política de segurança da informação diretrizes gerais

NORMA TÉCNICAATI-SGR-PR/001:10

Política de Segurança da Informação – Diretrizes Gerais

Versão 2.0

Válida a partir da publicação da Resolução 001/2010

Palavras-chave: Segurança, Informação, Diretrizes, Regras, Normas, Risco, Continuidade, Vulnerabilidade, Incidente, Ativo.

Direitos autorais exclusivos da ATI, sendo permitida reprodução parcial ou total, desde que citada a fonte (ATI), mantido o texto original e não acrescentado nenhum tipo de propaganda comercial.

26 páginas

NORMA ATI-SGR-PR/001:09

Sumário

Prefácio............................................................................................................................. 5

1 Introdução....................................................................................................................... 7

2 Escopo............................................................................................................................ 9

3 Termos e definições........................................................................................................ 9

4 Política de Segurança da Informação........................................................................... 11

4.1 Disposições Gerais.................................................................................................... 11

4.2 Atribuições e Responsabilidades............................................................................... 12

4.2.1 Comitê Gestor de Segurança – CGS...................................................................... 12

4.2.2 Presidência da ATI.................................................................................................. 13

4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI................ 13

4.2.4 Unidade de Segurança da Informação – USI.......................................................... 13

4.2.5 Coordenadoria Executiva de Logística e Gestão – CLG......................................... 15

4.2.6 Gerência de Recursos Humanos – GRH................................................................ 15

4.2.7 Gerência Jurídica de Contratos e Convênios – GJC............................................... 16

4.2.8 Gerentes e Chefes de Unidades............................................................................. 16

4.2.9 Administradores de Sistemas Computacionais e de Comunicação........................ 17

4.2.10 Todos os Usuários................................................................................................ 17

4.3 Penalidades............................................................................................................... 17

4.4 Composição da Política de Segurança da Informação.............................................. 18

4.4.1 Diretrizes Gerais..................................................................................................... 19

4.4.2 Termo de Responsabilidade.................................................................................... 19

4.4.3 Documentos vinculados.......................................................................................... 20

5 Diretrizes Gerais da Política de Segurança da Informação........................................... 21

5.1 Gestão de Segurança da Informação........................................................................ 21

5.2 Gestão de Riscos...................................................................................................... 24

Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 3

Governo do Estado de Pernambuco


5.3 Plano de Continuidade de Negócio............................................................................ 24

5.4 Plano de Ação e Resposta a Incidentes.................................................................... 25

6 Bibliografia.................................................................................................................... 26




Prefácio

A ATI – Agência Estadual de Tecnologia da Informação – é o órgão de

coordenação e suporte técnico ao Sistema Estadual de Informática do Governo –

SEIG – e que tem como atribuições propor e prover soluções integradoras de

meios, métodos e competências, com uso intensivo e adequado da Tecnologia da

Informação e Comunicação.

A Política de Segurança da Informação foi elaborada pela Unidade de Segurança

da Informação – USI – da ATI, redigida em conformidade com as convenções

redacionais estabelecidas pela ATI [5] [6] e segundo os padrões nacionais e

internacionais atualmente utilizados [1] [2] [3].

Esta Norma foi aprovada pelo Comitê Gestor de Segurança – CGS e substitui o

documento intitulado Política de Segurança da Informação da ATI – PSI/ATI –

Versão 1, de 2008.




1 Introdução

A Informática de Governo tem por objetivo instrumentalizar a prestação do serviço

público, propiciando uma melhor gestão dos recursos do governo e possibilitando

a integração entre seus órgãos para a troca de informações.

O uso da Tecnologia da Informação na Administração Pública envolve grande

acervo de recursos computacionais e informações que necessitam estar

permanentemente protegidos contra acessos indevidos e adulterações.

Em contrapartida aos benefícios que a informatização oferece, existe a constante

tentativa de exploração maliciosa das informações, tornando-se imprescindível o

zelo pela segurança, evitando as vulnerabilidades que dão margem a invasões e

outros incidentes que resultam em perda da confidencialidade, integridade e

disponibilidade das informações.

Como parte de um conjunto de medidas de segurança, fica imprescindível a

implantação de uma Política de Segurança da Informação que defina diretrizes,

normas, padrões e requisitos mínimos, nos diversos aspectos que envolvem,

direta e indiretamente, o trânsito e o acervo de informações, salvaguardando a

sua exatidão, independentemente de onde e como estejam armazenadas.




