LEA NORMA NR-8 SegurancaInformacao v3.3.r.6

LEA
NR-8 Norma de Segurana da Informao verso 3.3 release 6
So Paulo, 16 de Maro de 2010
Cdigo e Ttulo Verso Data de emisso Autor(es) Aprovador Proprietrio Origem Destino Classificao de segurana Controle de acesso Restrio de cpia
NR-8 Norma de Segurana da Informao verso 3.3 release 6 16 de Maro de 2010 Volnys Borges Bernal Gerente de Segurana Gerente de Segurana Interna: LEA Interno: LEA Restrito Sem restries No permitida a cpia deste documento
LEA
2/50
Sumrio
Listas de Ilustraes.................................................................................................................5 Controle de verso...................................................................................................................6 1 Introduo ..............................................................................................................................7 1.1 Objetivo............................................................................................................................7 1.2 Pblico-alvo.....................................................................................................................7 1.3 Validade...........................................................................................................................7 2 Segurana de Pessoal.............................................................................................................8 2.1 Das atribuies da funo................................................................................................8 2.2 Do processo de admisso.................................................................................................9 2.3 Da conscientizao, treinamento e reciclagem..............................................................10 2.4 Do desempenho da funo e do comportamento do colaborador..................................11 2.5 Do processo de desligamento.........................................................................................11 2.6 Das responsabilidades e deveres ...................................................................................11 3 Segurana Fsica e de Ambiente.........................................................................................14 3.1 Nveis de Segurana.......................................................................................................14 3.2 Controles fsicos ............................................................................................................17 3.3 Mecanismos de emergncia...........................................................................................18 3.4 Preveno e proteo contra incndio............................................................................18 3.5 Destruio de ativos de informao impressos e eletrnicos.........................................18 3.6 Identificao pessoal e credencial de acesso fsico........................................................18 3.7 Controle de equipamentos..............................................................................................19 3.8 Ambiente operacional....................................................................................................20 4 Classificao e Controle dos Ativos de Informao..........................................................21 4.1 Classificao quanto forma de apresentao...............................................................21 4.2 Classificao quanto criticidade do ativo de informao............................................21 4.3 Rtulo de ativo de informao.......................................................................................22 4.4 Tratamento de ativo de informao...............................................................................24 5 Manipulao de Ativo de Ensaio........................................................................................29 5.1 Classificao quando origem......................................................................................29 5.2 Classificao quanto ao tipo do material.......................................................................29 5.3 Recebimento...................................................................................................................29 5.4 Manipulao...................................................................................................................30
Ttulo NR-8 Norma de Segurana da Informao Verso v3.3.r.6 Data de emisso 16/03/2010 Classificao de segurana Restrito
LEA
3/50
5.5 Identificao...................................................................................................................30 5.6 Relao de ativos de um processo..................................................................................30 5.7 Armazenamento.............................................................................................................30 5.8 Cadeia de custdia.........................................................................................................31 5.9 Ensaio.............................................................................................................................31 5.10 Divulgao ..................................................................................................................31 6 Uso de material criptogrfico..............................................................................................32 6.1 Proteo de arquivos com criptografia ..........................................................................32 6.2 Assinatura digital...........................................................................................................33 7 Privacidade ..........................................................................................................................34 7.1 Uso da sesso de usurio ...............................................................................................34 7.2 Uso de recursos computacionais....................................................................................34 7.3 Uso de recursos computacionais com finalidade pessoal..............................................34 7.4 Auditoria........................................................................................................................34 7.5 Monitorao ..................................................................................................................34 8 Utilizao do ambiente computacional..............................................................................36 8.1 Uso do ambiente computacional....................................................................................36 8.2 Atividades proibidas......................................................................................................37 8.3 Negao de responsabilizao pelo uso da Internet.......................................................37 8.4 Utilizao de correio eletrnico.....................................................................................37 8.5 Outros sistemas de comunicao...................................................................................39 8.6 Senhas............................................................................................................................39 8.7 Sesso de uso aberta com usurio ausente.....................................................................40 8.8 Uso de software, dispositivos e equipamentos...............................................................40 8.9 Notificao sobre mau funcionamento..........................................................................40 8.10 Notificao de incidente ..............................................................................................40 8.11 Treinamento para uso do ambiente computacional......................................................41 9 Controles para o ambiente computacional........................................................................42 9.1 Controle de Ativos.........................................................................................................42 9.2 Gerenciamento de identidade de usurios......................................................................42 9.3 Compartilhamento de identidade de usurio..................................................................44 9.4 Controle de acesso aos recursos computacionais...........................................................44 9.5 Controles automatizados................................................................................................44 9.6 Acessos Externos ..........................................................................................................45
LEA
4/50
9.7 Sincronizao de tempo.................................................................................................46 9.8 Registros (logs)..............................................................................................................46 9.9 Segregao de redes.......................................................................................................47 9.10 Tecnologias mveis......................................................................................................47 10 Investigao de Infrao e Penalidades...........................................................................48 10.1 Infrao........................................................................................................................48 10.2 Investigao interna.....................................................................................................48 10.3 Das Penalidades...........................................................................................................48 10.4 Responsabilizao........................................................................................................49 Referncias Bibliogrficas.....................................................................................................50
Ttulo NR-8 Norma de Segurana da Informao
Verso v3.3.r.6
Data de emisso 16/03/2010
Classificao de segurana Restrito
LEA
5/50
Listas de Ilustraes
Lista de Figuras
Figura 1 Aninhamento dos Nveis de Segurana...................................................................15
Lista de Tabelas
Tabela 1 Definio dos Nveis de Segurana.........................................................................14 Tabela 2 Rtulo de Classificao de Informao...................................................................22 Tabela 3 Componentes de Rotulagem da Informao...........................................................23 Tabela 4 Obrigatoriedade de Rtulo de Classificao da Informao...................................23 Tabela 5 Definio do valor dos parmetros de senhas.........................................................44
Verso v3.3.r.6
LEA
6/50
Controle de verso
Verso 2.0.r.1 3.0.r.8 3.1.r.4 Data 14/06/2005 01/02/2006 01/06/2006 Responsvel Volnys Volnys Volnys Alteraes Primeira verso da poltica de segurana. Alterao de alguns controles fsicos. Alterao do captulo Ambiente Computacional separando em dois, um voltado para o usurio e outro para a equipe de segurana. Adequao de alguns controles fsicos. 3.2.r.4 Volnys Classificao da informao: alterao do termo interno para restrito; Alterao de requisitos de aninhamento de nveis de segurana para compatibilizar restries do ambiente fsico. Alterao do termo remoo de usurio para bloqueio de usurio. Supresso de subsees relacionadas ao gerenciamento do ciclo de vida dos usuros devido redundncia com o Procedimento de gerenciamento do ciclo de vida dos usurios Renata Adequao dos nomes de cargos; Alterao dos tempos verbais; Mudana do termo prestador de servios para colaborador;
Verso v3.3.r.6
LEA
7/50
1
1.1
Introduo
Objetivo
Este documento tem o objetivo de garantir a preservao e segurana da informao durante as atividades do LEA. As normas devem ser aplicadas nas reas internas e no trnsito de ativo de ensaio ou ativo de informao com entidades externas. Sugestes e comentrios sobre a Norma de Segurana da Informao podem ser encaminhados para politica@lsitec.org.br. 1.2 Pblico-alvo
Este documento direcionado a todos os colaboradores e s pessoas que transitam nas instalaes do LEA. Pessoas no vinculadas devem sempre transitar acompanhadas por um colaborador e serem informadas das restries definidas pela Norma de Segurana da Informao. 1.3 Validade
Esta norma entra em vigor em 1 de junho de 2006 e possui validade indefinida. Pode ser substituda por uma verso atualizada a qualquer momento. Nesta situao, esta norma tornase nula. O leitor deve sempre verificar qual a verso da norma vigente.
