2.3 Da conscientização, treinamento e reciclagem

2.3.1 Conscientização e treinamento

Devem ser definidos procedimentos para atividades de conscientização, treinamento e

reciclagem para os colaboradores. Estes procedimentos devem estar relacionados à:

a. Norma de Segurança da Informação, com o propósito de desenvolver e manter uma

efetiva conscientização de segurança, além de instruir o seu fiel cumprimento.

b. Utilização de certificação digital.

c. Sua função incluindo atividades sob sua responsabilidade.

d. Código de ética.

e. Foco e objetivos.

2.3.2 Reciclagem técnica

Todos os colaboradores envolvidos em atividades diretamente relacionadas aos processos de

ensaio devem ser mantidos atualizados sobre eventuais mudanças tecnológicas nos sistemas.

2.3.3 Divulgação das Normas e Procedimentos

As gerências imediatas devem assegurar que todos os colaboradores tenham conhecimento e

compreensão das normas e procedimentos de segurança em vigor.


LEA 11/50

2.4 Do desempenho da função e do comportamento do colaborador

2.4.1 Desempenho da função

Deve ser definido processo para acompanhar o desempenho e avaliar periodicamente os

colaboradores com o propósito de detectar a necessidade de atualização técnica e de

segurança.

2.4.2 Comportamento do colaborador

Deve ser realizado um processo de avaliação de desempenho da função que documente a

observação do comportamento pessoal e funcional dos colaboradores, realizada pela gerência.

Deve ser motivo de registro atos, atitudes e comportamentos positivos e negativos relevantes,

verificados durante o exercício profissional do colaborador. Os comportamentos

incompatíveis, ou que possam gerar comprometimento à segurança, devem ser averiguados e

comunicados à gerência imediata.

2.5 Do processo de desligamento

2.5.1 Entrevista de desligamento

Deve ser realizada uma entrevista de desligamento para orientar o colaborador ou servidor

sobre sua responsabilidade na manutenção do sigilo de dados e/ou conhecimentos sigilosos de

sistemas críticos aos quais teve acesso durante sua permanência na entidade.

2.5.2 Revogação de acesso

No momento do desligamento de um colaborador, devem ser revogadas sua credencial, sua

identificação, seu crachá, o uso de equipamentos, mecanismos e acessos físicos e lógicos.

2.5.3 Processo de liberação

O colaborador ou servidor deve firmar, antes do desligamento, declaração de que não possui

qualquer tipo de pendência junto às diversas unidades que compõem a entidade.

2.5.4 Acesso

O acesso de ex-colaboradores às instalações será restrito às áreas de acesso público.

2.6 Das responsabilidades e deveres

2.6.1 Responsabilidades e deveres dos colaboradores

Os colaboradores devem:Título Versão Data de emissão Classificação de segurança


LEA 12/50

a. Preservar a integridade e guardar sigilo das informações de que fazem uso, além de

zelar e proteger os respectivos recursos de processamento de informações.

b. Cumprir a norma de segurança, sob pena de incorrer nas sanções disciplinares e legais

cabíveis.

c. Utilizar os ativos de informação e os recursos somente para os fins previstos.

d. Cumprir as regras específicas de segurança estabelecidas para a manipulação dos

ativos de informação.

e. Manter o caráter sigiloso da senha de acesso aos recursos.

f. Não compartilhar, sob qualquer forma, informações confidenciais com outros que não

tenham a devida autorização de acesso.

g. Responder por todo e qualquer acesso aos recursos, além dos efeitos desses acessos

efetivados através do seu código de identificação, ou outro atributo para esse fim

utilizado.

h. Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de

computador ou qualquer outro material, em violação à legislação de propriedade

intelectual pertinente.

i. Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou

desvio.

2.6.2 Responsabilidade e deveres das gerências

A responsabilidade das gerências compreende, dentre outras, às seguintes atividades:

a. Gerenciar o cumprimento da Norma de Segurança da Informação, por parte de seus

colaboradores.

b. Identificar os desvios praticados e adotar as medidas corretivas apropriadas.

c. Impedir o acesso de colaboradores desligados aos ativos de informações, utilizando-se

dos mecanismos de desligamento contemplados pelo respectivo plano de desligamento

dos colaboradores.

d. Proteger, em nível físico e lógico, os ativos de informação e de processamento

relacionados à sua área de atuação.


LEA 13/50

e. Garantir que o colaborador, sob sua supervisão, compreenda e desempenhe a

obrigação de proteger a informação das entidades.

f. Comunicar formalmente à unidade que efetua a concessão de privilégios aos usuários

de TI, quais os colaboradores, sob sua supervisão, que podem acessar as informações

das entidades.

g. Comunicar formalmente à unidade que efetua a concessão de privilégios aos usuários

de TI, quais os colaboradores demitidos ou transferidos, para exclusão no cadastro dos

usuários.

h. Comunicar formalmente à unidade que efetua a concessão de privilégios aos usuários

de TI, aqueles que estejam respondendo aos processos, sindicâncias ou que estejam

licenciados, para inabilitação no cadastro dos usuários.

2.6.3 Responsabilidades e deveres da gerência de segurança

São responsabilidades da gerência de segurança:

a) Realizar o gerenciamento da segurança da informação. O gerenciamento da

segurança da informação compreende as seguintes atividades:

• Coordenar atividades de conscientização e treinamento a respeito da Norma de

Segurança da Informação.

• Coordenar o Comitê responsável pela elaboração e atualização da Norma de

Segurança da Informação e o plano de continuidade de negócios.

• Auxiliar a área de infraestrutura no direcionamento da implantação dos controles

de segurança no ambiente de TI e infraestrutura física.

• Avaliar os controles de segurança implantados pela área de infraestrutura.

• Avaliar a aplicação da norma de segurança nos processos.

• Avaliar o cumprimento da norma de segurança nas dependências.

b) Definir os privilégios de acessos aos recursos.

2.6.4 Responsabilidades dos colaboradores

Devem ser previstas no contrato, cláusulas que contemplem a responsabilidade dos

colaboradores no cumprimento da Norma de Segurança da Informação.


LEA 14/50

3 Segurança Física e de Ambiente

Esta seção descreve os controles de segurança física e de ambiente requeridos nas

dependências do LEA.

3.1 Níveis de Segurança

De acordo com a finalidade e o tipo das atividades realizadas, variam os requisitos de

segurança e consequentemente, mudam os controles de segurança necessários para o ambiente

físico.

O conceito de níveis de segurança do ambiente físico possibilita compatibilizar os requisitos

de segurança exigidos para cada tipo de atividade realizada. Para cada nível de segurança são

definidos os controles mínimo que devem ser atendidos em cada ambiente físico.

3.1.1 Níveis de Segurança

O ambiente físico é dividido em áreas físicas claramente delimitadas e associadas aos níveis

de segurança físicos. Cada nível de segurança físico possui requisitos de segurança

específicos, detalhados nas seções a seguir.

O LEA define cinco níveis de segurança, resumidos na Tabela 1.

Tabela 1 – Definição dos Níveis de Segurança.Nível Descrição

1 Atendimento2 Operação 3 Sensível (CPD e Ensaios)4 Depósito5 Depósito individual

3.1.2 Aninhamento dos Níveis de Segurança

Os níveis de segurança devem ter seus pontos de acesso aninhados de forma que os acessos a

cada nível exijam acesso ao nível anterior como apresentado na Figura 1.


LEA 15/50

Nível 1: Atendimento

Nível 2: Operação

Nível 3: CPD Nível 3: Ensaio

Nível 4: Depósito

Nível 5:

Depósito individual

Nível 5:

Depósito individual

Figura 1 – Aninhamento dos Níveis de Segurança.