2 Escopo

Essa Norma tem o objetivo de padronizar e estabelecer requisitos mínimos, a fim

de proporcionar condições que assegurem a integridade, a confidencialidade, a

disponibilidade, bem como a legalidade da informação no âmbito do ambiente

computacional da ATI.

As regras estabelecidas neste documento estendem-se a todos os que fazem

parte da instituição, tais como empregados, servidores, cargos em comissão,

terceirizados, estagiários, prestadores de serviços e os que, de alguma forma,

fazem uso dos recursos computacionais da mesma.

Esta Política engloba não apenas os requisitos de segurança lógica, mas,

também, os de segurança física e de pessoal nos ambientes computacionais.

3 Termos e definições

Para os efeitos deste documento, aplicam-se os seguintes termos e definições:

3.1

Segurança da informação

Segurança da Informação consiste na preservação da confidencialidade,

integridade e disponibilidade da informação, quais sejam:

a) Confidencialidade – Garantia de que o acesso à informação seja obtido,

apenas, por pessoas autorizadas;

b) Integridade – Garantia de que a informação não seja adulterada;




c) Disponibilidade – Garantia de que a informação esteja disponível sempre

que requisitada pelos usuários autorizados.

Há de ser considerado o aspecto da Legalidade, no que diz respeito ao

cumprimento das normas provenientes do sistema jurídico brasileiro e tratados

internacionais vigentes.

3.2

Ativos de Segurança da Informação

São considerados Ativos de Segurança da Informação todos os elementos que

contém informação de forma direta ou indireta ou que tenha alguma relação com

a transmissão de informações.

A informação pode estar contida em:

a) Dispositivos digitais móveis;

b) Equipamentos compostos por unidade de armazenamento;

c) Mídia digital, impressa ou escrita;

d) Pessoas;

e) Nuvem.

A informação pode ser transmitida por:

a) Rede de dados;

b) Dispositivos móveis;

c) Mídia digital, impressa ou escrita;

d) Comunicação oral e outros meios de comunicação pessoal.




3.3

Política de Segurança da Informação

A Política de Segurança da Informação, Política de Segurança ou simplesmente

PSI, consiste em um conjunto de definições, diretrizes, restrições e requisitos que

servem para nortear o uso de boas práticas no trato com os ambientes, recursos

e ativos de segurança da informação, em aspectos físicos, lógicos e de pessoal,

com a finalidade de proporcionar maior segurança às informações.

4 Política de Segurança da Informação

4.1 Disposições Gerais

A Política de Segurança da Informação é um conjunto de normas baseadas em

diretrizes preestabelecidas que, de forma estruturada e hierarquizada, criam

procedimentos, regras e métodos provenientes de análise da estrutura

organizacional em detrimento de regras de cunho internacional [1] [2] [3].

O fundamento dessa PSI é estabelecer as regras que permitam um nível de

segurança aceitável diante das ameaças existentes à informação. Salienta-se

que, em virtude de ser a Segurança da Informação (Ver 3.1) um processo

contínuo, novas normas e possíveis alterações de versão estarão sendo

implementadas.

No caso de existirem conteúdos tratando de uma mesma situação, prevalecerá a

versão mais recente, a mais especializada ou a hierarquicamente superior,

submetida a avaliação do Comitê Gestor de Segurança da Informação (Ver 4.2.1),

devendo, portanto, todos manterem-se atualizados e obedientes às normas em




vigor que serão disponibilizadas para fins de conhecimento.

4.2 Atribuições e Responsabilidades

Às estruturas de apoio, aos gestores, às chefias, aos analistas, aos técnicos e aos

usuários dos ambientes, dos recursos, dos ativos de segurança da informação

(Ver 3.2) e dos ativos computacionais da ATI, cabem cumprir atribuições e

assumir responsabilidades específicas, com relação à Segurança da Informação,

segundo as suas competências.