Verso v3.3.r.6
LEA
8/50
Segurana de Pessoal
Esta seo descreve os controles de segurana dos colaboradores e tem o objetivo de: 1. Reduzir os riscos de erros humanos, furto, roubo, apropriao indbita, fraude ou uso no apropriado dos ativos do LEA. 2. Prevenir e neutralizar as aes sobre as pessoas que possam comprometer a segurana do LEA. 3. Orientar e capacitar todo colaborador envolvido na realizao de trabalhos relacionados ao LEA, alm de colaboradores que desempenham funes de apoio, como a manuteno das instalaes fsicas. 4. Adotar medidas de proteo compatveis com a natureza da funo que desempenham. 5. Orientar o processo de avaliao de todo colaborador do LEA, mesmo em caso de funes desempenhadas por colaboradores terceirizados. 2.1 2.1.1 Das atribuies da funo Atribuies de cada funo
As atribuies de cada funo devem ser claramente relacionadas de acordo com a caracterstica da atividade, com objetivo de determinar o grupo (perfil) de usurio de TI necessrio do colaborador considerando-se: a. A descrio sumria das tarefas inerentes funo. b. As necessidades de acesso s informaes sensveis. c. O grau de sensibilidade do setor onde a funo exercida. d. As necessidades de contato de servio interno e/ou externo. e. As caractersticas de responsabilidade, deciso e iniciativa inerente funo. f. A qualificao tcnica necessria ao desempenho da funo. 2.1.2 Estagirios
O LEA no admite estagirios no exerccio de atividades diretamente relacionadas aos processos de ensaios.
Verso v3.3.r.6
LEA
9/50
2.1.3
Colaboradores terceirizados
O LEA no admite colaboradores terceirizados no exerccio de atividades relacionadas aos processos de ensaios. 2.2 2.2.1 Do processo de admisso Processo seletivo
Devem ser adotados critrios rgidos para o processo seletivo de candidatos com o objetivo de selecionar para os quadros do LEA pessoas reconhecidamente idneas e sem antecedentes que possam comprometer a segurana ou credibilidade do LEA. 2.2.2 Levantamento de dados pessoais
Deve ser elaborada uma pesquisa do histrico da vida pblica do candidato, com o objetivo de levantamento de seu perfil. 2.2.3 Procedimento de verificao de antecedentes
Com o propsito de resguardar a segurana e a credibilidade da entidade, todo colaborador envolvido em atividades diretamente relacionadas aos ensaios deve ser submetido a: a. Verificao de antecedentes criminais. b. Verificao de situao de crdito. c. Verificao de histrico de empregos anteriores. d. Comprovao de escolaridade. e. Comprovao de residncia. 2.2.4 Entrevista de admisso
Durante a pesquisa para a admisso, a entrevista deve ser realizada por profissional qualificado, com o propsito de confirmar e/ou identificar dados no-detectados ou noconfirmados. 2.2.5 Entrevista inicial
Na entrevista inicial devem ser avaliadas as caractersticas de interesse e motivao do candidato, sendo que as informaes veiculadas na entrevista do candidato s devem ser aquelas de carter pblico.
LEA
10/50
2.2.6
Termos de compromisso
A gerncia de recursos humanos deve garantir que todos os colaboradores do LEA encarregados de tarefas operacionais tero registrado em contrato ou termo de responsabilidade os seguintes compromissos: a. Compromisso de sigilo, mesmo quando desligado, sobre todos os ativos de informao e de processos do LEA. b. Cincia das condies do perfil que ocuparo. c. Compromisso de observar a Norma de Segurana da Informao. 2.3 2.3.1 Da conscientizao, treinamento e reciclagem Conscientizao e treinamento
Devem ser definidos procedimentos para atividades de conscientizao, treinamento e reciclagem para os colaboradores. Estes procedimentos devem estar relacionados : a. Norma de Segurana da Informao, com o propsito de desenvolver e manter uma efetiva conscientizao de segurana, alm de instruir o seu fiel cumprimento. b. Utilizao de certificao digital. c. Sua funo incluindo atividades sob sua responsabilidade. d. Cdigo de tica. e. Foco e objetivos. 2.3.2 Reciclagem tcnica
Todos os colaboradores envolvidos em atividades diretamente relacionadas aos processos de ensaio devem ser mantidos atualizados sobre eventuais mudanas tecnolgicas nos sistemas. 2.3.3 Divulgao das Normas e Procedimentos
As gerncias imediatas devem assegurar que todos os colaboradores tenham conhecimento e compreenso das normas e procedimentos de segurana em vigor.
Verso v3.3.r.6
LEA
11/50
2.4 2.4.1
Do desempenho da funo e do comportamento do colaborador Desempenho da funo
Deve ser definido processo para acompanhar o desempenho e avaliar periodicamente os colaboradores com o propsito de detectar a necessidade de atualizao tcnica e de segurana. 2.4.2 Comportamento do colaborador
Deve ser realizado um processo de avaliao de desempenho da funo que documente a observao do comportamento pessoal e funcional dos colaboradores, realizada pela gerncia. Deve ser motivo de registro atos, atitudes e comportamentos positivos e negativos relevantes, verificados durante o exerccio profissional do colaborador. Os comportamentos incompatveis, ou que possam gerar comprometimento segurana, devem ser averiguados e comunicados gerncia imediata. 2.5 2.5.1 Do processo de desligamento Entrevista de desligamento
Deve ser realizada uma entrevista de desligamento para orientar o colaborador ou servidor sobre sua responsabilidade na manuteno do sigilo de dados e/ou conhecimentos sigilosos de sistemas crticos aos quais teve acesso durante sua permanncia na entidade. 2.5.2 Revogao de acesso
No momento do desligamento de um colaborador, devem ser revogadas sua credencial, sua identificao, seu crach, o uso de equipamentos, mecanismos e acessos fsicos e lgicos. 2.5.3 Processo de liberao
O colaborador ou servidor deve firmar, antes do desligamento, declarao de que no possui qualquer tipo de pendncia junto s diversas unidades que compem a entidade. 2.5.4 Acesso
O acesso de ex-colaboradores s instalaes ser restrito s reas de acesso pblico. 2.6 2.6.1 Das responsabilidades e deveres Responsabilidades e deveres dos colaboradores
Verso v3.3.r.6 Data de emisso 16/03/2010 Classificao de segurana Restrito
Os colaboradores devem:
LEA
12/50
a. Preservar a integridade e guardar sigilo das informaes de que fazem uso, alm de zelar e proteger os respectivos recursos de processamento de informaes. b. Cumprir a norma de segurana, sob pena de incorrer nas sanes disciplinares e legais cabveis. c. Utilizar os ativos de informao e os recursos somente para os fins previstos. d. Cumprir as regras especficas de segurana estabelecidas para a manipulao dos ativos de informao. e. Manter o carter sigiloso da senha de acesso aos recursos. f. No compartilhar, sob qualquer forma, informaes confidenciais com outros que no tenham a devida autorizao de acesso. g. Responder por todo e qualquer acesso aos recursos, alm dos efeitos desses acessos efetivados atravs do seu cdigo de identificao, ou outro atributo para esse fim utilizado. h. Respeitar a proibio de no usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violao legislao de propriedade intelectual pertinente. i. Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou desvio. 2.6.2 Responsabilidade e deveres das gerncias
A responsabilidade das gerncias compreende, dentre outras, s seguintes atividades: a. Gerenciar o cumprimento da Norma de Segurana da Informao, por parte de seus colaboradores. b. Identificar os desvios praticados e adotar as medidas corretivas apropriadas. c. Impedir o acesso de colaboradores desligados aos ativos de informaes, utilizando-se dos mecanismos de desligamento contemplados pelo respectivo plano de desligamento dos colaboradores. d. Proteger, em nvel fsico e lgico, os ativos de informao e de processamento relacionados sua rea de atuao.
