Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão da Segurança da Informação e
Comunicações
MELISSA DE OLIVEIRA CARDOSO
Propostas de Diretrizes para o Desenvolvimento de uma
Política de Segurança da Informação e Comunicações para o Centro de Processamento de Dados Distrito Federal da Dataprev Baseadas na Norma ABNT NBR ISO/IEC 27002:2005
Brasília
2011
Melissa de Oliveira Cardoso
Propostas de Diretrizes para o Desenvolvimento de uma
Política de Segurança da Informação e Comunicações para o Centro de Processamento de Dados Distrito Federal da Dataprev Baseadas na Norma ABNT NBR ISO/IEC 27002:2005
Brasília
2011
Melissa de Oliveira Cardoso
Propostas de Diretrizes para o Desenvolvimento de uma
Política de Segurança da Informação e Comunicações para o Centro de Processamento de Dados Distrito Federal da Dataprev Baseadas na Norma ABNT NBR ISO/IEC 27002:2005
Monografia apresentada ao Departamento
de Ciência da Computação da Universidade de Brasília como requisito parcial
para a obtenção do título de Especialista
em Ciência da Computação: Gestão da
Segurança da Informação e Comunicações.
Orientadora: Profª. Esp. Danielle Rocha da Costa
Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Brasília
Outubro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira
de Gestão da Segurança da Informação e Comunicações - CEGSIC
2009/2011.
© 2011 Melissa de Oliveira Cardoso. Qualquer parte desta publicação
pode ser reproduzida, desde que citada a fonte.
Cardoso, Melissa de Oliveira
Propostas de Diretrizes para o Desenvolvimento de uma Política
de Segurança da Informação e Comunicações para o Centro de Processamento de Dados Distrito Federal da Dataprev Baseadas na Norma
ABNT NBR ISO/IEC 27002:2005 / Melissa de Oliveira Cardoso. – Brasília: A autora, 2011. 223 p.; Ilustrado; 25 cm.
Monografia (especialização) – Universidade de Brasília. Instituto de
Ciências Exatas. Departamento de Ciência da Computação, 2011.
Inclui Bibliografia.
1. Segurança da Informação e Comunicações. 2. Política de Segurança da Informação e Comunicações. 3. ABNT NBR ISO/IEC
27002:2005. I. Título.
CDU 004.056
Ata
de
Defesa
de
Monografia
Dedicatória
Dedico este trabalho ao meu marido, Nilson Costa da Silva, que me apóia em
tudo o que promove o meu crescimento pessoal e à minha mãe, Maria Lúcia de Oliveira Cardoso, uma grande batalhadora em prol da família.
Dedico também ao meu filho, Adriano Disessa Caniatti Filho. Que a minha trajetória acadêmica sirva de exemplo para ele, tanto nos acertos a seguir quanto nos
erros a evitar.
Agradecimentos
Agradeço ao Professor Jorge Fernandes pelo excelente trabalho à frente do
CEGSIC, ao Gerente do CPDF da Dataprev, o Ricardo Dentino, que não economizou esforços na minha liberação interna para participar do curso.
À minha orientadora Danielle Rocha da Costa devo um agradecimento especial pela paciência, disponibilidade e empenho. Não haveria um orientador melhor
para me acompanhar nesta jornada.
At last, the answer why. The lesson that had been so hard to find,
so difficult to learn, came quick and clear and simple.
The reason for problems is to overcome them.
Why, that’s the very nature of man,
I thought, to press past limits, to prove his freedom.
It isn’t the challenge that faces us, that determines
who we are and what we are becoming,
but the way we meet the challenge,
whether we toss a match at the wreck or work our way through it,
step by step, to freedom.
Richard Bach
Lista de Figuras
Figura 1: Estrutura organizacional do CPDF. ............................................................ 23
Figura 2: Mapa mental do resumo das seções relevantes da NBR 27002:2005
(ISECT, 2011). ........................................................................................................... 32
Lista de Tabelas
Tabela 1 – Sumário das Entrevistas Realizadas. ...................................................... 42
Tabela 2 – Aplicabilidade dos controles da NBR 27002:2005 ao CPDF. .................. 43
Tabela 3 – Proposta de texto para a POSIC do CPDF. ............................................. 72
Tabela 4 – Totais de Controles Resultantes da Pesquisa. ...................................... 131
Tabela 5 – Conclusão sobre as Hipóteses da Pesquisa. ........................................ 132
Tabela 6 – Seção Política de segurança da informação, Categoria Política de
segurança da informação......................................................................................... 144
Tabela 7 – Seção Organizando a segurança da informação, Categoria Infra-estrutura
da segurança da informação.................................................................................... 146
Tabela 8 – Seção Organizando a segurança da informação, Categoria Partes
Externas. .................................................................................................................. 149
Tabela 9 – Seção Gestão de ativos, Categoria Responsabilidade pelos ativos. ..... 153
Tabela 10 – Seção Gestão de ativos, Categoria Classificação da informação. ...... 154
Tabela 11 – Seção Segurança em recursos humanos, Categoria Antes da
contratação. ............................................................................................................. 155
Tabela 12 – Seção Segurança em recursos humanos, Categoria Durante a
contratação. ............................................................................................................. 159
Tabela 13 – Seção Segurança em recursos humanos, Categoria Encerramento ou
mudança da contratação.......................................................................................... 160
Tabela 14 – Seção Segurança física e do ambiente, Categoria Áreas seguras. .... 162
Tabela 15 – Seção Segurança física e do ambiente, Categoria Segurança de
equipamentos. .......................................................................................................... 166
Tabela 16 – Seção Gerenciamento das operações e comunicações, Categoria
Procedimentos e responsabilidades operacionais. .................................................. 170
Tabela 17 – Seção Gerenciamento das operações e comunicações, Categoria
Gerenciamento de serviços terceirizados. ............................................................... 172
Tabela 18 – Seção Gerenciamento das operações e comunicações, Categoria
Planejamento e aceitação dos sistemas. ................................................................. 174
Tabela 19 – Seção Gerenciamento das operações e comunicações, Categoria
Proteção contra códigos maliciosos e códigos móveis. ........................................... 175
Tabela 20 – Seção Gerenciamento das operações e comunicações, Categoria
Cópias de segurança. .............................................................................................. 176
Tabela 21 – Seção Gerenciamento das operações e comunicações, Categoria
Gerenciamento da segurança em redes. ................................................................. 177
Tabela 22 – Seção Gerenciamento das operações e comunicações, Categoria
Manuseio de mídias. ................................................................................................ 178
Tabela 23 – Seção Gerenciamento das operações e comunicações, Categoria Troca
de informações. ........................................................................................................ 181
Tabela 24 – Seção Gerenciamento das operações e comunicações, Categoria
Serviços de comércio eletrônico. ............................................................................. 186
Tabela 25 – Seção Gerenciamento das operações e comunicações, Categoria
Monitoramento. ........................................................................................................ 187
Tabela 26 – Seção Controle de acessos, Categoria Requisitos de negócio para
controle de acesso. .................................................................................................. 190
Tabela 27 – Seção Controle de acessos, Categoria Gerenciamento de acesso do
usuário. .................................................................................................................... 191
Tabela 28 – Seção Controle de acessos, Categoria Uso de senhas. ..................... 194
Tabela 29 – Seção Controle de acessos, Categoria Controle de acesso à rede. ... 197
Tabela 30 – Seção Controle de acessos, Categoria Controle de acesso ao sistema
operacional. .............................................................................................................. 199
Tabela 31 – Seção Controle de acessos, Categoria Controle de acesso à aplicação e
à informação. ........................................................................................................... 202
Tabela 32 – Seção Controle de acessos, Categoria Computação móvel e trabalho
remoto. ..................................................................................................................... 203
Tabela 33 – Seção Aquisição, desenvolvimento e manutenção de sistemas de
informação, Categoria Requisitos de segurança de sistemas de informação. ........ 204
Tabela 34 – Seção Aquisição, desenvolvimento e manutenção de sistemas de
informação, Categoria Processamento correto nas aplicações. .............................. 205
Tabela 35 – Seção Aquisição, desenvolvimento e manutenção de sistemas de
informação, Categoria Controles criptográficos. ...................................................... 206
Tabela 36 – Seção Aquisição, desenvolvimento e manutenção de sistemas de
informação, Categoria Segurança dos arquivos do sistema.................................... 207
Tabela 37 – Seção Aquisição, desenvolvimento e manutenção de sistemas de
informação, Categoria Segurança em processos de desenvolvimento e de suporte.
................................................................................................................................. 208
Tabela 38 – Seção Aquisição, desenvolvimento e manutenção de sistemas de
informação, Categoria Gestão de vulnerabilidades técnicas. .................................. 211
Tabela 39 – Seção Gestão de incidentes de segurança da informação, Categoria
Notificação de fragilidades e eventos de segurança da informação. ....................... 212
Tabela 40 – Seção Gestão de incidentes de segurança da informação, Categoria
Gestão de incidentes de segurança da informação e melhorias. ............................ 213
Tabela 41 – Seção Gestão da continuidade do negócio, Categoria Aspectos da
gestão da continuidade do negócio, relativos à segurança da informação. ............ 215
Tabela 42 – Seção Conformidade, Categoria Conformidade com requisitos legais.
................................................................................................................................. 218
Tabela 43 – Seção Conformidade, Categoria Conformidade com normas e políticas
de segurança da informação e conformidade técnica. ............................................ 220
Tabela 44 – Seção Conformidade, Categoria Controles de auditoria de sistemas de
informação. .............................................................................................................. 222
Sumário
Ata de Defesa de Monografia Dedicatória ................................................................... 3
Dedicatória ................................................................................................................... 4
Agradecimentos ........................................................................................................... 5
Lista de Figuras ............................................................................................................ 7
Lista de Tabelas ........................................................................................................... 8
Sumário ...................................................................................................................... 11
Resumo ...................................................................................................................... 16
Abstract ...................................................................................................................... 17
1 Delimitação do Problema ........................................................................................ 18
1.1 Introdução ......................................................................................................... 18
1.2 Formulação da situação problema (Questões de pesquisa) ............................ 20
1.3 Objetivos e escopo ........................................................................................... 21
1.3.1 Objetivo Geral ............................................................................................ 21
1.3.2 Objetivos Específicos................................................................................. 21
1.3.3 Escopo ....................................................................................................... 22
1.4 Justificativa ....................................................................................................... 25
1.5 Hipóteses .......................................................................................................... 26
2 Revisão de Literatura e Fundamentos .................................................................... 28
2.1 Política de Segurança da Informação e Comunicações................................... 28
2.2 A ABNT NBR ISO/IEC 27002:2005 .................................................................. 31
2.4 Processos de Negócio do CPDF ...................................................................... 33
2.4.1 Centro de Processamento de Dados Distrito Federal (CPDF) .................. 33
2.4.2 Divisão de Apoio a Sustentação da Infraestrutura de TI (D2SI) ................ 34
2.4.3 Divisão de Operações (D2OP) .................................................................. 35
2.4.4 Divisão de Apoio a Gestão de Serviços (D2GT)........................................ 36
2.4.5 Serviço Técnico Planejamento do Ambiente Produtivo (S2PD) ................ 36
2.4.6 Serviço Técnico Gestão do Ambiente Produtivo (D2GA) .......................... 37
2.4.7 Divisão de Apoio a Redes (D2RE)............................................................. 37
2.4.8 Serviço Técnico Administrativo (S2AD) ..................................................... 39
3 Metodologia ............................................................................................................. 40
3.1 Abordagem e Tipo de Pesquisa ....................................................................... 40
3.2 Delineamento da Pesquisa............................................................................... 40
4 Resultados .............................................................................................................. 42
5 Discussão .............................................................................................................. 130
6 Conclusões e Trabalhos Futuros .......................................................................... 133
6.1 Conclusões ..................................................................................................... 133
6.2 Trabalhos Futuros .......................................................................................... 134
Referências e Fontes Consultadas .......................................................................... 136
Glossário .................................................................................................................. 139
A ........................................................................................................................... 139
C ........................................................................................................................... 139
D ........................................................................................................................... 140
F ........................................................................................................................... 140
G ........................................................................................................................... 140
I ............................................................................................................................. 141
P ........................................................................................................................... 141
R ........................................................................................................................... 141
T ........................................................................................................................... 141
V ........................................................................................................................... 142
Z ........................................................................................................................... 142
Apêndice A – Proposta de Diretrizes Organizada pelas Seções e Categorias da
ABNT NBR 27002:2005 ........................................................................................... 143
Seção: 5 – Política de segurança da informação ................................................. 144
Categoria: 5.1 – Política de segurança da informação ..................................... 144
Seção: 6 – Organizando a segurança da informação .......................................... 146
Categoria: 6.1 – Infra-estrutura da segurança da informação .......................... 146
Categoria: 6.2 – Partes Externas ...................................................................... 149
Seção: 7 – Gestão de ativos ................................................................................ 153
Categoria: 7.1 – Responsabilidade pelos ativos ............................................... 153
Categoria: 7.2 – Classificação da informação .................................................. 154
Seção: 8 – Segurança em recursos humanos ..................................................... 155
Categoria: 8.1 – Antes da contratação ............................................................. 155
Categoria: 8.2 – Durante a contratação ............................................................ 159
Categoria: 8.3 – Encerramento ou mudança da contratação ........................... 160
Seção: 9 – Segurança física e do ambiente ......................................................... 162
Categoria: 9.1 – Áreas seguras ........................................................................ 162
Categoria: 9.2 – Segurança de equipamentos ................................................. 166
Seção: 10 – Gerenciamento das operações e comunicações ............................. 170
Categoria: 10.1 – Procedimentos e responsabilidades operacionais ............... 170
Categoria: 10.2 – Gerenciamento de serviços terceirizados ............................ 172
Categoria: 10.3 – Planejamento e aceitação dos sistemas .............................. 174
Categoria: 10.4 – Proteção contra códigos maliciosos e códigos móveis ........ 175
Categoria: 10.5 – Cópias de segurança ........................................................... 176
Categoria: 10.6 – Gerenciamento da segurança em redes .............................. 177
Categoria: 10.7 – Manuseio de mídias ............................................................. 178
Categoria: 10.8 – Troca de informações........................................................... 181
Categoria: 10.9 – Serviços de comércio eletrônico .......................................... 186
Categoria: 10.10 – Monitoramento ................................................................... 187
Seção: 11 – Controle de acessos......................................................................... 190
Categoria: 11.1 – Requisitos de negócio para controle de acesso .................. 190
Categoria: 11.2 – Gerenciamento de acesso do usuário ................................. 191
Categoria: 11.3 – Uso de senhas ..................................................................... 194
Categoria: 11.4 – Controle de acesso à rede ................................................... 197
Categoria: 11.5 – Controle de acesso ao sistema operacional ........................ 199
Categoria: 11.6 – Controle de acesso à aplicação e à informação .................. 202
Categoria: 11.7 – Computação móvel e trabalho remoto ................................. 203
Seção: 12 – Aquisição, desenvolvimento e manutenção de sistemas de
informação ............................................................................................................ 204
Categoria: 12.1 – Requisitos de segurança de sistemas de informação .......... 204
Categoria: 12.2 – Processamento correto nas aplicações ............................... 205
Categoria: 12.3 – Controles criptográficos........................................................ 206
Categoria: 12.4 – Segurança dos arquivos do sistema .................................... 207
Categoria: 12.5 – Segurança em processos de desenvolvimento e de suporte
.......................................................................................................................... 208
Categoria: 12.6 – Gestão de vulnerabilidades técnicas.................................... 211
Seção: 13 – Gestão de incidentes de segurança da informação ......................... 212
Categoria: 13.1 – Notificação de fragilidades e eventos de segurança da
informação ........................................................................................................ 212
Categoria: 13.2 – Gestão de incidentes de segurança da informação e melhorias
.......................................................................................................................... 213
Seção: 14 – Gestão da continuidade do negócio ................................................. 215
Categoria: 14.1 – Aspectos da gestão da continuidade do negócio, relativos à
segurança da informação ................................................................................. 215
Seção: 15 – Conformidade ................................................................................... 218
Categoria: 15.1 – Conformidade com requisitos legais .................................... 218
Categoria: 15.2 – Conformidade com normas e políticas de segurança da
informação e conformidade técnica .................................................................. 220
Categoria: 15.3 – Controles de auditoria de sistemas de informação .............. 222
Resumo
Este trabalho propõe o desenvolvimento de diretrizes para a elaboração de
uma Política de Segurança da Informação e Comunicações para o Centro de Processamento de Dados Distrito Federal da Dataprev (CPDF), baseadas na norma
ABNT NBR ISO/IEC 27002:2005. A análise de aplicabilidade dos controles da norma
NBR 27002:2005 e o alinhamento com os processos de negócio da organização
fundamentaram a realização deste estudo. Neste sentido, ao estabelecer diretrizes
personalizadas para a formulação da uma Política de Segurança da Informação e
Comunicações, esta pesquisa permitiu, ainda, incorporar relevantes procedimentos
relativos à segurança da informação a diversos processos de negócio do CPDF.
Abstract
This essay proposes the development of guidelines for an Information Security
and Communication Policy establishment to Centro de Processamento de Dados
Distrito Federal of Dataprev (Federal District’s Data Processing Center - CPDF),
based on the ABNT NBR ISO/IEC 27002:2005 standard. The controls applicability
analysis of the NBR 27002:2005 standard and its alignment to the business
processes of the organization undergirded the study course. Accordingly, by establishing customized guidelines the for an Information Security and Communication
Policy this research allowed, moreover, aggregating relevant security procedures to
various business processes of CPDF.
18
1 Delimitação do Problema
1.1 Introdução
Informação é todo o conteúdo ou dado que represente valor, seja para uma
organização, seja para uma pessoa. Nas organizações, representa a inteligência
competitiva dos negócios, devendo ser reconhecida como ativo crítico para a continuidade operacional (SEMOLA, 2002). A informação deve estar íntegra e não corrompida, estar disponível ao longo do tempo, ter apenas acesso autorizado, estar de
acordo com a legislação vigente, ser passível de auditoria e ter identificação de autoria (FONTES, 2005). A informação deve ser protegida e mantida por meio de um
processo contínuo que garanta a integridade, confidencialidade e disponibilidade.
Segundo a norma ABNT NBR 27002:2005, outras propriedades da segurança, tais
como autenticidade, responsabilidade, não-repúdio e confiabilidade também podem
estar envolvidas.
As redes de computadores, e, portanto, a Internet, mudaram as formas como
os sistemas de informação são utilizados. Atualmente, há muito mais possibilidades
e oportunidades de utilização, comparando-se com sistemas herméticos (não disponibilizados na Internet). No entanto, na mesma proporção que se podem empregar
os sistemas de informação mais amplamente, aumentam-se os riscos à privacidade
e integridade da informação. Sendo assim, é muito importante que mecanismos de
segurança sejam projetados de forma a prevenir acessos não autorizados aos recursos e dados desses sistemas (LAUREANO, 2005).
19
Grande parte desses mecanismos deve estar previsto numa Política de Segurança da Informação e Comunicações, ou POSIC, que é um documento que registra
as diretrizes de segurança assumidas pela organização. Essas diretrizes devem ser
conhecidas e cumpridas por todos os seus integrantes e aplicadas a todos os sistemas de informação e processos corporativos. Para a montagem desta Política, devese considerar as ameaças existentes, os riscos associados à falta de segurança, os
processos de negócio, os benefícios desejados e os custos de implementação dos
mecanismos.
A importância da implantação de uma POSIC deve-se ao fato de que esta
norteia a atuação, com adequados procedimentos e práticas, de quem utiliza a informação, com a percepção e compreensão dos riscos da informação organizacional, para previsão, prevenção e redução destes riscos. Isso significa que a POSIC é
uma das leis que regem sobre infraestrutura, tecnologias, pessoas e processos dos
sistemas de informação. Tem como objetivo prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos de negócio e com
as leis e regulamentações pertinentes (ABNT, 2006, p.6). Além disso, uma POSIC é
a primeira etapa para se dar início ao processo de Gestão da Segurança da Informação.
Se em empresas privadas é um desafio fundamental para os lucros e para a
sobrevivência do negócio resguardar as suas informações, a Administração Pública
deve considerar a segurança da informação como um direito dos cidadãos, mantendo as informações íntegras e disponibilizando-as apenas àqueles que podem acessá-las no momento em que delas precisarem.
Portanto, e considerando que a Dataprev armazena, processa e atualiza, em
tempo real, as informações de milhões de contribuintes brasileiros, propor diretrizes
para uma Política de Segurança da Informação e Comunicações para o Centro de
Processamento de Dados Distrito Federal (CPDF) baseadas na norma NBR
27002:2005 para posterior disseminação e cumprimento junto aos seus colaboradores, fornecedores e terceiros pode ser o primeiro passo para o desenvolvimento de
uma cultura de segurança da informação e comunicações e para o início de um processo de Gestão da Segurança da Informação e Comunicações na organização.
20
1.2 Formulação da situação problema (Questões de pesquisa)
As questões de pesquisa desse estudo objetivam iniciar um processo de gestão da segurança da informação e comunicações no Centro de Processamento de
Dados Distrito Federal por meio da elaboração de diretrizes pertinentes e fundamentadas nos controles da norma NBR 27002:2005 relacionadas com os processos de
negócio do CPDF. O foco deste trabalho será uma proposta para a formulação de
uma Política de Segurança da Informação e Comunicações convergentes com as
melhores práticas de segurança da informação e comunicações.
Cabe ressaltar que o processo de gestão da segurança da informação, de acordo com a NBR 27002:2005, deve ser iniciado por meio do desenvolvimento de
uma Política de Segurança da Informação e Comunicações, a qual é composta pelas diretrizes de segurança da informação adotadas pelas organizações.
Sendo assim, dentre os controles apontados pela norma NBR 27002:2005,
quais deles devem ser inseridos na Política de Segurança da Informação e Comunicações do CPDF? E quais seriam os procedimentos de segurança da informação e
comunicações a serem inseridos aos processos de negócio do CPDF?
21
1.3 Objetivos e escopo
1.3.1 Objetivo Geral
O objetivo geral deste trabalho é propor diretrizes para nortear o desenvolvimento de uma Política de Segurança da Informação e Comunicações para o Centro
de Processamento de Dados Distrito Federal da Dataprev em conformidade com os
controles contidos na Norma ABNT ISO/IEC 27002 - Tecnologia da Informação –
Técnicas de Segurança - Códigos de Prática para a Gestão da Segurança da Informação – ABNT NBR ISO/IEC 27002:2005.
1.3.2 Objetivos Específicos
A fim de atingir o objetivo geral, esta pesquisa foi dividida em quatro objetivos
específicos:
1. Analisar os procedimentos existentes nos processos de negócio do
CPDF relativos à segurança da informação e comunicações;
2. Alinhar os processos de negócio do CPDF aos controles da norma
NBR 27002:2005;
3. Elaborar diretrizes de segurança da informação, específicas para o
CPDF, baseadas nos controles da norma NBR 27002:2005, para orientar a formulação de uma Política de Segurança da Informação e Comunicações;
4. Elaborar diretrizes de segurança da informação relativas aos processos
de negócio do CPDF não contempladas nos controles da NBR
27002:2005.
22
1.3.3 Escopo
A Dataprev - Empresa de Tecnologia e Informações da Previdência Social é
uma organização complexa e vasta, dispondo de três centros de processamento de
dados e de regionais em todos os estados brasileiros. Portanto, visando viabilizar a
pesquisa, o escopo deste trabalho foi delimitado ao Centro de Processamento de
Dados Distrito Federal (CPDF).
O CPDF comporta e mantém, em Brasília, a infraestrutura necessária para a
sustentação de aplicações e serviços utilizados pela Previdência Social e pelos clientes da Dataprev. O objetivo do CPDF é executar, controlar e avaliar as ações de
operações do seu ambiente computacional, visando à qualidade dos serviços e a
disponibilidade das bases de dados e equipamentos instalados. É subdividido em
quatro grandes áreas, amparadas administrativamente pela S2AD, área de apoio
administrativo, que são:
•
D2GT (área de gestão tecnológica);
•
D2RE (área de redes);
•
D2SI (área de sustentação da infraestrutura);
•
D2OP (área de operações).
23
Figura 1: Estrutura organizacional do CPDF.
A S2AD acompanha as atividades de aquisições, gerenciamento de contratos,
viagens, pessoas, plano de capacitação e orçamento no âmbito do CPDF.
A D2GT planeja, executa, controla e avalia os serviços de produção do CPDF,
visando o pleno desempenho operacional, bem como o cumprimento dos cronogramas acordados.
A D2RE coordena e executa atividades que proporcionam a integração, disponibilidade, segurança, desempenho e suporte de rede de telecomunicações existente no CPDF.
A D2SI sustenta e presta suporte aos ambientes tecnológicos existentes no
CPDF, visando sua funcionalidade e disponibilidade, monitorando e gerenciando os
incidentes identificados, provendo os recursos necessários para o cumprimento dos
níveis de serviços acordados.
24
A D2OP opera o ambiente computacional do CPDF, processando e disponibilizando os serviços estabelecidos, promovendo a integridade e segurança das informações corporativas.
Por ser a base para a entrega de serviços de tecnologia da informação da Dataprev em Brasília, o CPDF, que ainda não dispõe de uma Política de Segurança da
Informação e Comunicações, o que implica em uma grande vulnerabilidade para
uma organização do seu porte. Para resolver essa vulnerabilidade, este trabalho visa fornecer subsídios para o desenvolvimento de sua primeira POSIC.
25
1.4 Justificativa
Em uma infraestrutura de Tecnologia da Informação, os mecanismos de segurança não podem ser meros sistemas de controle de acesso. Eles devem ser um
conjunto de sistemas, equipamentos, processos, políticas e, principalmente, uma
cultura dentro da empresa (COLTRO, 2000).
Cartwright (2001) constatou que a mais difícil e demorada tarefa relativa aos
procedimentos de segurança é o treinamento das pessoas, não apenas na divulgação do uso adequado dos computadores, mas no desenvolvimento da cultura da
segurança.
Para a implementação da segurança da informação e posterior desenvolvimento de maturidade de uma cultura da segurança da informação, deve-se desenvolver um sistema de Gestão da Segurança da Informação e Comunicações, que, de
acordo a norma NBR 27002:2005, inicia-se com a elaboração do documento da Política de Segurança da Informação e Comunicações.
Segundo Costa (2009), a Política de Segurança da Informação e Comunicações permite a gestão estratégica da Segurança da Informação e dos processos que
concernem à transmissão ou à replicação da informação. O documento que contém
a política adquire valor estratégico para a sobrevivência da organização, e saber
como elaborá-lo é fundamental. De forma a endossar esse valor e a importância de
seu cumprimento, a Política de Segurança da Informação e Comunicações deve refletir o apoio e o comprometimento da direção com a segurança da informação.
26
Ao longo de seus mais de trinta anos de existência, a Dataprev desenvolveu
uma poderosa infraestrutura, sistemas sofisticados e conhecimento para atender a
Previdência Social e demais clientes. No entanto, no seu Centro de Processamento
de Dados Distrito Federal ainda não vigora uma Política de Segurança da Informação e Comunicações. Tampouco, há ações efetivas para o desenvolvimento de uma
cultura de segurança.
Portanto, de forma a fornecer meios para preservar todo o esforço já desempenhado pela Dataprev e alinhar o CPDF às melhores práticas do mercado, este
trabalho propõe estabelecer um conjunto de diretrizes para a formulação de uma
POSIC, baseadas na norma NBR 27002:2005. As diretrizes propostas abrangerão a
proteção do ambiente e das informações do CPDF e servirão de exemplo para os
demais Centros de Processamento de Dados da Dataprev.
Assim, além de proteger seus ativos de informação, refletindo seus objetivos
do negócio, com a elaboração de uma POSIC poder-se-á fomentar o início de um
processo de gestão da segurança de informações de comunicações da organização
de forma integral.
1.5 Hipóteses
Por ter participado intensamente do desenvolvimento do Plano de Continuidade de Negócios do Centro de Processamento de Dados Distrito Federal, a pesquisadora detém elevado conhecimento prático dos processos de negócios do
CPDF. Dessa forma, por meio desse estudo, espera-se constatar que:
1. A norma NBR 27002:2005 pode ser considerada norteadora para o desenvolvimento de diretrizes específicas para o CPDF e ser utilizada
como base para o desenvolvimento de uma Política de Segurança da
Informação e Comunicações;
27
2. Todos os controles contidos na norma NBR 27002:2005 podem ser aplicados no CPDF;
3. Novas atribuições e processos de trabalho deverão ser delegados às
diferentes áreas do CPDF para a implementação da segurança da informação, pois, para uma eficaz gestão da segurança da informação e
comunicações no CPDF é fundamental adequar os processos de negócios existentes com as melhores práticas de segurança da informação.
28
2 Revisão de Literatura e Fundamentos
2.1 Política de Segurança da Informação e Comunicações
A informação é o ativo mais importante para os negócios das organizações.
Portanto, há a necessidade de proteger esse ativo de forma a garantir sua confidencialidade, integridade e disponibilidade. Nesse sentido, a primeira atitude a ser tomada em segurança da informação é o estabelecimento de políticas e procedimentos sobre como proteger a informação (SANS, 2010)
Uma Política de Segurança da Informação e Comunicações é o instrumento
base da segurança de informação de uma organização. A POSIC possui papel estratégico e deve expressar a importância que a organização dá aos ativos de informações, além de comunicar aos funcionários seus valores (FERREIRA e ARAÚJO,
2006).
No caso da Administração Pública Federal, a necessidade de uma Política de
Segurança da Informação e Comunicações se justifica na própria Constituição federal, artigo 37, caput, que vincula a Administração Pública aos princípios da legalidade, impessoalidade, moralidade, publicidade e eficiência. Nesse sentido, quanto melhor a gestão das informações, mais eficiente será o órgão ou entidade. Eis a necessidade de implantação de uma Política de Segurança da Informação e Comunicações efetiva (NETO, 2011).
29
O Acórdão nº 1.603/2008-TCU-Plenário define que a política de segurança da
informação é o documento que contém as diretrizes da instituição com relação ao
tratamento da segurança da informação, além de representar o alicerce a partir do
qual se derivam os documentos específicos para cada meio de armazenamento,
transporte, manipulação ou tratamento específico da segurança da informação. Definição esta reproduzida nos mesmos termos no Acórdão nº 2.308/2010-TCUPlenário, mais recente.