Em algumas situações, devido a restrições físicas do ambiente, pode não ser possível o

aninhamento do nível físico 3 ao nível físico 2. Nesta situação, o controle de acesso ao nível

deve também atender aos requisitos do nível não aninhado. Além disso, deve ser realizada

uma análise de risco com eventual proposição de controles adicionais de segurança.

As áreas físicas de cada um destes níveis de segurança devem atender a requisitos específicos

de segurança, descritos a seguir.

3.1.3 Nível 1 - Atendimento

O primeiro nível, ou nível 1, deve se situar após a primeira barreira de acesso às instalações.

Neste nível é obrigatório o porte de credencial de acesso (crachá) pelos colaboradores.

Pessoas estranhas à operação do LEA, denominadas visitantes, para entrar em uma área de

nível 1, devem ter acesso autorizado por um colaborador do LEA.

Nenhum tipo de processo operacional ou administrativo do LEA, excetuando-se recebimento

ou devolução de material de ensaio, deve ser executado neste nível.

Excetuados os casos previstos em lei, o porte de armas não será admitido no nível 1 do LEA.

3.1.4 Nível 2 – Operação

O segundo nível, ou nível 2, será interno ao primeiro. Esse será o nível mínimo de segurança

requerido para a execução de qualquer processo técnico operacional do LEA.

O porte de crachá é obrigatório para todas as pessoas presentes no nível 2. Deve existir um

registro diário dos acessos das pessoas ao nível 2 informando o horário de entrada e o horário

final de saída.

O acesso de pessoas ao segundo nível deve ser restrito por uma porta com tranca.

Colaboradores do LEA devem ter direito de acesso ao nível 2. Porém, pessoas que não fazem

parte do conjunto de colaboradores do LEA, denominadas visitantes, podem ter permissão de


LEA 16/50

acesso concedida por um colaborador do LEA. Neste caso, deve ser fornecido um crachá de

identificação para o visitante.

Neste nível, equipamentos de gravação, fotografia, vídeo, som ou similares, bem como

computadores portáteis, devem ter sua entrada controlada e somente podem ser utilizados

mediante autorização e supervisão.

3.1.5 Nível 3 – Sensível

No terceiro nível, ou nível 3, interior ao segundo, é onde devem ocorrer as atividades

especialmente sensíveis da operação do LEA.

O acesso de pessoas ao nível 3 deve ser restrito por uma porta com tranca e colaboradores do

LEA que necessitem realizar atividades nestas áreas devem ter direito de acesso a este nível.

O acesso e permanência de outra pessoa neste nível é permitido somente quando autorizada e

acompanhada por um colaborador com direito de acesso. Além disso, deve ser registrado cada

acesso de cada pessoa ao nível 3.

Todos os materiais inseridos e removidos do ambiente nível 3 também devem ser registrados.

Telefones celulares, tokens, mídias de armazenamento, notebook, PDA, bem como outros

equipamentos portáteis de comunicação e componentes sem-fio (wireless), exceto aqueles

exigidos para a operação do LEA, não são admitidos no nível 3.

Devem existir, no mínimo, duas áreas nível 3:

• Centro de processamento de dados (CPD).

• Laboratório de ensaios.

3.1.5.1 Centro de Processamento de Dados

O Centro de Processamento de Dados (CPD) deve acomodar equipamentos como:

• Equipamentos de rede (firewall, roteadores, switches e servidores).

• Servidores do LEA (arquivos, correio eletrônico, etc.).

• Servidores de sistemas de segurança.

Somente pessoas que necessitem realizar atividades de instalação, suporte ou manutenção de

servidores, equipamentos e sistemas devem ter permissão de acesso a este nível. Pessoas que

não possuem permissão de acesso não podem permanecer nesse nível se não estiverem

acompanhadas por pessoas autorizadas.


LEA 17/50

3.1.5.2 Laboratório de Ensaios

Nenhum ativo de ensaio deve ser retirado do nível 3, exceto no momento de sua devolução ou

para condução de ensaio em laboratório externo. Todos os sistemas e equipamentos

necessários a estas atividades devem estar localizados neste nível.

3.1.6 Nível 4 – Sala Depósito

O quarto nível, ou nível 4, interior ao nível 3, se refere a uma sala, um cofre ou um gabinete

reforçado trancado. Ativos físicos de ensaio e ativos eletrônicos de ensaio armazenados em

mídia removível devem ser guardados em ambiente de nível 4 ou superior. Para garantir a

segurança do material armazenado, a sala, o cofre ou o gabinete devem possuir tranca com

chave.

O nível 4 deve possuir os mesmos controles de acesso do nível 3 a cada acesso ao ambiente.

Deve existir um livro de acesso no qual deve ser registrado o motivo do acesso ao nível.

3.1.7 Nível 5 – Depósito Individual

O quinto nível, ou nível 5, interior ao ambiente de nível 4, pode ser composto de dois tipos de

depósitos, de acordo com o tipo de ativo armazenado:

(a) Depósito físico: deve consistir de pequenos depósitos localizados no interior do

nível 4. Cada um desses depósitos deve dispor de fechadura individual. Deve existir

um livro-ata de custódia de material, individual para cada depósito, no qual devem

constar os itens retirados ou devolvidos e o motivo da transferência.

(b) Depósito eletrônico: deve consistir de uma hierarquia de diretórios ou arquivos

individuais protegidos com criptografia (envelope digital). O servidor que hospeda

estes depósitos deve estar localizado em um ambiente nível 3. Associado a cada

depósito eletrônico deve existir um livro de acesso ao material, no qual devem constar

os itens acessados e o motivo do acesso.

3.2 Controles físicos

3.2.1 Localização dos sistemas de segurança

O servidor dos sistemas de segurança e equipamentos correlatos devem estar localizados em

ambiente de nível 3.


LEA 18/50

3.3 Mecanismos de emergência

Controles específicos devem ser implantados pelo LEA para garantir a segurança de seus

colaboradores e de seus equipamentos em situações de emergência. Esses controles devem

permitir o destravamento de portas por meio de acionamento mecânico (antipânico), para a

saída de emergência de todos os ambientes com controle de acesso. A saída efetuada por meio

desses mecanismos deve acionar imediatamente os alarmes de abertura de portas.

O LEA pode especificar e implantar outros controles de emergência, específicos e necessários

para cada tipo de instalação. Todos os procedimentos referentes aos controles de emergência

devem ser documentados e divulgados. Os controles e procedimentos de emergência devem

ser verificados anualmente, por meio de simulação de situações de emergência.

3.4 Prevenção e proteção contra incêndio

Os sistemas de prevenção contra incêndios, internos aos ambientes, devem possibilitar

alarmes preventivos antes de ocorrer fumaça visível, disparados somente com a presença de

partículas que caracterizam o sobreaquecimento de materiais elétricos e outros materiais

combustíveis presentes nas instalações.

Nas instalações do LEA não é permitido fumar ou portar objetos que produzam fogo ou

faísca.

3.5 Destruição de ativos de informação impressos e eletrônicos

Todos os dispositivos eletrônicos não mais utilizáveis e que tenham sido anteriormente

utilizados para o armazenamento de informações sensíveis, devem ser fisicamente destruídos

antes de serem descartados, além de meios impressos que contenham informações do mesmo

gênero.

3.6 Identificação pessoal e credencial de acesso físico

O LEA deve adotar um sistema de identificação pessoal (crachá) que incorpore

funcionalidades de credencial de acesso físico.

3.6.1 Tipos de crachás

Devem existir, no mínimo, dois tipos de credenciais:

• Colaborador do LEA.

• Visitante.


LEA 19/50

3.6.2 Emissão de crachá

A emissão de crachá de colaborador deve ser autorizada pela gerência de recursos humanos,

de acordo com o cargo e/ou a função a ser desempenhada. A emissão de crachá de visitante

deve ser autorizada por um colaborador do LEA.