Verso v3.3.r.6
LEA
13/50
e. Garantir que o colaborador, sob sua superviso, compreenda e desempenhe a obrigao de proteger a informao das entidades. f. Comunicar formalmente unidade que efetua a concesso de privilgios aos usurios de TI, quais os colaboradores, sob sua superviso, que podem acessar as informaes das entidades. g. Comunicar formalmente unidade que efetua a concesso de privilgios aos usurios de TI, quais os colaboradores demitidos ou transferidos, para excluso no cadastro dos usurios. h. Comunicar formalmente unidade que efetua a concesso de privilgios aos usurios de TI, aqueles que estejam respondendo aos processos, sindicncias ou que estejam licenciados, para inabilitao no cadastro dos usurios. 2.6.3 Responsabilidades e deveres da gerncia de segurana
So responsabilidades da gerncia de segurana: a) Realizar o gerenciamento da segurana da informao. O gerenciamento da segurana da informao compreende as seguintes atividades: Coordenar atividades de conscientizao e treinamento a respeito da Norma de Segurana da Informao. Coordenar o Comit responsvel pela elaborao e atualizao da Norma de Segurana da Informao e o plano de continuidade de negcios. Auxiliar a rea de infraestrutura no direcionamento da implantao dos controles de segurana no ambiente de TI e infraestrutura fsica. Avaliar os controles de segurana implantados pela rea de infraestrutura. Avaliar a aplicao da norma de segurana nos processos. Avaliar o cumprimento da norma de segurana nas dependncias.
b) Definir os privilgios de acessos aos recursos. 2.6.4 Responsabilidades dos colaboradores
Devem ser previstas no contrato, clusulas que contemplem a responsabilidade dos colaboradores no cumprimento da Norma de Segurana da Informao.
Verso v3.3.r.6
LEA
14/50
Segurana Fsica e de Ambiente
Esta seo descreve os controles de segurana fsica e de ambiente requeridos nas dependncias do LEA. 3.1 Nveis de Segurana
De acordo com a finalidade e o tipo das atividades realizadas, variam os requisitos de segurana e consequentemente, mudam os controles de segurana necessrios para o ambiente fsico. O conceito de nveis de segurana do ambiente fsico possibilita compatibilizar os requisitos de segurana exigidos para cada tipo de atividade realizada. Para cada nvel de segurana so definidos os controles mnimo que devem ser atendidos em cada ambiente fsico. 3.1.1 Nveis de Segurana
O ambiente fsico dividido em reas fsicas claramente delimitadas e associadas aos nveis de segurana fsicos. Cada nvel de segurana fsico possui requisitos de segurana especficos, detalhados nas sees a seguir. O LEA define cinco nveis de segurana, resumidos na Tabela 1. Tabela 1 Definio dos Nveis de Segurana.
Nvel 1 2 3 4 5 Descrio Atendimento Operao Sensvel (CPD e Ensaios) Depsito Depsito individual
3.1.2
Aninhamento dos Nveis de Segurana
Os nveis de segurana devem ter seus pontos de acesso aninhados de forma que os acessos a cada nvel exijam acesso ao nvel anterior como apresentado na Figura 1.
Verso v3.3.r.6
LEA
Nvel 1: Atendimento Nvel 2: Operao Nvel 3: CPD Nvel 3: Ensaio Nvel 4: Depsito Nvel 5: Depsito individual Nvel 5: Depsito individual
15/50
Figura 1 Aninhamento dos Nveis de Segurana. Em algumas situaes, devido a restries fsicas do ambiente, pode no ser possvel o aninhamento do nvel fsico 3 ao nvel fsico 2. Nesta situao, o controle de acesso ao nvel deve tambm atender aos requisitos do nvel no aninhado. Alm disso, deve ser realizada uma anlise de risco com eventual proposio de controles adicionais de segurana. As reas fsicas de cada um destes nveis de segurana devem atender a requisitos especficos de segurana, descritos a seguir. 3.1.3 Nvel 1 - Atendimento
O primeiro nvel, ou nvel 1, deve se situar aps a primeira barreira de acesso s instalaes. Neste nvel obrigatrio o porte de credencial de acesso (crach) pelos colaboradores. Pessoas estranhas operao do LEA, denominadas visitantes, para entrar em uma rea de nvel 1, devem ter acesso autorizado por um colaborador do LEA. Nenhum tipo de processo operacional ou administrativo do LEA, excetuando-se recebimento ou devoluo de material de ensaio, deve ser executado neste nvel. Excetuados os casos previstos em lei, o porte de armas no ser admitido no nvel 1 do LEA. 3.1.4 Nvel 2 Operao
O segundo nvel, ou nvel 2, ser interno ao primeiro. Esse ser o nvel mnimo de segurana requerido para a execuo de qualquer processo tcnico operacional do LEA. O porte de crach obrigatrio para todas as pessoas presentes no nvel 2. Deve existir um registro dirio dos acessos das pessoas ao nvel 2 informando o horrio de entrada e o horrio final de sada. O acesso de pessoas ao segundo nvel deve ser restrito por uma porta com tranca. Colaboradores do LEA devem ter direito de acesso ao nvel 2. Porm, pessoas que no fazem parte do conjunto de colaboradores do LEA, denominadas visitantes, podem ter permisso de
LEA
16/50
acesso concedida por um colaborador do LEA. Neste caso, deve ser fornecido um crach de identificao para o visitante. Neste nvel, equipamentos de gravao, fotografia, vdeo, som ou similares, bem como computadores portteis, devem ter sua entrada controlada e somente podem ser utilizados mediante autorizao e superviso. 3.1.5 Nvel 3 Sensvel
No terceiro nvel, ou nvel 3, interior ao segundo, onde devem ocorrer as atividades especialmente sensveis da operao do LEA. O acesso de pessoas ao nvel 3 deve ser restrito por uma porta com tranca e colaboradores do LEA que necessitem realizar atividades nestas reas devem ter direito de acesso a este nvel. O acesso e permanncia de outra pessoa neste nvel permitido somente quando autorizada e acompanhada por um colaborador com direito de acesso. Alm disso, deve ser registrado cada acesso de cada pessoa ao nvel 3. Todos os materiais inseridos e removidos do ambiente nvel 3 tambm devem ser registrados. Telefones celulares, tokens, mdias de armazenamento, notebook, PDA, bem como outros equipamentos portteis de comunicao e componentes sem-fio (wireless), exceto aqueles exigidos para a operao do LEA, no so admitidos no nvel 3. Devem existir, no mnimo, duas reas nvel 3: Centro de processamento de dados (CPD). Laboratrio de ensaios. 3.1.5.1 Centro de Processamento de Dados O Centro de Processamento de Dados (CPD) deve acomodar equipamentos como: Equipamentos de rede (firewall, roteadores, switches e servidores). Servidores do LEA (arquivos, correio eletrnico, etc.). Servidores de sistemas de segurana. Somente pessoas que necessitem realizar atividades de instalao, suporte ou manuteno de servidores, equipamentos e sistemas devem ter permisso de acesso a este nvel. Pessoas que no possuem permisso de acesso no podem permanecer nesse nvel se no estiverem acompanhadas por pessoas autorizadas.