Os objetivos da Política de Segurança da Informação e Comunicações, segundo o Decreto N° 3.505, de 13 de junho de 2000, são:
1. Dotar os órgãos e as entidades da Administração Pública Federal de
instrumentos jurídicos, normativos e organizacionais que os capacitem
científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade
dos dados e das informações tratadas, classificadas e sensíveis;
2. Eliminar a dependência externa em relação a sistemas, equipamentos,
dispositivos e atividades vinculadas à segurança dos sistemas de informação;
3. Promover a capacitação de recursos humanos para o desenvolvimento
de competência científico-tecnológica em segurança da informação;
4. Estabelecer normas jurídicas necessárias à efetiva implementação da
segurança da informação;
5. Promover as ações necessárias à implementação e manutenção da
segurança da informação;
6. Promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e
privadas, sobre as atividades de segurança da informação;
7. Promover a capacitação industrial do País com vistas à sua autonomia
no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados
com a segurança da informação; e
30
8. Assegurar a interoperabilidade entre os sistemas de segurança da informação.
De forma a atingir esses objetivos nos órgãos e entidades da Administração
Pública Federal, direta e indireta, a Norma Complementar nº 03/IN01/DSIC/GSIPR,
de 30 de junho de 2009, estabelece diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações.
Quanto à divulgação, a Norma Complementar supracitada determina que a
POSIC e suas atualizações deverão ser divulgadas a todos os servidores, usuários,
prestadores de serviço, contratados e terceirizados que habitualmente trabalham no
órgão ou entidade da Administração Pública Federal.
Finalmente, no que diz respeito à atualização, a mesma Norma Complementar define que todos os instrumentos normativos gerados a partir da Política de Segurança da Informação e Comunicações, incluindo a própria Política, devem ser revisados sempre que necessário, não excedendo o período máximo de três anos.
31
2.2 A ABNT NBR ISO/IEC 27002:2005
A norma NBR 27002:2005 foi elaborada pelo Comitê Brasileiro de Computadores e Processamento de dados e pela Comissão de Estudo de Segurança Física
em Instalações de Informática. Trata-se de um guia de boas práticas em Segurança
da Informação, estabelecendo as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
A NBR 27002:2005 é subdividida em dezesseis seções (de 0 a 15). Além da
Introdução, Objetivo, Termos e Definições, Estrutura e uma seção introdutória que
aborda a análise/avaliação e o tratamento de riscos, há onze seções relevantes que
deliberam sobre um ou mais objetivos de controle, que representam categorias de
Segurança da Informação, totalizando trinta e nove categorias. As seções são subdivididas em controles. São cento e trinta e três controles no total. A estrutura interna
de cada controle inclui o objetivo de controle, as diretrizes para implementação, que
representam o que deve ser considerado para se alcançar o objetivo de controle,
além das definições pertinentes a cada controle.
A Figura 2 apresenta as principais seções da norma e um resumo das abordagens sobre cada objetivo de controle.
32
Figura 2: Mapa mental do resumo das seções relevantes da NBR 27002:2005 (ISECT, 2011).
A Norma preconiza que controles apropriados a cada organização devem ser
selecionados e implementados para assegurar que os riscos sejam reduzidos a um
nível aceitável. Os controles podem ser adequados para atender às necessidades
específicas das organizações. A seleção de controles de Segurança da Informação
depende das decisões das organizações, baseadas nos critérios para aceitação de
risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco
aplicado à organização.
Segundo a NBR 27002:2005, uma Política de Segurança da Informação e
Comunicações visa prover uma orientação e apoio da direção para a segurança da
informação de acordo com os requisitos do negócio e com as leis e regulamenta-
33
ções relevantes. Assim, a direção deve estabelecer uma política clara, alinhada com
os objetivos do negócio e demonstrar apoio e comprometimento com a segurança
da informação por meio da publicação e manutenção de uma Política de Segurança
da Informação e Comunicações para toda a organização.
2.4 Processos de Negócio do CPDF
O CPDF tem como objetivo geral executar, controlar e avaliar as ações de
operações do ambiente computacional do Centro de Processamento Distrito Federal, visando à qualidade dos serviços e a disponibilidade das bases de dados e equipamentos instalados.
Por se tratar de uma organização complexa, o CPDF dispõe de uma enormidade de processos de negócio. Esses processos são mapeados e mantidos pelo
dirigente mediato de cada divisão. Assim, seria infactível enumerá-los e expô-los
neste trabalho. De forma a ilustrar as atividades desempenhadas por cada setor do
CPDF, serão expostas as respectivas atribuições, das quais os processos de negócio são derivados.
2.4.1 Centro de Processamento de Dados Distrito Federal (CPDF)
1. Administrar a operação dos sistemas corporativos e proporcionar disponibilidade, integridade e segurança dos recursos computacionais e dos acervos de
dados e informações sob a sua guarda;
2. Promover a normatização e formulação de padrões referentes aos seus processos produtivos;
3. Identificar necessidade de recursos, aplicáveis em atividades sob sua responsabilidade;
4. Promover a qualidade dos produtos gerados, buscando o seu constante aperfeiçoamento e reportando às áreas competentes as providências necessárias
à solução dos problemas;
5. Promover o processo de modernização administrativa e da racionalização de
métodos e procedimentos, visando maior efetividade dos serviços prestados;
34
6. Participar do planejamento de capacidade do parque técnico, verificando tendências e interagindo com o departamento responsável pelo suporte técnico,
visando sua adequação aos níveis de serviços contratados;
7. Gerir o plano de segurança e contingência no âmbito de sua atuação de acordo com as diretrizes da Empresa;
8. Proporcionar a disponibilidade à infraestrutura tecnológica do CPDF, implementando e gerindo os contratos de aquisição e locação, e manutenção dos
recursos;
9. Coordenar ações que visem à prospecção, adoção, avaliação e disseminação
de tecnologias, no âmbito do Centro de Processamento, proporcionando a integração com padrões tecnológicos vigentes.
O CPDF está subdividido em:
1. Divisão de Apoio a Sustentação da Infraestrutura de TI;
2. Divisão de Operações;
3. Divisão de Apoio a Gestão de Serviços;
4. Serviço Técnico Planejamento do Ambiente Produtivo;
5. Serviço Técnico Gestão do Ambiente Produtivo;
6. Divisão de Apoio a Redes;
7. Serviço Técnico Administrativo.
2.4.2 Divisão de Apoio a Sustentação da Infraestrutura de TI (D2SI)
1. Administrar e suportar os softwares de aplicação, de bancos de dados, que
são executados nos ambientes operacionais do Centro de Processamento;
2. Prestar suporte ao ambiente do sistema operacional, banco de dados, correio
eletrônico, armazenamento de dados servidores, no âmbito do CPDF;
3. Executar ações que visem à prospecção, adoção, validação e disseminação
de tecnologias, no âmbito do Centro de Processamento, proporcionando o
seu uso sustentável e a integração com os padrões tecnológicos vigentes;
4. Fornecer consultoria e suporte técnico objetivando o uso produtivo dos recursos de TI no Centro de Processamento.
35
5. Atuar nos incidentes provendo os recursos e suporte necessário para a recuperação do ambiente, e subsídios necessários para análise dos problemas
identificados;
6. Monitorar o desempenho dos recursos computacionais e serviços em produção, bem como avaliar continuamente e performance das aplicações, propondo melhorias;
7. Promover ações sistemáticas para proporcionar a qualidade o ambiente tecnológicos;
8. Coordenar as ações para avaliação sistemática do uso de recursos computacionais corporativos, no âmbito do Centro de Processamento;
9. Avaliar os danos em casos de incidentes;
10. Atuar na implantação de novos sistemas, emitindo parecer de viabilidade técnica, preparando o ambiente conforme descrição de arquitetura e implantando
scripts de backup, de acordo com a política de cópia de segurança;
11. Atuar na gestão de mudanças e incidentes.
2.4.3 Divisão de Operações (D2OP)
1. Executar os serviços de produção, implementando os recursos e controles
necessários para sua operação;
2. Planejar, executar e documentar a movimentação de infra-estrutura no ambiente operacional;
3. Supervisionar atividades de contingência elétrica e de climatização no ambiente operacional;
4. Administrar os contratos de manutenção e garantia de equipamentos, bem
como supervisionar a execução dos serviços decorrentes desses contratos;
5. Administrar e documentar a entrada e saída de equipamentos no ambiente
operacional;
6. Manter atualizada a base de configuração do CPDF;
7. Implementar e assegurar a execução das políticas de backup, bem como administrar a guarda das mídias e o respectivo controle de retenção e liberação;
8. Executar procedimentos padronizados de salva e recuperação dos sistemas;
9. Administrar o estoque de suprimentos necessário à recuperação de sistemas;
36
10. Monitorar os servidores, sistemas e redes (internet/intranet/circuitos) do ambiente de produção, registrando e reportando as ocorrências às áreas competentes;
11. Executar procedimentos de atualização de versões dos sistemas e aplicações
em produção;
12. Executar atividades de segurança e contingência no ambiente de produção.
2.4.4 Divisão de Apoio a Gestão de Serviços (D2GT)
1. Planejar, coordenar e documentar a implantação, internalização e recepção
de serviços, sistemas e equipamentos;
2. Planejar as paradas no ambiente produtivo;
3. Administrar as mudanças e intervenções nos sistemas em produção no CPDF
assegurando também o cumprimento de normas técnicas;
4. Articular, no âmbito do CPDF, condições ideais para a gestão de serviços de
produção;
5. Fomentar a busca constante de aperfeiçoamento dos serviços de planejamento e gestão do ambiente produtivo;
6. Fornecer para o CPDF informações técnicas que subsidiem tomadas de decisão.
2.4.5 Serviço Técnico Planejamento do Ambiente Produtivo (S2PD)
1. Planejar a implantação de sistemas, softwares e servidores e administrar o
processo de implantação até a fase de conclusão da homologação;
2. Supervisionar a documentação de sistemas, softwares e servidores alocados
no ambiente produtivo durante as etapas de planejamento de implantação e
homologação;
3. Elaborar as políticas de cópia de segurança;
4. Planejar, supervisionar e documentar as manutenções programadas e emergenciais sobre a infra-estrutura física do ambiente operacional;
5. Planejar e administrar a implementação de normas técnicas e boas práticas
no ambiente produtivo, bem como monitorar o seu cumprimento;
37
6. Planejar a evolução do ambiente produtivo;
7. Avaliar e propor soluções para o melhor desempenho do ambiente produtivo.
2.4.6 Serviço Técnico Gestão do Ambiente Produtivo (D2GA)
1. Programar e administrar os processos de mudança no ambiente produtivo
quanto aos serviços, versões demais implementações de mudança nos aplicativos, bancos de dados, sistemas operacionais e redes;
2. Acompanhar o cumprimento das políticas de cópia de segurança no ambiente
produtivo bem como a atualização das políticas ao longo dos processos de
mudança;
3. Administrar os procedimentos de recuperação de serviços no ambiente produtivo;
4. Supervisionar a atualização da base de configuração de processos produtivos, serviços, sistemas e servidores;
5. Monitorar o cumprimento de normas técnicas e boas práticas no ambiente
produtivo, em conformidade com o planejamento estabelecido para a DATAPREV e especificamente para o CPDF;
6. Administrar a implementação dos planos de evolução do ambiente produtivo;
7. Avaliar e propor soluções para o melhor desempenho do ambiente produtivo.
2.4.7 Divisão de Apoio a Redes (D2RE)
1. Dar suporte aos softwares de rede, que são executados nos ambientes operacionais do Centro de Processamento;
2. Fornecer consultoria e suporte técnico ao ambiente de rede de telecomunicações objetivando o uso produtivo dos recursos;
3. Administrar a rede WAN do DF (MPS, INSS);
4. Administrar e controlar o serviço de acesso à Internet;
5. Avaliar a performance da rede quando da implantação de novas aplicações e
sistemas;
6. Manutenção dos níveis de serviço acordados com o cliente quanto à rede de
telecomunicações;
38
7. Administrar os serviços de DHCP da Região II (CO, S, AC, RO, TO, DF);
8. Administrar e configurar os serviços de segurança da rede, no âmbito do Centro de Processamento, com exceção de sistemas de prevenção de intrusão e
firewalls de aplicação;
9. Implantar e monitorar as políticas de segurança e contingência de rede, no
âmbito do Centro de Processamento, sob a supervisão do DERE;
10. Gerenciar a configuração da rede no âmbito do Centro de Processamento,
com exceção de switches de conteúdo externo – zona desmilitarizada, roteadores de Internet, roteadores Backbone e de acesso;
11. Configurar os ativos e serviços de rede no âmbito do Centro de Processamento;
12. Configurar a rede WAN com entidades externas;
13. Configurar, gerenciar e administrar a rede Infovia (DF) na DATAPREV;
14. Administrar, configurar e prestar suporte ao ambiente de VoIP do Governo
Federal;
15. Emitir relatórios de tarifação de telefonia VoIP do Governo Federal;
16. Registrar e acompanhar as ocorrências junto a empresas terceirizadas, responsáveis pela prestação de serviços de rede contratados;
17. Registrar os procedimentos adotados para resolução de problemas e incidentes de rede de forma a contribuir para atualização do banco de soluções;
18. Apoiar a elaboração de projetos de rede;
19. Efetuar a customização, implantação e manutenção de ferramentas de gerenciamento da rede;
20. Monitorar a rede para solução de problemas de desempenho, indicando ações corretivas e para avaliação do comportamento de novas aplicações,
propondo ações de melhoria;
21. Monitorar a rede por meio de sistemas de detecção e prevenção de intrusos.
39
2.4.8 Serviço Técnico Administrativo (S2AD)
1. Controlar a utilização do suprimento do caixa pequeno, no que se refere a
material de consumo e serviços;
2. Executar e acompanhar as atividades para a concessão de passagens aéreas, diárias, hospedagens, verba de viagem e prestação de contas, no âmbito do Centro de Processamento;
3. Receber e controlar as correspondências expedidas e recebidas;
4. Acompanhar os processos de compras junto às áreas demandantes, área de
suprimentos e jurídico;
5. Subsidiar com informações a gestão administrativa dos contratos de serviços,
no âmbito do Centro de Processamento;
6. Acompanhar as ações necessárias ao planejamento da capacitação do corpo
técnico;
7. Subsidiar com informações a gestão e acompanhamento da execução de horas-extras e sobreaviso;
8. Acompanhar junto à área de gestão de pessoas as movimentações admissão/demissão), no âmbito do Centro de Processamento;
9. Acompanhar o processo orçamentário e emitir informações gerenciais.
40
3 Metodologia
3.1 Abordagem e Tipo de Pesquisa
A metodologia deste trabalho foi baseada na abordagem de estudo de caso
ao evidenciar uma estreita correlação entre os processos de negócio do CPDF com
a NBR 27002:2005. Segundo Yin (2005), o método de estudo de caso possui aplicação para fins exploratórios, descritivos ou para fins explanatórios. Assim sendo, esta
pesquisa caracteriza-se pela pesquisa descritiva ao identificar e explorar em profundidade a correlação entre os processos de negócio do CPDF com a norma NBR
27002:2005.
3.2 Delineamento da Pesquisa
A primeira etapa da coleta de dados foi composta pela análise documental
que abrangeu uma revisão da norma NBR 27002:2005 e de um minucioso exame
dos processos de negócio do CPDF. Alguns aspectos como a pesquisa e a leitura
de políticas de segurança da informação e comunicações de outros órgãos também
foram contemplados.
A segunda etapa consistiu no alinhamento dos controles da norma aos processos de negócio do CPDF. Essa etapa exigiu entrevistas com os gerentes responsáveis pelas divisões do CPDF, pois nem todos os processos estavam documentados e algumas dúvidas em relação à fase referente a análise documental necessitavam de alguns esclarecimentos. O critério de seleção da amostra para participar das
entrevistas ocorreu por meio da escolha de gerentes com considerável tempo de
41
serviço na Dataprev e pelo relevante nível de conhecimento dos processos de negócio do CPDF.
A terceira etapa caracterizou-se pela elaboração de textos contendo diretrizes
para nortear a elaboração de uma Política de Segurança da Informação e Comunicações para o CPDF. Os resultados foram formatados na Tabela 3, alinhando cada
controle ao respectivo texto customizado para o CPDF.
Em cada etapa foram realizadas as seguintes atividades:
1) Primeira Etapa
a) Análise documental.
2) Segunda Etapa
a) Entrevistas com os gestores;
b) Identificação da aplicabilidade dos controles da NBR 27002:2005 ao
CPDF;
c) Estudo dos processos de negócio do CPDF alinhados aos controles da
norma NBR 27002: 2005.
3) Terceira Etapa
a) Elaboração de textos customizados como diretrizes para a elaboração
de uma Política de Segurança da Informação e Comunicações para o
CPDF.
No capítulo Resultados, a Tabela 1 apresentará um sumário das Entrevistas
Realizadas e a Tabela 2 contemplará o resultado da análise de aplicabilidade dos
controles da NBR 27002:2005. A Tabela 3 apresentará as diretrizes customizadas
para o CPDF e as diretrizes que não foram baseadas nos controles da norma NBR
27002:2005. Além disso, indicará a criação de novos processos de negócio para a
aplicação das diretrizes que foram elaboradas pela pesquisadora.
42
4 Resultados
As entrevistas realizadas com os gerentes responsáveis pelas divisões do
CPDF permitiram identificar alguns processos relativos ao CPDF não documentados
e, explorar com maior eficácia, aspectos da bibliografia concernente à segurança da
informação e comunicações alinhadas aos objetivos do negócio da organização. A
Tabela 1 apresenta o resultado das entrevistas que foram realizadas.
Tabela 1 – Sumário das Entrevistas Realizadas.
Quantidade Total de Horas
de Entrevista
Quantidade de afirmações concordantes com
as hipóteses
Gilvan Souza Prado –
Gerente da S2GA
4,5
5
Dennis Webert Nunes
dos Santos – Assessor
do Gerente do CPDF
6
5
Nome do Entrevistado
Observa-se que as entrevistas não foram realizadas em uma única oportunidade, mas semanalmente, durante a análise documental que durou aproximadamente
um mês (de 11 de maio de 2011 a 15 de junho de 2011). Assim, após cerca de uma
semana de análise documental, a pesquisadora abordou os gerentes, questionandoos sobre os processos de negócio do CPDF, obtendo informações diversas de acordo
com as características de cada divisão e que dependeram do grau de documentação
dos processos de negócio existentes.
A Tabela 2 apresenta o resultado da análise de aplicabilidade dos controles da
NBR 27002:2005.
43
Tabela 2 – Aplicabilidade dos controles da NBR 27002:2005 ao CPDF.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
5.1.1 - Convém que um documento da política de segurança da
informação seja aprovado pela direção, publicado e comunicado
para todos os funcionários e partes externas relevantes.
Aplicável
5.1.2 - Convém que a política de segurança da informação seja
analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
Aplicável
6.1.1 - Convém que a direção apóie ativamente a segurança da
informação dentro da organização, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuições de forma explícita e conhecendo as responsabilidades pela
segurança da informação.
Aplicável
6.1.2 - Convém que as atividades de segurança da informação sejam coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes.
Aplicável
44
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.1.3 - Convém que todas as responsabilidades pela segurança da
informação, estejam claramente definidas.
Aplicável
6.1.4 - Convém que seja definido e implementado um processo de
gestão de autorização para novos recursos de processamento da
informação.
Aplicável
6.1.5 - Convém que os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação sejam identificados e analisados criticamente, de forma regular.
Aplicável
6.1.6 - Convém que contatos apropriados com autoridades relevantes sejam mantidos.
Aplicável
6.1.7 - Convém que sejam mantidos contatos apropriados com
grupos de interesses especiais ou outros fóruns especializados de
segurança da informação e associações profissionais.
Aplicável
45
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.1.8 - Convém que o enfoque da organização para gerenciar a
segurança da informação e a sua implementação (por exemplo,
controles, objetivo dos controles, políticas, processos e procedimentos para a segurança da informação) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando
correrem mudanças significativas relativas à implementação da
segurança da informação.
Aplicável
6.2.1 - Convém que os riscos para os recursos de processamento
da informação e da informação da organização oriundos de processos do negócio que envolva as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso.
Aplicável
6.2.2 - Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou às informações da organização.
Aplicável
46
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.2.3 - Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos
de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes.
Aplicável
7.1.1 - Convém que todos os ativos sejam claramente identificados
e um inventário de todos os ativos importantes seja estruturado e
mantido.
Aplicável
7.1.2 - Convém que todas as informações e ativos associados com
os recursos de processamento da informação tenham um proprietário designado por uma parte definida da organização.
Aplicável
7.1.3 - Convém que sejam identificadas, documentadas e implementadas regras para que sejam permitidos o uso de informações
e de ativos associados aos recursos de processamento da informação.
Aplicável
7.2.1 - Convém que a informação seja classificada em termos do
seu valor, requisitos legais, sensibilidade e criticidade para a organização.
Aplicável
47
Controle da NBR 27002:2005
Proposta de texto para a POSIC
7.2.2 - Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização.
Aplicável
8.1.1 - Convém que papéis e responsabilidades pela segurança da
informação de funcionários, fornecedores e terceiros sejam definidos e documentados de acordo com a política de segurança da
informação da organização.
8.1.2 - Convém que verificações de controle de todos os candidatos a emprego, fornecedores e terceiros sejam realizadas de acordo com as leis relevantes, regulamentações e éticas, e proporcional aos requisitos do negócio, à classificação das informações a
serem acessadas e aos riscos percebidos.
8.1.3 - Como parte das suas obrigações contratuais, convém que
os funcionários, fornecedores e terceiros concordem e assinem os
termos e condições de sua contratação para o trabalho, os quais
devem declarar as suas responsabilidades e a da organização para a segurança da informação.
Aplicável
Aplicável
Aplicável
48
Controle da NBR 27002:2005
Proposta de texto para a POSIC
8.2.1 - Convém que a direção solicite aos funcionários, fornecedores e terceiros que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.
Aplicável
8.2.2 - Convém que todos os funcionários da organização e, onde
pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e
procedimentos organizacionais, relevantes para as suas funções.
Aplicável
8.2.3 - Convém que exista um processo disciplinar formal para os
funcionários que tenham cometido uma violação da segurança da
informação.
Aplicável
8.3.1 - Convém que responsabilidades para realizar o encerramento ou a mudança de um trabalho sejam claramente definidas e atribuídas.
Aplicável
49
Controle da NBR 27002:2005
Proposta de texto para a POSIC
8.3.2 - Convém que todos os funcionários, fornecedores e terceiros
devolvam todos os ativos da organização que estejam em sua
posse, após o encerramento de suas atividades, do contrato ou
acordo.
Aplicável
8.3.3 - Convém que os direitos de acesso de todos os funcionários,
fornecedores e terceiros às informações e aos recursos de processamento da informação sejam retirados após o encerramento de
suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades.
Aplicável
9.1.1 - Convém que sejam utilizados perímetros de segurança
(barreiras tais como paredes, portões de entrada controlados por
cartão ou balcões de recepção com recepcionistas) para proteger
as áreas que contenham informações e instalações de processamento da informação.
Aplicável
9.1.2 - Convém que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas
autorizadas tenham acesso.
Aplicável
50
Controle da NBR 27002:2005
Proposta de texto para a POSIC
9.1.3 - Convém que seja projetada e aplicada segurança física para escritórios, salas e instalações.
Aplicável
9.1.4 - Convém que sejam projetadas e aplicadas proteção física
contra incêndios, enchentes, terremotos, explosões, perturbações
da ordem pública e outras formas de desastres naturais ou causados pelo homem.
Aplicável
9.1.5 - Convém que seja projetada e aplicada proteção física, bem
como diretrizes para o trabalho em áreas seguras.
Aplicável
9.1.6 - Convém que os pontos de acesso, tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações, sejam controlados e, se
possível, isolados das instalações de processamento da informação, para evitar o acesso não autorizado.
Aplicável
9.2.1 - Convém que os equipamentos sejam colocados no local ou
protegidos para reduzir os riscos de ameaças e perigos do meio
ambiente, bem como as oportunidades de acesso não autorizado.
Aplicável
51
Controle da NBR 27002:2005
9.2.2 - Convém que os equipamentos sejam protegidos contra falta
de energia elétrica e outras interrupções causadas por falhas das
utilidades.
Proposta de texto para a POSIC
Aplicável
9.2.3 - Convém que o cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações seja protegido contra interceptação ou danos.
Aplicável
9.2.4 - Convém que os equipamentos tenham uma manutenção
correta para assegurar sua disponibilidade e integridade permanentes.
Aplicável
9.2.5 - Convém que sejam tomadas medidas de segurança para
equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.
Não Aplicável
52
Controle da NBR 27002:2005
Proposta de texto para a POSIC
9.2.6 - Convém que todos os equipamentos que contenham mídias
de armazenamento de dados sejam examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança.
Aplicável
9.2.7 - Convém que equipamentos, informações ou software não
sejam retirados do local sem autorização prévia.
Aplicável
10.1.1 - Convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis a todos os usuários
que deles necessitem.
Aplicável
10.1.2 - Convém que modificações nos recursos de processamento da informação e sistemas sejam controladas.
Aplicável
10.1.3 - Convém que funções e áreas de responsabilidade sejam
segregadas para reduzir as oportunidades de modificação ou uso
indevido não autorizado ou não intencional dos ativos da organização.
Não Aplicável
53
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.1.4 - Convém que recursos de desenvolvimento, teste e produção sejam separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais.
Aplicável
10.2.1 - Convém que seja garantido que os controles de segurança, as definições de serviço e os níveis de entrega incluídos no
acordo de entrega de serviços terceirizados sejam implementados,
executados e mantidos pelo terceiro.
Aplicável
10.2.2 - Convém que os serviços, relatórios e registros fornecidos
por terceiro sejam regularmente monitorados e analisados criticamente, e que auditorias sejam executadas regularmente.
Aplicável
10.2.3 - Convém que mudanças no provisionamento dos serviços,
incluindo manutenção e melhoria da política de segurança da informação, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a criticidade dos sistemas e processos
de negócio envolvidos e a reanálise/reavaliação de riscos.
Aplicável
10.3.1 - Convém que utilização dos recursos seja monitorada e
sincronizada e as projeções feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema.
Aplicável
54
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.3.2 - Convém que sejam estabelecidos critérios de aceitação
para novos sistemas, atualizações e novas versões, e que sejam
efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitação.
Aplicável
10.4.1 - Convém que sejam implantados controles de detecção,
prevenção e recuperação para proteger contra códigos maliciosos,
assim como procedimentos para a devida conscientização dos usuários.
Aplicável
10.4.2 - Onde o uso de códigos móveis é autorizado, convém que
a configuração garanta que o código móvel autorizado opere de
acordo com uma política de segurança da informação claramente
definida e códigos móveis não autorizados tenham sua execução
impedida.
Aplicável
10.5.1 - Convém que as cópias de segurança das informações e
dos softwares sejam efetuadas e testadas regularmente conforme
a política de geração de cópias de segurança definida.
Aplicável
10.6.1 - Convém que as redes sejam adequadamente gerenciadas
e controladas, de forma a protegê-las contra ameaças e manter a
segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.
Aplicável
55
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.6.2 - Convém que as características de segurança, níveis de
serviço e requisitos de gerenciamento dos serviços de rede sejam
identificados e incluídos em qualquer acordo de serviços de rede,
tanto para serviços de rede providos internamente ou terceirizados.
Aplicável
10.7.1 - Convém que existam procedimentos implementados para
o gerenciamento de mídias removíveis.
Aplicável
Aplicável, porém o controle caracteriza-se como redundante,
ou seja, o mesmo controle é contemplado duas vezes na
10.7.2 - Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias, por meio de norma (primeiro, de forma genérica e, posteriormente, de forprocedimentos formais.
ma mais específica, com referência ao controle já existente).
O controle foi totalmente contemplado no item 9.2.6.
10.7.3 - Convém que sejam estabelecidos procedimentos para o
tratamento e o armazenamento de informações, para proteger tais
informações contra a divulgação não autorizada ou uso indevido.
Aplicável
56
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.7.4 - Convém que a documentação dos sistemas seja protegida
contra acessos não autorizados.
Aplicável
10.8.1 - Convém que políticas, procedimentos e controles sejam
estabelecidos e formalizados para proteger a troca de informações
em todos os tipos de recursos de comunicação.
Aplicável
10.8.2 - Convém que sejam estabelecidos acordos para a troca de
informações e softwares entre a organização e entidades externas.
Aplicável
10.8.3 - Convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou alteração indevida durante o transporte externo aos limites físicos da organização.
Aplicável
57
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.8.4 - Convém que as informações que trafegam em mensagens
eletrônicas sejam adequadamente protegidas.
Aplicável
10.8.5 - Convém que políticas e procedimentos sejam desenvolvidos e implementados para proteger as informações associadas
com a interconexão de sistemas de informações do negócio.
Aplicável
10.9.1 - Convém que as informações envolvidas em comércio eletrônico transitando sobre redes públicas sejam protegidas de atividades fraudulentas, disputas contratuais e divulgação e modificações não autorizadas.
Não aplicável
10.9.2 - Convém que informações envolvidas em transações online sejam protegidas para prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.
Aplicável
10.9.3 - Convém que a integridade das informações disponibilizadas em sistemas publicamente acessíveis seja protegida para prevenir modificações não autorizadas.
Aplicável
58
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.10.1 - Convém que registros (log) de auditoria contendo atividades dos usuários, exceções e outros eventos de segurança da informação sejam produzidos e mantidos por um período de tempo
acordado para auxiliar em futuras investigações e monitoramento
de controle de acesso.
Aplicável
10.10.2 - Convém que sejam estabelecidos procedimentos para o
monitoramento do uso dos recursos de processamento da informação e os resultados das atividades de monitoramento sejam
analisados criticamente, de forma regular.
Aplicável
10.10.3 - Convém que os recursos e informações de registros (log)
sejam protegidos contra falsificação e acesso não autorizado.
Não Aplicável
10.10.4 - Convém que as atividades dos administradores e operadores do sistema sejam registradas.
10.10.5 - Convém que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas ações apropriadas.
Aplicável
Aplicável
59
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.10.6 - Convém que os relógios de todos os sistemas de processamento da informação relevantes, dentro da organização ou do
domínio de segurança, sejam sincronizados de acordo com uma
hora oficial.
Aplicável
11.1.1 - Convém que a política de controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como
base os requisitos de acesso dos negócios e segurança da informação.
11.2.1 - Convém que exista um procedimento formal de registro e
cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.