3.6.3 Validade

A validade dos crachás dos colaboradores será igualmente equivalente à validade de sua

contratação. Sendo assim, caso o contrato seja cancelado ou invalidado por qualquer motivo

legal, o crachá perde imediatamente a validade. O crachá de visitante tem validade limitada ao

horário de expediente do LEA.

3.6.4 Informações constantes no crachá

O crachá de colaborador do LEA deve conter a foto do colaborador, seu nome completo, sua

categoria funcional e os níveis de segurança os quais possui direito de acesso. O crachá de

visitante deve informar o nome completo da pessoa e a entidade a qual está representando. Os

visitantes não possuem direitos de acesso às instalações do LEA. Portanto, devem seguir as

restrições definidas nos níveis de segurança.

3.6.5 Destruição

Crachás ou qualquer outro dispositivo de identificação que sejam intransferíveis tecnicamente

devem ser destruídos no caso de desligamento ou mau funcionamento. Dispositivos passíveis

de reprogramações devem ter seus conteúdos apagados na totalidade para reprogramação

posterior.

3.7 Controle de equipamentos

3.7.1 Manutenção de equipamento

O equipamento do LEA que necessitar de manutenção por um profissional externo ao LEA

deve, antes de ser disponibilizado, atender aos controles descritos a seguir.

3.7.1.1 Salvaguarda do conteúdo

Os dados sensíveis contidos no ativo devem ser transferidos para um local seguro e os

resquícios remanescentes no ativo devem ser destruídos com segurança, garantindo que

pessoas não autorizadas tenham acesso a eles.


LEA 20/50

3.7.1.2 Troca de senhas

Sempre que possível, devem ser reiniciadas as senhas de monitor e senha de administrador.

3.7.1.3 Divulgação de senhas

Caso seja necessário divulgar a senha de um equipamento (de monitor ou de administrador)

deve ser assegurado que não existam outros equipamentos configurados com a mesma senha.

3.7.2 Descarte de equipamentos

Todo e qualquer equipamento que seja enviado para descarte deve passar por uma última

análise para constatar e documentar os motivos e o estado. Deve haver uma verificação no

conteúdo do equipamento para garantir que informações sensíveis sejam devidamente

asseguradas e posteriormente destruídas de forma irreversível.

3.8 Ambiente operacional

3.8.1 Fornecimento de energia

Devem ser providenciados recursos ou mecanismos para garantir a continuidade do

fornecimento de energia nas áreas críticas, mantendo os ativos críticos de informação em

funcionamento até que todos os processos e dados sejam assegurados caso o fornecimento de

emergência se esgote.

3.8.2 Mecanismos de controle climático

Nos locais dos ativos críticos mais sensíveis, como ambiente de servidores, devem existir

sistemas de controle ambiental para evitar problemas de umidade, temperatura, iluminação e

oscilação na corrente elétrica.


LEA 21/50

4 Classificação e Controle dos Ativos de Informação

4.1 Classificação quanto à forma de apresentação

Um ativo de informação pode ser classificado, quanto à forma de apresentação, em:

• Eletrônico;

• impresso;

• falado.

4.2 Classificação quanto à criticidade do ativo de informação

Um ativo de informação deve ser classificado, quanto ao tipo, em:

• Público: qualquer ativo de informação, de propriedade do LEA ou não, que pode vir

ao público sem consequências danosas ao funcionamento normal. Pode ser acessado

por qualquer pessoa, interna ou externa ao LEA. Integridade da informação não é

vital.

• Pessoal: qualquer ativo de informação relacionado à informação pessoal. Por

exemplo: mensagem pessoal de correio eletrônico, arquivo pessoal, dados pessoais,

etc.

• Restrita: qualquer ativo de informação, de propriedade do LEA ou não, que não seja

considerado público. Ativo de informação relacionado às atividades do LEA que é

direcionado estritamente para uso interno. A divulgação não autorizada do ativo de

informação pode causar impacto à imagem do LEA. Por exemplo: código-fonte de

programa, cronograma de atividades, atas de reuniões, etc.

• Confidencial: qualquer ativo de informação que seja crítico para as atividades do

LEA em relação ao sigilo e integridade. A divulgação não autorizada do ativo de

informação pode causar grande impacto à imagem e às atividades do LEA. Cada

unidade do LEA deve definir quais ativos de informação devem ser classificados

como confidencial. Qualquer material e informação recebida para ensaio, assim como

qualquer resultado do ensaio (como relatório) deve ser considerado confidencial.


LEA 22/50

4.3 Rótulo de ativo de informação

Todo ativo de informação classificado como pessoal, restrito ou confidencial, quando

apresentado de forma impressa ou eletrônica, deve ser rotulado.

4.3.1 Informações presentes no rótulo:

O rótulo de ativo de informação deve conter as seguintes informações:

• Título: título do ativo de informação.

• Versão: versão do ativo de informação.

• Data de emissão: data da última emissão do ativo de informação. Para os ativos de

informação nas fases de desenvolvimento ou minuta, deve constar a data da última

modificação.

• Classificação de segurança: público, pessoal, restrito ou confidencial, confome Tabela

2;

Tabela 2 – Rótulo de Classificação de Informação.Classificação Rótulo de classificação Público LEA:PUBLICOPessoal LEA:PESSOALRestrito LEA:RESTRITOConfidencial LEA:CONFIDENCIAL

• Autor(es): identificação dos autores do ativo de informação.

• Identificação do proprietário: papel da pessoa, departamento ou entidade proprietária

da informação. Quando for documento de entidade externa deve ser informada qual a

entidade proprietária ou entidade que disponibilizou a informação.

• Identificação do aprovador: pessoa responsável pela aprovação do documento.

Necessária somente para os ativos de informação do tipo documento (diretriz, norma,

procedimento, ...).

• Autorizações de acesso: conjunto de pessoas ou entidades que podem ter acesso ao

ativo de informação.

• Restrições de cópia: devem ser informadas eventuais restrições em relação à cópia

eletrônica, cópia física ou impressão do documento.


LEA 23/50

4.3.2 Componentes de rotulagem

Para possibilitar a aplicação de controles de segurança associados à classificação da

informação, os componentes de rotulagem relacionados na Tabela 3, devem estar presentes

em diferentes locais, dependendo do formato de apresentação.

Tabela 3 – Componentes de Rotulagem da Informação.

Componente de rotulagem

Descrição

Página de rosto Página de rosto contendo título, versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.

Rodapé Rodapé presente em todas as páginas, exceto na página de rosto, contendo título, versão, data e classificação do ativo da informação.

Rótulo em mídia Rótulo em mídia de armazenamento removível contendo título da mídia, título do conteúdo, versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.

Rótulo em invólucro Rótulo em mídia de armazenamento removível contendo título da mídia, título do conteúdo, versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.

4.3.3 Obrigatoriedade do rótulo

A Tabela 4 apresenta as condições de obrigatoriedade dos rótulos de classificação.

Tabela 4 – Obrigatoriedade de Rótulo de Classificação da Informação.Classificação Obrigatoriedade Componentes obrigatóriosPúblico OpcionalPessoal OpcionalRestrito Obrigatório Página de rosto e rodapé (*) ou

Rótulo em mídia ou

Rótulo em invólucroConfidencial obrigatório Página de rosto e rodapé (*) ou

Rótulo em mídia ou

Rótulo em invólucro (*) Quando o ativo de informação for gerado por entidade externa o requisito de componente

de rótulo em rodapé, não é aplicável.


LEA 24/50

Quando um ativo de informação impresso for gerado por uma entidade externa deve ser

adicionado à “página de rosto”.