LEA
17/50
3.1.5.2 Laboratrio de Ensaios Nenhum ativo de ensaio deve ser retirado do nvel 3, exceto no momento de sua devoluo ou para conduo de ensaio em laboratrio externo. Todos os sistemas e equipamentos necessrios a estas atividades devem estar localizados neste nvel. 3.1.6 Nvel 4 Sala Depsito
O quarto nvel, ou nvel 4, interior ao nvel 3, se refere a uma sala, um cofre ou um gabinete reforado trancado. Ativos fsicos de ensaio e ativos eletrnicos de ensaio armazenados em mdia removvel devem ser guardados em ambiente de nvel 4 ou superior. Para garantir a segurana do material armazenado, a sala, o cofre ou o gabinete devem possuir tranca com chave. O nvel 4 deve possuir os mesmos controles de acesso do nvel 3 a cada acesso ao ambiente. Deve existir um livro de acesso no qual deve ser registrado o motivo do acesso ao nvel. 3.1.7 Nvel 5 Depsito Individual
O quinto nvel, ou nvel 5, interior ao ambiente de nvel 4, pode ser composto de dois tipos de depsitos, de acordo com o tipo de ativo armazenado: (a) Depsito fsico: deve consistir de pequenos depsitos localizados no interior do nvel 4. Cada um desses depsitos deve dispor de fechadura individual. Deve existir um livro-ata de custdia de material, individual para cada depsito, no qual devem constar os itens retirados ou devolvidos e o motivo da transferncia. (b) Depsito eletrnico: deve consistir de uma hierarquia de diretrios ou arquivos individuais protegidos com criptografia (envelope digital). O servidor que hospeda estes depsitos deve estar localizado em um ambiente nvel 3. Associado a cada depsito eletrnico deve existir um livro de acesso ao material, no qual devem constar os itens acessados e o motivo do acesso. 3.2 3.2.1 Controles fsicos Localizao dos sistemas de segurana
O servidor dos sistemas de segurana e equipamentos correlatos devem estar localizados em ambiente de nvel 3.
Verso v3.3.r.6
LEA
18/50
3.3
Mecanismos de emergncia
Controles especficos devem ser implantados pelo LEA para garantir a segurana de seus colaboradores e de seus equipamentos em situaes de emergncia. Esses controles devem permitir o destravamento de portas por meio de acionamento mecnico (antipnico), para a sada de emergncia de todos os ambientes com controle de acesso. A sada efetuada por meio desses mecanismos deve acionar imediatamente os alarmes de abertura de portas. O LEA pode especificar e implantar outros controles de emergncia, especficos e necessrios para cada tipo de instalao. Todos os procedimentos referentes aos controles de emergncia devem ser documentados e divulgados. Os controles e procedimentos de emergncia devem ser verificados anualmente, por meio de simulao de situaes de emergncia. 3.4 Preveno e proteo contra incndio
Os sistemas de preveno contra incndios, internos aos ambientes, devem possibilitar alarmes preventivos antes de ocorrer fumaa visvel, disparados somente com a presena de partculas que caracterizam o sobreaquecimento de materiais eltricos e outros materiais combustveis presentes nas instalaes. Nas instalaes do LEA no permitido fumar ou portar objetos que produzam fogo ou fasca. 3.5 Destruio de ativos de informao impressos e eletrnicos
Todos os dispositivos eletrnicos no mais utilizveis e que tenham sido anteriormente utilizados para o armazenamento de informaes sensveis, devem ser fisicamente destrudos antes de serem descartados, alm de meios impressos que contenham informaes do mesmo gnero. 3.6 Identificao pessoal e credencial de acesso fsico
O LEA deve adotar um sistema de identificao pessoal (crach) que incorpore funcionalidades de credencial de acesso fsico. 3.6.1 Tipos de crachs
Devem existir, no mnimo, dois tipos de credenciais: Colaborador do LEA. Visitante.

LEA
19/50
3.6.2
Emisso de crach
A emisso de crach de colaborador deve ser autorizada pela gerncia de recursos humanos, de acordo com o cargo e/ou a funo a ser desempenhada. A emisso de crach de visitante deve ser autorizada por um colaborador do LEA. 3.6.3 Validade
A validade dos crachs dos colaboradores ser igualmente equivalente validade de sua contratao. Sendo assim, caso o contrato seja cancelado ou invalidado por qualquer motivo legal, o crach perde imediatamente a validade. O crach de visitante tem validade limitada ao horrio de expediente do LEA. 3.6.4 Informaes constantes no crach
O crach de colaborador do LEA deve conter a foto do colaborador, seu nome completo, sua categoria funcional e os nveis de segurana os quais possui direito de acesso. O crach de visitante deve informar o nome completo da pessoa e a entidade a qual est representando. Os visitantes no possuem direitos de acesso s instalaes do LEA. Portanto, devem seguir as restries definidas nos nveis de segurana. 3.6.5 Destruio
Crachs ou qualquer outro dispositivo de identificao que sejam intransferveis tecnicamente devem ser destrudos no caso de desligamento ou mau funcionamento. Dispositivos passveis de reprogramaes devem ter seus contedos apagados na totalidade para reprogramao posterior. 3.7 3.7.1 Controle de equipamentos Manuteno de equipamento
O equipamento do LEA que necessitar de manuteno por um profissional externo ao LEA deve, antes de ser disponibilizado, atender aos controles descritos a seguir. 3.7.1.1 Salvaguarda do contedo Os dados sensveis contidos no ativo devem ser transferidos para um local seguro e os resqucios remanescentes no ativo devem ser destrudos com segurana, garantindo que pessoas no autorizadas tenham acesso a eles.
Verso v3.3.r.6
LEA
20/50
3.7.1.2 Troca de senhas Sempre que possvel, devem ser reiniciadas as senhas de monitor e senha de administrador. 3.7.1.3 Divulgao de senhas Caso seja necessrio divulgar a senha de um equipamento (de monitor ou de administrador) deve ser assegurado que no existam outros equipamentos configurados com a mesma senha. 3.7.2 Descarte de equipamentos
Todo e qualquer equipamento que seja enviado para descarte deve passar por uma ltima anlise para constatar e documentar os motivos e o estado. Deve haver uma verificao no contedo do equipamento para garantir que informaes sensveis sejam devidamente asseguradas e posteriormente destrudas de forma irreversvel. 3.8 3.8.1 Ambiente operacional Fornecimento de energia
Devem ser providenciados recursos ou mecanismos para garantir a continuidade do fornecimento de energia nas reas crticas, mantendo os ativos crticos de informao em funcionamento at que todos os processos e dados sejam assegurados caso o fornecimento de emergncia se esgote. 3.8.2 Mecanismos de controle climtico
Nos locais dos ativos crticos mais sensveis, como ambiente de servidores, devem existir sistemas de controle ambiental para evitar problemas de umidade, temperatura, iluminao e oscilao na corrente eltrica.
Verso v3.3.r.6
LEA
21/50
4
4.1
Classificao e Controle dos Ativos de Informao

Classificao quanto forma de apresentao
Um ativo de informao pode ser classificado, quanto forma de apresentao, em: Eletrnico; impresso; falado. 4.2 Classificao quanto criticidade do ativo de informao
Um ativo de informao deve ser classificado, quanto ao tipo, em: Pblico: qualquer ativo de informao, de propriedade do LEA ou no, que pode vir ao pblico sem consequncias danosas ao funcionamento normal. Pode ser acessado por qualquer pessoa, interna ou externa ao LEA. Integridade da informao no vital. Pessoal: qualquer ativo de informao relacionado informao pessoal. Por exemplo: mensagem pessoal de correio eletrnico, arquivo pessoal, dados pessoais, etc. Restrita: qualquer ativo de informao, de propriedade do LEA ou no, que no seja considerado pblico. Ativo de informao relacionado s atividades do LEA que direcionado estritamente para uso interno. A divulgao no autorizada do ativo de informao pode causar impacto imagem do LEA. Por exemplo: cdigo-fonte de programa, cronograma de atividades, atas de reunies, etc. Confidencial: qualquer ativo de informao que seja crtico para as atividades do LEA em relao ao sigilo e integridade. A divulgao no autorizada do ativo de informao pode causar grande impacto imagem e s atividades do LEA. Cada unidade do LEA deve definir quais ativos de informao devem ser classificados como confidencial. Qualquer material e informao recebida para ensaio, assim como qualquer resultado do ensaio (como relatrio) deve ser considerado confidencial.
Verso v3.3.r.6
LEA
22/50
4.3
Rtulo de ativo de informao
Todo ativo de informao classificado como pessoal, restrito ou confidencial, quando apresentado de forma impressa ou eletrnica, deve ser rotulado. 4.3.1 Informaes presentes no rtulo:
O rtulo de ativo de informao deve conter as seguintes informaes: Ttulo: ttulo do ativo de informao. Verso: verso do ativo de informao. Data de emisso: data da ltima emisso do ativo de informao. Para os ativos de informao nas fases de desenvolvimento ou minuta, deve constar a data da ltima modificao. Classificao de segurana: pblico, pessoal, restrito ou confidencial, confome Tabela 2; Tabela 2 Rtulo de Classificao de Informao.