Aplicável
Aplicável
11.2.2 - Convém que a concessão e o uso de privilégios sejam restritos e controlados.
Aplicável
11.2.3 - Convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal.
Aplicável
60
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.2.4 - Convém que o gestor conduza a intervalos regulares a
análise crítica dos direitos de acesso dos usuários, por meio de um
processo formal.
Aplicável
11.3.1 - Convém que os usuários sejam solicitados a seguir as boas práticas de segurança da informação na seleção e uso de senhas.
11.3.2 - Convém que os usuários assegurem que os equipamentos
não monitorados tenham proteção adequada.
11.3.3 - Convém que seja adotada uma política de mesa limpa de
papéis e mídias de armazenamento removível e política de tela
limpa para os recursos de processamento da informação.
Aplicável
Aplicável
Aplicável
61
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.4.1 - Convém que usuários somente recebam acesso para os
serviços que tenham sido especificamente autorizados a usar.
Aplicável
Aplicável, porém o controle caracteriza-se como redundante,
ou seja, o mesmo controle é contemplado duas vezes na
norma (primeiro, de forma genérica e, posteriormente, de for11.4.2 - Convém que métodos apropriados de autenticações sejam
ma mais específica, com referência ao controle já existente).
usados para controlar acesso de usuários remotos.
No entanto, neste caso não houve referência na norma. Apesar disso, a pesquisadora julgou conveniente contemplá-lo
integralmente no item 10.8.1.
11.4.3 - Convém que sejam consideradas as identificações automáticas de equipamentos como um meio de autenticar conexões
vindas de localizações e equipamentos específicos.
Não Aplicável
11.4.4 - Convém que seja controlado o acesso físico e lógico das
portas de diagnóstico e configuração.
Aplicável
11.4.5 - Convém que grupos de serviços de informação, usuários e
sistemas de informação sejam segredados em redes.
Aplicável
62
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.4.6 - Para redes compartilhadas, especialmente essas que se
estendem pelos limites da organização, convém que a capacidade
dos usuários para conectar-se à rede seja restrita, alinhada com a
política de controle de acesso e os requisitos das aplicações do
negócio
Não Aplicável
11.4.7 - Convém que seja implementado controle de roteamento
na rede, para assegurar que as conexões de computador e fluxos
de informação não violem a política de controle de acesso das aplicações do negócio.
Aplicável
11.5.1 - Convém que o acesso aos sistemas operacionais seja
controlado por um procedimento seguro de entrada no sistema
(log-on).
Aplicável
11.5.2 - Convém que todos os usuários tenham um identificador
único (ID de usuário) para uso pessoal e exclusivo, e convém que
uma técnica adequada de autenticação seja escolhida para validar
a identidade alegada por um usuário.
Aplicável
11.5.3 - Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade.
Aplicável
63
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.5.4 - Convém que o uso de programas utilitários que podem ser
capazes de sobrepor os controles dos sistemas e aplicações seja
restrito e estritamente controlado.
Não Aplicável
11.5.5 - Convém que terminais inativos sejam desconectados após
um período definido de inatividade.
Não Aplicável
11.5.6 - Convém que restrições nos horários de conexão sejam
utilizadas para proporcionar segurança adicional para aplicações
de alto risco.
Aplicável
Aplicável, porém o controle caracteriza-se como redundante,
11.6.1 - Convém que o acesso à informação e às funções dos sisou seja, o mesmo controle é contemplado duas vezes na
temas de aplicações por usuários e pessoal de suporte seja restrito norma (primeiro, de forma genérica e, posteriormente, de forde acordo com o definido na política de controle de acesso.
ma mais específica, com referência ao controle já existente).
O controle foi totalmente contemplado no item 11.1.1.
11.6.2 - Convém que sistemas sensíveis tenham um ambiente
computacional dedicado (isolado).
Aplicável
Aplicável, porém o controle caracteriza-se como redundante,
11.7.1 - Convém que uma política formal seja estabelecida e que
ou seja, o mesmo controle é contemplado duas vezes na
medidas de segurança apropriadas sejam adotadas para a protenorma (primeiro, de forma genérica e, posteriormente, de forção contra os riscos do uso de recursos de computação e comunima mais específica, com referência ao controle já existente).
cação móveis.
O controle foi totalmente contemplado no item 10.4.2.
64
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.7.2 - Convém que uma política, planos operacionais e procedimentos sejam desenvolvidos e implementados para atividades de
trabalho remoto.
Aplicável
12.1.1 - Convém que sejam especificados os requisitos para controles de segurança nas especificações de requisitos de negócios,
para novos sistemas de informação ou melhorias em sistemas existentes.
Aplicável
12.2.1 - Convém que os dados de entrada de aplicações sejam
validados para garantir que são corretos e apropriados.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.2 - Convém que sejam incorporadas, nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção
de informações, por erros ou por ações deliberadas.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.3 - Convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações sejam identificados e os controles apropriados sejam identificados e implementados.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.4 - Convém que os dados de saída das aplicações sejam validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias.
Não Aplicável
O CPDF não desenvolve aplicações.
65
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.3.1 - Convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação.
Aplicável
12.3.2 - Convém que um processo de gerenciamento de chaves
seja implantado para apoiar o uso de técnicas criptográficas pela
organização.
Aplicável
12.4.1 - Convém que procedimentos para controlar a instalação de
software em sistemas operacionais sejam implementados.
Não Aplicável
12.4.2 - Convém que os dados de teste sejam selecionados com
cuidado, protegidos e controlados.
Aplicável
12.4.3 - Convém que o acesso ao código-fonte de programa seja
restrito.
Aplicável
12.5.1 - Convém que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças.
Aplicável
66
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.5.2 - Convém que aplicações críticas de negócios sejam analisadas criticamente e testadas quando sistemas operacionais são
mudados, para garantir que não haverá nenhum impacto adverso
na operação da organização ou na segurança.
Aplicável
12.5.3 - Convém que modificações em pacotes de software não
sejam incentivadas e limitadas às mudanças necessárias e que
todas as mudanças sejam estritamente controladas.
Aplicável
12.5.4 - Convém que oportunidades para vazamento de informações sejam prevenidas.
Aplicável
12.5.5 - Convém que a organização supervisione e monitore o desenvolvimento terceirizado de software.
Não Aplicável
12.6.1 - Convém que seja obtida informação em tempo hábil sobre
vulnerabilidades técnicas dos sistemas de informação em uso,
avaliada a exposição da organização a estas vulnerabilidades e
tomadas as medidas apropriadas para lidar com os riscos associados.
Aplicável
67
Controle da NBR 27002:2005
Proposta de texto para a POSIC
13.1.1 - Convém que os eventos de segurança da informação sejam relatados através dos canais apropriados da direção, o mais
rapidamente possível.
Aplicável
13.1.2 - Convém que os funcionários, fornecedores e terceiros de
sistemas e serviços de informação sejam instruídos a registrar e
notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços.
Aplicável
13.2.1 - Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas, efetivas
e ordenadas a incidentes de segurança da informação.
Aplicável
13.2.2 - Convém que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança
da informação sejam quantificados e monitorados.
Aplicável
68
Controle da NBR 27002:2005
Proposta de texto para a POSIC
13.2.3 - Nos casos em que uma ação de acompanhamento contra
uma pessoa ou organização, após um incidente de segurança da
informação, envolver uma ação legal (civil ou criminal), convém
que evidências sejam coletadas, armazenadas e apresentadas em
conformidade com as normas de armazenamento de evidências da
jurisdição(ões) pertinente(s).
Aplicável
14.1.1 - Convém que um processo de gestão seja desenvolvido e
mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização.
Aplicável
14.1.2 - Convém identificar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade e impacto de
tais interrupções e as conseqüências para a segurança de informação.
Aplicável
14.1.3 - Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para
assegurar a disponibilidade da informação no nível requerido e na
escala de tempo requerida, após a ocorrência de interrupções ou
falhas dos processos críticos do negócio.
Aplicável
69
Controle da NBR 27002:2005
Proposta de texto para a POSIC
14.1.4 - Convém que uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos
são consistentes, para contemplar os requisitos de segurança da
informação e para identificar prioridades para testes e manutenção.
Aplicável
14.1.5 - Convém que os planos de continuidade do negócio sejam
testados e atualizados regularmente, de forma a assegurar sua
permanente atualização e efetividade.
Aplicável
15.1.1 - Convém que todos os requisitos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos, sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação da organização
Não Aplicável
15.1.2 - Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos,
regulamentares e contratuais no uso de material, em relação aos
quais pode haver direitos de propriedade intelectual e sobre o uso
de produtos de software proprietários.
Não Aplicável
70
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Aplicável, porém o controle caracteriza-se como redundante,
ou seja, o mesmo controle é contemplado duas vezes na
15.1.3 - Convém que registros importantes sejam protegidos contra norma (primeiro, de forma genérica e, posteriormente, de forperda, destruição e falsificação, de acordo com os requisitos regu- ma mais específica, com referência ao controle já existente).
lamentares, estatutários, contratuais e do negócio.
No entanto, neste caso não houve referência na norma. Apesar disso, a pesquisadora julgou conveniente contemplá-lo
nos itens 6.2.2, 10.6.1 e 14.1.3.
15.1.4 - Convém que a privacidade e proteção de dados sejam
asseguradas conforme exigido nas legislações relevantes, regulamentações e, se aplicável, nas cláusulas contratuais.
Aplicável
15.1.5 - Convém que os usuários sejam dissuadidos de usar os
recursos de processamento da informação para propósitos não
autorizados.
Aplicável
15.1.6 - Convém que controles de criptografia sejam usados em
conformidade com todas as leis, acordos e regulamentações relevantes.
Aplicável
15.2.1 - Convém que gestores garantam que todos os procedimentos de segurança da informação dentro da sua área de responsabilidade estão sendo executados corretamente para atender à conformidade com as normas e políticas de segurança da informação.
Aplicável
71
Controle da NBR 27002:2005
Proposta de texto para a POSIC
15.2.2 - Convém que sistemas de informação sejam periodicamente verificados em sua conformidade com as normas de segurança
da informação implementadas.
Aplicável
15.3.1 - Convém que requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente
planejados e acordados para minimizar os riscos de interrupção
dos processos do negócio.
Aplicável
15.3.2 - Convém que o acesso às ferramentas de auditoria de sistema de informação seja protegido, para prevenir qualquer possibilidade de uso impróprio ou comprometimento.
Aplicável
72
Tabela 3 – Proposta de texto para a POSIC do CPDF.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
A informação é um ativo que, como qualquer outro ativo importante, é essencial
para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da
interconectividade, a informação está agora exposta a um crescente número e a
uma grande variedade de ameaças e vulnerabilidades.
A informação pode existir em diversas formas. Ela pode ser impressa ou escrita
em papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou o meio por meio do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.
5.1.1 - Convém que um documento da política de
Segurança da informação é a proteção da informação de vários tipos de ameaças
segurança da informação seja aprovado pela direpara garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar
ção, publicado e comunicado para todos os funo retorno sobre os investimentos e as oportunidades de negócio.
cionários e partes externas relevantes.
A segurança da informação é obtida a partir da implementação de um conjunto de
controles adequados, incluindo esta política, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Esses controles precisam
ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança
da organização sejam atendidos.
Todas as diretrizes previstas nesta Política de Segurança da Informação e Comunicações representam os princípios básicos que o CPDF decidiu incorporar aos
seus processos, conforme visão estratégica da alta direção, que apóia as metas e
princípios da segurança da informação e comunicações, alinhada com os objeti-
73
Controle da NBR 27002:2005
Proposta de texto para a POSIC
vos do negócio da Dataprev.
A Política de Segurança e Comunicações do CPDF se aplica a todos os seus recursos humanos, administrativos e tecnológicos. A abrangência dos recursos citados refere-se tanto àqueles ligados a ela em caráter permanente quanto temporário.
Esta política é comunicada para todo o pessoal envolvido e largamente divulgada
pelo CPDF (está disponível em www-cpdf/politica), garantindo que todos tenham
consciência da mesma e a pratiquem na organização. Todo o pessoal recebe as
informações necessárias para cumprir adequadamente o que está determinado
nesta Política de Segurança.
Nos casos de violação da Política ou das normas de Segurança da Informação e
Comunicações, sanções administrativas e/ou legais poderão ser adotadas, podendo gerar advertências, demissões e/ou processos criminais, se aplicáveis.
5.1.2 - Convém que a política de segurança da
informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas
ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
A Política de Segurança da Informação e Comunicações do CPDF será analisada
criticamente a cada 24 (vinte e quatro) meses ou quando ocorrerem mudanças
significativas pela Coordenação Geral de Segurança de Informações, de forma a
assegurar a sua contínua pertinência, adequação e eficácia.
74
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.1.1 - Convém que a direção apóie ativamente a
segurança da informação dentro da organização,
por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuições de forma explícita e conhecendo as responsabilidades pela segurança da informação.
A alta direção da Dataprev, assim como o Gerente do CPDF, apóia esta política
da segurança da informação e informações, reconhece que a responsabilidade
pela segurança das informações da Dataprev cabe a cada um de seus colaboradores e delega aos gerentes imediatos a supervisão do seu cumprimento.
6.1.2 - Convém que as atividades de segurança
Cabe ao Gerente do CPDF instituir e designar o Comitê Gestor de Segurança da
da informação sejam coordenadas por represenInformação, composto por representantes de diferentes áreas do CPDF, com funtantes de diferentes partes da organização, com
ções e papéis relevantes.
funções e papéis relevantes.
Os dados, as informações e os sistemas de informação do CPDF e sob sua guarda, são protegidos contra ameaças e ações não autorizadas, acidentais ou não,
6.1.3 - Convém que todas as responsabilidades
de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses
pela segurança da informação, estejam claramenbens. No entanto, a manutenção desses ativos depende da responsabilidade de
te definidas.
cada colaborador, que deve cumprir com as suas atribuições e as diretrizes estabelecidas desta Política.
75
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os novos recursos de processamento da informação devem ter autorização adequada por parte da administração de usuários, autorizando seus propósitos e uso.
O gestor responsável pela manutenção do sistema de segurança da informação
também deve autorizar o acesso, de forma a garantir que todas as políticas e requisitos de segurança relevantes sejam atendidos.
6.1.4 - Convém que seja definido e implementado
um processo de gestão de autorização para novos Hardwares e softwares devem ser verificados para comprovação de compatibilidade com outros componentes do sistema.
recursos de processamento da informação.
O uso de recursos de processamento de informação, pessoais ou privados, como,
por exemplo, notebooks, computadores pessoais ou quaisquer dispositivos que
possam introduzir novas vulnerabilidades à infraestrutura do CPDF, devem dispor
dos dispositivos de segurança (exemplo: antivírus) disponibilizados pela Dataprev.
6.1.5 - Convém que os requisitos para confidencialidade ou acordos de não divulgação que refli- Informações sigilosas, corporativas ou que possam causar prejuízo à Dataprev
tam as necessidades da organização para a pro- devem ser protegidas e não podem ser enviadas para outras redes, sem proteção
teção da informação sejam identificados e anali- adequada.
sados criticamente, de forma regular.
Em caso de incidentes de segurança e/ou desastres, o CPDF comunicará à auto6.1.6 - Convém que contatos apropriados com
ridade responsável, e seguirá as orientações contidas no seu Plano de Continuiautoridades relevantes sejam mantidos.
dade de Negócios.
6.1.7 - Convém que sejam mantidos contatos aO Comitê Gestor de Segurança da Informação deverá manter contato com grupos
propriados com grupos de interesses especiais ou
de interesses especiais ou outros fóruns especializados de segurança da informaoutros fóruns especializados de segurança da inção e associações profissionais pertinentes.
formação e associações profissionais.
76
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.1.8 - Convém que o enfoque da organização
para gerenciar a segurança da informação e a sua
implementação (por exemplo, controles, objetivo
dos controles, políticas, processos e procedimentos para a segurança da informação) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando correrem mudanças
significativas relativas à implementação da segurança da informação.
Anualmente, o Gerente do CPDF deverá iniciar uma análise crítica independente.
Essa análise crítica independente torna-se necessária para assegurar a contínua
pertinência, adequação e eficácia do enfoque da organização para gerenciar a
segurança da informação. Essa análise crítica inclui a avaliação de oportunidades
para a melhoria contínua e a necessidade de mudanças, incluindo a política e os
objetivos de controle.
6.2.1 - Convém que os riscos para os recursos de
processamento da informação e da informação da
organização oriundos de processos do negócio
que envolva as partes externas sejam identificados e controles apropriados implementados antes
de se conceder o acesso.
Na análise de riscos do Plano de Continuidade de Negócios do CPDF são identificados e especificados os requisitos de controles específicos relativos ao acesso
de uma parte externa aos recursos de processamento da informação ou à informação de uma organização.
O acesso às informações da organização pelas partes externas não deverá ser
fornecido até que os controles apropriados tenham sido implementados e, quando
for o caso viável, um contrato tenha sido assinado.
77
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O acesso aos ativos ou às informações do CPDF será concedido aos seus clientes observando-se (dependendo do tipo e extensão do acesso concedido, nem
todos os itens são aplicáveis):
1) Proteção dos ativos, incluindo:
a) Procedimentos para proteger os ativos da organização, incluindo informação e software, e a gestão de vulnerabilidades conhecidas;
b) Procedimentos para definir ações quando ocorrer o comprometimento de
c) Quaisquer dos ativos, por exemplo, perda ou modificação de dados;
6.2.2 - Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso
aos ativos ou às informações da organização.
d) Integridade do ativo;
e) Restrições em relação a cópias e divulgação de informações;
2) Descrição do produto ou serviço a ser fornecido;
3) As diferentes razões, requisitos e benefícios para o acesso do cliente;
4) Políticas de controle de acesso, cobrindo:
a) Métodos de acesso permitido e o controle e uso de identificadores únicos,
tais como identificador de usuário e senhas de acesso;
b) Um processo de autorização para acesso dos usuários e privilégios;
c) Uma declaração de que todo o acesso que não seja explicitamente autori-
78
Controle da NBR 27002:2005
Proposta de texto para a POSIC
zado é proibido;
d) Um processo para revogar os direitos de acesso ou interromper a conexão
entre sistemas.
5) Procedimentos para relato, notificação e investigação de informações imprecisas (por exemplo, sobre pessoal), incidentes de segurança da informação e
violação da segurança da informação;
6) Descrição de cada serviço que deve estar disponível;
7) Os níveis de serviços acordados e os níveis de serviços inaceitáveis;
8) Direito de monitorar e revogar qualquer atividade relacionada com os ativos do
CPDF;
9) As respectivas responsabilidades civis da organização e dos clientes;
10) Responsabilidades com relação a aspectos legais e como é assegurado que
os requisitos legais são atendidos, por exemplo, leis de proteção de dados,
especialmente levando-se em consideração os diferentes sistemas legais nacionais se o acordo envolver a cooperação com clientes em outros países;
11) Direitos de propriedade intelectual e direitos autorais e proteção de qualquer
trabalho colaborativo.
79
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.2.3 - Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação
ou gerenciamento dos recursos de processamento
da informação ou da informação da organização,
ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram
todos os requisitos de segurança da informação
relevantes.
Nos acordos com terceiros envolvendo o acesso, processamento, comunicação
ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação devem obedecer todos os requisitos de segurança da
informação relevantes e deve ser considerada a possibilidade de indenização de
terceiros nesses acordos.
O inventário de todo o conjunto de ativos de processamento deve ser registrado e
mantido atualizado, no mínimo, mensalmente, na ConsoleNG. No caso de implan7.1.1 - Convém que todos os ativos sejam claratações, as atualizações devem ser executadas pela D2OP, segundo informações
mente identificados e um inventário de todos os
repassadas pela S2PD em até 24 (vinte e quatro) horas após a implantação. No
ativos importantes seja estruturado e mantido.
caso de mudanças, as atualizações devem ser feitas pela D2OP, orientadas pela
S2GA em até 24 (vinte e quatro) horas após cada mudança.
7.1.2 - Convém que todas as informações e ativos
Todas as informações e ativos associados com os recursos de processamento da
associados com os recursos de processamento da
informação possuem um responsável técnico designado pela área responsável
informação tenham um proprietário designado por
pelas informações cadastradas na ConsoleNG (S2GA e S2PD).
uma parte definida da organização.
7.1.3 - Convém que sejam identificadas, documentadas e implementadas regras para que se- Todos os colaboradores, fornecedores e terceiros devem seguir as regras para o
jam permitidos o uso de informações e de ativos uso permitido de informações e de ativos associados aos recursos de processaassociados aos recursos de processamento da mento da informação do CPDF.
informação.
80
Controle da NBR 27002:2005
Proposta de texto para a POSIC
7.2.1 - Convém que a informação seja classificada
A informação deve ser protegida de acordo com o seu valor, sensibilidade e critiem termos do seu valor, requisitos legais, sensibicidade. Para tanto, o CPDF possui um sistema de classificação da informação.*
lidade e criticidade para a organização.
7.2.2 - Convém que um conjunto apropriado de
procedimentos para rotulação e tratamento da
Na Política de Classificação da Informação do CPDF constam os procedimentos
informação seja definido e implementado de acorpara rotulação e tratamento das informações.*
do com o esquema de classificação adotado pela
organização.
Cabe aos colaboradores do CPDF:
1) Preservar a integridade e guardar sigilo das informações de que fazem uso,
bem como zelar e proteger os respectivos recursos de processamento de informações;
2) Cumprir esta Política de Segurança e Comunicações, sob pena de incorrer
nas sanções disciplinares e legais cabíveis;
8.1.1 - Convém que papéis e responsabilidades
pela segurança da informação de funcionários, 3) Utilizar os Sistemas de Informações da Dataprev e os recursos a ela relaciofornecedores e terceiros sejam definidos e docunados somente para os fins previstos pela Segurança da Dataprev;
mentados de acordo com a política de segurança
4) Cumprir as regras específicas de proteção estabelecidas aos ativos de inforda informação da organização.
mação;
5) Manter o caráter sigiloso da senha de acesso aos recursos e sistemas da Dataprev;
6) Não compartilhar, sob qualquer forma, informações confidenciais com outros
que não tenham a devida autorização de acesso;
81
Controle da NBR 27002:2005
Proposta de texto para a POSIC
7) Responder por todo e qualquer acesso aos recursos da Dataprev bem como
pelos efeitos desses acessos efetivados através do seu código de identificação, ou outro atributo para esse fim utilizado;
8) Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violação da legislação de
propriedade intelectual pertinente;
9) Comunicar a chefia imediata o conhecimento de quaisquer irregularidades ou
desvios.
Cabe ao Comitê Gestor de Segurança da Informação:
1) Estabelecer regras de proteção dos ativos do CPDF;
2) Decidir quanto à medida que são tomadas no caso de violação das regras estabelecidas;
3) Revisar pelo menos anualmente, as regras de proteção estabelecidas;
4) Restringir e controlar o acesso e os privilégios de usuários remotos e externos;
5) Elaborar e manter atualizado o Plano de Continuidade de Negócio da CPDF;
6) Executar as regras de proteção estabelecidas por esta Política de Segurança;
7) Detectar, identificar, registrar e comunicar a gerência do CPDF as violações ou
tentativas de acesso não autorizadas;
8) Definir e aplicar, para cada usuário de TI, restrições de acesso à Rede, como
82
Controle da NBR 27002:2005
Proposta de texto para a POSIC
horário autorizado, dias autorizados, entre outras;
9) Manter registros de atividades de usuários de TI (logs) por um período de
tempo superior a 6 (seis) anos. Os registros contêm a hora e a data das atividades, a identificação do usuário de TI, comandos (e seus argumentos) executados, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos e condições de erro observadas (tentativas rejeitadas, erros de consistência, etc.);
10) Limitar o prazo de validade das contas de prestadores de serviço ao período
da contratação;
11) Excluir as contas inativas;
12) Fornecer senhas de contas privilegiadas somente aos empregados que necessitem efetivamente dos privilégios, mantendo-se o devido registro e controle.
Cabe aos Prestadores de Serviço:
1) Cumprir as cláusulas que contemplam a responsabilidade dos prestadores de
serviço no cumprimento desta Política de Segurança da Informação, suas
normas e procedimentos previstas em contrato.
83
Controle da NBR 27002:2005
Proposta de texto para a POSIC
8.1.2 - Convém que verificações de controle de
todos os candidatos a emprego, fornecedores e
terceiros sejam realizadas de acordo com as leis
relevantes, regulamentações e éticas, e proporcional aos requisitos do negócio, à classificação
das informações a serem acessadas e aos riscos
percebidos.
Além do processo seletivo, realizado por meio de concurso público, são adotados
critérios com o propósito de selecionar para o quadro do CPDF pessoas reconhecidamente idôneas e sem antecedentes que possam comprometer a segurança
ou credibilidade.*
8.1.3 - Como parte das suas obrigações contratuais, convém que os funcionários, fornecedores e
terceiros concordem e assinem os termos e con- O colaborador ou prestador de serviço deve assinar termo de compromisso asdições de sua contratação para o trabalho, os sumindo o dever de manter sigilo, mesmo quando desligado, sobre todos os atiquais devem declarar as suas responsabilidades e vos de informações e processos do CPDF.
a da organização para a segurança da informação.
8.2.1 - Convém que a direção solicite aos funcionários, fornecedores e terceiros que pratiquem a Os colaboradores, fornecedores e terceiros deverão ser conscientizados das suas
segurança da informação de acordo com o esta- responsabilidades quanto às políticas e procedimentos, de forma a evitar considebelecido nas políticas e procedimentos da organi- ráveis danos para o CPDF.
zação.
8.2.2 - Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas
e procedimentos organizacionais, relevantes para
as suas funções.
Existe um processo pelo qual é apresentada aos empregados e prestadores de
serviço esta Política de Segurança da Informação e suas normas e procedimentos
relativos ao trato de informações e/ou dados sigilosos, com o propósito de desenvolver e manter uma efetiva conscientização de segurança, assim como instruir o
seu fiel cumprimento.
84
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O Comitê Gestor de Segurança da Informação do CPDF deve avaliar e decidir
8.2.3 - Convém que exista um processo disciplinar
quanto às medidas que são tomadas no caso de violação das regras estabeleciformal para os funcionários que tenham cometido
das nesta POSIC, de forma a assegurar um tratamento justo e correto aos colabouma violação da segurança da informação.
radores que cometerem violações de segurança da informação.
A D2OP é responsável por assegurar que a saída de colaboradores, fornecedores
e terceiros da organização seja feita de modo controlado e que a devolução de
todos os equipamentos e a retirada de todos os direitos de acesso estão concluí8.3.1 - Convém que responsabilidades para reali- das. A comunicação de encerramento de atividades deve ser feita por e-mail pelo
zar o encerramento ou a mudança de um trabalho gerente imediato responsável, incluindo requisitos de segurança e responsabilisejam claramente definidas e atribuídas.
dades legais pertinentes e responsabilidades contidas, se houver, em quaisquer
acordos de confidencialidade e os termos e condições de trabalho continuam pelo
período de 1 (um) ano após o fim do trabalho do colaborador, do fornecedor ou do
terceiro.*
8.3.2 - Convém que todos os funcionários, fornecedores e terceiros devolvam todos os ativos da
organização que estejam em sua posse, após o
encerramento de suas atividades, do contrato ou
acordo.
O processo de encerramento de atividades deve ser formalizado para contemplar
a devolução de todos os equipamentos, documentos corporativos e software entregues à pessoa. Outros ativos da organização, tais como dispositivos de computação móvel, cartões de créditos, cartões de acesso, software, manuais e informações armazenadas em mídia eletrônica, também precisam ser devolvidos.
85
Controle da NBR 27002:2005
Proposta de texto para a POSIC
8.3.3 - Convém que os direitos de acesso de todos os funcionários, fornecedores e terceiros às
informações e aos recursos de processamento da
informação sejam retirados após o encerramento
de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades.
Após o envio do e-mail de encerramento de atividades, um termo de devolução de
todos os equipamentos, documentos corporativos e softwares entregues deve ser
assinado pelo colaborador, fornecedor ou terceiro. Outros ativos do CPDF, tais
como dispositivos de computação móvel, cartões de crédito, cartões de acesso,
software, manuais e informações armazenadas em mídia eletrônica, também devem ser devolvidos.
9.1.1 - Convém que sejam utilizados perímetros
de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões
de recepção com recepcionistas) para proteger as
áreas que contenham informações e instalações
de processamento da informação.
Os recursos e instalações críticas ou sensíveis do CPDF são mantidos em áreas
seguras, protegidas por um perímetro de segurança definido, com barreiras de
segurança, controle de acesso, portões de entrada controlados por cartão e balcões de recepção com recepcionistas. Eles são fisicamente protegidos de acesso
não autorizado, dano ou interferência. A proteção fornecida é proporcional aos
riscos identificados.
9.1.2 - Convém que as áreas seguras sejam proA entrada e saída em locais com ativos críticos são restritos aos colaboradores
tegidas por controles apropriados de entrada para
(ou terceiros acompanhados por, no mínimo, um colaborador) e automaticamente
assegurar que somente pessoas autorizadas teregistradas com data e hora definidas.
nham acesso.
86
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O CPDF leva em conta os regulamentos e normas de saúde e segurança aplicáveis.
As instalações-chave são localizadas de maneira a evitar o acesso do público;
O edifício que comporta o centro de dados do CPDF é discreto e não dá indicação
9.1.3 - Convém que seja projetada e aplicada se- possível da sua finalidade, tampouco há letreiros evidentes, fora ou dentro do edigurança física para escritórios, salas e instala- fício, que identifiquem a presença de atividades de processamento de informações.
ções.
A localização das instalações que processam informações sensíveis não fica facilmente acessível ao público, tampouco na lista de colaboradores e guias telefônicos internos.
9.1.4 - Convém que sejam projetadas e aplicadas
proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.
O CPDF ainda não dispõe de centro de dados seguro, protegido contra incêndios,
enchentes, terremotos, explosões, perturbações da ordem pública e outras formas
de desastres naturais ou causados pelo homem. No entanto, dispõe de um Plano
de Continuidade de Negócios (PCN), onde estão previstos os procedimentos e
responsabilidades em caso de desastres.
As responsabilidades pela segurança física dos sistemas do CPDF estão definidas e atribuídas a indivíduos claramente identificados na organização.
9.1.5 - Convém que seja projetada e aplicada pro- O sistema de CFTV – Circuito Fechado de Televisão e Vídeo registra as imagens
teção física, bem como diretrizes para o trabalho dos ambientes críticos e demais ambientes internos e de acesso ao CPDF no
em áreas seguras.
modo 24 x 7 (vinte e quatro por sete), com backup de 365 (trezentos e sessenta e
cinco) dias.