Quando um ativo de informação eletrônico for gerado por uma entidade externa e quando

armazenado em mídia não removível, deve ser gerada uma página de rosto e armazenada

próximo ao ativo.

Quando não for possível aplicar o rótulo do documento original eletrônico armazenado em

uma mídia removível deve ser aplicado, se possível, o rótulo na mídia de armazenamento.

Caso não seja possível, a mídia deve ser armazenada em um invólucro que possibilite a sua

rotulagem.

4.3.4 Alteração do rótulo de classificação

Sempre que necessário, o proprietário da informação deve alterar o rótulo de classificação da

informação com objetivo de adequá-la às novas necessidades:

• Novas entidades de acesso (inclusão ou exclusão);

• reclassificação;

• proprietário da Informação.

4.4 Tratamento de ativo de informação

De acordo com a classificação aplicada ao ativo de informação podem existir restrições à sua

manipulação, relacionadas às seguintes operações:

• Acesso;

• proteção;

• armazenamento;

• transmissão;

• cópia;

• impressão;

• destruição.

A seguir estão descritos os requisitos que devem ser aplicados aos ativos de informação, de

acordo com sua classificação.


LEA 25/50

4.4.1 Ativo de informação pública

4.4.1.1 Acesso

Qualquer entidade pode ter acesso a um ativo de informação pública.

4.4.1.2 Proteção

Um ativo de informação pública no formato eletrônico não deve ser protegido com

criptografia nas dependências do LEA. É opcional o uso de outros controles de segurança aos

ativos de informação pública.

4.4.1.3 Cópia

Deve ser verificado se existe “restrição de cópia” aplicável ao ativo de informação antes de

ser realizada a sua cópia.

4.4.1.4 Impressão

Deve ser verificado se existe “restrição de cópia” aplicável ao ativo de informação antes de

ser realizada a sua impressão.

4.4.2 Ativo de informação pessoal

4.4.2.1 Acesso

Somente o proprietário da informação pode ter acesso a um ativo de informação pessoal. O

proprietário deve configurar os controles de acesso adequados.

4.4.2.2 Proteção

Um ativo de informação pessoal no formato eletrônico não deve ser protegido com

criptografia nas dependências do LEA. É opcional o uso de outros controles de segurança aos

ativos de informação pessoal.

4.4.2.3 Armazenamento

Um ativo de informação pessoal no formato impresso não deve ser armazenado no nível 3. O

LEA deve definir um local reservado para esta finalidade para cada usuário.

Para um ativo de informação pessoal no formato eletrônico, o LEA deve definir para cada

usuário, um local reservado para armazenamento de ativo de informação pessoal.


LEA 26/50

4.4.3 Ativo de informação restrito

4.4.3.1 Acesso

Somente as pessoas autorizadas, relacionadas no rótulo, podem ter acesso ao ativo de

informação. Devem ser especificados controles de acesso adequados.

4.4.3.2 Proteção

Ativo de informação restrito no formato eletrônico não pode ser protegido com criptografia

nas dependências do LEA. Ativo de informação no formato impresso deve ser armazenado

com controles de segurança adequados.

4.4.3.3 Transmissão para entidades externas

Ativo de informação restrito não pode sair das dependências do LEA sem autorização do

proprietário da informação.

4.4.3.4 Destruição

Um ativo de informação no formato impresso deve ser destruído, obrigatoriamente, em

picotadora.

4.4.3.5 Cópia

Cópia de ativo de informação restrito deve seguir as restrições descritas no rótulo de

classificação do ativo de informação.

4.4.3.6 Impressão

A impressão de ativo de informação restrito deve seguir as restrições relacionadas à cópia

descritas no rótulo de classificação do ativo de informação.

4.4.4 Ativo de informação confidencial

4.4.4.1 Acesso

Somente uma entidade autorizada que esteja relacionada no rótulo, pode ter acesso a um ativo

de informação confidencial.


LEA 27/50

4.4.4.2 Proteção

Um ativo de informação confidencial no formato eletrônico deve ser obrigatoriamente

protegido com criptografia (ver política de uso de material criptográfico). Ativo de

informação em papel deve ser armazenado em local protegido por chave.

4.4.4.3 Impressão

A impressão de ativo de informação confidencial deve seguir as restrições relacionadas à

cópia descritas no rótulo de classificação do ativo de informação.

O processo de impressão de ativo de informação confidencial deve ser acompanhado pelo

responsável pela impressão.

4.4.4.4 Transmissão para entidades externas

Ativo de informação confidencial não pode ser retirado das dependências do LEA exceto

quando forem atendidos os requisitos descritos a seguir.

O LEA deve divulgar internamente um documento contendo a relação de “Entidades

autorizadas para comunicação de ativo de informação confidencial” que deve relacionar as

entidades envolvidas e a natureza da informação trocada. Para cada uma destas entidades deve

ser mantido um contrato de sigilo relacionado à manipulação de informação confidencial.

Qualquer transmissão de ativo de informação confidencial para outra entidade não definida

previamente como entidade autorizada deve possuir contrato de sigilo e autorização por

escrito do Coordenador Geral do LEA.

A transmissão de um ativo de informação confidencial para uma entidade externa pode ser

realizada somente se a entidade estiver relacionada no rótulo do ativo, na lista de entidades

com direito de acesso.

Todo ativo de informação confidencial disponibilizado para o ambiente externo deve ser

numerado e armazenado em um repositório específico para este fim, juntamente com a

autorização por escrito e a identificação do destinatário.

A transmissão de um ativo de informação confidencial pode ser realizada somente de forma

protegida e para entidades autorizadas.

4.4.4.5 Destruição

Ativo de informação eletrônico deve ser destruído utilizando técnicas de sobreposição (wipe).

Ativo de informação em papel deve ser destruído em picotadora.


LEA 28/50

4.4.4.6 Cópia

Cópia de ativo de informação confidencial deve seguir as restrições descritas no rótulo de

classificação do ativo de informação.


LEA 29/50

5 Manipulação de Ativo de Ensaio

Ativos de ensaio são aqueles recebidos no processo de depósito de material para homologação

(incluindo módulos, dispositivos, mídias eletrônicas, documentação em papel, etc.) ou aqueles

ativos gerados internamente no LEA decorrentes do processo de ensaio e auditoria (incluindo

laudos, relatórios, resultados de ensaios, etc.).

5.1 Classificação quando à origem

Um ativo de ensaio deve ser classificado, quanto à sua origem, em:

• Ativo de ensaio depositado.

• Ativo de ensaio gerado pelo LEA.

5.2 Classificação quanto ao tipo do material

Um ativo de ensaio deve ser classificado, quanto ao tipo do material, em:

• Ativo físico

o Hardware ou Dispositivo.

o Mídia de armazenamento eletrônico.

o Documento impresso.

• Ativo eletrônico

o Documento eletrônico.

o Software.

Um ativo de ensaio no formato eletrônico deve ser depositado preferencialmente em mídias

eletrônicas do tipo “read-only” (como, por exemplo, CDROM).

5.3 Recebimento

Nenhum ativo de ensaio deve ser recebido sem passar pelo processo formal de depósito de

material para ensaio definido no Procedimento de Depósito de Material de Ensaio. O

recebimento do material deve ser acompanhado por duas pessoas do LEA não relacionadas

aos ensaios.


LEA 30/50

5.4 Manipulação

Qualquer ativo de ensaio deve ser manipulado em uma área de nível 3. Material de ensaio não

pode ser retirado de uma área de nível 3 exceto nas seguintes situações:

o Na devolução.

o Quando for necessária realização de ensaio em laboratório externo.

o Quando encaminhado ao ITI.