Classificao Pblico Pessoal Restrito Confidencial Rtulo de classificao LEA:PUBLICO LEA:PESSOAL LEA:RESTRITO LEA:CONFIDENCIAL
Autor(es): identificao dos autores do ativo de informao. Identificao do proprietrio: papel da pessoa, departamento ou entidade proprietria da informao. Quando for documento de entidade externa deve ser informada qual a entidade proprietria ou entidade que disponibilizou a informao. Identificao do aprovador: pessoa responsvel pela aprovao do documento. Necessria somente para os ativos de informao do tipo documento (diretriz, norma, procedimento, ...). Autorizaes de acesso: conjunto de pessoas ou entidades que podem ter acesso ao ativo de informao. Restries de cpia: devem ser informadas eventuais restries em relao cpia eletrnica, cpia fsica ou impresso do documento.
Verso v3.3.r.6
LEA
23/50
4.3.2
Componentes de rotulagem
Para possibilitar a aplicao de controles de segurana associados classificao da informao, os componentes de rotulagem relacionados na Tabela 3, devem estar presentes em diferentes locais, dependendo do formato de apresentao. Tabela 3 Componentes de Rotulagem da Informao.
Componente de rotulagem Pgina de rosto Descrio
Pgina de rosto contendo ttulo, verso, data, classificao, proprietrio, autorizaes de acesso e restries de cpia. Rodap presente em todas as pginas, exceto na pgina de rosto, contendo ttulo, verso, data e classificao do ativo da informao. Rtulo em mdia de armazenamento removvel contendo ttulo da mdia, ttulo do contedo, verso, data, classificao, proprietrio, autorizaes de acesso e restries de cpia. Rtulo em mdia de armazenamento removvel contendo ttulo da mdia, ttulo do contedo, verso, data, classificao, proprietrio, autorizaes de acesso e restries de cpia.
Rodap
Rtulo em mdia
Rtulo em invlucro
4.3.3
Obrigatoriedade do rtulo
A Tabela 4 apresenta as condies de obrigatoriedade dos rtulos de classificao. Tabela 4 Obrigatoriedade de Rtulo de Classificao da Informao.
Classificao Pblico Pessoal Restrito Obrigatoriedade Opcional Opcional Obrigatrio Componentes obrigatrios Pgina de rosto e rodap (*) ou Rtulo em mdia ou Confidencial obrigatrio Rtulo em invlucro Pgina de rosto e rodap (*) ou Rtulo em mdia ou Rtulo em invlucro
(*) Quando o ativo de informao for gerado por entidade externa o requisito de componente de rtulo em rodap, no aplicvel.
LEA
24/50
Quando um ativo de informao impresso for gerado por uma entidade externa deve ser adicionado pgina de rosto. Quando um ativo de informao eletrnico for gerado por uma entidade externa e quando armazenado em mdia no removvel, deve ser gerada uma pgina de rosto e armazenada prximo ao ativo. Quando no for possvel aplicar o rtulo do documento original eletrnico armazenado em uma mdia removvel deve ser aplicado, se possvel, o rtulo na mdia de armazenamento. Caso no seja possvel, a mdia deve ser armazenada em um invlucro que possibilite a sua rotulagem. 4.3.4 Alterao do rtulo de classificao
Sempre que necessrio, o proprietrio da informao deve alterar o rtulo de classificao da informao com objetivo de adequ-la s novas necessidades: Novas entidades de acesso (incluso ou excluso); reclassificao; proprietrio da Informao. 4.4 Tratamento de ativo de informao
De acordo com a classificao aplicada ao ativo de informao podem existir restries sua manipulao, relacionadas s seguintes operaes: Acesso; proteo; armazenamento; transmisso; cpia; impresso; destruio. A seguir esto descritos os requisitos que devem ser aplicados aos ativos de informao, de acordo com sua classificao.
Verso v3.3.r.6
LEA
25/50
4.4.1
Ativo de informao pblica
4.4.1.1 Acesso Qualquer entidade pode ter acesso a um ativo de informao pblica. 4.4.1.2 Proteo Um ativo de informao pblica no formato eletrnico no deve ser protegido com criptografia nas dependncias do LEA. opcional o uso de outros controles de segurana aos ativos de informao pblica. 4.4.1.3 Cpia Deve ser verificado se existe restrio de cpia aplicvel ao ativo de informao antes de ser realizada a sua cpia. 4.4.1.4 Impresso Deve ser verificado se existe restrio de cpia aplicvel ao ativo de informao antes de ser realizada a sua impresso. 4.4.2 Ativo de informao pessoal
4.4.2.1 Acesso Somente o proprietrio da informao pode ter acesso a um ativo de informao pessoal. O proprietrio deve configurar os controles de acesso adequados. 4.4.2.2 Proteo Um ativo de informao pessoal no formato eletrnico no deve ser protegido com criptografia nas dependncias do LEA. opcional o uso de outros controles de segurana aos ativos de informao pessoal. 4.4.2.3 Armazenamento Um ativo de informao pessoal no formato impresso no deve ser armazenado no nvel 3. O LEA deve definir um local reservado para esta finalidade para cada usurio. Para um ativo de informao pessoal no formato eletrnico, o LEA deve definir para cada usurio, um local reservado para armazenamento de ativo de informao pessoal.
Verso v3.3.r.6
LEA
26/50
4.4.3
Ativo de informao restrito
4.4.3.1 Acesso Somente as pessoas autorizadas, relacionadas no rtulo, podem ter acesso ao ativo de informao. Devem ser especificados controles de acesso adequados. 4.4.3.2 Proteo Ativo de informao restrito no formato eletrnico no pode ser protegido com criptografia nas dependncias do LEA. Ativo de informao no formato impresso deve ser armazenado com controles de segurana adequados. 4.4.3.3 Transmisso para entidades externas Ativo de informao restrito no pode sair das dependncias do LEA sem autorizao do proprietrio da informao. 4.4.3.4 Destruio Um ativo de informao no formato impresso deve ser destrudo, obrigatoriamente, em picotadora. 4.4.3.5 Cpia Cpia de ativo de informao restrito deve seguir as restries descritas no rtulo de classificao do ativo de informao. 4.4.3.6 Impresso A impresso de ativo de informao restrito deve seguir as restries relacionadas cpia descritas no rtulo de classificao do ativo de informao. 4.4.4 Ativo de informao confidencial
4.4.4.1 Acesso Somente uma entidade autorizada que esteja relacionada no rtulo, pode ter acesso a um ativo de informao confidencial.
Verso v3.3.r.6
LEA
27/50
4.4.4.2 Proteo Um ativo de informao confidencial no formato eletrnico deve ser obrigatoriamente protegido com criptografia (ver poltica de uso de material criptogrfico). Ativo de informao em papel deve ser armazenado em local protegido por chave. 4.4.4.3 Impresso A impresso de ativo de informao confidencial deve seguir as restries relacionadas cpia descritas no rtulo de classificao do ativo de informao. O processo de impresso de ativo de informao confidencial deve ser acompanhado pelo responsvel pela impresso. 4.4.4.4 Transmisso para entidades externas Ativo de informao confidencial no pode ser retirado das dependncias do LEA exceto quando forem atendidos os requisitos descritos a seguir. O LEA deve divulgar internamente um documento contendo a relao de Entidades autorizadas para comunicao de ativo de informao confidencial que deve relacionar as entidades envolvidas e a natureza da informao trocada. Para cada uma destas entidades deve ser mantido um contrato de sigilo relacionado manipulao de informao confidencial. Qualquer transmisso de ativo de informao confidencial para outra entidade no definida previamente como entidade autorizada deve possuir contrato de sigilo e autorizao por escrito do Coordenador Geral do LEA. A transmisso de um ativo de informao confidencial para uma entidade externa pode ser realizada somente se a entidade estiver relacionada no rtulo do ativo, na lista de entidades com direito de acesso. Todo ativo de informao confidencial disponibilizado para o ambiente externo deve ser numerado e armazenado em um repositrio especfico para este fim, juntamente com a autorizao por escrito e a identificao do destinatrio. A transmisso de um ativo de informao confidencial pode ser realizada somente de forma protegida e para entidades autorizadas. 4.4.4.5 Destruio Ativo de informao eletrnico deve ser destrudo utilizando tcnicas de sobreposio (wipe). Ativo de informao em papel deve ser destrudo em picotadora.