Nas instalações do CPDF, todos devem utilizar identificação de forma visível (por
87
Controle da NBR 27002:2005
Proposta de texto para a POSIC
exemplo: crachá) e informar à segurança sobre a presença de qualquer pessoa
não identificada ou de qualquer estranho não acompanhado.
O acesso aos componentes da infra-estrutura, atividade fundamental ao funcionamento dos sistemas do CPDF, como painéis de controle de energia, comunicações e cabeamento, é restrito ao pessoal autorizado.
Perdas de cartões/chaves de acesso devem ser imediatamente comunicadas ao
responsável pelo Comitê Gestor de Segurança da Informação do CPDF. O Comitê está preparado para executar as medidas apropriadas para prevenir acessos
não autorizados.
Sistemas de segurança para acesso físico estão instalados para controlar, registrar e auditar o acesso ao CPDF.
No centro de dados não é permitido o uso de máquinas fotográficas, gravadores
de vídeo ou áudio ou de outros equipamentos de gravação, tais como câmeras
em dispositivos móveis, salvo se for autorizado previamente.
9.1.6 - Convém que os pontos de acesso, tais como áreas de entrega e de carregamento e outros
pontos em que pessoas não autorizadas possam
entrar nas instalações, sejam controlados e, se
possível, isolados das instalações de processamento da informação, para evitar o acesso não
autorizado.
As áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações devem ser controlados. Essas pessoas
devem obter acesso apenas às áreas específicas, com propósitos autorizados, e
esses acessos seguem instruções baseadas nos requisitos de segurança da área
visitada.
9.2.1 - Convém que os equipamentos sejam colo- Os equipamentos críticos devem ser colocados em local isolado, a fim de minimicados no local ou protegidos para reduzir os ris- zar o acesso desnecessário às áreas de trabalho.
cos de ameaças e perigos do meio ambiente, bem
88
Controle da NBR 27002:2005
Proposta de texto para a POSIC
como as oportunidades de acesso não autorizado. As instalações de processamento da informação que manuseiam dados sensíveis
são posicionadas de forma que o ângulo de visão fique restrito, de modo a reduzir
o risco de que as informações sejam vistas por pessoal não autorizado durante a
sua utilização, e os locais de armazenagem são protegidos, a fim de evitar o acesso não autorizado.
Os itens que exigem proteção especial são isolados para reduzir o nível geral de
proteção necessário.
São adotados controles para minimizar o risco de ameaças físicas potenciais, tais
como furto, incêndio, explosivos, fumaça, água (ou falha do suprimento de água),
poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, radiação eletromagnética e vandalismo;
São estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instalações de processamento da informação.
O edifício sede da Dataprev e seu anexo, onde está situado o CPDF, são dotados
de proteção contra raios e todas as linhas de entrada de força e de comunicações
têm filtros de proteção contra raios.
Os equipamentos que processam informações sensíveis são protegidos, a fim de
minimizar o risco de vazamento de informações em decorrência de emanações.
89
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os equipamentos do centro de dados do CPDF são protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades. O CPDF
possui um Plano de Continuidade do Negócio que estabelece, no mínimo, o tratamento adequado dos seguintes eventos de segurança:
9.2.2 - Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras 1) Invasão do sistema e da rede interna do CPDF;
interrupções causadas por falhas das utilidades.
2) Incidentes de segurança física e lógica; e
3) Indisponibilidade da infraestrutura.
As linhas de energia e de telecomunicações que entram nas instalações do centro
9.2.3 - Convém que o cabeamento de energia e
de dados do CPDF são subterrâneas.
de telecomunicações que transporta dados ou dá
suporte aos serviços de informações seja protegiO cabeamento de redes é protegido contra interceptação não autorizada ou dado contra interceptação ou danos.
nos pelo uso de conduítes e evitando trajetos que passem por áreas públicas.
90
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No CPDF, a manutenção dos equipamentos deve ser realizada nos intervalos recomendados pelo fornecedor, e de acordo com as suas especificações. A manutenção e os consertos dos equipamentos devem ser realizados somente por pessoal de manutenção autorizado.
São mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as
9.2.4 - Convém que os equipamentos tenham uma
operações de manutenção preventiva e corretiva realizadas.
manutenção correta para assegurar sua disponibilidade e integridade permanentes.
São implementados controles apropriados, na época programada para a manutenção local do equipamento. Se o equipamento precisar ser removido do CPDF,
as informações sensíveis serão eliminadas do equipamento, sendo resguardadas
para posterior restauração no equipamento.
São atendidas todas as exigências estabelecidas nas apólices de seguro.
9.2.5 - Convém que sejam tomadas medidas de
segurança para equipamentos que operem fora do
local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.
Não aplicável
9.2.6 - Convém que todos os equipamentos que
contenham mídias de armazenamento de dados
As mídias devem ser eliminadas de forma segura, quando não forem mais necessejam examinados antes do descarte, para assesárias. Procedimentos formais para a eliminação segura das mídias estão definigurar que todos os dados sensíveis e softwares
dos pela norma de Classificação de Informação do CPDF.
licenciados tenham sido removidos ou sobregravados com segurança.
91
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os equipamentos, informações ou software não devem ser retirados do CPDF
sem autorização prévia.
Os colaboradores devem obter autorização direta e expressa do Gerente do
9.2.7 - Convém que equipamentos, informações
CPDF para permitir a remoção de ativos.
ou software não sejam retirados do local sem autorização prévia.
Em cada caso, serão estabelecidos limites de tempo para a permanência de equipamentos fora do CPDF e a devolução deverá ser controlada.
Deverá ser feito um registro da retirada e da devolução de equipamentos, quando
do seu retorno.
Os procedimentos do CPDF devem ser documentados, principalmente, os proce10.1.1 - Convém que os procedimentos de opera- dimentos das atividades de sistemas associadas a recursos de processamento e
ção sejam documentados, mantidos atualizados e comunicação de informações, tais como procedimentos de inicialização e deslidisponíveis a todos os usuários que deles neces- gamento de computadores, geração de cópias de segurança (backup), manutenção de equipamentos e tratamento de mídias. Assim, em caso de turn over (rotasitem.
tividade de pessoal), não haverá interrupção dos trabalhos.
Os processos de mudança nos sistemas de informação do CPDF devem ser rea10.1.2 - Convém que modificações nos recursos
lizados por meio de RDM (Requisição de Mudança) eletrônica, disponível na Conde processamento da informação e sistemas sesoleNG. As mudanças de arquitetura e/ou que envolvam hardware são feitas e
jam controladas.
controladas pela S2PD, pois dependem de um novo planejamento.
10.1.3 - Convém que funções e áreas de responNão aplicável
sabilidade sejam segregadas para reduzir as oporNesse caso, conforme as diretrizes para implementação da norma, outros controtunidades de modificação ou uso indevido não
les, como a monitoração das atividades, trilhas de auditoria e o acompanhamento
autorizado ou não intencional dos ativos da orgagerencial são realizados.
nização.
92
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os ambientes de desenvolvimento, homologação, produção e treinamento do
CPDF são sempre segregados.
10.1.4 - Convém que recursos de desenvolvimen- Os softwares em desenvolvimento e em produção são executados em diferentes
to, teste e produção sejam separados para reduzir sistemas ou processadores e em diferentes domínios ou diretórios.
o risco de acessos ou modificações não autoriza- Os ambientes de testes simulam o ambiente de produção o mais próximo possível.
das aos sistemas operacionais.
Os usuários têm diferentes perfis para sistemas em testes e em produção.
Os dados sensíveis da produção não são copiados para os ambientes de testes.
10.2.1 - Convém que seja garantido que os controles de segurança, as definições de serviço e os
A entrega de serviços por um terceiro inclui os arranjos de segurança acordados,
níveis de entrega incluídos no acordo de entrega
definições de serviço e aspectos de gerenciamento de serviços.
de serviços terceirizados sejam implementados,
executados e mantidos pelo terceiro.
10.2.2 - Convém que os serviços, relatórios e registros fornecidos por terceiro sejam regularmente
monitorados e analisados criticamente, e que auditorias sejam executadas regularmente.
O CPDF deve monitorar e analisar de forma crítica os serviços terceirizados para
garantir a aderência entre os termos de segurança de informação e as condições
dos acordos, e para que problemas e incidentes de segurança da informação
possam ser gerenciados adequadamente.
93
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No processo de gerenciamento de mudanças para serviços terceirizados, o CPDF
considera:
1) Mudanças feitas pela organização para a implementação de:
a) Melhorias dos serviços correntemente oferecidos;
b) Desenvolvimento de quaisquer novas aplicações ou sistemas;
c) Modificações ou atualizações das políticas e procedimentos da organização;
10.2.3 - Convém que mudanças no provisionad) Novos controles para resolver os incidentes de segurança da informação e
mento dos serviços, incluindo manutenção e mepara melhorar a segurança;
lhoria da política de segurança da informação,
procedimentos e controles existentes, sejam gerenciadas levando-se em conta a criticidade dos
2) Mudanças em serviços de terceiros para implementação de*:
sistemas e processos de negócio envolvidos e a
reanálise/reavaliação de riscos.
a) Mudanças e melhorias em redes;
b) Uso de novas tecnologias;
c) Adoção de novos produtos ou novas versões;
d) Novas ferramentas e ambientes de desenvolvimento;
e) Mudanças de localização física dos recursos de serviços;
f) Mudanças de fornecedores.
94
Controle da NBR 27002:2005
Proposta de texto para a POSIC
A S2PD identifica e reavalia os requisitos de capacidade das aplicações/serviços
novos e em andamento no CPDF, levando em consideração os requisitos dos no10.3.1 - Convém que utilização dos recursos seja
vos negócios e sistemas e as tendências atuais e projetadas de capacidade de
monitorada e sincronizada e as projeções feitas
processamento de informação do CPDF. Nos casos de aplicações/serviços com
para necessidades de capacidade futura, para
ANS, faz-se monitoramento para garantia e melhora da disponibilidade e da eficigarantir o desempenho requerido do sistema.
ência. A D2SI, por meio do Zabbix, implementa controles detectivos para identificar problemas em tempo hábil.
10.3.2 - Convém que sejam estabelecidos critérios
de aceitação para novos sistemas, atualizações e
novas versões, e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitação.
Todas as aplicações/serviços do CPDF dispõem de um gestor (negócio) e de um
responsável técnico, funções passíveis de serem acumulativas em um único indivíduo. Os gestores garantem que os requisitos e critérios para aceitação de novos
sistemas estejam claramente definidos, acordados, documentados e testados. As
novas aplicações/serviços, atualizações e novas versões somente são migradas
para produção após a obtenção de aceitação formal por parte do gestor.*
10.4.1 - Convém que sejam implantados controles
de detecção, prevenção e recuperação para pro- Os procedimentos de combate a códigos hostis (vírus, cavalo-de-tróia e worms)
teger contra códigos maliciosos, assim como pro- estão sistematizados e abrangem máquinas servidoras, estações de trabalho, ecedimentos para a devida conscientização dos quipamentos portáteis e microcomputadores stand alone (isolados).
usuários.
95
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.4.2 - Onde o uso de códigos móveis é autorizado, convém que a configuração garanta que o
código móvel autorizado opere de acordo com O CPDF deve controlar os recursos disponíveis para acesso a códigos móveis e
uma política de segurança da informação clara- estabelecer controles criptográficos de autenticação exclusiva do código móvel.
mente definida e códigos móveis não autorizados
tenham sua execução impedida.
10.5.1 - Convém que as cópias de segurança das
informações e dos softwares sejam efetuadas e A S2PD elabora e mantém a Política de Cópias de Segurança (backups). A D2OP
testadas regularmente conforme a política de ge- testa e executa as rotinas, conforme a Política de Cópias de Segurança.
ração de cópias de segurança definida.
10.6.1 - Convém que as redes sejam adequadamente gerenciadas e controladas, de forma a proA D2RE gerencia e controla o tráfego das informações no ambiente de rede, protegê-las contra ameaças e manter a segurança de
tegendo contra danos ou perdas, bem como acesso, uso ou exposição indevidos.
sistemas e aplicações que utilizam estas redes,
incluindo a informação em trânsito.
A D2RE identifica e determina junto ao provedor dos serviços de rede as definições de segurança necessárias para o CPDF e alguns serviços específicos, tais
como características de segurança, níveis de serviço e requisitos de gerenciamento. Além disso, monitora a capacidade do provedor de gerenciar os serviços
acordados de maneira segura.
10.6.2 - Convém que as características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede sejam identificados e
incluídos em qualquer acordo de serviços de rede,
tanto para serviços de rede providos internamente
ou terceirizados.
São adotadas as facilidades de segurança disponíveis de forma inata nos ativos
de processamento da rede.
96
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Sempre que uma mídia contiver informações sensíveis, o proprietário das informações, conforme a norma de Classificação da Informação do CPDF, deverá autorizar sua remoção e manter registro dessa remoção como trilha de auditoria.
Toda mídia é guardada de forma segura em um ambiente protegido, de acordo
10.7.1 - Convém que existam procedimentos im- com as especificações do fabricante.
plementados para o gerenciamento de mídias removíveis.
As informações armazenadas em mídias que precisam estar disponíveis por muito tempo (em conformidade com as especificações dos fabricantes) são também
armazenadas em outro local para evitar perda de informações devido à deterioração das mídias.
As mídias removíveis são registradas para limitar a oportunidade de perda de dados.*
10.7.2 - Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos
formais.
Redundante
97
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No tratamento, processamento, armazenamento e transmissão da informação são
considerados*:
1) Tratamento e identificação de todos os meios magnéticos indicando o nível de
classificação;
2) Restrições de acesso para prevenir o acesso de pessoas não autorizadas;
3) Manutenção de um registro formal dos destinatários de dados autorizados;
4) Garantia de que a entrada de dados é completa, de que o processamento está
10.7.3 - Convém que sejam estabelecidos procedevidamente concluído e de que a validação das saídas é aplicada;
dimentos para o tratamento e o armazenamento
de informações, para proteger tais informações 5) Proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade;
contra a divulgação não autorizada ou uso indevido.
6) Armazenamento das mídias em conformidade com as especificações dos fabricantes;
7) Manutenção da distribuição de dados no menor nível possível;
8) Identificação eficaz de todas as cópias das mídias, para alertar os destinatários autorizados;
9) Análise crítica das listas de distribuição e das listas de destinatários autorizados em intervalos regulares.
98
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Na proteção da documentação dos seus sistemas, o CPDF:
1) Guarda a documentação dos sistemas de forma segura;
10.7.4 - Convém que a documentação dos siste- 2) Gerencia o acesso de pessoas à documentação de sistemas, garantindo que a
relação de pessoas com permissão seja a menor possível e autorizada pelo
mas seja protegida contra acessos não autorizados.
proprietário do sistema;
3) Quando necessário, mantém a documentação de sistema em uma rede pública, ou fornecida por meio de uma rede pública, protegida de forma apropriada.
O CPDF adota recursos de VPN, baseados em criptografia, para a troca de informações sensíveis, por meio de redes públicas.*
São adotados recursos criptográficos para proteção de informações eletrônicas
sensíveis que sejam transmitidas na forma de anexos.
As responsabilidades de funcionários, fornecedores e quaisquer outros usuários
associados ao CPDF não devem comprometer a organização por meio de, por
10.8.1 - Convém que políticas, procedimentos e exemplo, difamação, assédio, falsa identidade, retransmissão de "correntes",
controles sejam estabelecidos e formalizados para compras não autorizadas, etc.
proteger a troca de informações em todos os tipos
O CPDF, por meio de sua Política de Classificação da Informação, prevê as direde recursos de comunicação.
trizes de retenção e descarte para toda a correspondência de negócios, incluindo
mensagens, de acordo com regulamentações e legislação locais e nacionais relevantes.
O CPDF preconiza que:
1) As informações críticas ou sensíveis não devem ser deixadas em equipamen-
99
Controle da NBR 27002:2005
Proposta de texto para a POSIC
tos de impressão, tais como copiadoras, impressoras e aparelhos de fax, de
tal forma que pessoas não autorizadas tenham acesso a elas;
2) Seus colaboradores devem tomar precauções adequadas como, por exemplo,
não revelar informações sensíveis, para evitar que sejam escutadas ou interceptadas durante uma ligação telefônica por pessoas em sua vizinhança, especialmente quando estiver usando telefone celular, grampo telefônico e outras formas de escuta clandestina através do acesso físico ao aparelho telefônico ou à linha, ou, ainda, pelo uso de rastreadores e pessoas ao lado do interlocutor;
3) Não devem ser deixadas mensagens contendo informações sensíveis em secretárias eletrônicas, uma vez que as mensagens podem ser reproduzidas por
pessoas não autorizadas, gravadas em sistemas públicos ou gravadas indevidamente por erro de discagem;
4) Deve haver atenção no uso de aparelhos de fax para evitar acesso não autorizado a dispositivos para recuperação de mensagens, programação de aparelhos, deliberada ou acidental, para enviar mensagens para números específicos determinados, envio de documentos e mensagens para número errado,
seja por falha na discagem ou uso de número armazenado errado. Vale lembrar que alguns aparelhos de fax e copiadoras que têm dispositivos de armazenamento temporário de páginas para o caso de falha no papel ou na transmissão, as quais serão impressas após a correção da falha;
5) Seus colaboradores não devem armazenar dados pessoais, como endereços
de correios eletrônicos ou informações adicionais particulares, em quaisquer
softwares, impedindo que sejam capturados para uso não autorizado.
100
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Na troca de informações com entidades externas, o CPDF deverá adotar um ou
mais critérios de segurança listados abaixo:
1) Criptografia;
10.8.2 - Convém que sejam estabelecidos acordos 2) Certificados digitais;
para a troca de informações e softwares entre a
3) Restrições dos IPs de destino e origem;
organização e entidades externas.
4) VPN.
O CPDF e a entidade externa deverão dispor de acordos para procedimentos de
custódia e responsabilidades e obrigações na ocorrência de incidentes de segurança da informação, como perda de dados.
101
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Na proteção de mídias que são transportadas entre localidades, o CPDF deve:
1) Confiar no meio de transporte ou o serviço de mensageiros;
2) Definir uma relação de portadores autorizados em concordância com cada
gestor;
3) Os portadores autorizados ou gestores devem verificar a identificação dos
transportadores;
10.8.3 - Convém que mídias contendo informações sejam protegidas contra acesso não autorizado, uso impróprio ou alteração indevida durante
o transporte externo aos limites físicos da organização.
4) Garantir que a embalagem seja suficiente para proteger o conteúdo contra
qualquer dano físico, como os que podem ocorrer durante o transporte, e que
seja feita de acordo com as especificações dos fabricantes (como no caso de
softwares), por exemplo, protegendo contra fatores ambientais que possam
reduzir a possibilidade de restauração dos dados como a exposição ao calor,
umidade ou campos eletromagnéticos;
5) O gestor deve adotar controles, onde necessário, para proteger informações
sensíveis contra divulgação não autorizada ou modificação; como exemplo,
pode-se incluir o seguinte:
a) Utilização de recipientes lacrados;
b) Entrega em mãos;
c) Lacre explícito de pacotes (que revele qualquer tentativa de acesso);
d) Em casos excepcionais, divisão do conteúdo em mais de uma remessa e
expedição por rotas distintas.
102
Controle da NBR 27002:2005
Proposta de texto para a POSIC
As considerações de segurança da informação sobre as mensagens eletrônicas
no CPDF devem incluir*:
1) Proteção das mensagens contra acesso não autorizado, modificação ou negação de serviço;
2) Assegurar que o endereçamento e o transporte da mensagem estejam corretos;
10.8.4 - Convém que as informações que trafegam em mensagens eletrônicas sejam adequa- 3) Confiabilidade e disponibilidade geral do serviço;
damente protegidas.
4) Assinaturas eletrônicas;
5) Impedimento total de uso de serviços públicos externos, tais como sistemas de
mensagens instantâneas e compartilhamento de arquivos;
6) Níveis mais altos de autenticação para controlar o acesso a partir de redes
públicas.
10.8.5 - Convém que políticas e procedimentos
sejam desenvolvidos e implementados para proteger as informações associadas com a interconexão de sistemas de informações do negócio.
Todas as vulnerabilidades conhecidas devem ser divulgadas por meio de nota
técnica. Assim, as possíveis interconexões entre sistemas poderão considerar as
vulnerabilidades conhecidas de forma a decidir sobre a correção da vulnerabilidade ou a aceitação do risco.
10.9.1 - Convém que as informações envolvidas
em comércio eletrônico transitando sobre redes
públicas sejam protegidas de atividades fraudulentas, disputas contratuais e divulgação e modificações não autorizadas.
Não Aplicável
103
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.9.2 - Convém que informações envolvidas em
transações on-line sejam protegidas para prevenir
transmissões incompletas, erros de roteamento,
alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.
No CPDF, as transações on-line se dão por meio de uso de assinaturas eletrônicas para cada uma das partes envolvidas na transação, o caminho de comunicação entre todas as partes envolvidas é criptografado e os protocolos usados para
comunicações entre todas as partes envolvidas é seguro.
10.9.3 - Convém que a integridade das informações disponibilizadas em sistemas publicamente
acessíveis seja protegida para prevenir modificações não autorizadas.
As aplicações, dados e informações adicionais que requeiram um alto nível de
integridade, determinada pelo gestor responsável, e que sejam disponibilizados
em sistemas publicamente acessíveis devem ser protegidos por mecanismos apropriados.
O nível de monitoramento requerido para os recursos individuais é determinado
por meio de uma análise de riscos. Os registros (logs) de auditoria são mantidos
por 1 (um) ano e incluem*:
1) Identificação dos usuários;
10.10.1 - Convém que registros (log) de auditoria 2) Datas, horários e detalhes de eventos-chave (horário de entrada e saída) no
contendo atividades dos usuários, exceções e ousistema;
tros eventos de segurança da informação sejam
produzidos e mantidos por um período de tempo 3) Identidade do terminal;
acordado para auxiliar em futuras investigações e
4) Registros das tentativas de acesso ao sistema aceitas e rejeitadas;
monitoramento de controle de acesso.
5) Registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados;
6) Alterações na configuração do sistema;
104
Controle da NBR 27002:2005
Proposta de texto para a POSIC
7) Uso de privilégios;
8) Uso de aplicações e utilitários do sistema;
9) Arquivos acessados e tipo de acesso;
10) Endereços e protocolos de rede;
11) Alarmes provocados pelo sistema de controle de acesso.
10.10.2 - Convém que sejam estabelecidos procedimentos para o monitoramento do uso dos re- O Comitê Gestor de Segurança da Informação do CPDF deve avaliar os logs de
cursos de processamento da informação e os re- monitoramento individual e de administradores anualmente, por amostragem e
sultados das atividades de monitoramento sejam imediatamente por suspeita de irregularidades.*
analisados criticamente, de forma regular.
10.10.3 - Convém que os recursos e informações
de registros (log) sejam protegidos contra falsificação e acesso não autorizado.
Não Aplicável
As atividades dos administradores e operadores do sistema devem ser registradas e devem incluir:
10.10.4 - Convém que as atividades dos adminis- 1) A hora em que o evento ocorreu (sucesso ou falha);
tradores e operadores do sistema sejam registra2) Informações sobre o evento (exemplo: arquivos manuseados) ou falha (exemdas.
plo: erros ocorridos e ações corretivas adotadas);
3) Que conta e que administrador ou operador estava envolvido;
105
Controle da NBR 27002:2005
Proposta de texto para a POSIC
4) Que processos estavam envolvidos.
As falhas podem ser identificadas pelo Zabbix, gerando alertas para o devido tratamento. Nesse caso os alertas são enviados para a D2OP, que aciona a S2GA
10.10.5 - Convém que as falhas ocorridas sejam
para os devidos trâmites.
registradas e analisadas, e que sejam adotadas
ações apropriadas.
As falhas também podem ser identificadas pelos usuários. Nesse caso, a S2GA
recebe as reclamações e inicia os trâmites para a solução do problema.
10.10.6 - Convém que os relógios de todos os sistemas de processamento da informação relevan- O CPDF ajusta automaticamente os relógios dos seus ativos computacionais por
tes, dentro da organização ou do domínio de se- meio de programa disponibilizado pelo Observatório Nacional, órgão responsável
gurança, sejam sincronizados de acordo com uma pela geração, distribuição e conservação da Hora Legal Brasileira.*
hora oficial.
106
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Todo acesso às informações e aos ambientes lógicos do CPDF deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas pelo respectivo
proprietário da informação.*
A Política de Controle de Acesso deve ser documentada e formalizada por meio
de normas e procedimentos que contemplem, pelo menos, os seguintes itens:
1) Procedimento formal de concessão e cancelamento de autorização de acesso
a usuário aos sistemas de informação;
11.1.1 - Convém que a política de controle de a- 2) Comprovação da autorização do proprietário da informação;
cesso seja estabelecida documentada e analisada
criticamente, tomando-se como base os requisitos 3) Utilização de identificadores de usuário (ID de usuário) individualizados, de
forma a assegurar a responsabilidade de cada usuário por suas ações;
de acesso dos negócios e segurança da informação.
4) Verificação se o nível de acesso concedido é apropriado ao propósito do negócio e se é consistente com esta Política de Segurança da Informação e Comunicações;
5) Remoção imediata de autorizações dadas a usuários afastados ou desligados
da empresa, ou que tenham mudado de função;
6) Processo de revisão periódica das autorizações concedidas;
7) Política de atribuição, manutenção e uso de senhas.
107
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os procedimentos de controle de acesso para registro e cancelamento de usuários no CPDF incluem*:
1) Verificar se o usuário tem autorização do proprietário do sistema para o uso do
sistema de informação ou serviço; aprovação para direitos de acesso do gestor responsável é feita à parte;
2) Dar para os usuários uma declaração por escrito dos seus direitos de acesso e
de encerramento de acesso;
11.2.1 - Convém que exista um procedimento formal de registro e cancelamento de usuário para 3) Requerer aos usuários a assinatura de uma declaração indicando que eles
garantir e revogar acessos em todos os sistemas
entendem as condições de acesso;
de informação e serviços.
4) Assegurar aos provedores de serviços que não serão dados acessos até que
os procedimentos de autorização tenham sido concluídos;
5) Manter um registro formal de todas as pessoas registradas para usar o serviço;
6) Remover imediatamente ou bloquear direitos de acesso de usuários que mudaram de cargos ou funções, ou deixaram a organização.
108
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os sistemas de multiusuários que necessitam de proteção contra acesso não autorizado têm a concessão de privilégios controlada por um processo de autorização formal. Esse processo prevê*:
1) Identificação de privilégio de acesso de cada produto de sistema, por exemplo,
sistema operacional, sistemas de gerenciamento de banco de dados e cada
aplicação, e de categorias de usuários para os quais estes necessitam ser
concedido;
11.2.2 - Convém que a concessão e o uso de privilégios sejam restritos e controlados.
2) Que os privilégios sejam concedidos a usuários conforme a necessidade de
uso e com base em eventos alinhados com a política de controle de acesso;
3) Um processo de autorização e armazenamento de um registro de todos os
privilégios concedidos. Os privilégios não serão fornecidos até que todo o processo de autorização esteja finalizado;
4) Incentivo de desenvolvimento e uso de rotinas de sistemas de forma a evitar a
necessidade de fornecer privilégios aos usuários;
5) Que os privilégios sejam atribuídos para um identificador de usuário (ID de
usuário) diferente daqueles usados normalmente para os negócios.
109
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O processo de concessão de senhas no CPDF prevê:
1) Confirmação da identidade de um usuário antes de fornecer uma senha temporária, de substituição ou nova;
2) Fornecimento de senhas temporárias aos usuários de maneira segura. Não
usar mensagens de correio eletrônico de terceiros ou desprotegido (texto claro) para esse fim;
11.2.3 - Convém que a concessão de senhas seja 3) Que senhas temporárias são únicas para uma pessoa e não são de fácil mecontrolada através de um processo de gerenciamorização;
mento formal.
4) Que usuários confirmam o recebimento de senhas (termo formal já descrito
anteriormente);
5) Que as senhas nunca devem ser armazenadas nos sistemas de um computador de forma desprotegida;
6) Que as senhas padrão são alteradas logo após a instalação de sistemas ou
software.
11.2.4 - Convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de a- Os direitos de acesso de usuários devem ser analisados criticamente e realocacesso dos usuários, por meio de um processo dos quando movidos de um tipo de atividade para outra no CPDF.
formal.
110
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Todos os usuários da rede do CPDF devem estar cientes de que é preciso:
1) Manter a confidencialidade das senhas;
2) Evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos
móveis);
3) Alterar senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha;
4) Selecionar senhas de qualidade com o tamanho mínimo de 5 (cinco) caracteres que sejam:
11.3.1 - Convém que os usuários sejam solicitados a seguir as boas práticas de segurança da
informação na seleção e uso de senhas.
a) Fáceis de lembrar;
b) Não baseadas em nada que alguém facilmente possa adivinhar ou obter
usando informações relativas à pessoa, por exemplo, nomes, números de
telefone e datas de aniversário;
c) Não vulneráveis a ataque de dicionário (por exemplo, não consistir em palavras inclusas no dicionário);
d) Isentam de caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos;
5) Modificar senhas regularmente ou com base no número de acessos (convém
que senhas de acesso a contas privilegiadas sejam modificadas mais freqüentemente que senhas normais).
6) Modificar senhas temporárias no primeiro acesso ao sistema;
7) Evitar incluir senhas processos automáticos de acesso ao sistema, por exem-
111
Controle da NBR 27002:2005
Proposta de texto para a POSIC
plo, armazenadas em um macro ou funções-chave;
8) Evitar compartilhar senhas de usuários individuais;
9) Evitar utilizar a mesma senha para uso com finalidades profissionais e pessoais.
Todos os colaboradores do CPDF devem estar cientes dos requisitos de segurança da informação e procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas proteções, que
são:
1) Encerrar as sessões ativas, a menos que elas possam ser protegidas por meio
de um mecanismo de bloqueio, por exemplo, tela de proteção com senha;
11.3.2 - Convém que os usuários assegurem que
os equipamentos não monitorados tenham prote2) Efetuar a desconexão com o computador de grande porte, servidores e comção adequada.
putadores pessoais do escritório, quando a sessão for finalizada (por exemplo:
não apenas desligar a tela do computador ou o terminal);
3) Proteger os microcomputadores ou terminais contra uso não autorizado por
meio de tecla de bloqueio ou outro controle equivalente, por exemplo, senha
de acesso, quando não estiver em uso.