4.2.1 Comitê Gestor de Segurança – CGS

a) Colaborar com a elaboração da Política de Segurança da Informação, junto

à Unidade de Segurança da Informação da ATI;

b) Aprovar a Política de Segurança da Informação, inclusive atualizações;

c) Propor alterações à Política de Segurança da Informação, caso necessário;

d) Definir o Plano Estratégico para implantação da Política de Segurança da

Informação;

e) Definir e aprovar os procedimentos e penalidades para se fazer cumprir a

Política de Segurança;

f) Coordenar a execução da Política de Segurança da ATI e dos demais

órgãos integrantes da Informática de Governo do Estado de Pernambuco;

g) Aprovar e propor medidas e contra medidas para correção de problemas

causados por quebra ou fragilidade da Política de Segurança;

h) Mobilizar os Gestores das áreas de risco para o cumprimento da Política




de Segurança;

4.2.2 Presidência da ATI

a) Presidir o Comitê Gestor de Segurança – CGS [7];

b) Colaborar com a elaboração da Política de Segurança da Informação, junto


c) Publicar Instrução Normativa implantando a Política de Segurança, as

normas, os manuais e os procedimentos derivados da mesma;

d) Cumprir e fazer cumprir a Política de Segurança da Informação;

4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI

a) Colaborar com a elaboração da Política de Segurança da Informação, junto


b) Disponibilizar os recursos necessários à implantação da Política de

Segurança;

c) Cumprir e fazer cumprir a Política de Segurança da Informação;

d) Mobilizar os gestores, principalmente os das áreas de risco, para o

cumprimento da Política de Segurança;

4.2.4 Unidade de Segurança da Informação – USI

a) Elaborar a Política de Segurança com aprovação do CGS;

b) Definir as soluções técnicas e os recursos computacionais necessários

para a implantação e adequação do ambiente computacional da ATI à




Política de Segurança;

c) Encaminhar solicitação dos recursos necessários para implantação da

Política de Segurança à Diretoria, para as providências cabíveis;

d) Implantar a Política de Segurança;

e) Monitorar o cumprimento da Política de Segurança, encaminhando aos

respectivos gestores, as ocorrências de descumprimento das Normas de

Segurança por seus subordinados para as providências cabíveis;

f) Avaliar o nível de segurança alcançado, através de procedimentos

específicos de segurança da informação, podendo ter auxílio de

ferramentas para tal;

g) Efetuar mudanças na Política de Segurança sempre que houver alteração

no ambiente computacional ou atualizações tecnológicas, a fim de manter

e melhorar o nível de segurança;

h) Coordenar ações de emergência, conforme Plano de Ação e Resposta a

Incidentes (Ver 5.4), imediatamente após detecção ou conhecimento de

incidentes de segurança no âmbito do ambiente computacional da ATI;

i) Definir e implantar as medidas e contra medidas necessárias para correção

de problemas causados por quebra ou fragilidade da Política de

Segurança, encaminhando ao respectivo gestor da área envolvida, relatório

técnico sobre o ocorrido e as respectivas providências tomadas, bem

como, as recomendações de segurança a serem seguidas;

j) Mobilizar os gestores, principalmente os das áreas de risco, para o





4.2.5 Coordenadoria Executiva de Logística e Gestão – CLG

a) Colaborar com a Política de Segurança da Informação quanto ao

cumprimento das especificações relativas aos ambientes físicos,

infraestrutura em geral, acesso físico, segurança patrimonial, iluminação,

sinalização, emergência e demais atividades da responsabilidade desta

coordenadoria;

b) Disponibilizar os recursos necessários à implantação da Política de

Segurança;

c) Cumprir e fazer cumprir a Política de Segurança da Informação;

d) Mobilizar os gestores, principalmente os das áreas de risco, para o


4.2.6 Gerência de Recursos Humanos – GRH

a) Colaborar com o cumprimento da Política fornecendo, quando necessário,

informações sobre os recursos humanos da ATI;

b) Informar aos setores competentes, de forma imediata, sobre qualquer tipo

de movimentação do trabalhador, tais como, mudança de cargo ou função,

transferência, cessão, habilitação, demissão, exoneração, entre outras, que

justifique controle de suas credenciais de acesso à empresa e aos recursos

computacionais da mesma;

c) Tomar providências para que os novos trabalhadores assinem o Termo de

Responsabilidade (ver 4.4.2);

d) Prestar auxílio à USI a respeito dos treinamentos sobre segurança da




informação;

e) Tomar as providências administrativas no caso de aplicação de

penalidades aos trabalhadores quanto ao não cumprimento da Política de

Segurança da Informação;

4.2.7 Gerência Jurídica de Contratos e Convênios – GJC

a) Prestar auxílio à USI e ao CGS quanto aos aspectos jurídicos referentes à

Segurança da Informação;

b) Avaliar os incidentes de segurança causados por servidores do estado,

recomendando as penalidades cabíveis;

c) Tomar as providências jurídicas cabíveis em casos de incidentes de

segurança;