5.5 Identificação

Todo ativo de ensaio material deve ser identificado de forma única e discriminado

precisamente no momento de seu recebimento (no processo de depósito de material para

ensaio) ou no momento de sua geração (relatórios, laudos, resultados de ensaios, etc.).

Um ativo de ensaio depositado deve ser identificado de acordo com o definido no

Procedimento Depósito de Ativo de Ensaio.

Um ativo de ensaio gerado deve ser identificado de acordo com o definido no Procedimento

Administrativo de Elaboração de Ativo de Informação.

5.6 Relação de ativos de um processo

Associada a cada processo de ensaio deve ser mantida uma relação com a identificação e

discriminação de cada ativo de ensaio (depositado ou gerado). Esta relação deve ser

armazenada junto ao ativo de ensaio no depósito de nível 5.

5.7 Armazenamento

Todo ativo de ensaio depositado deve ser armazenado em um depósito individual de nível 5.

Deve existir um livro-ata de custódia de material, para cada depósito individual de nível 5,

relacionando cada retirada (discriminando a data, horário, nome da pessoa, finalidade da

retirada) e devolução (discriminando a data, horário, nome da pessoa e observações relativas à

preservação do item).

Um ativo de ensaio gerado do LEA pode ser armazenado em meio eletrônico removível do

tipo “read-write” para que possa ser armazenado no depósito individual eletrônico de nível 5.

Um ativo de ensaio que não esteja sendo manipulado não deve estar armazenado em outra

localidade exceto no seu depósito de nível 5.

Cuidados rígidos devem ser seguidos para eliminar qualquer vestígio de ativo de ensaio nos

equipamentos.Título Versão Data de emissão Classificação de segurança


LEA 31/50

5.8 Cadeia de custódia

Nenhum ativo de ensaio pode ter sua custódia transferida entre pessoas diretamente. O

material deve ser devolvido ao depósito individual de nível 5 e então retirado, seguindo os

procedimentos de registro.

5.9 Ensaio

Todo ensaio realizado em ambiente computacional deve:

• Garantir a integridade do sistema antes do início do ensaio.

• Durante a realização do ensaio devem ser coletadas evidências suficientes.

• Depois de encerrado o ensaio devem ser eliminados todos os seus vestígios.

A realização do ensaio deve atender aos requisitos definidos no Procedimento Geral de

Realização de Ensaio.

5.10 Divulgação

Qualquer informação interna a respeito de ensaios (resultados, datas, análises, etc.) somente

pode ser divulgada ao ITI. Esta comunicação deve ser realizada pelo Coordenador Geral do

LEA ou pessoa delegada por ele.

Toda comunicação de ativo de ensaio de informação no formato eletrônico com o ITI deve ser

assinada digitalmente.


LEA 32/50

6 Uso de material criptográfico

O uso de material criptográfico para finalidade de sigilo e assinatura digital, nas dependências

do LEA, para uso interno ou para comunicação com entidades externas, é normalizado.

6.1 Proteção de arquivos com criptografia

6.1.1 Condições para uso de criptografia

Todo ativo de informação confidencial deve ser protegido com criptografia sempre que

precisar ficar armazenado em computadores. Os destinatários devem ser somente

colaboradores do LEA.

Somente ativos de informação classificados como confidencial devem ser protegidos com

criptografia. Ativos de informação não classificados como confidencial não devem ser

protegidos com criptografia.

6.1.2 Formato de conteúdo criptografado

Os ativos de informação que precisem de proteção com criptografia devem utilizar o formato

de envelope digital. Deve ser utilizado o formato CMS (Criptographic Message Syntaxe)

envelopedData.

Não deve ser utilizada criptografia simétrica diretamente, ou seja, não deve ser utilizado o

formato CMS encriptedDat.

6.1.3 Certificado digital

O envelope digital deve ser realizado utilizando-se certificados digitais ICP-Brasil de sigilo

(S1, S2, S3 ou S4).

6.1.4 Chave de recuperação do LEA

Um ativo de informação confidencial deve, obrigatoriamente, ser também protegido com a

chave pública de recuperação do LEA.

A chave pública de recuperação do LEA é um par de chaves assimétrico especialmente

gerado para esta finalidade associado a um certificado ICP-Brasil de sigilo (S1, S2 S3 ou S4).

O LEA deve gerar um par de chaves de sigilo para recuperação de informação criptografada

cujo certificado digital deve ser disponibilizado de forma pública nas dependências do LEA.

Este par de chaves deve ser utilizado somente em casos de recuperação em situações


LEA 33/50

excepcionais e autorizadas. São as seguintes situações previstas: medida judicial, auditoria do

sistema, impossibilidade de recuperação da informação por perda da chave privada ou

impossibilidade do usuário utilizá-la. O proprietário da chave de recuperação deve ser um

membro do corpo gerencial do LEA que deve guardá-la em um cofre do LEA, cuja chave de

tranca deve ficar de posse do Gerente de infraestrutura.

6.2 Assinatura digital

6.2.1 Certificado digital

A assinatura digital deve ser realizada utilizando-se certificados digitais ICP-Brasil de

assinatura (A1, A2, A3 ou A4).

6.2.2 Formato da assinatura digital

Os ativos de informação que necessitem de assinatura digital devem utilizar o formato CMS

signedData attached. Deve ser anexada toda a cadeia de certificação ao documento assinado

digitalmente. Sempre deve ser incluída a estampilha temporal (RFC 3161) emitida por

autoridade autorizada pelo Observatório Nacional.


LEA 34/50

7 Privacidade

7.1 Uso da sessão de usuário

A sessão de usuário é disponibilizada ao colaborador para auxiliá-lo no desenvolvimento de

suas atividades.

7.2 Uso de recursos computacionais

Os recursos computacionais (como computadores, servidores, sistemas, impressoras, dentre

outros) serão disponibilizados aos colaboradores para auxiliá-los no desenvolvimento de suas

atividades. O ambiente computacional pertence ao LEA e deve ser utilizado somente para

tarefas definidas pelo LEA.

Usuários não deve possuir qualquer expectativa de privacidade em nada que for criado,

armazenado, enviado ou recebido no ambiente computacional do LEA, exceto nas áreas e

sistemas devidamente autorizadas para uso pessoal.

7.3 Uso de recursos computacionais com finalidade pessoal

O uso dos recursos do LEA para finalidades pessoais (como arquivo e/ou mensagem pessoal

de correio eletrônico) é proibido, exceto nas áreas e sistemas devidamente autorizados para

esa finalidade.

Usuários devem possuir expectativa de privacidade somente nas áreas e sistemas devidamente

autorizados para uso pessoal e desde que manipulada segundo o definido na Política de

Segurança da Informação.

7.4 Auditoria

Usuários devem estar cientes de que colaboradores do LEA ou outros especificamente

autorizados para esta tarefa (como, por exemplo, colaboradores do ITI ou auditores

independentes) consultem e revisem todo material criado, armazenado, enviado ou recebido

através do ambiente computacional ou Internet. A autorização para tarefas de auditoria deve

ser do Coordenador Geral do LEA.

7.5 Monitoração

Com objetivo de garantir que os recursos computacionais sejam utilizados somente para as

finalidades autorizadas, pelos usuários autorizados e também, para garantir a segurança dos


LEA 35/50

ativos relacionados aos ensaios, o LEA pode necessitar monitorar ativos eletrônicos

(arquivos, acessos WEB, correio eletrônico de usuários) e acessos de comunicação

(comunicação local, comunicação Internet, etc.).

O LEA possui o direito, mas não o dever, de monitorar qualquer recurso do ambiente

computacional incluindo, mas não limitado à monitoração de sites visitados pelos usuários,

monitoração de grupo de chat, monitoração de material “downloaded” ou “uploaded” e

exame de mensagens de correio eletrônico enviados ou recebidos pelos usuários, exceto na

área reservada para uso pessoal. Na área reservada para uso pessoal devem ser mantidos

controles suficientes para rastreamento para determinação do usuário que estava utilizando

um recurso em caso de incidente.