112
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O CPDF é adepto da Política de Mesa Limpa e Tela Limpa, que prevê que:
1) Informações do negócio sensíveis ou críticas, por exemplo, em papel ou em
mídia de armazenamento eletrônicas, devem ser guardadas em lugar seguro
(idealmente em um cofre, armário ou outras formas de mobília de segurança)
quando não em uso, especialmente quando o escritório está desocupado;
2) Computadores e terminais devem ser mantidos desligados ou protegidos com
mecanismo de travamento de tela e teclados controlados por senha, token ou
mecanismo de autenticação similar quando sem monitoração e protegidos por
tecla de bloqueio, senhas ou outros controles, quando não usados;
11.3.3 - Convém que seja adotada uma política de
mesa limpa de papéis e mídias de armazenamen- 3) Pontos de entrada e saída de correspondências e máquinas de fac-símile sem
monitoração devem ser protegidos;
to removível e política de tela limpa para os recursos de processamento da informação.
4) Devem ser evitados o uso não autorizado de fotocopiadoras e outra tecnologia
de reprodução (por exemplo, scanners, máquinas fotográficas digitais);
5) Documentos que contêm informação sensível ou classificada devem ser removidos de impressoras imediatamente.
Todos devem estar cientes que a política de mesa limpa e tela limpa reduz o risco
de acesso não autorizado, perda e dano da informação durante e fora do horário
normal de trabalho. Cofres e outras formas de instalações de armazenamento
seguro também podem proteger informações armazenadas contra desastres como incêndio, terremotos, enchentes ou explosão.
113
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No acesso aos serviços de rede do CPDF, os usuários devem receber o nível a11.4.1 - Convém que usuários somente recebam
dequado de acesso para a Internet, de acordo com as atividades e processos de
acesso para os serviços que tenham sido especinegócio envolvidos, e os demais recursos da rede ficarão indisponíveis, liberadas
ficamente autorizados a usar.
apenas mediante autorização expressa.
11.4.2 - Convém que métodos apropriados de autenticações sejam usados para controlar acesso
de usuários remotos.
Redundante
11.4.3 - Convém que sejam consideradas as identificações automáticas de equipamentos como um
meio de autenticar conexões vindas de localizações e equipamentos específicos.
Não Aplicável
11.4.4 - Convém que seja controlado o acesso Todas as portas, serviços e recursos similares instalados em um computador ou
físico e lógico das portas de diagnóstico e configu- recurso de rede que não são especificamente requeridos para a funcionalidade do
negócio são desabilitados ou removidos.*
ração.
11.4.5 - Convém que grupos de serviços de infor- Além da segregação dos domínios de redes internas e domínios externos, cada
mação, usuários e sistemas de informação sejam um protegido por um perímetro de segurança definido, a rede do CPDF é segresegredados em redes.
gada por serviço e clientes.* (em andamento)
11.4.6 - Para redes compartilhadas, especialmente essas que se estendem pelos limites da organização, convém que a capacidade dos usuários
para conectar-se à rede seja restrita, alinhada
com a política de controle de acesso e os requisitos das aplicações do negócio
Não Aplicável
114
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.4.7 - Convém que seja implementado controle
de roteamento na rede, para assegurar que as
conexões de computador e fluxos de informação
não violem a política de controle de acesso das
aplicações do negócio.
Os controles de roteamento do CPDF são baseados no mecanismo de verificação
positiva do endereço de origem e destinos. Gateways de segurança são usados
para validar endereços de origem e destino nos pontos de controle de rede interna ou externa.
Os procedimentos para entrada nos sistemas operacionais do CPDF são configu11.5.1 - Convém que o acesso aos sistemas ope- rados para minimizar a oportunidade de acessos não autorizados. O procedimenracionais seja controlado por um procedimento to de entrada (log-on) divulga o mínimo de informações sobre o sistema, de forma
seguro de entrada no sistema (log-on).
a evitar o fornecimento de informações desnecessárias a um usuário não autorizado.
11.5.2 - Convém que todos os usuários tenham
um identificador único (ID de usuário) para uso
pessoal e exclusivo, e convém que uma técnica
adequada de autenticação seja escolhida para
validar a identidade alegada por um usuário.
Todos os tipos de usuários (incluindo o pessoal de suporte técnico, operadores,
administradores de rede, programadores de sistema e administradores de banco
de dados) possuem um identificador único (ID de usuário) para uso pessoal e exclusivo.
115
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O Troca Senha, disponível no DTPNET (Intranet da Dataprev):
1) Obriga o uso de identificador de usuário (ID de usuário) e senha individual para manter responsabilidades;
2) Permite que os usuários selecionem e modifiquem suas próprias senhas, incluindo o procedimento de confirmação para evitar erros;
11.5.3 - Convém que sistemas para gerenciamen- 3) Obriga a troca de senha periodicamente;
to de senhas sejam interativos e assegurem senhas de qualidade.
4) Mantém um registro das senhas anteriores utilizadas e bloqueie a reutilização;
5) Não mostra as senhas na tela quando forem digitadas;
6) Armazena os arquivos de senha separadamente dos dados do sistema da aplicação;
7) Armazena e transmita as senhas de forma protegida.
11.5.4 - Convém que o uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações seja restrito e
estritamente controlado.
Não Aplicável
11.5.5 - Convém que terminais inativos sejam
desconectados após um período definido de inatividade.
Não Aplicável
116
Controle da NBR 27002:2005
Proposta de texto para a POSIC
As diferentes aplicações do CPDF devem adotar um tempo limite de sessão, de
11.5.6 - Convém que restrições nos horários de
acordo com as necessidades específicas. Limitar o período durante o qual as coconexão sejam utilizadas para proporcionar segunexões de terminal para os serviços computadorizados são permitidas reduz a
rança adicional para aplicações de alto risco.
janela de oportunidade para acessos não autorizados.
11.6.1 - Convém que o acesso à informação e às
funções dos sistemas de aplicações por usuários
e pessoal de suporte seja restrito de acordo com o
definido na política de controle de acesso.
Redundante
As aplicações críticas devem ser preferencialmente, isoladas em um ambiente
dedicado. No entanto, quando o isolamento não for possível, são identificados os
11.6.2 - Convém que sistemas sensíveis tenham
sistemas de aplicação com os quais os recursos serão compartilhados e os corum ambiente computacional dedicado (isolado).
respondentes riscos, de forma a se obter a concordância do proprietário da aplicação sensível.
11.7.1 - Convém que uma política formal seja estabelecida e que medidas de segurança apropriadas sejam adotadas para a proteção contra os
riscos do uso de recursos de computação e comunicação móveis.
Redundante
O trabalho remoto no CPDF é feito por meio de VPN, a qual garante que recursos
11.7.2 - Convém que uma política, planos operade computação e comunicação móveis, como, por exemplo, notebooks, palmtops,
cionais e procedimentos sejam desenvolvidos e
laptops e telefones celulares, somente se conectem à rede da Dataprev após a
implementados para atividades de trabalho remochecagem de ausência de vulnerabilidades (vírus, códigos maliciosos, sistema
to.
operacional não atualizado, etc).
117
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.1.1 - Convém que sejam especificados os requisitos para controles de segurança nas especifi- Cabe à S2PD a verificação do cumprimento de requisitos para controles de segucações de requisitos de negócios, para novos sis- rança nas especificações de requisitos de negócios, antes da implantação de atemas de informação ou melhorias em sistemas plicações e serviços no CPDF.
existentes.
12.2.1 - Convém que os dados de entrada de aplicações sejam validados para garantir que são corretos e apropriados.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.2 - Convém que sejam incorporadas, nas
aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações, por erros ou por ações deliberadas.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.3 - Convém que requisitos para garantir a
autenticidade e proteger a integridade das mensagens em aplicações sejam identificados e os
controles apropriados sejam identificados e implementados.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.4 - Convém que os dados de saída das aplicações sejam validados para assegurar que o
processamento das informações armazenadas
está correto e é apropriado às circunstâncias.
Não Aplicável
O CPDF não desenvolve aplicações.
118
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O CPDF segue as determinações da DISR (Divisão de Administração e Seguran12.3.1 - Convém que seja desenvolvida e imple- ça de Redes), que mantém uma PKI interna, no uso de certificados digitais. Na
mentada uma política para o uso de controles crip- proteção das informações identifica o nível requerido de segurança, caso a caso,
tográficos para a proteção da informação.
com base em uma análise de riscos, levando em consideração o tipo, a força e a
qualidade do algoritmo de criptografia requerido.
12.3.2 - Convém que um processo de gerencia- O CPDF garante que todas as chaves criptográficas e os equipamentos que as
mento de chaves seja implantado para apoiar o comportam, da PKI interna ou externa (ICP-Brasil), são protegidas contra modifiuso de técnicas criptográficas pela organização.
cação, perda e destruição.
12.4.1 - Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados.
Não Aplicável
Nos ambientes de teste do CPDF, os procedimentos de controle de acesso, aplicáveis aos aplicativos de sistema em ambiente produtivo, são também aplicados
12.4.2 - Convém que os dados de teste sejam se- aos aplicativos de sistema em ambiente de teste. As cópias de informações da
lecionados com cuidado, protegidos e controlados. produção para ambientes de teste somente são feitas mediante autorização prévia do gestor responsável. O registro dessas cópias é feito pela S2GA, por meio
do TaskFreak! de forma a prover uma trilha para auditoria.
No CPDF é feita a guarda centralizada dos códigos-fonte por meio do CVS com
12.4.3 - Convém que o acesso ao código-fonte de
controle de acesso e de versões. Nos servidores de aplicações, o acesso é restriprograma seja restrito.
to à D2SI e quaisquer alterações somente são executadas mediante RDM.
119
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O processo de mudanças no CPDF, executado conforme a DEGT (Departamento
de Gestão dos Serviços e Ambientes de TI), inclui:
1) A manutenção de um registro dos níveis acordados de autorização;
2) A garantia de que as mudanças são submetidas por usuários autorizados;
3) A análise crítica dos procedimentos de controle e integridade para assegurar
que as mudanças não os comprometam;
12.5.1 - Convém que a implementação de mudanças seja controlada utilizando procedimentos for4) A identificação de todo software, informação, entidades em bancos de dados e
mais de controle de mudanças.
hardware afetados;
5) A obtenção de aprovação formal antes da implementação;
6) A manutenção de uma trilha para auditoria de todas as mudanças solicitadas;
7) A garantia de que as mudanças sejam implementadas em horários apropriados, sem a perturbação dos processos de negócios cabíveis.
12.5.2 - Convém que aplicações críticas de negócios sejam analisadas criticamente e testadas
quando sistemas operacionais são mudados, para
garantir que não haverá nenhum impacto adverso
na operação da organização ou na segurança.
Nas mudanças em sistemas operacionais, o CPDF analisa criticamente os procedimentos de controle e integridade dos critérios para assegurar que não foram
comprometidos por mudanças em sistemas operacionais e garante que as mudanças pretendidas são comunicadas a todos os interessados em tempo hábil
para permitir os testes e análises críticas antes e depois da implementação das
mudanças.
120
Controle da NBR 27002:2005
Proposta de texto para a POSIC
De forma geral, os pacotes de softwares providos pelos fabricantes/fornecedores
ao CPDF são utilizados sem modificações. Caso alterações sejam necessárias,
além de manter o software original e as mudanças aplicadas numa cópia claramente identificada, serão considerados:
1)
12.5.3 - Convém que modificações em pacotes de
software não sejam incentivadas e limitadas às
mudanças necessárias e que todas as mudanças 2)
sejam estritamente controladas.
3)
O risco de que controles e processos de integridade embutidos no software
sejam comprometidos;
A obtenção do consentimento do fabricante/fornecedor;
A possibilidade de obtenção junto ao fabricante/fornecedor das mudanças necessárias como atualização padrão do programa;
4) O impacto resultante quando o CPDF passa a ser responsável para a manutenção futura do software como resultado das mudanças.
Para limitar o risco de vazamento de informações, como por exemplo, o uso e exploração de covert channels, o CPDF:
1) Executa a varredura do envio de mídia e comunicações para verificar a presença de informação oculta;
12.5.4 - Convém que oportunidades para vazamento de informações sejam prevenidas.
2) Desempenha o monitoramento regular das atividades do pessoal e dos sistemas;
3) O monitoramento do uso de recursos de sistemas de computação se dá por
meio do E-Trust e de antivírus.
121
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.5.5 - Convém que a organização supervisione
e monitore o desenvolvimento terceirizado de
software.
Não Aplicável
12.6.1 - Convém que seja obtida informação em
tempo hábil sobre vulnerabilidades técnicas dos
A D2OP monitora as vulnerabilidades físicas e os alertas emitidos pelo Zabbix. A
sistemas de informação em uso, avaliada a expoD2SI monitora as vulnerabilidades lógicas e implementa controles detectivos para
sição da organização a estas vulnerabilidades e
identificar problemas.
tomadas as medidas apropriadas para lidar com
os riscos associados.
13.1.1 - Convém que os eventos de segurança da
informação sejam relatados através dos canais
apropriados da direção, o mais rapidamente possível.
Os eventos de segurança da informação devem ser registrados junto a DGSS
(Divisão de Gestão de Suporte a Serviços) no ramal (21) 6577 ou pelo e-mail [email protected]. É responsabilidade de todos os colaboradores, fornecedores e terceiros registrarem os incidentes imediatamente.
13.1.2 - Convém que os funcionários, fornecedores e terceiros de sistemas e serviços de informação sejam instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em
sistemas ou serviços.
Os colaboradores, fornecedores e terceiros devem informar o Comitê Gestor de
Segurança da Informação do CPDF no caso de qualquer observação ou suspeita
de fragilidade em sistemas ou serviços. No entanto, ninguém deve, sob nenhuma
circunstância, tentar averiguar fragilidade suspeita.
122
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Um plano de ação de resposta a incidentes está estabelecido para o CPDF. Este
plano prevê, no mínimo, o tratamento adequado dos seguintes eventos*:
1)
13.2.1 - Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a 2)
incidentes de segurança da informação.
3)
Comprometimento de controle de segurança em qualquer evento referenciado
no Plano de Continuidade do Negócio do CPDF;
Procedimentos para interrupção ou suspensão de serviços e investigação;
Análise e monitoramento de trilhas de auditoria; e
4) Relacionamento com o público e com meios de comunicação, se for o caso.
13.2.2 - Convém que sejam estabelecidos mecaA informação resultante da análise de incidentes de segurança da informação denismos para permitir que tipos, quantidades e cusve ser armazenada e usada para identificar e prevenir incidentes recorrentes ou
tos dos incidentes de segurança da informação
de alto impacto.
sejam quantificados e monitorados.
123
Controle da NBR 27002:2005
Proposta de texto para a POSIC
As evidências de incidentes que envolvam uma ação legal (civil ou criminal), o
CPDF preservará as evidências necessárias.
13.2.3 - Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização,
após um incidente de segurança da informação,
envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as
normas de armazenamento de evidências da jurisdição(ões) pertinente(s).
Documentos (evidências) em papel: o original deve ser mantido de forma segura,
com um registro da pessoa que o encontrou, do local e data em que foi encontrado e quem testemunhou a descoberta.
Informações em mídia eletrônica: imagens espelho ou cópias de quaisquer mídias
removíveis, discos rígidos ou em memórias devem ser providenciadas para assegurar disponibilidade. O registro de todas as ações tomadas durante o processo
de cópia é guardado e o processo é testemunhado por, no mínimo, 1 (um) colaborador do CPDF. A mídia original que contém a informação e o registro deve ser
mantida de forma segura e intocável.
14.1.1 - Convém que um processo de gestão seja
desenvolvido e mantido para assegurar a continuNo processo de gestão da continuidade de negócio do CPDF são identificadas e
idade do negócio por toda a organização e que
consideradas a implementação de controles preventivos e de mitigação, além de
contemple os requisitos de segurança da informagarantir que tal processo está incorporado aos processos e estrutura do CPDF.*
ção necessários para a continuidade do negócio
da organização.
14.1.2 - Convém identificar os eventos que podem
causar interrupções aos processos de negócio,
junto a probabilidade e impacto de tais interrupções e as conseqüências para a segurança de
informação.
No desenvolvimento do PCN do CPDF, os riscos são identificados e avaliados
para a determinação da probabilidade e impacto de interrupções, tanto em termos
de escala de dano quanto em relação ao período de recuperação. As análises dos
riscos continuidade do negócio são realizadas com total envolvimento dos responsáveis pelos processos e recursos do negócio.
124
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No desenvolvimento do PCN do CPDF e os planos derivados (recuperação, emergência, abandono, etc), são considerados:
1) Identificação e concordância de todas as responsabilidades e procedimentos
da continuidade do negócio;
2) Identificação da perda aceitável de informações e serviços;
3) Implementação dos procedimentos que permitam a recuperação e restauração
das operações do negócio e da disponibilidade da informação nos prazos necessários;
14.1.3 - Convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a dis- 4) Procedimentos operacionais que permitam a conclusão de restauração e recuperação que estejam pendentes;
ponibilidade da informação no nível requerido e na
escala de tempo requerida, após a ocorrência de
5) Documentação dos processos e procedimentos acordados;
interrupções ou falhas dos processos críticos do
negócio.
6) Educação adequada de pessoas nos procedimentos e processos definidos,
incluindo o gerenciamento de crise;
7) Priorização de serviços críticos para as devidas ações de continuidade de negócio;
8) Disponibilização de cópias dos planos em locais remotos ao CPDF, de forma a
escapar de qualquer dano de um desastre;
9) Teste e atualização dos planos.
125
Controle da NBR 27002:2005
Proposta de texto para a POSIC
14.1.4 - Convém que uma estrutura básica dos
planos de continuidade do negócio seja mantida
para assegurar que todos os planos são consistentes, para contemplar os requisitos de segurança da informação e para identificar prioridades
para testes e manutenção.
O PCN do CPDF atribui a cada divisão as suas responsabilidades em caso de
crises e/ou desastres. Os planos derivados do PCN, elaborados pelos gerentes
de cada divisão para suas devidas ações no cumprimento do PCN, são de suas
respectivas responsabilidades.
No CPDF, os testes do PCN asseguram que todos os membros da equipe de re14.1.5 - Convém que os planos de continuidade cuperação e outras pessoas relevantes estão conscientes dos planos e de suas
do negócio sejam testados e atualizados regular- responsabilidades para a continuidade do negócio e a segurança da informação,
mente, de forma a assegurar sua permanente a- e conheçam as suas atividades quando um plano for acionado. As análises críticas periódicas são executadas a cada 2 (dois) anos pelo Comitê de Segurança da
tualização e efetividade.
Informação do CPDF.
15.1.1 - Convém que todos os requisitos estatutários, regulamentares e contratuais relevantes, e o
enfoque da organização para atender a esses requisitos, sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação da organização
Não Aplicável
15.1.2 - Convém que procedimentos apropriados
sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares
e contratuais no uso de material, em relação aos
quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários.
Não Aplicável
126
Controle da NBR 27002:2005
Proposta de texto para a POSIC
15.1.3 - Convém que registros importantes sejam
protegidos contra perda, destruição e falsificação,
de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio.
Redundante
15.1.4 - Convém que a privacidade e proteção de
dados sejam asseguradas conforme exigido nas A política de privacidade e proteção de dados do CPDF está implementada por
legislações relevantes, regulamentações e, se meio da Política de Classificação da Informação do CPDF.*
aplicável, nas cláusulas contratuais.
Quaisquer usos dos recursos do CPDF para propósitos não relacionados ao negócio ou não autorizados, sem aprovação, ou para quaisquer propósitos não auto15.1.5 - Convém que os usuários sejam dissuadirizados são considerados como uso impróprio. Se qualquer atividade não autoridos de usar os recursos de processamento da
zada for identificada por processo de monitoração ou outros meios, a atividade
informação para propósitos não autorizados.
será levada ao conhecimento do gerente responsável para que sejam aplicadas
as ações disciplinares e/ou legais pertinentes.
Segundo o Decreto Nº. 3.505, de 13 de junho de 2000, o CPDF segue normas
gerais para o uso e a comercialização dos recursos criptográficos pelos órgãos e
15.1.6 - Convém que controles de criptografia sepelas entidades da Administração Pública Federal, estabelecidas pela Secretariajam usados em conformidade com todas as leis,
Executiva do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da
acordos e regulamentações relevantes.
Segurança da Informação do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República.
127
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os gerentes devem analisar criticamente, a intervalos regulares, a conformidade
do processamento da informação dentro da sua área de responsabilidade sob a
regência desta Política de Segurança da Informação e Comunicações.
Se qualquer não-conformidade for encontrada como um resultado da análise crítica, o gerente deve:
15.2.1 - Convém que gestores garantam que to- 1) Determinar as causas da não-conformidade;
dos os procedimentos de segurança da informação dentro da sua área de responsabilidade estão 2) Avaliar a necessidade de ações para assegurar que a não-conformidade não
se repita;
sendo executados corretamente para atender à
conformidade com as normas e políticas de segu3) Determinar e implementar uma ação corretiva apropriada;
rança da informação.
4) Analisar criticamente a ação corretiva tomada.
Os resultados das análises críticas e das ações corretivas realizadas pelos gerentes são registrados mantidos por, no mínimo, 1 (um) ano.
128
Controle da NBR 27002:2005
Proposta de texto para a POSIC
As verificações de conformidade técnica são executadas por pessoas autorizadas
e competentes e são executadas sob a supervisão de, no mínimo, 3 (três) analistas de tecnologia da informação do quadro da Dataprev. Essas verificações são
desempenhadas com a assistência de ferramentas automatizadas que gerem re15.2.2 - Convém que sistemas de informação selatório técnico para interpretação subseqüente dos técnicos designados pelo
jam periodicamente verificados em sua conformiCPDF.
dade com as normas de segurança da informação
implementadas.
Nos casos de teste de invasão ou avaliações de vulnerabilidades devem ser tomadas as precauções cabíveis de forma a evitar o comprometimento da segurança dos sistemas. Tais testes são planejados, documentados e repetidos quantas
vezes se fizerem necessárias.
129
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Nas auditorias no CPDF:
1) Os requisitos são sempre acordados com o Gerente do CPDF, assim como o
escopo da verificação;
2) A verificação é limitada ao acesso somente para leitura de software e dados.
Outros acessos diferentes de apenas leitura são permitidos somente por meio
de cópias isoladas dos arquivos do sistema (apagados ao final da auditoria ou
dada proteção apropriada quando existir uma obrigação para guardar tais arquivos como requisitos da documentação da auditoria);
15.3.1 - Convém que requisitos e atividades de
auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e 3) Recursos para execução da verificação são identificados explicitamente e tornados disponíveis no período acordado;
acordados para minimizar os riscos de interrupção
dos processos do negócio.
4) Requisitos para processamentos adicionais ou especiais são identificados e
acordados;
5) Todo acesso é monitorado e registrado de forma a produzir uma trilha de referência;
6) Todos os procedimentos, requisitos e responsabilidades são documentados;
7) Os auditores são sempre independentes das atividades auditadas.
15.3.2 - Convém que o acesso às ferramentas de
Os acessos às ferramentas de auditoria de sistemas de informação (softwares ou
auditoria de sistema de informação seja protegido,
arquivos de dados) são restritos à D2SI e não são mantidos em fitas de biblioteca
para prevenir qualquer possibilidade de uso imou áreas de usuários.*
próprio ou comprometimento.
*
Diretrizes
que
para
serem
implementadas
necessitarão
de
um
novo
processo
de
negócio.
130
5 Discussão
O estudo de caso ocorreu sem imprevistos e sem desvios em relação à metodologia proposta. No entanto, a elaboração das diretrizes customizadas para o Centro de Processamento de Dados Distrito Federal exigiu muito mais trabalho e revisões do que fora estimado. Conclui-se que elaborar diretrizes para uma Política de
Segurança da Informação e Comunicações exige redação clara e concisa (ABNT,
2005), compreensível aos colaboradores de qualquer área da organização, o que
não é uma tarefa simples.
Além de ser passível de adequação ao Centro de Processamento de Dados
Distrito Federal (CPDF), a NBR 27002:2005 revelou-se bastante abrangente, pois
não foram necessárias muitas diretrizes extras, ou seja, a criação de diretivas não
associadas aos controles da Norma, para atender o CPDF, que é um órgão de Tecnologia da Informação e requer um alto nível de segurança. Inclusive, observou-se
que alguns controles são redundantes. Ou melhor, são citados em mais de uma seção. Porém, o esclarecimento detalhado e a referência ao controle que abarcou cada controle indicado como redundante constam na Tabela 2.
Outro aspecto relevante nesta pesquisa foi a constatação de que nem todos
os controles contidos na NBR 27002:2005 são aplicáveis ao CPDF. Observa-se que
a organização representa apenas um dos centros de dados da Dataprev, não dispondo de autonomia para a deliberação de determinadas regras corporativas, o que
cabe a departamentos específicos, designados para esse fim.
131
A Tabela 4 descreve as quantidades de controles que são:
1. Aplicáveis ao CPDF, ou seja, aqueles que resultaram na elaboração de
diretrizes customizadas para o CPDF;
2. Redundantes ou aqueles que são repetidos em mais de um controle;
3. Não aplicáveis ao CPDF, que não podem ser aplicados por falta de autonomia;
4. Extras ou não previstos na NBR 27002:2005.
Tabela 4 – Totais de Controles Resultantes da Pesquisa.
Quantidade
de Controles
Aplicáveis
ao CPDF
Redundantes
Não aplicáveis
ao CPDF
Extras
Novos Processos de
Negócio
112
5
15
4
22
O desenvolvimento da pesquisa permitiu constatar que apenas vinte e dois
controles dependem de adequações significativas nos processos de negócio para a
implementação da Segurança da Informação no CPDF, sendo que um deles, que
envolve a segregação dos domínios de rede por serviço e clientes, encontra-se fase
de implantação. Tais mudanças significativas representam novos processos de negócio no CPDF e estão devidamente identificadas na Tabela 3.
A Tabela 5 apresenta que todas as hipóteses desta pesquisa foram confirmadas.
132
Tabela 5 – Conclusão sobre as Hipóteses da Pesquisa.
Hipótese
A norma NBR 27002:2005 pode ser considerada norteadora
para o desenvolvimento de diretrizes específicas para o
CPDF e ser utilizada como base para o desenvolvimento de
uma Política de Segurança da Informação e Comunicações.
Todos os controles contidos na norma NBR 27002:2005
podem ser aplicados no CPDF.
Novas atribuições e processos de trabalho deverão ser
delegados às diferentes áreas do CPDF para a
implementação da segurança da informação, pois, para uma
eficaz gestão da segurança da informação e comunicações
no CPDF é fundamental adequar os processos de negócios
existentes com as melhores práticas de segurança da
informação.
Confirmada Refutada
X
X
X
Cabe destacar que este trabalho foi bem mais além do estudo teórico e prático previsto pela pesquisadora e, com isso, o resultado da pesquisa superou todas as
expectativas por tornar possível a formulação de diretrizes customizadas de alto nível para a POSIC do CPDF. Ressalta-se que as diretrizes propostas neste estudo
foram bem mais coerentes ao CPDF em comparação com as políticas de outros órgãos.
133
6 Conclusões e Trabalhos Futuros
6.1 Conclusões
O resultado deste estudo de caso confirma que os controles da NBR
27002:2005 fornecem um excelente ponto de partida para definir um conjunto bastante abrangente de diretrizes de alto padrão para uma Política de Segurança da
Informação e Comunicações.
Uma vez que o Centro de Processamento de Dados Distrito Federal não dispõe de nenhuma diretriz de Segurança da Informação, todos os atuais processos de
negócio carecem da inclusão de procedimentos de segurança, ainda que poucas
adequações se façam necessárias. Assim, o CPDF tornar-se-á aderente às melhores práticas, mais eficiente (NETO, 2011) e, consequentemente, mais competitivo na
obtenção de novos clientes da Administração Pública Federal.
No entanto, nem todos os controles da NBR 27002:2005 são aplicáveis ao
Centro de Processamento de Dados Distrito Federal. Pode-se, entretanto, repassar
os controles não aplicáveis por falta de autonomia do CPDF aos departamentos pertinentes da Dataprev para a devida determinação de diretrizes customizadas, às
quais o CPDF se sujeitará.
Ao se comparar o resultado obtido no desenvolvimento desta pesquisa às políticas de segurança da informação e comunicações de outros órgãos, observa-se
que a redação e a abrangência das diretrizes obtidas correspondem praticamente a
uma POSIC bastante completa, o que demandaria apenas um trabalho de revisão e
134
formatação para tornar o resultado deste trabalho como um direcionador na elaboração da primeira Política de Segurança da Informação e Comunicações do CPDF.
Sendo assim, conclui-se com este estudo de caso, a necessidade de instituir
no Centro de Processamento de Dados Distrito Federal da Dataprev as melhores
práticas contidas na NBR 27002:2005, de forma que seja possível iniciar um processo de desenvolvimento de uma cultura da Segurança da Informação junto aos seus
servidores e colaboradores, tarefa que não é apenas a mais árdua (COLTRO, 2000),
mas é aquela fundamental para o processo de Gestão da Segurança da Informação
e Comunicações em qualquer organização.
6.2 Trabalhos Futuros
Para principiar e desenvolver um processo de implementação da Segurança
da Informação no Centro de Processamento de Dados Distrito Federal, recomendase a formulação dos seguintes documentos:
• Política de Segurança da Informação e Comunicações;
• Plano de disseminação da Política de Segurança da Informação e Comunicações;
• Plano de Tratamento dos Riscos;
• Política de Classificação da Informação;
• Planos de Ação de Resposta a Incidentes; e
• Política de Controle de Acesso.
Observa-se que o resultado desse estudo apresenta ao CPDF um amplo conjunto de conceitos teóricos convergentes com a realidade prática da organização
sob a ótica da NBR 27002:2005, uma das principais normas direcionadoras sobre
Segurança da Informação na atualidade. Dessa forma, a apresentação dos resultados desse estudo, fundamentados em um minucioso conhecimento dos controles da
norma, evidenciou os pilares da Gestão da Segurança da Informação e Comunicações, e que, futuramente, poderá servir para nortear a elaboração de Normas e Procedimentos voltados para segurança da informação da organização. Além disso, o
135
alinhamento das ações de segurança aos objetivos do negócio, fortalecido por meio
de eficazes controles e pelo estabelecimento de uma POSIC, proporcionará o desenvolvimento de uma cultura de segurança da informação convergente com as atividades finalísticas e estratégias do CPDF.