4.2.8 Gerentes e Chefes de Unidades

a) Colaborar com a USI e com o CGS na elaboração da Política de

Segurança;

b) Cumprir e fazer cumprir a Política de Segurança em relação aos seus

subordinados;

c) Propor mudanças à Política de Segurança de acordo com as necessidades

iminentes detectadas na sua área de atuação;

d) Tomar as providências cabíveis em caso de descumprimento da Política de

Segurança por seus subordinados;

e) Reportar, de imediato, à USI, qualquer incidente de segurança detectado

ou, até mesmo, qualquer suspeita ou ameaça de incidentes;




4.2.9 Administradores de Sistemas Computacionais e de Comunicação

a) Adequar os sistemas computacionais e de comunicação em conformidade

com a Política de Segurança;

b) Monitorar os registros dos sistemas;

c) Tomar as providências de emergência conforme Plano de Ação e Resposta

a Incidentes, imediatamente após detecção ou conhecimento de incidentes

de segurança no âmbito do ambiente computacional da ATI;

d) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até

mesmo, suspeitas iminentes;

e) Solicitar apoio e consultoria de segurança à USI quando se fizer

necessário;

4.2.10 Todos os Usuários

a) Cumprir as normas definidas na Política de Segurança;

b) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até

mesmo, suspeitas iminentes;

c) Sugerir medidas que possam elevar os níveis de segurança das

instalações na sua área de atuação;

4.3 Penalidades

A não observância dos preceitos desta Política poderá implicar na aplicação de

sanções administrativas, cíveis e penais previstas na legislação em vigor que

regule ou venha regular a matéria.




As penalidades administrativas serão aplicadas após a sua devida apuração em

processo administrativo disciplinar, sendo observados critérios de gravidade e

reincidência dos atos de violação cometidos à Política de Segurança da

Informação.

As infrações ocorridas as normas que compõem essa Política de Segurança da

Informação deverão ser analisadas pelo gestor imediato do infrator, que deverá

comunicar imediatamente a Diretoria da ATI para fins de determinação da

apuração das eventuais responsabilidades dos funcionários envolvidos.

4.4 Composição da Política de Segurança da Informação

A presente Política de Segurança da Informação será composta por uma estrutura

de documentos organizados de forma hierárquica, conforme a figura abaixo:



Gestão de Segurança da Informação

Gestão de RiscosPlano de

Continuidade de Negócio

Plano de Ação e Resposta a Incidentes

Diretrizes Gerais

Termo deResponsabilidade

Termo de responsabilidadeTermo de responsabilidadeTermo de responsabil id adeTermo de responsabilidadeTermo de responsabilidad e Termo de responsabilidaadeTermo de responsabilidadeT ermo de responsabilidadeTermo de responssssabilidadeTer mo de responsaaaaaaabilidadeTermo

de responsabilidadeTe rmo de responsabilidadeTermo de responsabilidadeTermo de responsabilidadeaaaaaaTermo de responsabilissssdad Termo de responsabilidadeeTermo de responsabilidade

Termo de responsabilidadeTermo de responsabilidadeTermo de responsabil id adeTermo de responsabilidadeTermo de responsabilidad e Termo de responsabilidaadeTermo de responsabilidadeT ermo de responsabilidadeTermo de

responssssabilidadeTer mo de responsaaaaaaabilidadeTermo de responsabilidadeTe ermo de responsabilidadeeTermo de responsabilidade

ManuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais

Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais

Procedimentos



Planos deAção


Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaianua manuais

NormasEspecíficasSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais

Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaianua manuais

Política de Segurança da Informação


4.4.1 Diretrizes Gerais

As Diretrizes Gerais da Política de Segurança da Informação apontam os

principais aspectos e propõem as características norteadoras para todo o

conjunto de normas específicas, padrões, procedimentos, manuais, planos e

demais documentos relacionados à Segurança da Informação no âmbito da ATI.

Todos esses instrumentos deverão seguir os princípios elencados nessa norma

de diretrizes gerais.

Essas regras norteadoras, embora estejam unidas numa mesma mesma ideia,

foram divididas para uma melhor compreensão em:

a) Gestão de Segurança da Informação – Conjunto de medidas que visam a

proteção dos ativos de segurança da informação;

b) Gestão de Riscos – Conjunto de medidas que visam a remediação de

riscos da informação, identificados através de análise;

c) Plano de Continuidade de Negócio – Plano desenvolvido através da

identificação de causas que possam afetar a disponibilidade dos serviços,

trazendo soluções para seu imediato restabelecimento;

d) Plano de Ação e Resposta a Incidentes – Plano que propõe medidas de

resposta na ocasião de incidentes de segurança.