Usuários devem ter ciência de que a corporação pode utilizar software automatizado para

monitorar o material criado, armazenado, enviado ou recebido através do ambiente

computacional em qualquer área do LEA.


LEA 36/50

8 Utilização do ambiente computacional

A utilização dos recursos computacionais, por parte dos usuários, incluindo a utilização de

computadores, de correio eletrônico e de acesso à Internet, pode tornar o LEA vulnerável ao

comprometimento de informações confidenciais, à ocorrência de ações de responsabilização

legal e ao aumento desnecessário da taxa de utilização dos recursos computacionais.

Como exemplo destes problemas é possível citar:

a. Utilização de software não-licenciado (software pirata).

b. Circulação de mensagens de correio eletrônico contendo piadas, pornografia, conteúdo

racista ou discriminador, difamação de terceiros e mesmo conteúdo calunioso em

relação aos colaboradores.

c. Negociação de segredos e outras informações altamente sensíveis roubadas do

ambiente computacional.

d. Utilização da Internet em atividades não relacionadas às atividades corporativas que

possam comprometer a segurança corporativa ou mesmo a perda de produtividade.

e. Armazenamento e uso de software não homologado (pirata ou não).

f. Armazenamento de material pornográfico.

g. Acesso a sites (perigosos) e instalação de software malicioso, como vírus, cavalos de

tróia, etc.

Devido a estes fatores, recomenda-se aos usuários do ambiente computacional cuidado na

utilização destes recursos. Eles devem ser utilizados de forma consciente e somente para

atividades relacionadas ao exercício funcional. Além disso, o usuário deve atentar para os

controles descritos a seguir.

8.1 Uso do ambiente computacional

O ambiente computacional é propriedade do LEA e pode ser utilizado somente para

atividades da empresa. Aos usuários é permitido acesso aos recursos computacionais

(computadores, impressoras, sistemas de comunicação, etc.) com objetivo de auxiliar no

exercício de suas atividades funcionais. O usuário tem a responsabilidade de utilizar os

recursos computacionais de maneira profissional, ética e legal. A utilização do ambiente

computacional é um privilégio que pode ser revogado a qualquer momento.Título Versão Data de emissão Classificação de segurança


LEA 37/50

8.2 Atividades proibidas

Material que seja fraudulento, racista, sexualmente explícito, profano, obsceno, intimidador,

difamatório ou qualquer outro ilegal ou inapropriado não pode ser enviado por correio

eletrônico, mostrado no monitor, ou armazenado no ambiente computacional da corporação.

Usuários que encontrem ou recebam este tipo de material devem notificar imediatamente a

equipe de incidentes de segurança da corporação (ver Seção 8.10).

8.3 Negação de responsabilização pelo uso da Internet

O LEA não é responsável pelo material visto ou obtido pelos usuários da Internet. A Internet

é uma rede mundial de computadores que contém milhões de páginas de informação.

Usuários devem estar cientes de que muitas destas páginas incluem material ofensivo, abusivo

ou inapropriado. Em geral é difícil evitar ao menos algum contato com tal material no acesso

à Internet. Mesmo as pesquisas na Internet podem levar a sites com conteúdo inadequado.

Caso seja realizado acesso a uma página WEB contendo material inadequado, o usuário deve

interromper imediatamente o acesso. Se necessário informe o incidente à equipe de segurança,

conforme definido na Seção 8.10.

8.4 Utilização de correio eletrônico

8.4.1 Correio eletrônico

A identidade de correio eletrônico será disponibilizada ao colaborador para possibilitar o

envio e recebimento de mensagens relacionadas às atividades decorrentes da função exercida.

A identidade de correio eletrônico nunca deve ser utilizada para atividades de fins pessoais.

Além disso, o usuário não deve possuir nenhuma expectativa de privacidade nas mensagens

de correio eletrônico.

8.4.2 Envio de posições pessoais por correio eletrônico

O colaborador não deve utilizar a identidade de correio eletrônico para divulgar para usuários

externos posições pessoais a respeito de um tema não relacionado às suas atividades.

8.4.3 Autorização para uso de correio eletrônico pessoal

O usuário deve requisitar autorização formal para utilização de identidade de correio

eletrônico pessoal (conta externa de correio eletrônico). A autorização, quando concedida,

deve informar as restrições de uso relacionadas ao horário, equipamento de uso e local de

armazenamento das mensagens.Título Versão Data de emissão Classificação de segurança


LEA 38/50

8.4.4 Repasse de mensagens de correio eletrônico

Usuários não devem repassar (forward) mensagens de correio eletrônico para nenhuma outra

pessoa ou entidade sem a expressa permissão do emissor.

8.4.5 Corrente de correio eletrônico

Usuários não podem iniciar ou propagar mensagens associadas a corrente de correio

eletrônico. Corrente de correio eletrônico é uma mensagem enviada para várias pessoas

requisitando que cada recipiente envie cópias com a mesma requisição para várias outras.

8.4.6 Acuracidade

O conteúdo de toda comunicação realizada deve ser acurado. Usuários devem ter o mesmo

cuidado na escrita da mensagem de correio eletrônico como qualquer outro documento

escrito.

8.4.7 Envio de mensagem de correio eletrônico não-solicitado (spam)

Sem a expressa permissão de seu superior, usuários não podem enviar mensagens de correio

eletrônico não-solicitadas a pessoas com as quais não possuam nenhum tipo de

relacionamento.

8.4.8 Alteração de identificação da origem da mensagem

A identificação do emissor da mensagem de correio eletrônico (linha “From”, ou qualquer

outro parâmetro para identificação do emissor) nunca deve ser alterada. Comunicação

anônima ou com pseudônimos é proibida.

8.4.9 Restrições no envio de informações confidenciais por correio eletrônico

A comunicação por correio eletrônico, assim como a maioria dos outros métodos de

comunicação na Internet, não é segura. Quando um usuário envia informação através de

correio eletrônico ou a torna disponível para usuários locais ou usuários externos (Internet)

existe sempre a possibilidade de que a informação possa ser vista por indivíduos não

autorizados. Assim, comunicação por correio eletrônico ou outro método equivalente da

Internet deve ser considerada método de comunicação pública.


LEA 39/50

8.4.10 Rodapé de mensagem de correio eletrônico

Este rodapé deve ser padrão em toda mensagem de correio eletrônico enviado por usuários do

LEA:

Este e-mail e todos os arquivos transmitidos em anexo são confidenciais e

direcionados somente ao indivíduo ou entidade endereçada. Se você não for o

destinatário ou a pessoa responsável por retransmitir o e-mail para o

destinatário, então possivelmente você recebeu este e-mail por engano. Nesta

situação, destrua este e-mail. Qualquer uso, disseminação, encaminhamento

(forwarding), impressão ou cópia é estritamente proibido. Se você recebeu este e-

mail por engano, por favor, notifique imediatamente a equipe de segurança do

LSI-TEC utilizando o endereço eletrônico de e-mail [email protected].

8.5 Outros sistemas de comunicação

8.5.1 Utilização de outros sistemas de comunicação

A utilização de qualquer outro sistema de comunicação eletrônica, além de correio eletrônico,

nas dependências do LEA, não é permitida exceto com autorização formal. Incluem-se nesta

classe os sistemas de mensagens instantâneas como Chat e Messenger, os sistemas de

telefonia eletrônica, como Skype, e os sistemas do tipo Peer-to-Peer para distribuição de

conteúdo.