136
Referências e Fontes Consultadas
ABNT ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Apresentação de relatórios técnico-científicos: NBR 10719. Rio de Janeiro: ABNT, 1989. 9 p.
ABNT ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da informação Técnicas de segurança Código de prática para a gestão da segurança
da informação: ABNT NBR ISO/IEC 27002:2005. 2ª ed. Rio de Janeiro, 2005.
ABNT ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos: ABNT NBR ISO/IEC 27001:2006. 1ª ed. Rio de Janeiro, 2006.
BOVESPA.
Política
da
Segurança
da
Informação.
Disponível
em:
<http://ri.bmfbovespa.com.br/upload/portal_investidores/pt/governanca_corporat
iva/estatutos_politicas/Politica_da_Seguranca_da_Informacao.pdf>.
Acesso
em: 25 de julho de 2011.
BRASIL. Decreto nº 3.505, de 13 de junho de 2000: Institui a política de segurança
da informação nos órgãos e entidades da administração pública federal. Brasil,
2000.
CARNEIRO, Alberto. Introdução à Segurança dos Sistemas de Informação, Segurança um factor de sucesso – Auditoria, Politicas e Benefícios da Segurança.
Lisboa: FCA Editora de Informática, 2002.
CARTWRIGHT, W. Managing security in a mobile environment. 1ª ed. Bethesda:
Sans Institute, 2001.
COLTRO, Renata. Como estabelecer uma cultura de segurança. Disponível em:
<http://www.sit.com.br/SeparataGTI059.htm>. Acesso em: 15 de junho de 2011.
137
COSTA, Danielle Rocha. Fatores Críticos de Sucesso para Elaboração de Políticas
de Segurança da Informação e Comunicações da Administração Pública Federal. [S.l.], julho de 2009. Monografia de Conclusão de Curso (Especialização)
Departamento de Ciência da Computação, Instituto de Ciências Exatas, Universidade de Brasília. 114 p.
DECRETO No 3.505, DE 13 DE JUNHO DE 2000. Institui a Política de Segurança
da Informação nos órgãos e entidades da Administração Pública Federal. Presidência da República, Casa Civil, Subchefia para Assuntos Jurídicos
DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DO
GSIPR. Norma Complementar 03/IN01/DSIC/GSIPR de 30 de junho de 2009:
Diretrizes para elaboração de política de segurança da informação e comunicações nos Órgãos e entidades da administração pública federal. Brasília, junho
2009. Publicada no DOU No. 115, de 18 Junho 2008 Seção 1. Disponível em:
<http://dsic.planalto.gov.br>. Acesso em: Novembro de 2010.
FONTES, Edison. Segurança da Informação: O Usuário Faz a Diferença. 1ª ed. São
Paulo: Saraiva, 2005.
FERREIRA, Fernando N. Freitas e ARAUJO, Márcio T. Política de Segurança da
Informação Guia Prático para Elaboração e Implementação. 1ª ed. Rio de Janeiro: Ciência Moderna, 2006. 224 p.
ISECT – ISO 27001 Security – ISO/IEC 27002: 2005 – Information technology – Security techniques — Code of practice for information security management –
Disponível
em:
<http://www.iso27001security.com/html/27002.html#ContentOfISO177992000>. Acesso em: 2 de setembro de 2011.
LAUREANO, P. A. M. Gestão de Segurança da Informação. Disponível em
www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf. Acesso em 8
de julho de 2011.
NETO, João Souza. Política e Cultura de Segurança. Departamento de Ciência da
Computação, Instituto de Ciências Exatas, Universidade de Brasília – UnB,
2011.
Norma Complementar nº 03/IN01/DSIC/GSIPR, Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da
Administração Pública Federal. (Publicada no DOU Nº 125, de 03 Jul 2009 -
138
Seção 1. Disponível em: <http://dsic.planalto.gov.br>. Acesso em: Novembro de
2010.
SANS Institute, Technical Writing for IT Security Policies in Five Easy Steps, 2001.
Disponível
em:
<http://www.sans.org/reading_room/whitepapers/policyissues/tech-nical-writingsecurity-policies-easy-steps_492>. Acesso em: 14 de julho de 2011.
SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva da
Segurança da Informação. 1ª ed. Rio de Janeiro: Editora Campus, 2003.
TRIBUNAL DE CONTAS DA UNIÃO (TCU). Acórdão nº 1603/2008-TCU – plenário,
de 13 de agosto de 2008. Situação da Governança de Tecnologia da Informação na Administração Pública Federal. Brasília, 2008.
TRIBUNAL DE CONTAS DA UNIÃO (TCU). Acórdão nº 2308/2010-TCU – plenário,
de 10 setembro de 2010. Avaliação da Governança de Tecnologia da Informação na Administração Pública Federal. Constatação de precariedades e oportunidades de melhoria. Determinações, recomendações e comunicações. Brasília, 2010.
YIN, Robert K. Estudo de Caso: planejamento e métodos. 3ª ed. Porto Alegre: Bookman, 2005.
139
Glossário
A
ANS – Acordo de Nível de Serviço
Antivírus – Os antivírus são programas de computador concebidos para prevenir,
detectar e eliminar vírus de computador.
C
Cavalo-de-tróia – É um malware (programa malicioso) nomeado em homenagem à
lenda do cavalo de Tróia. Sua ação se dá pela liberação de uma porta para uma
possível invasão logo após o acesso a um computador.
Centro de dados – É o local onde são reunidos os equipamentos de processamento
e armazenamento de dados de uma empresa ou organização.
CPDF – Centro de Processamento de Dados Distrito Federal.
Código Móvel – É um código transferido de um computador a outro executando automaticamente e realizando funções específicas com pequena ou nenhuma interação por parte do usuário. Códigos móveis são associados a uma variedade de serviços middleware. Além de garantir que os códigos móveis não carreguem códigos
maliciosos, manter o controle deles é essencial na prevenção contra o uso não autorizado ou interrupção de sistemas, redes ou aplicativos, e na prevenção contra violações de segurança da informação (ABNT, 2005).
Colaborador – Todo funcionário, seja do quadro, temporário, cargo comissionado ou
estagiário.
140
Covert channels – São caminhos não previstos para conduzir fluxo de informações,
mas que, no entanto, podem existir num sistema ou rede. Por exemplo, a manipulação de bits no protocolo de pacotes de comunicação poderia ser utilizada como um
método oculto de sinalização. Devido à sua natureza, seria difícil, se não impossível,
precaver-se contra a existência de todos os possíveis covert channels. Entretanto, a
exploração destes canais freqüentemente é realizada por código troiano. A adoção
de medidas de proteção contra código troiano reduz, consequentemente, o risco de
exploração de covert channels (ABNT, 2005).
CVS – Concurrent Version System (Sistema de Versões Concorrentes) é um sistema
de controle de versões que permite que se trabalhe com diversas versões de arquivos organizados em um diretório e localizados local ou remotamente, mantendo-se
suas versões antigas e os logs de quem e quando manipulou os arquivos.
ConsoleNG – É uma ferramenta de gestão de serviços e configuração da Dataprev.
Centraliza as informações de serviços, servidores, requisições de mudanças, entre
outros.
D
Dataprev – Empresa de Tecnologia e Informações da Previdência Social.
F
Firewall – É um dispositivo de uma rede de computadores que tem por objetivo aplicar regras de segurança a um determinado ponto da rede.
G
Gateway – É uma máquina intermediária geralmente destinada a interligar redes,
separar domínios de colisão, ou mesmo traduzir protocolos.
141
Gestor ou gestor responsável – É aquele designado pela Dataprev como responsável por uma aplicação, sistema ou serviço.
I
ICP-Brasil – É a Infraestrutura de Chaves Públicas Brasileira (ver PKI). A ICP-Brasil
foi instituída pela Medida Provisória 2.200-2, de 24 de agosto de 2001, que cria o
Comitê Gestor da ICP-Brasil, a Autoridade Certificadora Raiz Brasileira e define as
demais entidades que compõem a estrutura.
IP – É um endereço que indica o local de um ponto de uma rede local ou pública.
P
POSIC – Política de Segurança da Informação e Comunicações.
PKI – É uma infraestrutura de chaves públicas, composta por um conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar, gerenciar,
distribuir, usar, armazenar e revogar certificados digitais.
R
RDM – Requisição de Mudança. Na Dataprev, uma RDM representa um cadastro
formal eletrônico, realizado na ConsoleNG, que visa solicitar uma alteração em uma
aplicação ou serviço.
T
Taskfreak! – É uma ferramenta de código aberto que ordena tarefas por prioridade e
prazo e organiza por serviços e por contexto. O CPDF a utiliza para criar, controlar e
142
registrar as atividades internas originadas da S2GA e S2PD e repassas para a
D2RE e D2SI.
Token – São dispositivos físicos criptográficos que identificam seu portador.
V
VPN – Virtual Private Networks ou redes privadas virtuais.
Z
Zabbix – É uma solução de monitoramento de código aberto para redes e aplicações.
143
Apêndice A – Proposta de Diretrizes
Organizada pelas Seções e Categorias
da ABNT NBR 27002:2005
Neste apêndice são apresentados os controles da NBR 27002:2005 alinhados
às diretrizes resultantes deste trabalho, organizados pelas seções e pelas suas respectivas categorias de Segurança da Informação.
Assim, poder-se-á consultar as diretrizes customizadas para o CPDF por aspectos específicos de Segurança da Informação durante a elaboração de uma Política de Segurança da Informação e Comunicações.
Cabe ressaltar que as primeiras cinco seções da NBR 27002:2005 (inicia-se
na seção 0) são apenas introdutórias, englobando Introdução, Objetivo, Termos e
Definições, Estrutura e Análise/Avaliação e o tratamento de riscos. Portanto, as seções que serão descriminadas iniciam-se na seção 5.
144
Seção: 5 – Política de segurança da informação
Categoria: 5.1 – Política de segurança da informação
Tabela 6 – Seção Política de segurança da informação, Categoria Política de segurança da informação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
A informação é um ativo que, como qualquer outro ativo importante, é essencial para
os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada
vez mais interconectado. Como um resultado deste incrível aumento da interconectividade, a informação está agora exposta a um crescente número e a uma grande
variedade de ameaças e vulnerabilidades.
5.1.1 - Convém que um documento da política
de segurança da informação seja aprovado
pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em
papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio por meio do qual a informação é compartilhada ou armazenada, é
recomendado que ela seja sempre protegida adequadamente.
Segurança da informação é a proteção da informação de vários tipos de ameaças
para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o
retorno sobre os investimentos e as oportunidades de negócio.
A segurança da informação é obtida a partir da implementação de um conjunto de
controles adequados, incluindo esta política, processos, procedimentos, estruturas
organizacionais e funções de software e hardware. Esses controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados,
onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos.
145
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Todas as diretrizes previstas nesta Política de Segurança da Informação e Comunicações representam os princípios básicos que o CPDF decidiu incorporar aos seus
processos, conforme visão estratégica da alta direção, que apóia as metas e princípios da segurança da informação e comunicações, alinhada com os objetivos do negócio da Dataprev.
A Política de Segurança e Comunicações do CPDF se aplica a todos os seus recursos humanos, administrativos e tecnológicos. A abrangência dos recursos citados
refere-se tanto àqueles ligados a ela em caráter permanente quanto temporário.
Esta política é comunicada para todo o pessoal envolvido e largamente divulgada
pelo CPDF (está disponível em www-cpdf/politica), garantindo que todos tenham
consciência da mesma e a pratiquem na organização. Todo o pessoal recebe as informações necessárias para cumprir adequadamente o que está determinado nesta
Política de Segurança.
Nos casos de violação da Política ou das normas de Segurança da Informação e
Comunicações, sanções administrativas e/ou legais poderão ser adotadas, podendo
gerar advertências, demissões e/ou processos criminais, se aplicáveis.
5.1.2 - Convém que a política de segurança da
informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
A Política de Segurança da Informação e Comunicações do CPDF será analisada
criticamente a cada 24 (vinte e quatro) meses ou quando ocorrerem mudanças significativas pela Coordenação Geral de Segurança de Informações, de forma a assegurar a sua contínua pertinência, adequação e eficácia.
146
Seção: 6 – Organizando a segurança da informação
Categoria: 6.1 – Infra-estrutura da segurança da informação
Tabela 7 – Seção Organizando a segurança da informação, Categoria Infra-estrutura da segurança da informação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.1.1 - Convém que a direção apóie ativamente
a segurança da informação dentro da organização, por meio de um claro direcionamento,
demonstrando o seu comprometimento, definindo atribuições de forma explícita e conhecendo as responsabilidades pela segurança da
informação.
A alta direção da Dataprev, assim como o Gerente do CPDF, apóia esta política da
segurança da informação e informações, reconhece que a responsabilidade pela segurança das informações da Dataprev cabe a cada um de seus colaboradores e delega aos gerentes imediatos a supervisão do seu cumprimento.
6.1.2 - Convém que as atividades de seguranCabe ao Gerente do CPDF instituir e designar o Comitê Gestor de Segurança da
ça da informação sejam coordenadas por reInformação, composto por representantes de diferentes áreas do CPDF, com funpresentantes de diferentes partes da organizações e papéis relevantes.
ção, com funções e papéis relevantes.
147
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os dados, as informações e os sistemas de informação do CPDF e sob sua guarda,
são protegidos contra ameaças e ações não autorizadas, acidentais ou não, de mo6.1.3 - Convém que todas as responsabilidades
do a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens. No
pela segurança da informação, estejam claraentanto, a manutenção desses ativos depende da responsabilidade de cada colabomente definidas.
rador, que deve cumprir com as suas atribuições e as diretrizes estabelecidas desta
Política.
Os novos recursos de processamento da informação devem ter autorização adequada por parte da administração de usuários, autorizando seus propósitos e uso. O
gestor responsável pela manutenção do sistema de segurança da informação também deve autorizar o acesso, de forma a garantir que todas as políticas e requisitos
de segurança relevantes sejam atendidos.
6.1.4 - Convém que seja definido e implementado um processo de gestão de autorização
Hardwares e softwares devem ser verificados para comprovação de compatibilidade
para novos recursos de processamento da incom outros componentes do sistema.
formação.
O uso de recursos de processamento de informação, pessoais ou privados, como,
por exemplo, notebooks, computadores pessoais ou quaisquer dispositivos que possam introduzir novas vulnerabilidades à infraestrutura do CPDF, devem dispor dos
dispositivos de segurança (exemplo: antivírus) disponibilizados pela Dataprev.
148
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.1.5 - Convém que os requisitos para confidencialidade ou acordos de não divulgação que Informações sigilosas, corporativas ou que possam causar prejuízo à Dataprev dereflitam as necessidades da organização para vem ser protegidas e não podem ser enviadas para outras redes, sem proteção adea proteção da informação sejam identificados e quada.
analisados criticamente, de forma regular.
Em caso de incidentes de segurança e/ou desastres, o CPDF comunicará à autori6.1.6 - Convém que contatos apropriados com
dade responsável, e seguirá as orientações contidas no seu Plano de Continuidade
autoridades relevantes sejam mantidos.
de Negócios.
6.1.7 - Convém que sejam mantidos contatos
apropriados com grupos de interesses especi- O Comitê Gestor de Segurança da Informação deverá manter contato com grupos de
ais ou outros fóruns especializados de segu- interesses especiais ou outros fóruns especializados de segurança da informação e
rança da informação e associações profissio- associações profissionais pertinentes.
nais.
6.1.8 - Convém que o enfoque da organização
para gerenciar a segurança da informação e a
sua implementação (por exemplo, controles,
objetivo dos controles, políticas, processos e
procedimentos para a segurança da informação) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando correrem mudanças significativas relativas à
implementação da segurança da informação.
Anualmente, o Gerente do CPDF deverá iniciar uma análise crítica independente.
Essa análise crítica independente torna-se necessária para assegurar a contínua
pertinência, adequação e eficácia do enfoque da organização para gerenciar a segurança da informação. Essa análise crítica inclui a avaliação de oportunidades para a
melhoria contínua e a necessidade de mudanças, incluindo a política e os objetivos
de controle.
149
Categoria: 6.2 – Partes Externas
Tabela 8 – Seção Organizando a segurança da informação, Categoria Partes Externas.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.2.1 - Convém que os riscos para os recursos de
processamento da informação e da informação da
organização oriundos de processos do negócio
que envolva as partes externas sejam identificados e controles apropriados implementados antes
de se conceder o acesso.
Na análise de riscos do Plano de Continuidade de Negócios do CPDF são identificados e especificados os requisitos de controles específicos relativos ao acesso
de uma parte externa aos recursos de processamento da informação ou à informação de uma organização.
O acesso às informações da organização pelas partes externas não deverá ser
fornecido até que os controles apropriados tenham sido implementados e, quando
for o caso viável, um contrato tenha sido assinado.
150
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O acesso aos ativos ou às informações do CPDF será concedido aos seus clientes observando-se (dependendo do tipo e extensão do acesso concedido, nem
todos os itens são aplicáveis):
1) Proteção dos ativos, incluindo:
a) Procedimentos para proteger os ativos da organização, incluindo informação e software, e a gestão de vulnerabilidades conhecidas;
b) Procedimentos para definir ações quando ocorrer o comprometimento de
c) Quaisquer dos ativos, por exemplo, perda ou modificação de dados;
6.2.2 - Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso
aos ativos ou às informações da organização.
d) Integridade do ativo;
e) Restrições em relação a cópias e divulgação de informações;
2) Descrição do produto ou serviço a ser fornecido;
3) As diferentes razões, requisitos e benefícios para o acesso do cliente;
4) Políticas de controle de acesso, cobrindo:
a) Métodos de acesso permitido e o controle e uso de identificadores únicos,
tais como identificador de usuário e senhas de acesso;
b) Um processo de autorização para acesso dos usuários e privilégios;
c) Uma declaração de que todo o acesso que não seja explicitamente autori-
151
Controle da NBR 27002:2005
Proposta de texto para a POSIC
zado é proibido;
d) Um processo para revogar os direitos de acesso ou interromper a conexão
entre sistemas.
5) Procedimentos para relato, notificação e investigação de informações imprecisas (por exemplo, sobre pessoal), incidentes de segurança da informação e
violação da segurança da informação;
6) Descrição de cada serviço que deve estar disponível;
7) Os níveis de serviços acordados e os níveis de serviços inaceitáveis;
8) Direito de monitorar e revogar qualquer atividade relacionada com os ativos do
CPDF;
9) As respectivas responsabilidades civis da organização e dos clientes;
10) Responsabilidades com relação a aspectos legais e como é assegurado que
os requisitos legais são atendidos, por exemplo, leis de proteção de dados,
especialmente levando-se em consideração os diferentes sistemas legais nacionais se o acordo envolver a cooperação com clientes em outros países;
11) Direitos de propriedade intelectual e direitos autorais e proteção de qualquer
trabalho colaborativo.
152
Controle da NBR 27002:2005
Proposta de texto para a POSIC
6.2.3 - Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação
ou gerenciamento dos recursos de processamento
da informação ou da informação da organização,
ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram
todos os requisitos de segurança da informação
relevantes.
Nos acordos com terceiros envolvendo o acesso, processamento, comunicação
ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação devem obedecer todos os requisitos de segurança da
informação relevantes e deve ser considerada a possibilidade de indenização de
terceiros nesses acordos.
153
Seção: 7 – Gestão de ativos
Categoria: 7.1 – Responsabilidade pelos ativos
Tabela 9 – Seção Gestão de ativos, Categoria Responsabilidade pelos ativos.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
7.1.1 - Convém que todos os ativos sejam claramente identificados e um inventário de todos
os ativos importantes seja estruturado e mantido.
O inventário de todo o conjunto de ativos de processamento deve ser registrado e
mantido atualizado, no mínimo, mensalmente, na ConsoleNG. No caso de implantações, as atualizações devem ser executadas pela D2OP, segundo informações repassadas pela S2PD em até 24 (vinte e quatro) horas após a implantação. No caso
de mudanças, as atualizações devem ser feitas pela D2OP, orientadas pela S2GA
em até 24 (vinte e quatro) horas após cada mudança.
7.1.2 - Convém que todas as informações e
ativos associados com os recursos de proces- Todas as informações e ativos associados com os recursos de processamento da
samento da informação tenham um proprietário informação possuem um responsável técnico designado pela área responsável pelas
designado por uma parte definida da organiza- informações cadastradas na ConsoleNG (S2GA e S2PD).
ção.
7.1.3 - Convém que sejam identificadas, documentadas e implementadas regras para que Todos os colaboradores, fornecedores e terceiros devem seguir as regras para o uso
sejam permitidos o uso de informações e de permitido de informações e de ativos associados aos recursos de processamento da
ativos associados aos recursos de processa- informação do CPDF.
mento da informação.
154
Categoria: 7.2 – Classificação da informação
Tabela 10 – Seção Gestão de ativos, Categoria Classificação da informação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
7.2.1 - Convém que a informação seja classifiA informação deve ser protegida de acordo com o seu valor, sensibilidade e criticidacada em termos do seu valor, requisitos legais,
de. Para tanto, o CPDF possui um sistema de classificação da informação.
sensibilidade e criticidade para a organização.
7.2.2 - Convém que um conjunto apropriado de
procedimentos para rotulação e tratamento da
Na Política de Classificação da Informação do CPDF constam os procedimentos painformação seja definido e implementado de
ra rotulação e tratamento das informações.
acordo com o esquema de classificação adotado pela organização.
155
Seção: 8 – Segurança em recursos humanos
Categoria: 8.1 – Antes da contratação
Tabela 11 – Seção Segurança em recursos humanos, Categoria Antes da contratação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Cabe aos colaboradores do CPDF:
1) Preservar a integridade e guardar sigilo das informações de que fazem uso, bem
como zelar e proteger os respectivos recursos de processamento de informações;
2) Cumprir esta Política de Segurança e Comunicações, sob pena de incorrer nas
sanções disciplinares e legais cabíveis;
8.1.1 - Convém que papéis e responsabilidades 3) Utilizar os Sistemas de Informações da Dataprev e os recursos a ela relacionados
somente para os fins previstos pela Segurança da Dataprev;
pela segurança da informação de funcionários,
fornecedores e terceiros sejam definidos e do4) Cumprir as regras específicas de proteção estabelecidas aos ativos de informacumentados de acordo com a política de segução;
rança da informação da organização.
5) Manter o caráter sigiloso da senha de acesso aos recursos e sistemas da Dataprev;
6) Não compartilhar, sob qualquer forma, informações confidenciais com outros que
não tenham a devida autorização de acesso;
7) Responder por todo e qualquer acesso aos recursos da Dataprev bem como pelos efeitos desses acessos efetivados através do seu código de identificação, ou
156
Controle da NBR 27002:2005
Proposta de texto para a POSIC
outro atributo para esse fim utilizado;
8) Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas
de computador ou qualquer outro material, em violação da legislação de propriedade intelectual pertinente;
9) Comunicar a chefia imediata o conhecimento de quaisquer irregularidades ou
desvios.
Cabe ao Comitê Gestor de Segurança da Informação:
1) Estabelecer regras de proteção dos ativos do CPDF;
2) Decidir quanto à medida que são tomadas no caso de violação das regras estabelecidas;
3) Revisar pelo menos anualmente, as regras de proteção estabelecidas;
4) Restringir e controlar o acesso e os privilégios de usuários remotos e externos;
5) Elaborar e manter atualizado o Plano de Continuidade de Negócio da CPDF;
6) Executar as regras de proteção estabelecidas por esta Política de Segurança;
7) Detectar, identificar, registrar e comunicar a gerência do CPDF as violações ou
tentativas de acesso não autorizadas;
8) Definir e aplicar, para cada usuário de TI, restrições de acesso à Rede, como horário autorizado, dias autorizados, entre outras;
157
Controle da NBR 27002:2005
Proposta de texto para a POSIC
9) Manter registros de atividades de usuários de TI (logs) por um período de tempo
superior a 6 (seis) anos. Os registros contêm a hora e a data das atividades, a identificação do usuário de TI, comandos (e seus argumentos) executados, identificação da estação local ou da estação remota que iniciou a conexão, número dos
processos e condições de erro observadas (tentativas rejeitadas, erros de consistência, etc.);
10) Limitar o prazo de validade das contas de prestadores de serviço ao período da
contratação;
11) Excluir as contas inativas;
12) Fornecer senhas de contas privilegiadas somente aos empregados que necessitem efetivamente dos privilégios, mantendo-se o devido registro e controle.
Cabe aos Prestadores de Serviço:
1) Cumprir as cláusulas que contemplam a responsabilidade dos prestadores de
serviço no cumprimento desta Política de Segurança da Informação, suas normas
e procedimentos previstas em contrato.
8.1.2 - Convém que verificações de controle de
todos os candidatos a emprego, fornecedores e
terceiros sejam realizadas de acordo com as
leis relevantes, regulamentações e éticas, e
proporcional aos requisitos do negócio, à classificação das informações a serem acessadas
e aos riscos percebidos.
Além do processo seletivo, realizado por meio de concurso público, são adotados
critérios com o propósito de selecionar para o quadro do CPDF pessoas reconhecidamente idôneas e sem antecedentes que possam comprometer a segurança ou
credibilidade.
158
Controle da NBR 27002:2005
Proposta de texto para a POSIC
8.1.3 - Como parte das suas obrigações contratuais, convém que os funcionários, fornecedores e terceiros concordem e assinem os termos O colaborador ou prestador de serviço deve assinar termo de compromisso assue condições de sua contratação para o traba- mindo o dever de manter sigilo, mesmo quando desligado, sobre todos os ativos de
lho, os quais devem declarar as suas respon- informações e processos do CPDF.
sabilidades e a da organização para a segurança da informação.
159
Categoria: 8.2 – Durante a contratação
Tabela 12 – Seção Segurança em recursos humanos, Categoria Durante a contratação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
8.2.1 - Convém que a direção solicite aos funcionários, fornecedores e terceiros que prati- Os colaboradores, fornecedores e terceiros deverão ser conscientizados das suas
quem a segurança da informação de acordo responsabilidades quanto às políticas e procedimentos, de forma a evitar considerácom o estabelecido nas políticas e procedimen- veis danos para o CPDF.
tos da organização.
8.2.2 - Convém que todos os funcionários da
organização e, onde pertinente, fornecedores e
terceiros recebam treinamento apropriados em
conscientização, e atualizações regulares nas
políticas e procedimentos organizacionais, relevantes para as suas funções.
Existe um processo pelo qual é apresentada aos empregados e prestadores de serviço esta Política de Segurança da Informação e suas normas e procedimentos relativos ao trato de informações e/ou dados sigilosos, com o propósito de desenvolver e
manter uma efetiva conscientização de segurança, assim como instruir o seu fiel
cumprimento.
8.2.3 - Convém que exista um processo disciplinar formal para os funcionários que tenham
cometido uma violação da segurança da informação.
O Comitê Gestor de Segurança da Informação do CPDF deve avaliar e decidir quanto às medidas que são tomadas no caso de violação das regras estabelecidas nesta
POSIC, de forma a assegurar um tratamento justo e correto aos colaboradores que
cometerem violações de segurança da informação.
160
Categoria: 8.3 – Encerramento ou mudança da contratação
Tabela 13 – Seção Segurança em recursos humanos, Categoria Encerramento ou mudança da contratação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
A D2OP é responsável por assegurar que a saída de colaboradores, fornecedores e
terceiros da organização seja feita de modo controlado e que a devolução de todos
8.3.1 - Convém que responsabilidades para os equipamentos e a retirada de todos os direitos de acesso estão concluídas. A corealizar o encerramento ou a mudança de um municação de encerramento de atividades deve ser feita por e-mail pelo gerente itrabalho sejam claramente definidas e atribuí- mediato responsável, incluindo requisitos de segurança e responsabilidades legais
das.
pertinentes e responsabilidades contidas, se houver, em quaisquer acordos de confidencialidade e os termos e condições de trabalho continuam pelo período de 1 (um)
ano após o fim do trabalho do colaborador, do fornecedor ou do terceiro.
8.3.2 - Convém que todos os funcionários, fornecedores e terceiros devolvam todos os ativos
da organização que estejam em sua posse,
após o encerramento de suas atividades, do
contrato ou acordo.
O processo de encerramento de atividades deve ser formalizado para contemplar a
devolução de todos os equipamentos, documentos corporativos e software entregues
à pessoa. Outros ativos da organização, tais como dispositivos de computação móvel, cartões de créditos, cartões de acesso, software, manuais e informações armazenadas em mídia eletrônica, também precisam ser devolvidos.
161
Controle da NBR 27002:2005
Proposta de texto para a POSIC
8.3.3 - Convém que os direitos de acesso de
todos os funcionários, fornecedores e terceiros
às informações e aos recursos de processamento da informação sejam retirados após o
encerramento de suas atividades, contratos ou
acordos, ou ajustado após a mudança destas
atividades.
Após o envio do e-mail de encerramento de atividades, um termo de devolução de
todos os equipamentos, documentos corporativos e softwares entregues deve ser
assinado pelo colaborador, fornecedor ou terceiro. Outros ativos do CPDF, tais como
dispositivos de computação móvel, cartões de crédito, cartões de acesso, software,
manuais e informações armazenadas em mídia eletrônica, também devem ser devolvidos.
162
Seção: 9 – Segurança física e do ambiente
Categoria: 9.1 – Áreas seguras
Tabela 14 – Seção Segurança física e do ambiente, Categoria Áreas seguras.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
9.1.1 - Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão
ou balcões de recepção com recepcionistas)
para proteger as áreas que contenham informações e instalações de processamento da
informação.
Os recursos e instalações críticas ou sensíveis do CPDF são mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança, controle de acesso, portões de entrada controlados por cartão e balcões de
recepção com recepcionistas. Eles são fisicamente protegidos de acesso não autorizado, dano ou interferência. A proteção fornecida é proporcional aos riscos identificados.
9.1.2 - Convém que as áreas seguras sejam
A entrada e saída em locais com ativos críticos são restritos aos colaboradores (ou
protegidas por controles apropriados de entraterceiros acompanhados por, no mínimo, um colaborador) e automaticamente regisda para assegurar que somente pessoas autotradas com data e hora definidas.
rizadas tenham acesso.
163
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O CPDF leva em conta os regulamentos e normas de saúde e segurança aplicáveis.