LEA
28/50
4.4.4.6 Cpia Cpia de ativo de informao confidencial deve seguir as restries descritas no rtulo de classificao do ativo de informao.
Verso v3.3.r.6
LEA
29/50
Manipulao de Ativo de Ensaio
Ativos de ensaio so aqueles recebidos no processo de depsito de material para homologao (incluindo mdulos, dispositivos, mdias eletrnicas, documentao em papel, etc.) ou aqueles ativos gerados internamente no LEA decorrentes do processo de ensaio e auditoria (incluindo laudos, relatrios, resultados de ensaios, etc.). 5.1 Classificao quando origem
Um ativo de ensaio deve ser classificado, quanto sua origem, em: Ativo de ensaio depositado. Ativo de ensaio gerado pelo LEA. 5.2 Classificao quanto ao tipo do material
Um ativo de ensaio deve ser classificado, quanto ao tipo do material, em: Ativo fsico o Hardware ou Dispositivo. o Mdia de armazenamento eletrnico. o Documento impresso. Ativo eletrnico o Documento eletrnico. o Software. Um ativo de ensaio no formato eletrnico deve ser depositado preferencialmente em mdias eletrnicas do tipo read-only (como, por exemplo, CDROM). 5.3 Recebimento
Nenhum ativo de ensaio deve ser recebido sem passar pelo processo formal de depsito de material para ensaio definido no Procedimento de Depsito de Material de Ensaio. O recebimento do material deve ser acompanhado por duas pessoas do LEA no relacionadas aos ensaios.
LEA
30/50
5.4
Manipulao
Qualquer ativo de ensaio deve ser manipulado em uma rea de nvel 3. Material de ensaio no pode ser retirado de uma rea de nvel 3 exceto nas seguintes situaes: o Na devoluo. o Quando for necessria realizao de ensaio em laboratrio externo. o Quando encaminhado ao ITI. 5.5 Identificao
Todo ativo de ensaio material deve ser identificado de forma nica e discriminado precisamente no momento de seu recebimento (no processo de depsito de material para ensaio) ou no momento de sua gerao (relatrios, laudos, resultados de ensaios, etc.). Um ativo de ensaio depositado deve ser identificado de acordo com o definido no Procedimento Depsito de Ativo de Ensaio. Um ativo de ensaio gerado deve ser identificado de acordo com o definido no Procedimento Administrativo de Elaborao de Ativo de Informao. 5.6 Relao de ativos de um processo
Associada a cada processo de ensaio deve ser mantida uma relao com a identificao e discriminao de cada ativo de ensaio (depositado ou gerado). Esta relao deve ser armazenada junto ao ativo de ensaio no depsito de nvel 5. 5.7 Armazenamento
Todo ativo de ensaio depositado deve ser armazenado em um depsito individual de nvel 5. Deve existir um livro-ata de custdia de material, para cada depsito individual de nvel 5, relacionando cada retirada (discriminando a data, horrio, nome da pessoa, finalidade da retirada) e devoluo (discriminando a data, horrio, nome da pessoa e observaes relativas preservao do item). Um ativo de ensaio gerado do LEA pode ser armazenado em meio eletrnico removvel do tipo read-write para que possa ser armazenado no depsito individual eletrnico de nvel 5. Um ativo de ensaio que no esteja sendo manipulado no deve estar armazenado em outra localidade exceto no seu depsito de nvel 5. Cuidados rgidos devem ser seguidos para eliminar qualquer vestgio de ativo de ensaio nos equipamentos.
LEA
31/50
5.8
Cadeia de custdia
Nenhum ativo de ensaio pode ter sua custdia transferida entre pessoas diretamente. O material deve ser devolvido ao depsito individual de nvel 5 e ento retirado, seguindo os procedimentos de registro. 5.9 Ensaio
Todo ensaio realizado em ambiente computacional deve: Garantir a integridade do sistema antes do incio do ensaio. Durante a realizao do ensaio devem ser coletadas evidncias suficientes. Depois de encerrado o ensaio devem ser eliminados todos os seus vestgios. A realizao do ensaio deve atender aos requisitos definidos no Procedimento Geral de Realizao de Ensaio. 5.10 Divulgao Qualquer informao interna a respeito de ensaios (resultados, datas, anlises, etc.) somente pode ser divulgada ao ITI. Esta comunicao deve ser realizada pelo Coordenador Geral do LEA ou pessoa delegada por ele. Toda comunicao de ativo de ensaio de informao no formato eletrnico com o ITI deve ser assinada digitalmente.
Verso v3.3.r.6
LEA
32/50
Uso de material criptogrfico
O uso de material criptogrfico para finalidade de sigilo e assinatura digital, nas dependncias do LEA, para uso interno ou para comunicao com entidades externas, normalizado. 6.1 6.1.1 Proteo de arquivos com criptografia Condies para uso de criptografia
Todo ativo de informao confidencial deve ser protegido com criptografia sempre que precisar ficar armazenado em computadores. Os destinatrios devem ser somente colaboradores do LEA. Somente ativos de informao classificados como confidencial devem ser protegidos com criptografia. Ativos de informao no classificados como confidencial no devem ser protegidos com criptografia. 6.1.2 Formato de contedo criptografado
Os ativos de informao que precisem de proteo com criptografia devem utilizar o formato de envelope digital. Deve ser utilizado o formato CMS (Criptographic Message Syntaxe) envelopedData. No deve ser utilizada criptografia simtrica diretamente, ou seja, no deve ser utilizado o formato CMS encriptedDat. 6.1.3 Certificado digital
O envelope digital deve ser realizado utilizando-se certificados digitais ICP-Brasil de sigilo (S1, S2, S3 ou S4). 6.1.4 Chave de recuperao do LEA
Um ativo de informao confidencial deve, obrigatoriamente, ser tambm protegido com a chave pblica de recuperao do LEA. A chave pblica de recuperao do LEA um par de chaves assimtrico especialmente gerado para esta finalidade associado a um certificado ICP-Brasil de sigilo (S1, S2 S3 ou S4). O LEA deve gerar um par de chaves de sigilo para recuperao de informao criptografada cujo certificado digital deve ser disponibilizado de forma pblica nas dependncias do LEA. Este par de chaves deve ser utilizado somente em casos de recuperao em situaes
LEA
33/50
excepcionais e autorizadas. So as seguintes situaes previstas: medida judicial, auditoria do sistema, impossibilidade de recuperao da informao por perda da chave privada ou impossibilidade do usurio utiliz-la. O proprietrio da chave de recuperao deve ser um membro do corpo gerencial do LEA que deve guard-la em um cofre do LEA, cuja chave de tranca deve ficar de posse do Gerente de infraestrutura. 6.2 6.2.1 Assinatura digital Certificado digital
A assinatura digital deve ser realizada utilizando-se certificados digitais ICP-Brasil de assinatura (A1, A2, A3 ou A4). 6.2.2 Formato da assinatura digital
Os ativos de informao que necessitem de assinatura digital devem utilizar o formato CMS signedData attached. Deve ser anexada toda a cadeia de certificao ao documento assinado digitalmente. Sempre deve ser includa a estampilha temporal (RFC 3161) emitida por autoridade autorizada pelo Observatrio Nacional.