4.4.2 Termo de Responsabilidade

A PSI conta com o Termo de Responsabilidade [4], em caráter complementar, cujo

objetivo é dar ciência e ter o registro disso. Logo, todos os submetidos à PSI

deverão assinar o referido Termo, no mesmo sentido incorrem os que futuramente

ingressarem na organização, comprometendo-se à estrita observância e




obediência às condições e requisitos contidos na PSI, e suas normas específicas

presentes e futuras.

4.4.3 Documentos vinculados

A Política de Segurança da Informação é composta por um conjunto de

documentos vinculados às diretrizes gerais, trazendo, de forma detalhada,

características técnicas e disciplinares visando o cumprimento das especificações

e diretrizes dessa Política. Esses documentos tomam forma de normas

complementares, planos de ação, procedimentos e manuais.

As normas complementares são documentos que trazem regras detalhadas sobre

uma temática específica. Novas normas ou novas versões de normas podem ser

incluídas no rol e as existentes serem excluídas ou alteradas, respeitando as

diretrizes gerais e a harmonia e convivência entre as normas que compõem a

PSI.

Os planos de ação são documentos que elencam diversas hipóteses de situações

e determinam soluções para as mesmas.

Os procedimentos servem para padronizar soluções diante de uma tarefa

específica.

Os manuais são instrumentos de orientação para agentes de segurança da

informação. Podem ser definidos de uma forma geral e abstrata ou mesmo tratar

de uma temática específica. O público-alvo desses manuais podem ser agentes

de segurança leigos ou não.




5 Diretrizes Gerais da Política de Segurança da Informação

5.1 Gestão de Segurança da Informação

a) Esta Política de Segurança da Informação deve abranger todos os

recursos humanos, administrativos e tecnológicos da ATI;

b) A identificação do usuário por meio de crachá, senha ou outro meio é

pessoal e intransferível, qualificando-o como responsável por todas as

atividades desenvolvidas através da credencial, sendo pré-requisito para a

liberação do uso de qualquer uma dessas formas de identificação, a

assinatura de “Termo de Responsabilidade” (Ver 4.4.2), que comprove sua

ciência às condições de uso, seus direitos e deveres quanto ao acesso dos

recursos computacionais da ATI;

c) Todo pessoal que integre direta ou indiretamente os recursos humanos da

ATI é responsável pela segurança da informação, dentro de sua respectiva

área de atuação;

d) Somente atividades lícitas, éticas e administrativamente admitidas devem

ser realizadas, pelos usuários, em geral, quando da utilização dos recursos

computacionais da ATI, ficando os transgressores sujeitos às sanções (Ver

4.3) previstas nesta PSI;

e) Devem existir, documentados e implantados, procedimentos específicos

para bloqueio temporário ou definitivo de acesso aos recursos

computacionais da ATI na ocorrência de afastamento ou desligamento de

usuários credenciados;




f) Aqueles que estão fora das atividades em virtude de afastamento,

aposentadoria, demissão, exoneração, cessão, ou por qualquer outro

motivo não desempenha mais sua função na ATI, serão responsabilizados

por quaisquer atos que descumpriram essa PSI, ao tempo em que

exerciam suas atividades;

g) Deve existir programa de disseminação desta PSI assegurando que todos,

que integram esta entidade, estejam cientes da obrigatoriedade de

obediência às normas e recomendações aqui definidas;

h) Deve ser implementado um programa permanente de conscientização

sobre segurança da Informação de forma que seja esclarecido a todos os

potenciais riscos de segurança a que estão expostos os ativos de

segurança da informação, proporcionando, assim, maior cooperação para

o cumprimento das normas desta PSI;

i) É dever de todos os usuários, ao tomarem conhecimento de qualquer

incidente de segurança da informação, notificar o fato imediatamente, à

Unidade de Segurança da Informação - USI, para as providências cabíveis;

j) Todos os usuários devem ter acesso aos recursos mínimos necessários à

execução de suas tarefas no âmbito da ATI, salvo disposição em contrário

expressa e específica;

k) Os equipamentos e aplicações disponibilizados aos usuários devem ser

orientados, previamente, por um projeto a fim de evitar situações de risco à

segurança da informação e devem ser homologados em ambiente de teste

e desenvolvimento antes de serem postos em produção;