As instalações-chave são localizadas de maneira a evitar o acesso do público;
O edifício que comporta o centro de dados do CPDF é discreto e não dá indicação
9.1.3 - Convém que seja projetada e aplicada possível da sua finalidade, tampouco há letreiros evidentes, fora ou dentro do edifísegurança física para escritórios, salas e insta- cio, que identifiquem a presença de atividades de processamento de informações.
lações.
A localização das instalações que processam informações sensíveis não fica facilmente acessível ao público, tampouco na lista de colaboradores e guias telefônicos
internos.
9.1.4 - Convém que sejam projetadas e aplicadas proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da
ordem pública e outras formas de desastres
naturais ou causados pelo homem.
O CPDF ainda não dispõe de centro de dados seguro, protegido contra incêndios,
enchentes, terremotos, explosões, perturbações da ordem pública e outras formas
de desastres naturais ou causados pelo homem. No entanto, dispõe de um Plano de
Continuidade de Negócios (PCN), onde estão previstos os procedimentos e responsabilidades em caso de desastres.
As responsabilidades pela segurança física dos sistemas do CPDF estão definidas e
atribuídas a indivíduos claramente identificados na organização.
9.1.5 - Convém que seja projetada e aplicada
O sistema de CFTV – Circuito Fechado de Televisão e Vídeo registra as imagens
proteção física, bem como diretrizes para o trados ambientes críticos e demais ambientes internos e de acesso ao CPDF no modo
balho em áreas seguras.
24 x 7 (vinte e quatro por sete), com backup de 365 (trezentos e sessenta e cinco)
dias.
164
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Nas instalações do CPDF, todos devem utilizar identificação de forma visível (por
exemplo: crachá) e informar à segurança sobre a presença de qualquer pessoa não
identificada ou de qualquer estranho não acompanhado.
O acesso aos componentes da infra-estrutura, atividade fundamental ao funcionamento dos sistemas do CPDF, como painéis de controle de energia, comunicações e
cabeamento, é restrito ao pessoal autorizado.
Perdas de cartões/chaves de acesso devem ser imediatamente comunicadas ao
responsável pelo Comitê Gestor de Segurança da Informação do CPDF. O Comitê
está preparado para executar as medidas apropriadas para prevenir acessos não
autorizados.
Sistemas de segurança para acesso físico estão instalados para controlar, registrar e
auditar o acesso ao CPDF.
No centro de dados não é permitido o uso de máquinas fotográficas, gravadores de
vídeo ou áudio ou de outros equipamentos de gravação, tais como câmeras em dispositivos móveis, salvo se for autorizado previamente.
165
Controle da NBR 27002:2005
Proposta de texto para a POSIC
9.1.6 - Convém que os pontos de acesso, tais
como áreas de entrega e de carregamento e
outros pontos em que pessoas não autorizadas
possam entrar nas instalações, sejam controlados e, se possível, isolados das instalações de
processamento da informação, para evitar o
acesso não autorizado.
As áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações devem ser controlados. Essas pessoas devem
obter acesso apenas às áreas específicas, com propósitos autorizados, e esses acessos seguem instruções baseadas nos requisitos de segurança da área visitada.
166
Categoria: 9.2 – Segurança de equipamentos
Tabela 15 – Seção Segurança física e do ambiente, Categoria Segurança de equipamentos.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os equipamentos críticos devem ser colocados em local isolado, a fim de minimizar
o acesso desnecessário às áreas de trabalho.
As instalações de processamento da informação que manuseiam dados sensíveis
são posicionadas de forma que o ângulo de visão fique restrito, de modo a reduzir o
risco de que as informações sejam vistas por pessoal não autorizado durante a sua
utilização, e os locais de armazenagem são protegidos, a fim de evitar o acesso não
autorizado.
9.2.1 - Convém que os equipamentos sejam
Os itens que exigem proteção especial são isolados para reduzir o nível geral de procolocados no local ou protegidos para reduzir
teção necessário.
os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso
São adotados controles para minimizar o risco de ameaças físicas potenciais, tais
não autorizado.
como furto, incêndio, explosivos, fumaça, água (ou falha do suprimento de água),
poeira, vibração, efeitos químicos, interferência com o suprimento de energia elétrica, interferência com as comunicações, radiação eletromagnética e vandalismo;
São estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instalações de processamento da informação.
O edifício sede da Dataprev e seu anexo, onde está situado o CPDF, são dotados de
proteção contra raios e todas as linhas de entrada de força e de comunicações têm
filtros de proteção contra raios.
167
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os equipamentos que processam informações sensíveis são protegidos, a fim de
minimizar o risco de vazamento de informações em decorrência de emanações.
Os equipamentos do centro de dados do CPDF são protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades. O CPDF possui
um Plano de Continuidade do Negócio que estabelece, no mínimo, o tratamento a9.2.2 - Convém que os equipamentos sejam dequado dos seguintes eventos de segurança:
protegidos contra falta de energia elétrica e
outras interrupções causadas por falhas das 1) Invasão do sistema e da rede interna do CPDF;
utilidades.
2) Incidentes de segurança física e lógica; e
3) Indisponibilidade da infraestrutura.
As linhas de energia e de telecomunicações que entram nas instalações do centro
9.2.3 - Convém que o cabeamento de energia
de dados do CPDF são subterrâneas.
e de telecomunicações que transporta dados
ou dá suporte aos serviços de informações seja
O cabeamento de redes é protegido contra interceptação não autorizada ou danos
protegido contra interceptação ou danos.
pelo uso de conduítes e evitando trajetos que passem por áreas públicas.
168
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No CPDF, a manutenção dos equipamentos deve ser realizada nos intervalos recomendados pelo fornecedor, e de acordo com as suas especificações. A manutenção
e os consertos dos equipamentos devem ser realizados somente por pessoal de manutenção autorizado.
São mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as ope9.2.4 - Convém que os equipamentos tenham
rações de manutenção preventiva e corretiva realizadas.
uma manutenção correta para assegurar sua
disponibilidade e integridade permanentes.
São implementados controles apropriados, na época programada para a manutenção local do equipamento. Se o equipamento precisar ser removido do CPDF, as
informações sensíveis serão eliminadas do equipamento, sendo resguardadas para
posterior restauração no equipamento.
São atendidas todas as exigências estabelecidas nas apólices de seguro.
9.2.5 - Convém que sejam tomadas medidas
de segurança para equipamentos que operem
fora do local, levando em conta os diferentes
riscos decorrentes do fato de se trabalhar fora
das dependências da organização.
Não Aplicável
9.2.6 - Convém que todos os equipamentos
que contenham mídias de armazenamento de
As mídias devem ser eliminadas de forma segura, quando não forem mais necessádados sejam examinados antes do descarte,
rias. Procedimentos formais para a eliminação segura das mídias estão definidos
para assegurar que todos os dados sensíveis e
pela norma de Classificação de Informação do CPDF.
softwares licenciados tenham sido removidos
ou sobregravados com segurança.
169
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os equipamentos, informações ou software não devem ser retirados do CPDF sem
autorização prévia.
Os colaboradores devem obter autorização direta e expressa do Gerente do CPDF
9.2.7 - Convém que equipamentos, informapara permitir a remoção de ativos.
ções ou software não sejam retirados do local
sem autorização prévia.
Em cada caso, serão estabelecidos limites de tempo para a permanência de equipamentos fora do CPDF e a devolução deverá ser controlada.
Deverá ser feito um registro da retirada e da devolução de equipamentos, quando do
seu retorno.
170
Seção: 10 – Gerenciamento das operações e comunicações
Categoria: 10.1 – Procedimentos e responsabilidades operacionais
Tabela 16 – Seção Gerenciamento das operações e comunicações, Categoria Procedimentos e responsabilidades operacionais.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.1.1 - Convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem.
Os procedimentos do CPDF devem ser documentados, principalmente, os procedimentos das atividades de sistemas associadas a recursos de processamento e comunicação de informações, tais como procedimentos de inicialização e desligamento
de computadores, geração de cópias de segurança (backup), manutenção de equipamentos e tratamento de mídias. Assim, em caso de turn over (rotatividade de pessoal), não haverá interrupção dos trabalhos.
Os processos de mudança nos sistemas de informação do CPDF devem ser realiza10.1.2 - Convém que modificações nos recurdos por meio de RDM (Requisição de Mudança) eletrônica, disponível na Consosos de processamento da informação e sisteleNG. As mudanças de arquitetura e/ou que envolvam hardware são feitas e contromas sejam controladas.
ladas pela S2PD, pois dependem de um novo planejamento.
10.1.3 - Convém que funções e áreas de resNão Aplicável
ponsabilidade sejam segregadas para reduzir
Nesse caso, conforme as diretrizes para implementação da norma, outros controles,
as oportunidades de modificação ou uso indecomo a monitoração das atividades, trilhas de auditoria e o acompanhamento gerenvido não autorizado ou não intencional dos aticial são realizados.
vos da organização.
171
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os ambientes de desenvolvimento, homologação, produção e treinamento do CPDF
são sempre segregados.
10.1.4 - Convém que recursos de desenvolviOs softwares em desenvolvimento e em produção são executados em diferentes sismento, teste e produção sejam separados para
temas ou processadores e em diferentes domínios ou diretórios.
reduzir o risco de acessos ou modificações não
Os ambientes de testes simulam o ambiente de produção o mais próximo possível.
autorizadas aos sistemas operacionais.
Os usuários têm diferentes perfis para sistemas em testes e em produção.
Os dados sensíveis da produção não são copiados para os ambientes de testes.
172
Categoria: 10.2 – Gerenciamento de serviços terceirizados
Tabela 17 – Seção Gerenciamento das operações e comunicações, Categoria Gerenciamento de serviços terceirizados.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.2.1 - Convém que seja garantido que os
controles de segurança, as definições de serviço e os níveis de entrega incluídos no acordo A entrega de serviços por um terceiro inclui os arranjos de segurança acordados,
de entrega de serviços terceirizados sejam im- definições de serviço e aspectos de gerenciamento de serviços.
plementados, executados e mantidos pelo terceiro.
10.2.2 - Convém que os serviços, relatórios e
registros fornecidos por terceiro sejam regularmente monitorados e analisados criticamente, e que auditorias sejam executadas regularmente.
O CPDF deve monitorar e analisar de forma crítica os serviços terceirizados para
garantir a aderência entre os termos de segurança de informação e as condições dos
acordos, e para que problemas e incidentes de segurança da informação possam ser
gerenciados adequadamente.
173
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No processo de gerenciamento de mudanças para serviços terceirizados, o CPDF
considera:
1) Mudanças feitas pela organização para a implementação de:
a) Melhorias dos serviços correntemente oferecidos;
b) Desenvolvimento de quaisquer novas aplicações ou sistemas;
c) Modificações ou atualizações das políticas e procedimentos da organização;
10.2.3 - Convém que mudanças no provisiod) Novos controles para resolver os incidentes de segurança da informação e panamento dos serviços, incluindo manutenção e
ra melhorar a segurança;
melhoria da política de segurança da informação, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a critici- 2) Mudanças em serviços de terceiros para implementação de:
dade dos sistemas e processos de negócio ena) Mudanças e melhorias em redes;
volvidos e a reanálise/reavaliação de riscos.
b) Uso de novas tecnologias;
c) Adoção de novos produtos ou novas versões;
d) Novas ferramentas e ambientes de desenvolvimento;
e) Mudanças de localização física dos recursos de serviços;
f) Mudanças de fornecedores.
174
Categoria: 10.3 – Planejamento e aceitação dos sistemas
Tabela 18 – Seção Gerenciamento das operações e comunicações, Categoria Planejamento e aceitação dos sistemas.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.3.1 - Convém que utilização dos recursos
seja monitorada e sincronizada e as projeções
feitas para necessidades de capacidade futura,
para garantir o desempenho requerido do sistema.
A S2PD identifica e reavalia os requisitos de capacidade das aplicações/serviços
novos e em andamento no CPDF, levando em consideração os requisitos dos novos
negócios e sistemas e as tendências atuais e projetadas de capacidade de processamento de informação do CPDF. Nos casos de aplicações/serviços com ANS, fazse monitoramento para garantia e melhora da disponibilidade e da eficiência. A D2SI,
por meio do Zabbix, implementa controles detectivos para identificar problemas em
tempo hábil.
10.3.2 - Convém que sejam estabelecidos critérios de aceitação para novos sistemas, atualizações e novas versões, e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitação.
Todas as aplicações/serviços do CPDF dispõem de um gestor (negócio) e de um
responsável técnico, funções passíveis de serem acumulativas em um único indivíduo. Os gestores garantem que os requisitos e critérios para aceitação de novos sistemas estejam claramente definidos, acordados, documentados e testados. As novas
aplicações/serviços, atualizações e novas versões somente são migradas para produção após a obtenção de aceitação formal por parte do gestor.
175
Categoria: 10.4 – Proteção contra códigos maliciosos e códigos móveis
Tabela 19 – Seção Gerenciamento das operações e comunicações, Categoria Proteção contra códigos maliciosos e códigos móveis.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.4.1 - Convém que sejam implantados controles de detecção, prevenção e recuperação Os procedimentos de combate a códigos hostis (vírus, cavalo-de-tróia e worms) espara proteger contra códigos maliciosos, assim tão sistematizados e abrangem máquinas servidoras, estações de trabalho, equipacomo procedimentos para a devida conscienti- mentos portáteis e microcomputadores stand alone (isolados).
zação dos usuários.
10.4.2 - Onde o uso de códigos móveis é autorizado, convém que a configuração garanta que
o código móvel autorizado opere de acordo O CPDF deve controlar os recursos disponíveis para acesso a códigos móveis e escom uma política de segurança da informação tabelecer controles criptográficos de autenticação exclusiva do código móvel.
claramente definida e códigos móveis não autorizados tenham sua execução impedida.
176
Categoria: 10.5 – Cópias de segurança
Tabela 20 – Seção Gerenciamento das operações e comunicações, Categoria Cópias de segurança.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.5.1 - Convém que as cópias de segurança
das informações e dos softwares sejam efetuaA S2PD elabora e mantém a Política de Cópias de Segurança (backups). A D2OP
das e testadas regularmente conforme a polítitesta e executa as rotinas, conforme a Política de Cópias de Segurança.
ca de geração de cópias de segurança definida.
177
Categoria: 10.6 – Gerenciamento da segurança em redes
Tabela 21 – Seção Gerenciamento das operações e comunicações, Categoria Gerenciamento da segurança em redes.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.6.1 - Convém que as redes sejam adequadamente gerenciadas e controladas, de forma
a protegê-las contra ameaças e manter a segu- A D2RE gerencia e controla o tráfego das informações no ambiente de rede, proterança de sistemas e aplicações que utilizam gendo contra danos ou perdas, bem como acesso, uso ou exposição indevidos.
estas redes, incluindo a informação em trânsito.
10.6.2 - Convém que as características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente ou terceirizados.
A D2RE identifica e determina junto ao provedor dos serviços de rede as definições
de segurança necessárias para o CPDF e alguns serviços específicos, tais como
características de segurança, níveis de serviço e requisitos de gerenciamento. Além
disso, monitora a capacidade do provedor de gerenciar os serviços acordados de
maneira segura.
São adotadas as facilidades de segurança disponíveis de forma inata nos ativos de
processamento da rede.
178
Categoria: 10.7 – Manuseio de mídias
Tabela 22 – Seção Gerenciamento das operações e comunicações, Categoria Manuseio de mídias.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Sempre que uma mídia contiver informações sensíveis, o proprietário das informações, conforme a norma de Classificação da Informação do CPDF, deverá autorizar
sua remoção e manter registro dessa remoção como trilha de auditoria.
Toda mídia é guardada de forma segura em um ambiente protegido, de acordo com
10.7.1 - Convém que existam procedimentos
as especificações do fabricante.
implementados para o gerenciamento de mídias removíveis.
As informações armazenadas em mídias que precisam estar disponíveis por muito
tempo (em conformidade com as especificações dos fabricantes) são também armazenadas em outro local para evitar perda de informações devido à deterioração das
mídias.
As mídias removíveis são registradas para limitar a oportunidade de perda de dados.
10.7.2 - Convém que as mídias sejam descartadas de forma segura e protegida quando não
forem mais necessárias, por meio de procedimentos formais.
Redundante
179
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No tratamento, processamento, armazenamento e transmissão da informação são
considerados:
1) Tratamento e identificação de todos os meios magnéticos indicando o nível de
classificação;
2) Restrições de acesso para prevenir o acesso de pessoas não autorizadas;
3) Manutenção de um registro formal dos destinatários de dados autorizados;
4) Garantia de que a entrada de dados é completa, de que o processamento está
10.7.3 - Convém que sejam estabelecidos prodevidamente concluído e de que a validação das saídas é aplicada;
cedimentos para o tratamento e o armazenamento de informações, para proteger tais in- 5) Proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade;
formações contra a divulgação não autorizada
ou uso indevido.
6) Armazenamento das mídias em conformidade com as especificações dos fabricantes;
7) Manutenção da distribuição de dados no menor nível possível;
8) Identificação eficaz de todas as cópias das mídias, para alertar os destinatários
autorizados;
9) Análise crítica das listas de distribuição e das listas de destinatários autorizados
em intervalos regulares.
180
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Na proteção da documentação dos seus sistemas, o CPDF:
1) Guarda a documentação dos sistemas de forma segura;
10.7.4 - Convém que a documentação dos sis- 2) Gerencia o acesso de pessoas à documentação de sistemas, garantindo que a
relação de pessoas com permissão seja a menor possível e autorizada pelo protemas seja protegida contra acessos não autoprietário do sistema;
rizados.
3) Quando necessário, mantém a documentação de sistema em uma rede pública,
ou fornecida por meio de uma rede pública, protegida de forma apropriada.
181
Categoria: 10.8 – Troca de informações
Tabela 23 – Seção Gerenciamento das operações e comunicações, Categoria Troca de informações.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O CPDF adota recursos de VPN, baseados em criptografia, para a troca de informações sensíveis, por meio de redes públicas.
São adotados recursos criptográficos para proteção de informações eletrônicas sensíveis que sejam transmitidas na forma de anexos.
As responsabilidades de funcionários, fornecedores e quaisquer outros usuários associados ao CPDF não devem comprometer a organização por meio de, por exemplo, difamação, assédio, falsa identidade, retransmissão de "correntes", compras não
autorizadas, etc.
10.8.1 - Convém que políticas, procedimentos
e controles sejam estabelecidos e formalizados O CPDF, por meio de sua Política de Classificação da Informação, prevê as diretripara proteger a troca de informações em todos zes de retenção e descarte para toda a correspondência de negócios, incluindo
os tipos de recursos de comunicação.
mensagens, de acordo com regulamentações e legislação locais e nacionais relevantes.
O CPDF preconiza que:
1) As informações críticas ou sensíveis não devem ser deixadas em equipamentos
de impressão, tais como copiadoras, impressoras e aparelhos de fax, de tal forma
que pessoas não autorizadas tenham acesso a elas;
2) Seus colaboradores devem tomar precauções adequadas como, por exemplo,
182
Controle da NBR 27002:2005
Proposta de texto para a POSIC
não revelar informações sensíveis, para evitar que sejam escutadas ou interceptadas durante uma ligação telefônica por pessoas em sua vizinhança, especialmente quando estiver usando telefone celular, grampo telefônico e outras formas
de escuta clandestina através do acesso físico ao aparelho telefônico ou à linha,
ou, ainda, pelo uso de rastreadores e pessoas ao lado do interlocutor;
3) Não devem ser deixadas mensagens contendo informações sensíveis em secretárias eletrônicas, uma vez que as mensagens podem ser reproduzidas por pessoas não autorizadas, gravadas em sistemas públicos ou gravadas indevidamente por erro de discagem;
4) Deve haver atenção no uso de aparelhos de fax para evitar acesso não autorizado a dispositivos para recuperação de mensagens, programação de aparelhos,
deliberada ou acidental, para enviar mensagens para números específicos determinados, envio de documentos e mensagens para número errado, seja por falha na discagem ou uso de número armazenado errado. Vale lembrar que alguns
aparelhos de fax e copiadoras que têm dispositivos de armazenamento temporário de páginas para o caso de falha no papel ou na transmissão, as quais serão
impressas após a correção da falha;
5) Seus colaboradores não devem armazenar dados pessoais, como endereços de
correios eletrônicos ou informações adicionais particulares, em quaisquer softwares, impedindo que sejam capturados para uso não autorizado.
183
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Na troca de informações com entidades externas, o CPDF deverá adotar um ou mais
critérios de segurança listados abaixo:
1) Criptografia;
10.8.2 - Convém que sejam estabelecidos a- 2) Certificados digitais;
cordos para a troca de informações e softwares
3) Restrições dos IPs de destino e origem;
entre a organização e entidades externas.
4) VPN.
O CPDF e a entidade externa deverão dispor de acordos para procedimentos de
custódia e responsabilidades e obrigações na ocorrência de incidentes de segurança
da informação, como perda de dados.
184
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Na proteção de mídias que são transportadas entre localidades, o CPDF deve:
1) Confiar no meio de transporte ou o serviço de mensageiros;
2) Definir uma relação de portadores autorizados em concordância com cada gestor;
3) Os portadores autorizados ou gestores devem verificar a identificação dos transportadores;
4) Garantir que a embalagem seja suficiente para proteger o conteúdo contra qualquer dano físico, como os que podem ocorrer durante o transporte, e que seja feita de acordo com as especificações dos fabricantes (como no caso de softwares),
10.8.3 - Convém que mídias contendo informapor exemplo, protegendo contra fatores ambientais que possam reduzir a possibições sejam protegidas contra acesso não autolidade de restauração dos dados como a exposição ao calor, umidade ou campos
rizado, uso impróprio ou alteração indevida dueletromagnéticos;
rante o transporte externo aos limites físicos da
organização.
5) O gestor deve adotar controles, onde necessário, para proteger informações sensíveis contra divulgação não autorizada ou modificação; como exemplo, pode-se
incluir o seguinte:
a) Utilização de recipientes lacrados;
b) Entrega em mãos;
c) Lacre explícito de pacotes (que revele qualquer tentativa de acesso);
d) Em casos excepcionais, divisão do conteúdo em mais de uma remessa e expedição por rotas distintas.
185
Controle da NBR 27002:2005
Proposta de texto para a POSIC
As considerações de segurança da informação sobre as mensagens eletrônicas no
CPDF devem incluir:
1) Proteção das mensagens contra acesso não autorizado, modificação ou negação
de serviço;
2) Assegurar que o endereçamento e o transporte da mensagem estejam corretos;
10.8.4 - Convém que as informações que trafegam em mensagens eletrônicas sejam ade- 3) Confiabilidade e disponibilidade geral do serviço;
quadamente protegidas.
4) Assinaturas eletrônicas;
5) Impedimento total de uso de serviços públicos externos, tais como sistemas de
mensagens instantâneas e compartilhamento de arquivos;
6) Níveis mais altos de autenticação para controlar o acesso a partir de redes públicas.
10.8.5 - Convém que políticas e procedimentos
sejam desenvolvidos e implementados para
proteger as informações associadas com a interconexão de sistemas de informações do negócio.
Todas as vulnerabilidades conhecidas devem ser divulgadas por meio de nota técnica. Assim, as possíveis interconexões entre sistemas poderão considerar as vulnerabilidades conhecidas de forma a decidir sobre a correção da vulnerabilidade ou a
aceitação do risco.
186
Categoria: 10.9 – Serviços de comércio eletrônico
Tabela 24 – Seção Gerenciamento das operações e comunicações, Categoria Serviços de comércio eletrônico.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
10.9.1 - Convém que as informações envolvidas em comércio eletrônico transitando sobre
redes públicas sejam protegidas de atividades
fraudulentas, disputas contratuais e divulgação
e modificações não autorizadas.
Não Aplicável
10.9.2 - Convém que informações envolvidas
em transações on-line sejam protegidas para
prevenir transmissões incompletas, erros de
roteamento, alterações não autorizadas de
mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não
autorizada.
No CPDF, as transações on-line se dão por meio de uso de assinaturas eletrônicas
para cada uma das partes envolvidas na transação, o caminho de comunicação entre todas as partes envolvidas é criptografado e os protocolos usados para comunicações entre todas as partes envolvidas é seguro.
10.9.3 - Convém que a integridade das inforAs aplicações, dados e informações adicionais que requeiram um alto nível de intemações disponibilizadas em sistemas publicagridade, determinada pelo gestor responsável, e que sejam disponibilizados em sismente acessíveis seja protegida para prevenir
temas publicamente acessíveis devem ser protegidos por mecanismos apropriados.
modificações não autorizadas.
187
Categoria: 10.10 – Monitoramento
Tabela 25 – Seção Gerenciamento das operações e comunicações, Categoria Monitoramento.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O nível de monitoramento requerido para os recursos individuais é determinado por
meio de uma análise de riscos. Os registros (logs) de auditoria são mantidos por 1
(um) ano e incluem:
1) Identificação dos usuários;
2) Datas, horários e detalhes de eventos-chave (horário de entrada e saída) no sistema;
10.10.1 - Convém que registros (log) de auditoria contendo atividades dos usuários, exceções
e outros eventos de segurança da informação 3) Identidade do terminal;
sejam produzidos e mantidos por um período
de tempo acordado para auxiliar em futuras 4) Registros das tentativas de acesso ao sistema aceitas e rejeitadas;
investigações e monitoramento de controle de
5) Registros das tentativas de acesso a outros recursos e dados aceitos e rejeitaacesso.
dos;
6) Alterações na configuração do sistema;
7) Uso de privilégios;
8) Uso de aplicações e utilitários do sistema;
188
Controle da NBR 27002:2005
Proposta de texto para a POSIC
9) Arquivos acessados e tipo de acesso;
10) Endereços e protocolos de rede;
11) Alarmes provocados pelo sistema de controle de acesso.
10.10.2 - Convém que sejam estabelecidos
procedimentos para o monitoramento do uso
O Comitê Gestor de Segurança da Informação do CPDF deve avaliar os logs de modos recursos de processamento da informação
nitoramento individual e de administradores anualmente, por amostragem e imediae os resultados das atividades de monitoratamente por suspeita de irregularidades.
mento sejam analisados criticamente, de forma
regular.
10.10.3 - Convém que os recursos e informações de registros (log) sejam protegidos contra
falsificação e acesso não autorizado.
Não Aplicável
As atividades dos administradores e operadores do sistema devem ser registradas e
devem incluir:
1) A hora em que o evento ocorreu (sucesso ou falha);
10.10.4 - Convém que as atividades dos administradores e operadores do sistema sejam re- 2) Informações sobre o evento (exemplo: arquivos manuseados) ou falha (exemplo:
erros ocorridos e ações corretivas adotadas);
gistradas.
3) Que conta e que administrador ou operador estava envolvido;
4) Que processos estavam envolvidos.
189
Controle da NBR 27002:2005
Proposta de texto para a POSIC
As falhas podem ser identificadas pelo Zabbix, gerando alertas para o devido tratamento. Nesse caso os alertas são enviados para a D2OP, que aciona a S2GA para
10.10.5 - Convém que as falhas ocorridas seos devidos trâmites.
jam registradas e analisadas, e que sejam adotadas ações apropriadas.
As falhas também podem ser identificadas pelos usuários. Nesse caso, a S2GA recebe as reclamações e inicia os trâmites para a solução do problema.
10.10.6 - Convém que os relógios de todos os
sistemas de processamento da informação re- O CPDF ajusta automaticamente os relógios dos seus ativos computacionais por
levantes, dentro da organização ou do domínio meio de programa disponibilizado pelo Observatório Nacional, órgão responsável
de segurança, sejam sincronizados de acordo pela geração, distribuição e conservação da Hora Legal Brasileira.
com uma hora oficial.
190
Seção: 11 – Controle de acessos
Categoria: 11.1 – Requisitos de negócio para controle de acesso
Tabela 26 – Seção Controle de acessos, Categoria Requisitos de negócio para controle de acesso.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Todo acesso às informações e aos ambientes lógicos do CPDF deve ser controlado,
de forma a garantir acesso apenas às pessoas autorizadas pelo respectivo proprietário da informação.
A Política de Controle de Acesso deve ser documentada e formalizada por meio de
normas e procedimentos que contemplem, pelo menos, os seguintes itens:
1) Procedimento formal de concessão e cancelamento de autorização de acesso a
usuário aos sistemas de informação;
11.1.1 - Convém que a política de controle de
acesso seja estabelecida documentada e ana- 2) Comprovação da autorização do proprietário da informação;
lisada criticamente, tomando-se como base os 3) Utilização de identificadores de usuário (ID de usuário) individualizados, de forma
requisitos de acesso dos negócios e segurança
a assegurar a responsabilidade de cada usuário por suas ações;
da informação.
4) Verificação se o nível de acesso concedido é apropriado ao propósito do negócio
e se é consistente com esta Política de Segurança da Informação e Comunicações;
5) Remoção imediata de autorizações dadas a usuários afastados ou desligados da
empresa, ou que tenham mudado de função;
6) Processo de revisão periódica das autorizações concedidas;
7) Política de atribuição, manutenção e uso de senhas.
191
Categoria: 11.2 – Gerenciamento de acesso do usuário
Tabela 27 – Seção Controle de acessos, Categoria Gerenciamento de acesso do usuário.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os procedimentos de controle de acesso para registro e cancelamento de usuários
no CPDF incluem:
1) Verificar se o usuário tem autorização do proprietário do sistema para o uso do
sistema de informação ou serviço; aprovação para direitos de acesso do gestor
responsável é feita à parte;
2) Dar para os usuários uma declaração por escrito dos seus direitos de acesso e
de encerramento de acesso;
11.2.1 - Convém que exista um procedimento
formal de registro e cancelamento de usuário
para garantir e revogar acessos em todos os 3) Requerer aos usuários a assinatura de uma declaração indicando que eles entendem as condições de acesso;
sistemas de informação e serviços.
4) Assegurar aos provedores de serviços que não serão dados acessos até que os
procedimentos de autorização tenham sido concluídos;
5) Manter um registro formal de todas as pessoas registradas para usar o serviço;
6) Remover imediatamente ou bloquear direitos de acesso de usuários que mudaram de cargos ou funções, ou deixaram a organização.
192
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os sistemas de multiusuários que necessitam de proteção contra acesso não autorizado têm a concessão de privilégios controlada por um processo de autorização formal. Esse processo prevê:
1) Identificação de privilégio de acesso de cada produto de sistema, por exemplo,
sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedido;
11.2.2 - Convém que a concessão e o uso de
privilégios sejam restritos e controlados.