8.5.2 Autorização para uso de outros sistemas de comunicação

O usuário deve requisitar autorização formal para utilização de outro sistema de comunicação.

A autorização, quando concedida, deve informar o sistema de comunicação e restrições de uso

relacionadas ao horário, equipamento de uso e local de armazenamento.

8.6 Senhas

8.6.1 Qualidade da senha

Os usuários devem escolher senhas de difícil descoberta, contendo, no mínimo, oito caracteres

dentre os quais, dois devem ser caracteres não-alfabéticos.

8.6.2 Periodicidade de troca de senhas

Os usuários devem trocar a senha a cada 30 trinta dias.


LEA 40/50

8.7 Sessão de uso aberta com usuário ausente

Usuários nunca devem deixar uma sessão de uso de um sistema computacional aberta em sua

ausência.

8.8 Uso de software, dispositivos e equipamentos

8.8.1 Uso de software, dispositivo e equipamento homologado

Todo software, dispositivo removível e equipamento de telecomunicação instalado ou

utilizado no ambiente computacional do LEA deve estar homologado e autorizado. A gerência

de infraestrutura deve manter e divulgar a relação dos softwares, dispositivos removíveis e

equipamentos de telecomunicação homologados.

8.8.2 Licença de uso de software

Todo software deve possuir a respectiva licença de uso. O controle das licenças de uso é de

responsabilidade da gerência de infraestrutura. A gerência de infraestrutura deve manter a

relação de licenças de uso e equipamentos nos quais estão instalados.

8.8.3 Direito de cópia de software

Parte do software, documentos e outros ativos de informação existentes no ambiente são

comprados ou adquiridos amparados por um acordo de licença de uso, sendo protegidos pela

lei de propriedade intelectual. Estes acordos ou leis restringem o direito de realizar cópias e,

em alguns casos, restringem o modo no qual o software pode ser utilizado. Não deve ser

realizada cópia de nenhum ativo licenciado ou com direito de cópia (“copyright”) do ambiente

computacional sem aprovação prévia do LEA.

8.9 Notificação sobre mau funcionamento

Qualquer mau funcionamento no ambiente deve ser notificado imediatamente à gerência de

infraestrutura utilizando o endereço de correio eletrônico [email protected].

8.10 Notificação de incidente

Qualquer suspeita de incidente deve ser notificada imediatamente à chefia de segurança

utilizando o endereço de correio eletrônico [email protected].


LEA 41/50

8.11 Treinamento para uso do ambiente computacional

O LEA deve realizar treinamento e seminários para os colaboradores em relação à utilização

apropriada dos recursos e serviços computacionais oferecidos.


LEA 42/50

9 Controles para o ambiente computacional

9.1 Controle de Ativos

9.1.1 Inventário de ativos de software

A gerência de infraestrutura deve manter o inventário dos ativos de softwares utilizados no

LEA. Além disso, deve periodicamente verificar a localização dos ativos inventariados.

9.1.2 Inventário de ativos físicos

A gerência de infraestrutura deve manter o inventário dos ativos físicos utilizados no LEA.

Além disso, deve periodicamente verificar a localização dos ativos inventariados.

9.2 Gerenciamento de identidade de usuários

O LEA deve garantir a segurança no processo de gerenciamento de identidade de usuários no

ambiente computacional. O gerenciamento de identidade de usuários relaciona-se às seguintes

atividades:

a. Gerenciamento de perfis de usuários.

b. Definição do modelo de identidade de usuário.

c. Gerenciamento do ciclo de vida de identidade de usuário.

9.2.1 Gerenciamento de perfis de usuários

Devem existir, no mínimo, os seguintes perfis (grupos) de usuários:

a. Operador de sistema.

b. Administrador de sistema.

c. Administrativo (financeiro, recursos humanos, jurídico, secretaria, apoio

administrativo).

d. Analista de ensaio.

e. Auditor.

f. Chefe de segurança.

g. Visitante.


LEA 43/50

9.2.2 Definição do modelo de identidade de usuário

9.2.2.1 Padrão de nomeação

O LEA deve definir um padrão de nomeação de identidade de usuário.

9.2.2.2 Identidade única

Cada usuário deve possuir uma única identidade para todos os sistemas do LEA.

9.2.2.3 Gerenciamento centralizado

Deve ser adotado um modelo de gerenciamento centralizado da identidade dos usuários para o

ambiente computacional do LEA.

9.2.3 Gerenciamento do ciclo de vida de identidade de usuário

O gerenciamento do ciclo de vida de identidade de usuário está relacionado às seguintes

atividades:

a. Cadastro de identidade de usuário e atribuição de perfil.

b. Alteração de atribuição de perfil para uma identidade de usuário.

c. Suspensão de identidade de usuário.

d. Bloqueio de identidade de usuário.

e. Custódia da documentação.

O LEA possui procedimentos específicos que definem os requisitos para o gerenciamento do

ciclo de vida de identidade de usuário no ambiente computacional do LEA.

A um usuário externo deve ser atribuído o perfil visitante, exceto em usuários com privilégios

específicos, como é o caso de auditores externos.

A suspensão de identidade de usuário deve ser realizada para os períodos de férias, licenças

prolongadas e punições administrativas dos colaboradores.

O bloqueio de identidade de usuário deve ser realizado sempre que um colaborador for

desligado de suas atividades. Nesta situação, a identidade do usuário não pode ser removida

do sistema pois dificultaria a interpretação de registros dos sistemas que geralmente são

baseados no “userid”. Porém, o bloqueio impede a utilização dos sistemas por parte do

usuário.


LEA 44/50

9.2.3.1 Custódia da Documentação

Todos os documentos (autorizações e fichas de cadastro) referentes ao ciclo de vida do

usuário de TI devem ser armazenados e mantidos pela área de recursos humanos.

9.3 Compartilhamento de identidade de usuário

Não é permitido o compartilhamento de identidade de usuário entre usuários. Exceção é feita

às sessões nativas do sistema (como, por exemplo, administrador) em situações nas quais não

é possível o uso de uma identidade de usuário individual. Mesmo na existência de identidade

de usuário compartilhada devem ser utilizados controles para possibilitar que os registros

(logs) gerados identifiquem o usuário efetivo que gerou o evento.

O compartilhamento de uma identidade de usuário deve ser evitado pois:

a. Impede a rastreabilidade dos acessos: não é possível precisar qual foi o usuário que

realizou tal acesso.

b. Causa problemas relacionados ao compartilhamento da senha: toda mudança de senha

deve ser informada aos outros usuários. Esta comunicação muitas vezes é realizada de

maneira insegura. Existe também a tendência de escolha de senhas triviais nesta

situação.

9.4 Controle de acesso aos recursos computacionais

9.4.1 Privilégio mínimo no acesso aos recursos

O direito de acesso aos recursos deve ser atribuído de tal forma que o usuário possua

privilégio mínimo para realização de suas atividades.

9.4.2 Direito de acesso aos recursos computacionais

O LEA deve preferencialmente utilizar um modelo de controle de acesso baseado em papel,

utilizando os perfis atribuídos às identidades de usuários em relação à definição do direito de

acesso aos recursos computacionais. Direito de acesso discreto pode ser também definido.

9.5 Controles automatizados

9.5.1 Controles automatizados associados às senhas

Se possível, devem ser configurados diretamente no sistema os seguintes controles

automatizados relacionados aos parâmetros mostrados na Tabela 5:

Tabela 5 – Definição do valor dos parâmetros de senhas.


LEA 45/50

Parâmetro Valor

Quantidade mínima de caracteres 8

Quantidade mínima de caracteres não-alfabéticos 2

Período mínimo entre troca de senha 7 dias

Período máximo entre troca de senha 30 dias

Impedir a reutilização das últimas senhas 4

9.5.2 Controles automatizados asssociados ao login

Os sistemas devem suspender a identidade de um usuário após cinco tentativas de login mal-

sucedidas.