l) O uso de equipamentos particulares no âmbito da ATI será controlado e




deverá estar em conformidade com as normas de segurança desta PSI;

m) Todos os Ativos de Segurança da Informação (Ver 3.2) serão protegidos

por essa PSI, baseando-se em critérios de classificação, criticidade,

confidencialidade, risco de exposição, alinhados com as diretrizes

estratégicas da ATI;

n) Documentos e softwares desenvolvidos por funcionários e prestadores de

serviço são de propriedade da ATI, ressalvados em casos expressamente

assegurados por contrato formal;

o) As informações de propriedade da ATI devem ser de uso restrito para os

fins a que se destinam, não podendo, sob nenhum propósito, serem

apropriadas ou divulgada a terceiros;

p) Todas as informações devem ser protegidas contra perda, acessos e usos

indevidos, devendo ser adotados procedimentos específicos e adequados

ao grau de criticidade da informação, sob a responsabilidade direta do

funcionário ou prestador de serviço que a detém em sua guarda;

q) Esta Política de Segurança da Informação deve ser considerada como

subsídio essencial para confecção de processos de aquisição de bens e

serviços de Tecnologia da Informação;

r) Os softwares adquiridos ou desenvolvidos devem obedecer às

especificações de segurança estabelecidas por essa PSI;

s) Deve ser implantado procedimento para ativar e manter registros de

vulnerabilidades e ataques reportados por fontes confiáveis, além de

medidas de controle e correção, promovendo-se, quando necessário, as

devidas orientações de intervenção aos administradores dos recursos




vulneráveis;

t) O cumprimento da Política de Segurança da Informação será

acompanhado e auditado por unidade responsável, sendo permitido, para

isso, o monitoramento do tráfego e armazenamento de informação;

5.2 Gestão de Riscos

a) Deve ser implementado um programa de gestão de riscos para análise dos

ativos de segurança da informação (Ver 3.2) da ATI, bem como diversos

outros elementos que agem direta ou indiretamente sobre esses ativos,

com objetivo de identificar e remediar as vulnerabilidades que resultam em

riscos para a segurança das informações;

b) A Análise de Risco será feita periodicamente, emitindo relatório para

apresentação e análise junto à Diretoria, ao Comitê Gestor de Segurança e

demais Gestores;

5.3 Plano de Continuidade de Negócio

a) Um plano de continuidade do negócio deve ser implementado e testado

periodicamente para garantir a ininterrupção dos serviços críticos nos

ambientes computacionais;

b) Sistemas e dispositivos redundantes devem estar disponíveis para garantir

a continuidade da operação dos serviços críticos quando necessário;

c) Procedimentos específicos devem ser previstos para contingência nas

diversas áreas de atuação dos ambientes computacionais, cabendo aos

respectivos gestores, tomarem as providências cabíveis;




5.4 Plano de Ação e Resposta a Incidentes

a) Um plano de ação e resposta a incidentes deve ser estabelecido com o

objetivo de conter e remediar qualquer incidente de segurança da

Informação que venha a ocorrer;

b) Os incidentes de segurança devem ser registrados para finalidade

estatística, servindo de base para elaboração de futuras políticas e

melhorias de segurança;




6 Bibliografia

[1] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT).

NBRISO/IEC27001, Tecnologia da informação - Técnicas de segurança -

Sistemas de gestão de segurança da informação – Requisitos, mar. de 2006.

[2] ABNT. NBRISO/IEC27002, Tecnologia da informação - Técnicas de segurança

- Código de prática para a gestão da segurança da informação, ago. de 2005.

[3] ABNT. NBRISO/IEC27005, Tecnologia da informação - Técnicas de segurança

- Gestão de riscos de segurança da informação, jul. de 2008.

[4] ATI. Termo de Responsabilidade – Recife, 2008. Disponível em:

<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.

[5] ATI. SEIG-GGT-PR/001-1:08. Versão 1.0 – Recife, 2009. Disponível em:

<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010..

[6] ATI. SEIG-GGT-PR/001-2:08. Versão 1.0 – Recife, 2009. Disponível em:

<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.

[7] ATI. Portaria N° 033/2008 – Recife, 2008. Disponível em: <www.ati.pe.gov.br>.

Acesso em: 08 de set. de 2010.



política de segurança da informação diretrizes gerais

Documents