2) Que os privilégios sejam concedidos a usuários conforme a necessidade de uso e
com base em eventos alinhados com a política de controle de acesso;
3) Um processo de autorização e armazenamento de um registro de todos os privilégios concedidos. Os privilégios não serão fornecidos até que todo o processo
de autorização esteja finalizado;
4) Incentivo de desenvolvimento e uso de rotinas de sistemas de forma a evitar a
necessidade de fornecer privilégios aos usuários;
5) Que os privilégios sejam atribuídos para um identificador de usuário (ID de usuário) diferente daqueles usados normalmente para os negócios.
193
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O processo de concessão de senhas no CPDF prevê:
1) Confirmação da identidade de um usuário antes de fornecer uma senha temporária, de substituição ou nova;
2) Fornecimento de senhas temporárias aos usuários de maneira segura. Não usar
mensagens de correio eletrônico de terceiros ou desprotegido (texto claro) para
esse fim;
11.2.3 - Convém que a concessão de senhas 3) Que senhas temporárias são únicas para uma pessoa e não são de fácil memoriseja controlada através de um processo de gezação;
renciamento formal.
4) Que usuários confirmam o recebimento de senhas (termo formal já descrito anteriormente);
5) Que as senhas nunca devem ser armazenadas nos sistemas de um computador
de forma desprotegida;
6) Que as senhas padrão são alteradas logo após a instalação de sistemas ou software.
11.2.4 - Convém que o gestor conduza a intervalos regulares a análise crítica dos direitos de Os direitos de acesso de usuários devem ser analisados criticamente e realocados
acesso dos usuários, por meio de um processo quando movidos de um tipo de atividade para outra no CPDF.
formal.
194
Categoria: 11.3 – Uso de senhas
Tabela 28 – Seção Controle de acessos, Categoria Uso de senhas.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Todos os usuários da rede do CPDF devem estar cientes de que é preciso:
1) Manter a confidencialidade das senhas;
2) Evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos móveis);
3) Alterar senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha;
11.3.1 - Convém que os usuários sejam solici- 4) Selecionar senhas de qualidade com o tamanho mínimo de 5 (cinco) caracteres
que sejam:
tados a seguir as boas práticas de segurança
da informação na seleção e uso de senhas.
a) Fáceis de lembrar;
b) Não baseadas em nada que alguém facilmente possa adivinhar ou obter usando informações relativas à pessoa, por exemplo, nomes, números de telefone e datas de aniversário;
c) Não vulneráveis a ataque de dicionário (por exemplo, não consistir em palavras inclusas no dicionário);
d) Isentam de caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos;
5) Modificar senhas regularmente ou com base no número de acessos (convém que
195
Controle da NBR 27002:2005
Proposta de texto para a POSIC
senhas de acesso a contas privilegiadas sejam modificadas mais freqüentemente
que senhas normais).
6) Modificar senhas temporárias no primeiro acesso ao sistema;
7) Evitar incluir senhas processos automáticos de acesso ao sistema, por exemplo,
armazenadas em um macro ou funções-chave;
8) Evitar compartilhar senhas de usuários individuais;
9) Evitar utilizar a mesma senha para uso com finalidades profissionais e pessoais.
Todos os colaboradores do CPDF devem estar cientes dos requisitos de segurança
da informação e procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas proteções, que são:
1) Encerrar as sessões ativas, a menos que elas possam ser protegidas por meio de
um mecanismo de bloqueio, por exemplo, tela de proteção com senha;
11.3.2 - Convém que os usuários assegurem
que os equipamentos não monitorados tenham 2) Efetuar a desconexão com o computador de grande porte, servidores e computaproteção adequada.
dores pessoais do escritório, quando a sessão for finalizada (por exemplo: não
apenas desligar a tela do computador ou o terminal);
3) Proteger os microcomputadores ou terminais contra uso não autorizado por meio
de tecla de bloqueio ou outro controle equivalente, por exemplo, senha de acesso, quando não estiver em uso.
196
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O CPDF é adepto da Política de Mesa Limpa e Tela Limpa, que prevê que:
1) Informações do negócio sensíveis ou críticas, por exemplo, em papel ou em mídia de armazenamento eletrônicas, devem ser guardadas em lugar seguro (idealmente em um cofre, armário ou outras formas de mobília de segurança) quando
não em uso, especialmente quando o escritório está desocupado;
2) Computadores e terminais devem ser mantidos desligados ou protegidos com
mecanismo de travamento de tela e teclados controlados por senha, token ou
mecanismo de autenticação similar quando sem monitoração e protegidos por tecla de bloqueio, senhas ou outros controles, quando não usados;
11.3.3 - Convém que seja adotada uma política
3) Pontos de entrada e saída de correspondências e máquinas de fac-símile sem
de mesa limpa de papéis e mídias de armazemonitoração devem ser protegidos;
namento removível e política de tela limpa para
os recursos de processamento da informação.
4) Devem ser evitados o uso não autorizado de fotocopiadoras e outra tecnologia de
reprodução (por exemplo, scanners, máquinas fotográficas digitais);
5) Documentos que contêm informação sensível ou classificada devem ser removidos de impressoras imediatamente.
Todos devem estar cientes que a política de mesa limpa e tela limpa reduz o risco de
acesso não autorizado, perda e dano da informação durante e fora do horário normal
de trabalho. Cofres e outras formas de instalações de armazenamento seguro também podem proteger informações armazenadas contra desastres como incêndio,
terremotos, enchentes ou explosão.
197
Categoria: 11.4 – Controle de acesso à rede
Tabela 29 – Seção Controle de acessos, Categoria Controle de acesso à rede.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No acesso aos serviços de rede do CPDF, os usuários devem receber o nível ade11.4.1 - Convém que usuários somente recequado de acesso para a Internet, de acordo com as atividades e processos de negóbam acesso para os serviços que tenham sido
cio envolvidos, e os demais recursos da rede ficarão indisponíveis, liberadas apenas
especificamente autorizados a usar.
mediante autorização expressa.
11.4.2 - Convém que métodos apropriados de
autenticações sejam usados para controlar acesso de usuários remotos.
Redundante
11.4.3 - Convém que sejam consideradas as
identificações automáticas de equipamentos
como um meio de autenticar conexões vindas
de localizações e equipamentos específicos.
Não Aplicável
11.4.4 - Convém que seja controlado o acesso Todas as portas, serviços e recursos similares instalados em um computador ou refísico e lógico das portas de diagnóstico e con- curso de rede que não são especificamente requeridos para a funcionalidade do nefiguração.
gócio são desabilitados ou removidos.
11.4.5 - Convém que grupos de serviços de Além da segregação dos domínios de redes internas e domínios externos, cada um
informação, usuários e sistemas de informação protegido por um perímetro de segurança definido, a rede do CPDF é segregada por
sejam segredados em redes.
serviço e clientes. (em andamento)
198
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.4.6 - Para redes compartilhadas, especialmente essas que se estendem pelos limites da
organização, convém que a capacidade dos
usuários para conectar-se à rede seja restrita,
alinhada com a política de controle de acesso e
os requisitos das aplicações do negócio
Não Aplicável
11.4.7 - Convém que seja implementado controle de roteamento na rede, para assegurar
que as conexões de computador e fluxos de
informação não violem a política de controle de
acesso das aplicações do negócio.
Os controles de roteamento do CPDF são baseados no mecanismo de verificação
positiva do endereço de origem e destinos. Gateways de segurança são usados para
validar endereços de origem e destino nos pontos de controle de rede interna ou externa.
199
Categoria: 11.5 – Controle de acesso ao sistema operacional
Tabela 30 – Seção Controle de acessos, Categoria Controle de acesso ao sistema operacional.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os procedimentos para entrada nos sistemas operacionais do CPDF são configura11.5.1 - Convém que o acesso aos sistemas
dos para minimizar a oportunidade de acessos não autorizados. O procedimento de
operacionais seja controlado por um procedientrada (log-on) divulga o mínimo de informações sobre o sistema, de forma a evitar
mento seguro de entrada no sistema (log-on).
o fornecimento de informações desnecessárias a um usuário não autorizado.
11.5.2 - Convém que todos os usuários tenham
um identificador único (ID de usuário) para uso Todos os tipos de usuários (incluindo o pessoal de suporte técnico, operadores, adpessoal e exclusivo, e convém que uma técnica ministradores de rede, programadores de sistema e administradores de banco de
adequada de autenticação seja escolhida para dados) possuem um identificador único (ID de usuário) para uso pessoal e exclusivo.
validar a identidade alegada por um usuário.
200
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O Troca Senha, disponível no DTPNET (Intranet da Dataprev):
1) Obriga o uso de identificador de usuário (ID de usuário) e senha individual para
manter responsabilidades;
2) Permite que os usuários selecionem e modifiquem suas próprias senhas, incluindo o procedimento de confirmação para evitar erros;
11.5.3 - Convém que sistemas para gerencia- 3) Obriga a troca de senha periodicamente;
mento de senhas sejam interativos e assegurem senhas de qualidade.
4) Mantém um registro das senhas anteriores utilizadas e bloqueie a reutilização;
5) Não mostra as senhas na tela quando forem digitadas;
6) Armazena os arquivos de senha separadamente dos dados do sistema da aplicação;
7) Armazena e transmita as senhas de forma protegida.
11.5.4 - Convém que o uso de programas utilitários que podem ser capazes de sobrepor os
controles dos sistemas e aplicações seja restrito e estritamente controlado.
Não Aplicável
11.5.5 - Convém que terminais inativos sejam
desconectados após um período definido de
inatividade.
Não Aplicável
201
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.5.6 - Convém que restrições nos horários de
conexão sejam utilizadas para proporcionar
segurança adicional para aplicações de alto
risco.
As diferentes aplicações do CPDF devem adotar um tempo limite de sessão, de acordo com as necessidades específicas. Limitar o período durante o qual as conexões de terminal para os serviços computadorizados são permitidas reduz a janela
de oportunidade para acessos não autorizados.
202
Categoria: 11.6 – Controle de acesso à aplicação e à informação
Tabela 31 – Seção Controle de acessos, Categoria Controle de acesso à aplicação e à informação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.6.1 - Convém que o acesso à informação e
às funções dos sistemas de aplicações por usuários e pessoal de suporte seja restrito de
acordo com o definido na política de controle
de acesso.
Redundante
As aplicações críticas devem ser preferencialmente, isoladas em um ambiente dedi11.6.2 - Convém que sistemas sensíveis te- cado. No entanto, quando o isolamento não for possível, são identificados os sistenham um ambiente computacional dedicado mas de aplicação com os quais os recursos serão compartilhados e os correspon(isolado).
dentes riscos, de forma a se obter a concordância do proprietário da aplicação sensível.
203
Categoria: 11.7 – Computação móvel e trabalho remoto
Tabela 32 – Seção Controle de acessos, Categoria Computação móvel e trabalho remoto.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
11.7.1 - Convém que uma política formal seja
estabelecida e que medidas de segurança apropriadas sejam adotadas para a proteção
contra os riscos do uso de recursos de computação e comunicação móveis.
Redundante
O trabalho remoto no CPDF é feito por meio de VPN, a qual garante que recursos de
11.7.2 - Convém que uma política, planos opecomputação e comunicação móveis, como, por exemplo, notebooks, palmtops, lapracionais e procedimentos sejam desenvolvitops e telefones celulares, somente se conectem à rede da Dataprev após a checados e implementados para atividades de trabagem de ausência de vulnerabilidades (vírus, códigos maliciosos, sistema operacional
lho remoto.
não atualizado, etc).
204
Seção: 12 – Aquisição, desenvolvimento e manutenção de sistemas de informação
Categoria: 12.1 – Requisitos de segurança de sistemas de informação
Tabela 33 – Seção Aquisição, desenvolvimento e manutenção de sistemas de informação, Categoria Requisitos de segurança de
sistemas de informação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.1.1 - Convém que sejam especificados os
requisitos para controles de segurança nas es- Cabe à S2PD a verificação do cumprimento de requisitos para controles de seguranpecificações de requisitos de negócios, para ça nas especificações de requisitos de negócios, antes da implantação de aplicações
novos sistemas de informação ou melhorias em e serviços no CPDF.
sistemas existentes.
205
Categoria: 12.2 – Processamento correto nas aplicações
Tabela 34 – Seção Aquisição, desenvolvimento e manutenção de sistemas de informação, Categoria Processamento correto nas
aplicações.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.2.1 - Convém que os dados de entrada de
aplicações sejam validados para garantir que
são corretos e apropriados.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.2 - Convém que sejam incorporadas, nas
aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações, por erros ou por ações deliberadas.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.3 - Convém que requisitos para garantir a
autenticidade e proteger a integridade das
mensagens em aplicações sejam identificados
e os controles apropriados sejam identificados
e implementados.
Não Aplicável
O CPDF não desenvolve aplicações.
12.2.4 - Convém que os dados de saída das
aplicações sejam validados para assegurar que
o processamento das informações armazenadas está correto e é apropriado às circunstâncias.
Não Aplicável
O CPDF não desenvolve aplicações.
206
Categoria: 12.3 – Controles criptográficos
Tabela 35 – Seção Aquisição, desenvolvimento e manutenção de sistemas de informação, Categoria Controles criptográficos.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O CPDF segue as determinações da DISR (Divisão de Administração e Segurança
12.3.1 - Convém que seja desenvolvida e imde Redes), que mantém uma PKI interna, no uso de certificados digitais. Na proteção
plementada uma política para o uso de controdas informações identifica o nível requerido de segurança, caso a caso, com base
les criptográficos para a proteção da informaem uma análise de riscos, levando em consideração o tipo, a força e a qualidade do
ção.
algoritmo de criptografia requerido.
12.3.2 - Convém que um processo de gerenciO CPDF garante que todas as chaves criptográficas e os equipamentos que as comamento de chaves seja implantado para apoiar
portam, da PKI interna ou externa (ICP-Brasil), são protegidas contra modificação,
o uso de técnicas criptográficas pela organizaperda e destruição.
ção.
207
Categoria: 12.4 – Segurança dos arquivos do sistema
Tabela 36 – Seção Aquisição, desenvolvimento e manutenção de sistemas de informação, Categoria Segurança dos arquivos do
sistema.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.4.1 - Convém que procedimentos para controlar a instalação de software em sistemas
operacionais sejam implementados.
Não Aplicável
Nos ambientes de teste do CPDF, os procedimentos de controle de acesso, aplicáveis aos aplicativos de sistema em ambiente produtivo, são também aplicados aos
12.4.2 - Convém que os dados de teste sejam
aplicativos de sistema em ambiente de teste. As cópias de informações da produção
selecionados com cuidado, protegidos e conpara ambientes de teste somente são feitas mediante autorização prévia do gestor
trolados.
responsável. O registro dessas cópias é feito pela S2GA, por meio do TaskFreak! de
forma a prover uma trilha para auditoria.
No CPDF é feita a guarda centralizada dos códigos-fonte por meio do CVS com con12.4.3 - Convém que o acesso ao código-fonte
trole de acesso e de versões. Nos servidores de aplicações, o acesso é restrito à
de programa seja restrito.
D2SI e quaisquer alterações somente são executadas mediante RDM.
208
Categoria: 12.5 – Segurança em processos de desenvolvimento e de suporte
Tabela 37 – Seção Aquisição, desenvolvimento e manutenção de sistemas de informação, Categoria Segurança em processos de
desenvolvimento e de suporte.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
O processo de mudanças no CPDF, executado conforme a DEGT (Departamento de
Gestão dos Serviços e Ambientes de TI), inclui:
1) A manutenção de um registro dos níveis acordados de autorização;
2) A garantia de que as mudanças são submetidas por usuários autorizados;
3) A análise crítica dos procedimentos de controle e integridade para assegurar que
as mudanças não os comprometam;
12.5.1 - Convém que a implementação de mudanças seja controlada utilizando procedimen4) A identificação de todo software, informação, entidades em bancos de dados e
tos formais de controle de mudanças.
hardware afetados;
5) A obtenção de aprovação formal antes da implementação;
6) A manutenção de uma trilha para auditoria de todas as mudanças solicitadas;
7) A garantia de que as mudanças sejam implementadas em horários apropriados,
sem a perturbação dos processos de negócios cabíveis.
209
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.5.2 - Convém que aplicações críticas de negócios sejam analisadas criticamente e testadas quando sistemas operacionais são mudados, para garantir que não haverá nenhum impacto adverso na operação da organização ou
na segurança.
Nas mudanças em sistemas operacionais, o CPDF analisa criticamente os procedimentos de controle e integridade dos critérios para assegurar que não foram comprometidos por mudanças em sistemas operacionais e garante que as mudanças
pretendidas são comunicadas a todos os interessados em tempo hábil para permitir
os testes e análises críticas antes e depois da implementação das mudanças.
De forma geral, os pacotes de softwares providos pelos fabricantes/fornecedores ao
CPDF são utilizados sem modificações. Caso alterações sejam necessárias, além de
manter o software original e as mudanças aplicadas numa cópia claramente identificada, serão considerados:
1)
12.5.3 - Convém que modificações em pacotes
de software não sejam incentivadas e limitadas
às mudanças necessárias e que todas as mu- 2)
danças sejam estritamente controladas.
3)
O risco de que controles e processos de integridade embutidos no software sejam
comprometidos;
A obtenção do consentimento do fabricante/fornecedor;
A possibilidade de obtenção junto ao fabricante/fornecedor das mudanças necessárias como atualização padrão do programa;
4) O impacto resultante quando o CPDF passa a ser responsável para a manutenção futura do software como resultado das mudanças.
210
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Para limitar o risco de vazamento de informações, como por exemplo, o uso e exploração de covert channels, o CPDF:
1) Executa a varredura do envio de mídia e comunicações para verificar a presença
de informação oculta;
12.5.4 - Convém que oportunidades para vazamento de informações sejam prevenidas.
2) Desempenha o monitoramento regular das atividades do pessoal e dos sistemas;
3) O monitoramento do uso de recursos de sistemas de computação se dá por meio
do E-Trust e de antivírus.
12.5.5 - Convém que a organização supervisione e monitore o desenvolvimento terceirizado
de software.
Não Aplicável
211
Categoria: 12.6 – Gestão de vulnerabilidades técnicas
Tabela 38 – Seção Aquisição, desenvolvimento e manutenção de sistemas de informação, Categoria Gestão de vulnerabilidades
técnicas.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
12.6.1 - Convém que seja obtida informação
em tempo hábil sobre vulnerabilidades técnicas
A D2OP monitora as vulnerabilidades físicas e os alertas emitidos pelo Zabbix. A
dos sistemas de informação em uso, avaliada a
D2SI monitora as vulnerabilidades lógicas e implementa controles detectivos para
exposição da organização a estas vulnerabiliidentificar problemas.
dades e tomadas as medidas apropriadas para
lidar com os riscos associados.
212
Seção: 13 – Gestão de incidentes de segurança da informação
Categoria: 13.1 – Notificação de fragilidades e eventos de segurança da informação
Tabela 39 – Seção Gestão de incidentes de segurança da informação, Categoria Notificação de fragilidades e eventos de segurança da informação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
13.1.1 - Convém que os eventos de segurança
da informação sejam relatados através dos canais apropriados da direção, o mais rapidamente possível.
Os eventos de segurança da informação devem ser registrados junto a DGSS (Divisão de Gestão de Suporte a Serviços) no ramal (21) 6577 ou pelo e-mail [email protected]. É responsabilidade de todos os colaboradores, fornecedores e terceiros registrarem os incidentes imediatamente.
13.1.2 - Convém que os funcionários, fornecedores e terceiros de sistemas e serviços de
informação sejam instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em sistemas ou serviços.
Os colaboradores, fornecedores e terceiros devem informar o Comitê Gestor de Segurança da Informação do CPDF no caso de qualquer observação ou suspeita de
fragilidade em sistemas ou serviços. No entanto, ninguém deve, sob nenhuma circunstância, tentar averiguar fragilidade suspeita.
213
Categoria: 13.2 – Gestão de incidentes de segurança da informação e melhorias
Tabela 40 – Seção Gestão de incidentes de segurança da informação, Categoria Gestão de incidentes de segurança da informação e melhorias.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Um plano de ação de resposta a incidentes está estabelecido para o CPDF. Este
plano prevê, no mínimo, o tratamento adequado dos seguintes eventos:
13.2.1 - Convém que responsabilidades e pro- 1) Comprometimento de controle de segurança em qualquer evento referenciado no
Plano de Continuidade do Negócio do CPDF;
cedimentos de gestão sejam estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da infor- 2) Procedimentos para interrupção ou suspensão de serviços e investigação;
mação.
3) Análise e monitoramento de trilhas de auditoria; e
4) Relacionamento com o público e com meios de comunicação, se for o caso.
13.2.2 - Convém que sejam estabelecidos meA informação resultante da análise de incidentes de segurança da informação deve
canismos para permitir que tipos, quantidades
ser armazenada e usada para identificar e prevenir incidentes recorrentes ou de alto
e custos dos incidentes de segurança da inforimpacto.
mação sejam quantificados e monitorados.
214
Controle da NBR 27002:2005
Proposta de texto para a POSIC
As evidências de incidentes que envolvam uma ação legal (civil ou criminal), o CPDF
preservará as evidências necessárias.
13.2.3 - Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou
criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento
de evidências da jurisdição(ões) pertinente(s).
Documentos (evidências) em papel: o original deve ser mantido de forma segura,
com um registro da pessoa que o encontrou, do local e data em que foi encontrado e
quem testemunhou a descoberta.
Informações em mídia eletrônica: imagens espelho ou cópias de quaisquer mídias
removíveis, discos rígidos ou em memórias devem ser providenciadas para assegurar disponibilidade. O registro de todas as ações tomadas durante o processo de cópia é guardado e o processo é testemunhado por, no mínimo, 1 (um) colaborador do
CPDF. A mídia original que contém a informação e o registro deve ser mantida de
forma segura e intocável.
215
Seção: 14 – Gestão da continuidade do negócio
Categoria: 14.1 – Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
Tabela 41 – Seção Gestão da continuidade do negócio, Categoria Aspectos da gestão da continuidade do negócio, relativos à segurança da informação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
14.1.1 - Convém que um processo de gestão
seja desenvolvido e mantido para assegurar a
No processo de gestão da continuidade de negócio do CPDF são identificadas e
continuidade do negócio por toda a organizaconsideradas a implementação de controles preventivos e de mitigação, além de gação e que contemple os requisitos de seguranrantir que tal processo está incorporado aos processos e estrutura do CPDF.
ça da informação necessários para a continuidade do negócio da organização.
14.1.2 - Convém identificar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade e impacto de tais
interrupções e as conseqüências para a segurança de informação.
No desenvolvimento do PCN do CPDF, os riscos são identificados e avaliados para a
determinação da probabilidade e impacto de interrupções, tanto em termos de escala
de dano quanto em relação ao período de recuperação. As análises dos riscos continuidade do negócio são realizadas com total envolvimento dos responsáveis pelos
processos e recursos do negócio.
216
Controle da NBR 27002:2005
Proposta de texto para a POSIC
No desenvolvimento do PCN do CPDF e os planos derivados (recuperação, emergência, abandono, etc), são considerados:
1) Identificação e concordância de todas as responsabilidades e procedimentos da
continuidade do negócio;
2) Identificação da perda aceitável de informações e serviços;
3) Implementação dos procedimentos que permitam a recuperação e restauração
das operações do negócio e da disponibilidade da informação nos prazos necessários;
14.1.3 - Convém que os planos sejam desenvolvidos e implementados para a manutenção
ou recuperação das operações e para assegu- 4) Procedimentos operacionais que permitam a conclusão de restauração e recuperação que estejam pendentes;
rar a disponibilidade da informação no nível
requerido e na escala de tempo requerida, a5) Documentação dos processos e procedimentos acordados;
pós a ocorrência de interrupções ou falhas dos
processos críticos do negócio.
6) Educação adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crise;
7) Priorização de serviços críticos para as devidas ações de continuidade de negócio;
8) Disponibilização de cópias dos planos em locais remotos ao CPDF, de forma a
escapar de qualquer dano de um desastre;
9) Teste e atualização dos planos.
217
Controle da NBR 27002:2005
Proposta de texto para a POSIC
14.1.4 - Convém que uma estrutura básica dos
planos de continuidade do negócio seja mantida para assegurar que todos os planos são
consistentes, para contemplar os requisitos de
segurança da informação e para identificar prioridades para testes e manutenção.
O PCN do CPDF atribui a cada divisão as suas responsabilidades em caso de crises
e/ou desastres. Os planos derivados do PCN, elaborados pelos gerentes de cada
divisão para suas devidas ações no cumprimento do PCN, são de suas respectivas
responsabilidades.
No CPDF, os testes do PCN asseguram que todos os membros da equipe de recu14.1.5 - Convém que os planos de continuida- peração e outras pessoas relevantes estão conscientes dos planos e de suas resde do negócio sejam testados e atualizados ponsabilidades para a continuidade do negócio e a segurança da informação, e coregularmente, de forma a assegurar sua per- nheçam as suas atividades quando um plano for acionado. As análises críticas perimanente atualização e efetividade.
ódicas são executadas a cada 2 (dois) anos pelo Comitê de Segurança da Informação do CPDF.
218
Seção: 15 – Conformidade
Categoria: 15.1 – Conformidade com requisitos legais
Tabela 42 – Seção Conformidade, Categoria Conformidade com requisitos legais.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
15.1.1 - Convém que todos os requisitos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a
esses requisitos, sejam explicitamente definidos, documentados e mantidos atualizados
para cada sistema de informação da organização
Não Aplicável
15.1.2 - Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material,
em relação aos quais pode haver direitos de
propriedade intelectual e sobre o uso de produtos de software proprietários.
Não Aplicável
15.1.3 - Convém que registros importantes sejam protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio.
Redundante
219
Controle da NBR 27002:2005
Proposta de texto para a POSIC
15.1.4 - Convém que a privacidade e proteção
de dados sejam asseguradas conforme exigido A política de privacidade e proteção de dados do CPDF está implementada por meio
nas legislações relevantes, regulamentações e, da Política de Classificação da Informação do CPDF.
se aplicável, nas cláusulas contratuais.
Quaisquer usos dos recursos do CPDF para propósitos não relacionados ao negócio
ou não autorizados, sem aprovação, ou para quaisquer propósitos não autorizados
15.1.5 - Convém que os usuários sejam dissusão considerados como uso impróprio. Se qualquer atividade não autorizada for iadidos de usar os recursos de processamento
dentificada por processo de monitoração ou outros meios, a atividade será levada ao
da informação para propósitos não autorizados.
conhecimento do gerente responsável para que sejam aplicadas as ações disciplinares e/ou legais pertinentes.
Segundo o Decreto Nº. 3.505, de 13 de junho de 2000, o CPDF segue normas gerais
para o uso e a comercialização dos recursos criptográficos pelos órgãos e pelas en15.1.6 - Convém que controles de criptografia
tidades da Administração Pública Federal, estabelecidas pela Secretaria-Executiva
sejam usados em conformidade com todas as
do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da
leis, acordos e regulamentações relevantes.
Informação do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República.
220
Categoria: 15.2 – Conformidade com normas e políticas de segurança da informação e conformidade técnica
Tabela 43 – Seção Conformidade, Categoria Conformidade com normas e políticas de segurança da informação e conformidade
técnica.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Os gerentes devem analisar criticamente, a intervalos regulares, a conformidade do
processamento da informação dentro da sua área de responsabilidade sob a regência desta Política de Segurança da Informação e Comunicações.
Se qualquer não-conformidade for encontrada como um resultado da análise crítica,
o gerente deve:
15.2.1 - Convém que gestores garantam que 1) Determinar as causas da não-conformidade;
todos os procedimentos de segurança da informação dentro da sua área de responsabili- 2) Avaliar a necessidade de ações para assegurar que a não-conformidade não se
repita;
dade estão sendo executados corretamente
para atender à conformidade com as normas e
3) Determinar e implementar uma ação corretiva apropriada;
políticas de segurança da informação.
4) Analisar criticamente a ação corretiva tomada.
Os resultados das análises críticas e das ações corretivas realizadas pelos gerentes
são registrados mantidos por, no mínimo, 1 (um) ano.
221
Controle da NBR 27002:2005
Proposta de texto para a POSIC
As verificações de conformidade técnica são executadas por pessoas autorizadas e
competentes e são executadas sob a supervisão de, no mínimo, 3 (três) analistas de
tecnologia da informação do quadro da Dataprev. Essas verificações são desempe15.2.2 - Convém que sistemas de informação nhadas com a assistência de ferramentas automatizadas que gerem relatório técnico
sejam periodicamente verificados em sua con- para interpretação subseqüente dos técnicos designados pelo CPDF.
formidade com as normas de segurança da
Nos casos de teste de invasão ou avaliações de vulnerabilidades devem ser tomainformação implementadas.
das as precauções cabíveis de forma a evitar o comprometimento da segurança dos
sistemas. Tais testes são planejados, documentados e repetidos quantas vezes se
fizerem necessárias.
222
Categoria: 15.3 – Controles de auditoria de sistemas de informação
Tabela 44 – Seção Conformidade, Categoria Controles de auditoria de sistemas de informação.
Controle da NBR 27002:2005
Proposta de texto para a POSIC
Nas auditorias no CPDF:
1) Os requisitos são sempre acordados com o Gerente do CPDF, assim como o escopo da verificação;
2) A verificação é limitada ao acesso somente para leitura de software e dados. Outros acessos diferentes de apenas leitura são permitidos somente por meio de
cópias isoladas dos arquivos do sistema (apagados ao final da auditoria ou dada
proteção apropriada quando existir uma obrigação para guardar tais arquivos co15.3.1 - Convém que requisitos e atividades de
mo requisitos da documentação da auditoria);
auditoria envolvendo verificação nos sistemas
operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de 3) Recursos para execução da verificação são identificados explicitamente e tornados disponíveis no período acordado;
interrupção dos processos do negócio.
4) Requisitos para processamentos adicionais ou especiais são identificados e acordados;
5) Todo acesso é monitorado e registrado de forma a produzir uma trilha de referência;
6) Todos os procedimentos, requisitos e responsabilidades são documentados;
223
Controle da NBR 27002:2005
Proposta de texto para a POSIC
7) Os auditores são sempre independentes das atividades auditadas.
15.3.2 - Convém que o acesso às ferramentas
Os acessos às ferramentas de auditoria de sistemas de informação (softwares ou
de auditoria de sistema de informação seja proarquivos de dados) são restritos à D2SI e não são mantidos em fitas de biblioteca ou
tegido, para prevenir qualquer possibilidade de
áreas de usuários.
uso impróprio ou comprometimento.