Verso v3.3.r.6
LEA
34/50
7
7.1
Privacidade
Uso da sesso de usurio
A sesso de usurio disponibilizada ao colaborador para auxili-lo no desenvolvimento de suas atividades. 7.2 Uso de recursos computacionais
Os recursos computacionais (como computadores, servidores, sistemas, impressoras, dentre outros) sero disponibilizados aos colaboradores para auxili-los no desenvolvimento de suas atividades. O ambiente computacional pertence ao LEA e deve ser utilizado somente para tarefas definidas pelo LEA. Usurios no deve possuir qualquer expectativa de privacidade em nada que for criado, armazenado, enviado ou recebido no ambiente computacional do LEA, exceto nas reas e sistemas devidamente autorizadas para uso pessoal. 7.3 Uso de recursos computacionais com finalidade pessoal
O uso dos recursos do LEA para finalidades pessoais (como arquivo e/ou mensagem pessoal de correio eletrnico) proibido, exceto nas reas e sistemas devidamente autorizados para esa finalidade. Usurios devem possuir expectativa de privacidade somente nas reas e sistemas devidamente autorizados para uso pessoal e desde que manipulada segundo o definido na Poltica de Segurana da Informao. 7.4 Auditoria
Usurios devem estar cientes de que colaboradores do LEA ou outros especificamente autorizados para esta tarefa (como, por exemplo, colaboradores do ITI ou auditores independentes) consultem e revisem todo material criado, armazenado, enviado ou recebido atravs do ambiente computacional ou Internet. A autorizao para tarefas de auditoria deve ser do Coordenador Geral do LEA. 7.5 Monitorao
Com objetivo de garantir que os recursos computacionais sejam utilizados somente para as finalidades autorizadas, pelos usurios autorizados e tambm, para garantir a segurana dos
LEA
35/50
ativos relacionados aos ensaios, o LEA pode necessitar monitorar ativos eletrnicos (arquivos, acessos WEB, correio eletrnico de usurios) e acessos de comunicao (comunicao local, comunicao Internet, etc.). O LEA possui o direito, mas no o dever, de monitorar qualquer recurso do ambiente computacional incluindo, mas no limitado monitorao de sites visitados pelos usurios, monitorao de grupo de chat, monitorao de material downloaded ou uploaded e exame de mensagens de correio eletrnico enviados ou recebidos pelos usurios, exceto na rea reservada para uso pessoal. Na rea reservada para uso pessoal devem ser mantidos controles suficientes para rastreamento para determinao do usurio que estava utilizando um recurso em caso de incidente. Usurios devem ter cincia de que a corporao pode utilizar software automatizado para monitorar o material criado, armazenado, enviado ou recebido atravs do ambiente computacional em qualquer rea do LEA.
Verso v3.3.r.6
LEA
36/50
Utilizao do ambiente computacional
A utilizao dos recursos computacionais, por parte dos usurios, incluindo a utilizao de computadores, de correio eletrnico e de acesso Internet, pode tornar o LEA vulnervel ao comprometimento de informaes confidenciais, ocorrncia de aes de responsabilizao legal e ao aumento desnecessrio da taxa de utilizao dos recursos computacionais. Como exemplo destes problemas possvel citar: a. Utilizao de software no-licenciado (software pirata). b. Circulao de mensagens de correio eletrnico contendo piadas, pornografia, contedo racista ou discriminador, difamao de terceiros e mesmo contedo calunioso em relao aos colaboradores. c. Negociao de segredos e outras informaes altamente sensveis roubadas do ambiente computacional. d. Utilizao da Internet em atividades no relacionadas s atividades corporativas que possam comprometer a segurana corporativa ou mesmo a perda de produtividade. e. Armazenamento e uso de software no homologado (pirata ou no). f. Armazenamento de material pornogrfico. g. Acesso a sites (perigosos) e instalao de software malicioso, como vrus, cavalos de tria, etc. Devido a estes fatores, recomenda-se aos usurios do ambiente computacional cuidado na utilizao destes recursos. Eles devem ser utilizados de forma consciente e somente para atividades relacionadas ao exerccio funcional. Alm disso, o usurio deve atentar para os controles descritos a seguir. 8.1 Uso do ambiente computacional
O ambiente computacional propriedade do LEA e pode ser utilizado somente para atividades da empresa. Aos usurios permitido acesso aos recursos computacionais (computadores, impressoras, sistemas de comunicao, etc.) com objetivo de auxiliar no exerccio de suas atividades funcionais. O usurio tem a responsabilidade de utilizar os recursos computacionais de maneira profissional, tica e legal. A utilizao do ambiente computacional um privilgio que pode ser revogado a qualquer momento.
LEA
37/50
8.2
Atividades proibidas
Material que seja fraudulento, racista, sexualmente explcito, profano, obsceno, intimidador, difamatrio ou qualquer outro ilegal ou inapropriado no pode ser enviado por correio eletrnico, mostrado no monitor, ou armazenado no ambiente computacional da corporao. Usurios que encontrem ou recebam este tipo de material devem notificar imediatamente a equipe de incidentes de segurana da corporao (ver Seo 8.10). 8.3 Negao de responsabilizao pelo uso da Internet
O LEA no responsvel pelo material visto ou obtido pelos usurios da Internet. A Internet uma rede mundial de computadores que contm milhes de pginas de informao. Usurios devem estar cientes de que muitas destas pginas incluem material ofensivo, abusivo ou inapropriado. Em geral difcil evitar ao menos algum contato com tal material no acesso Internet. Mesmo as pesquisas na Internet podem levar a sites com contedo inadequado. Caso seja realizado acesso a uma pgina WEB contendo material inadequado, o usurio deve interromper imediatamente o acesso. Se necessrio informe o incidente equipe de segurana, conforme definido na Seo 8.10. 8.4 8.4.1 Utilizao de correio eletrnico Correio eletrnico
A identidade de correio eletrnico ser disponibilizada ao colaborador para possibilitar o envio e recebimento de mensagens relacionadas s atividades decorrentes da funo exercida. A identidade de correio eletrnico nunca deve ser utilizada para atividades de fins pessoais. Alm disso, o usurio no deve possuir nenhuma expectativa de privacidade nas mensagens de correio eletrnico. 8.4.2 Envio de posies pessoais por correio eletrnico
O colaborador no deve utilizar a identidade de correio eletrnico para divulgar para usurios externos posies pessoais a respeito de um tema no relacionado s suas atividades. 8.4.3 Autorizao para uso de correio eletrnico pessoal
O usurio deve requisitar autorizao formal para utilizao de identidade de correio eletrnico pessoal (conta externa de correio eletrnico). A autorizao, quando concedida, deve informar as restries de uso relacionadas ao horrio, equipamento de uso e local de armazenamento das mensagens.
LEA
38/50
8.4.4
Repasse de mensagens de correio eletrnico
Usurios no devem repassar (forward) mensagens de correio eletrnico para nenhuma outra pessoa ou entidade sem a expressa permisso do emissor. 8.4.5 Corrente de correio eletrnico
Usurios no podem iniciar ou propagar mensagens associadas a corrente de correio eletrnico. Corrente de correio eletrnico uma mensagem enviada para vrias pessoas requisitando que cada recipiente envie cpias com a mesma requisio para vrias outras. 8.4.6 Acuracidade
O contedo de toda comunicao realizada deve ser acurado. Usurios devem ter o mesmo cuidado na escrita da mensagem de correio eletrnico como qualquer outro documento escrito. 8.4.7 Envio de mensagem de correio eletrnico no-solicitado (spam)
Sem a expressa permisso de seu superior, usurios no podem enviar mensagens de correio eletrnico no-solicitadas a pessoas com as quais no possuam nenhum tipo de relacionamento. 8.4.8 Alterao de identificao da origem da mensagem
A identificao do emissor da mensagem de correio eletrnico (linha From, ou qualquer outro parmetro para identificao do emissor) nunca deve ser alterada. Comunicao annima ou com pseudnimos proibida. 8.4.9 Restries no envio de informaes confidenciais por correio eletrnico
A comunicao por correio eletrnico, assim como a maioria dos outros mtodos de comunicao na Internet, no segura. Quando um usurio envia informao atravs de correio eletrnico ou a torna disponvel para usurios locais ou usurios externos (Internet) existe sempre a possibilidade de que a informao possa ser vista por indivduos no autorizados. Assim, comunicao por correio eletrnico ou outro mtodo equivalente da Internet deve ser considerada mtodo de comunicao pblica.