9.5.3 Controle automatizado de inatividade

Os sistemas devem, sempre que possível, travar ou encerrar a sessão de terminal em caso de

inatividade.

9.5.4 Controle automatizado de expiração da identidade de usuário

Devem ser ativados os controles de bloqueio de identidade de usuário em relação à validade

definida para a identidade expirar.

9.6 Acessos Externos

9.6.1 Acesso de terminal remoto externo

Entende-se como “acesso de terminal remoto externo” aos acessos procedentes de qualquer

ponto externo da rede para um equipamento interno à rede que possibilite a execução de

comandos do sistema. Portanto, isto refere-se aos seguintes protocolos:

a. Acesso de terminal remoto em comando de linha: TELNET, rlogin, SSH.

b. Acesso de terminal remoto com ambiente gráfico: VNC, TerminalServices.

9.6.2 Restrição de protocolo de acesso de terminal remoto externo

Por motivos de segurança, acesso de terminal remoto que não garanta o sigilo da

comunicação, como telnet, rlogin e VNC, não devem ser utilizados. Neste sentido, devem ser

utilizados somente os protocolos que possibilitem sigilo da comunicação como SSH e

TerminalServices (com opção segura habilitada).


LEA 46/50

9.6.3 Classificação dos acessos externos

Os acessos podem ser classificados em:

a. Acesso privilegiado: aquele cujo privilégio de acesso é de administrador.

b. Acesso não privilegiado: aquele cujo privilégio de acesso é de usuário normal.

9.6.4 Acesso remoto privilegiado

Nunca deve ser permitido o acesso remoto privilegiado (com privilégio de administrador).

Acessos externos de terceiros, para manutenção, não são permitidos.

9.6.5 Ponto de controle e concentração de acesso de terminal remoto externo

Todo acesso de terminal remoto externo deve ser direcionado a um servidor especialmente

concebido para esta finalidade. Assim, existe um único ponto de concentração e controle de

acessos externos. Configurando desta maneira será possível:

a. Armazenar o registro (log) de acesso de todos os acessos externos.

b. Restringir o acesso externo somente para os usuários de TI autorizados.

9.7 Sincronização de tempo

Todos os equipamentos devem ter seu horário sincronizado com uma fonte confiável de

tempo.

9.8 Registros (logs)

9.8.1 Geração de registros

A existência de registros (logs) tem o objetivo de garantir a rastreabilidade do sistema. Para

isto, devem ser mantidos registros, principalmente de:

a. Registros de tentativas de login (sucesso e falhas).

b. Registros de acesso a serviços (WEB, correio eletrônico, etc).

c. Registros das conexões TCP e datagramas UDP em elementos de roteamento com a

Internet, quando for utilizado NAT (Network Address Translation). Apesar da

quantidade de registros gerada, estes registros são fundamentais para possibilitar a

identificação da origem da sessão de comunicação no caso de notificação de incidentes.


LEA 47/50

9.8.2 Servidor de registros

Se possível, deve ser mantido um servidor de registros (logs) com a finalidade de possibilitar

a integridade desta informação (no caso de um incidente de segurança – invasão externa – o

log local do equipamento passa a não ser confiável, pois pode ser alterado).

9.9 Segregação de redes

O ambiente computacional deve possuir redes segregadas de forma a restringir a comunicação

entre os ambientes. Devem existir no mínimo as seguintes redes segregadas:

• DMZ – Rede desmilitarizada. Deve conter os servidores com necessidade de acesso

externo da Internet como, por exemplo, servidores WEB, correio eletrônico e DNS.

• Intranet – Rede interna. Deve conter os equipamentos internos, exceto os equipamentos

utilizados no laboratório de ensaio.

• Ensaios – Deve conter somente os equipamentos do laboratório de ensaios.

9.10 Tecnologias móveis

Todo e qualquer tipo de tecnologia móvel, como celular de alta tecnologia, PDA, notebook,

pendrive, dentre outros, devem seguir os mesmos requisitos que esta norma confere aos

computadores internos.


LEA 48/50

10 Investigação de Infração e Penalidades

10.1 Infração

É denominada infração a violação de qualquer dispositivo legal ou dispositivo de alguma

política.

É considerada infração, qualquer obstrução, omissão ou má-fé por parte do colaborador que

tentar prejudicar a ação fiscalizadora.

10.2 Investigação interna

10.2.1 Comissão de investigação

Assim que uma suspeita de infração for detectada, deve ser formada uma comissão de

investigação com, no mínimo, dois componentes nomeados pelo Coordenador Geral. A

comissão de investigação deve relatar formalmente o ocorrido, notificar o(s) colaborador(es)

envolvido(s), apurar a veracidade dos fatos e consolidar todos os fatos apurados em um

relatório denominado “Relatório de Investigação”.

10.2.1.1 Direito de defesa

Ao colaborador deve ser dado, o quanto antes, conhecimento dos fatos sob investigação e

programada uma oportunidade para realização de sua defesa.

10.2.1.2 Relatório de investigação

A Comissão de Investigação, ao término da investigação, deve apresentar o “Relatório de

Investigação” ao Coordenador Geral do LEA que é responsável por tomar as medidas

cabíveis.

10.3 Das Penalidades

No caso de uma infração, o prestador de serviço estará sujeito às seguintes penalidades:

I – Advertência.

II – Suspensão.

III - Demissão ou encerramento de contrato.

As penalidades são consideradas em razão da natureza e da gravidade da infração cometida e

podem ser aplicadas isoladamente ou cumulativamente.


LEA 49/50

Compete ao Coordenador-Geral do LEA a aplicação motivada das penalidades.

10.4 Responsabilização

Além da responsabilidade ética e profissional, o colaborador de acordo com seu cargo e

atribuições, deve responder legalmente por qualquer dano causado.

A responsabilização civil do colaborador se dará por ação ou omissão, negligência ou

imprudência, comportando indenização, nos termos da lei.

A propriedade intelectual que incide sobre os programas de computador, inclusive os

chamados softwares livres, é definida nos respectivos termos de uso e contratos de licença e

os casos de violação ensejarão indenizações, além de eventual ação criminal.


LEA 50/50

Referências Bibliográficas

LABORATÓRIO DE ENSAIOS E AUDITORIA (LEA). GG-1 Glossário Geral. São Paulo.

LEA. 2009.

LABORATÓRIO DE ENSAIOS E AUDITORIA (LEA). MQ-1 Manual da Qualidade.

versão 1.0. São Paulo. LEA. 2009.

ADAMS, C.; CAIN, P.; PINKAS, D.; ZUCCHERATO, R.; RFC 3161: Internet X.509

Public Key Infrastructure Time-Stamp Protocol (TSP). August, 2001. 26p.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 11515/ NB 1334: Critérios

de segurança física relativos ao armazenamento de dados. Rio de Janeiro: ABNT, 1990.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:

Tecnologia da informação - código de prática para a gestão da segurança da informação.

Rio de Janeiro: ABNT, 2003. 56p.

COMITÊ GESTOR DA ICP-BRASIL. Resolução N° 8: Requisitos mínimos para as

declarações de práticas de certificação das autoridades certificadoras da ICP-Brasil.

Brasília: ICP-BRASIL, 2001. 36 p.

HOUSLEY, R; RFC 3852: Cryptographic Message Syntax (CMS3). July, 2004. 56p.

LABORATÓRIO DE ENSAIOS E AUDITORIA (LEA). PT-11 Procedimento Técnico de

Depósito de Material de Ensaio. versão 1.0. São Paulo. LEA. 2009.


nr-08 norma de segurança da informação

Documents