Verso v3.3.r.6
LEA
39/50
8.4.10 Rodap de mensagem de correio eletrnico Este rodap deve ser padro em toda mensagem de correio eletrnico enviado por usurios do LEA: Este e-mail e todos os arquivos transmitidos em anexo so confidenciais e direcionados somente ao indivduo ou entidade endereada. Se voc no for o destinatrio ou a pessoa responsvel por retransmitir o e-mail para o destinatrio, ento possivelmente voc recebeu este e-mail por engano. Nesta situao, destrua este e-mail. Qualquer uso, disseminao, encaminhamento (forwarding), impresso ou cpia estritamente proibido. Se voc recebeu este email por engano, por favor, notifique imediatamente a equipe de segurana do LSI-TEC utilizando o endereo eletrnico de e-mail security@lsitec.org.br. 8.5 8.5.1 Outros sistemas de comunicao Utilizao de outros sistemas de comunicao
A utilizao de qualquer outro sistema de comunicao eletrnica, alm de correio eletrnico, nas dependncias do LEA, no permitida exceto com autorizao formal. Incluem-se nesta classe os sistemas de mensagens instantneas como Chat e Messenger, os sistemas de telefonia eletrnica, como Skype, e os sistemas do tipo Peer-to-Peer para distribuio de contedo. 8.5.2 Autorizao para uso de outros sistemas de comunicao
O usurio deve requisitar autorizao formal para utilizao de outro sistema de comunicao. A autorizao, quando concedida, deve informar o sistema de comunicao e restries de uso relacionadas ao horrio, equipamento de uso e local de armazenamento. 8.6 8.6.1 Senhas Qualidade da senha
Os usurios devem escolher senhas de difcil descoberta, contendo, no mnimo, oito caracteres dentre os quais, dois devem ser caracteres no-alfabticos. 8.6.2 Periodicidade de troca de senhas
Os usurios devem trocar a senha a cada 30 trinta dias.
Verso v3.3.r.6
LEA
40/50
8.7
Sesso de uso aberta com usurio ausente
Usurios nunca devem deixar uma sesso de uso de um sistema computacional aberta em sua ausncia. 8.8 8.8.1 Uso de software, dispositivos e equipamentos Uso de software, dispositivo e equipamento homologado
Todo software, dispositivo removvel e equipamento de telecomunicao instalado ou utilizado no ambiente computacional do LEA deve estar homologado e autorizado. A gerncia de infraestrutura deve manter e divulgar a relao dos softwares, dispositivos removveis e equipamentos de telecomunicao homologados. 8.8.2 Licena de uso de software
Todo software deve possuir a respectiva licena de uso. O controle das licenas de uso de responsabilidade da gerncia de infraestrutura. A gerncia de infraestrutura deve manter a relao de licenas de uso e equipamentos nos quais esto instalados. 8.8.3 Direito de cpia de software
Parte do software, documentos e outros ativos de informao existentes no ambiente so comprados ou adquiridos amparados por um acordo de licena de uso, sendo protegidos pela lei de propriedade intelectual. Estes acordos ou leis restringem o direito de realizar cpias e, em alguns casos, restringem o modo no qual o software pode ser utilizado. No deve ser realizada cpia de nenhum ativo licenciado ou com direito de cpia (copyright) do ambiente computacional sem aprovao prvia do LEA. 8.9 Notificao sobre mau funcionamento
Qualquer mau funcionamento no ambiente deve ser notificado imediatamente gerncia de infraestrutura utilizando o endereo de correio eletrnico suporte@lsitec.org.br. 8.10 Notificao de incidente Qualquer suspeita de incidente deve ser notificada imediatamente chefia de segurana utilizando o endereo de correio eletrnico security@lsitec.org.br.
Verso v3.3.r.6
LEA
41/50
8.11 Treinamento para uso do ambiente computacional O LEA deve realizar treinamento e seminrios para os colaboradores em relao utilizao apropriada dos recursos e servios computacionais oferecidos.
Verso v3.3.r.6
LEA
42/50
9
9.1
Controles para o ambiente computacional

Controle de Ativos Inventrio de ativos de software
9.1.1
A gerncia de infraestrutura deve manter o inventrio dos ativos de softwares utilizados no LEA. Alm disso, deve periodicamente verificar a localizao dos ativos inventariados. 9.1.2 Inventrio de ativos fsicos
A gerncia de infraestrutura deve manter o inventrio dos ativos fsicos utilizados no LEA. Alm disso, deve periodicamente verificar a localizao dos ativos inventariados. 9.2 Gerenciamento de identidade de usurios
O LEA deve garantir a segurana no processo de gerenciamento de identidade de usurios no ambiente computacional. O gerenciamento de identidade de usurios relaciona-se s seguintes atividades: a. Gerenciamento de perfis de usurios. b. Definio do modelo de identidade de usurio. c. Gerenciamento do ciclo de vida de identidade de usurio. 9.2.1 Gerenciamento de perfis de usurios
Devem existir, no mnimo, os seguintes perfis (grupos) de usurios: a. Operador de sistema. b. Administrador de sistema. c. Administrativo administrativo). d. Analista de ensaio. e. Auditor. f. Chefe de segurana. g. Visitante.
(financeiro,
recursos
humanos,
jurdico,
secretaria,
apoio
LEA
43/50
9.2.2
Definio do modelo de identidade de usurio
9.2.2.1 Padro de nomeao O LEA deve definir um padro de nomeao de identidade de usurio. 9.2.2.2 Identidade nica Cada usurio deve possuir uma nica identidade para todos os sistemas do LEA. 9.2.2.3 Gerenciamento centralizado Deve ser adotado um modelo de gerenciamento centralizado da identidade dos usurios para o ambiente computacional do LEA. 9.2.3 Gerenciamento do ciclo de vida de identidade de usurio
O gerenciamento do ciclo de vida de identidade de usurio est relacionado s seguintes atividades: a. Cadastro de identidade de usurio e atribuio de perfil. b. Alterao de atribuio de perfil para uma identidade de usurio. c. Suspenso de identidade de usurio. d. Bloqueio de identidade de usurio. e. Custdia da documentao. O LEA possui procedimentos especficos que definem os requisitos para o gerenciamento do ciclo de vida de identidade de usurio no ambiente computacional do LEA. A um usurio externo deve ser atribudo o perfil visitante, exceto em usurios com privilgios especficos, como o caso de auditores externos. A suspenso de identidade de usurio deve ser realizada para os perodos de frias, licenas prolongadas e punies administrativas dos colaboradores. O bloqueio de identidade de usurio deve ser realizado sempre que um colaborador for desligado de suas atividades. Nesta situao, a identidade do usurio no pode ser removida do sistema pois dificultaria a interpretao de registros dos sistemas que geralmente so baseados no userid. Porm, o bloqueio impede a utilizao dos sistemas por parte do usurio.
Verso v3.3.r.6
LEA
44/50
9.2.3.1 Custdia da Documentao Todos os documentos (autorizaes e fichas de cadastro) referentes ao ciclo de vida do usurio de TI devem ser armazenados e mantidos pela rea de recursos humanos. 9.3 Compartilhamento de identidade de usurio
No permitido o compartilhamento de identidade de usurio entre usurios. Exceo feita s sesses nativas do sistema (como, por exemplo, administrador) em situaes nas quais no possvel o uso de uma identidade de usurio individual. Mesmo na existncia de identidade de usurio compartilhada devem ser utilizados controles para possibilitar que os registros (logs) gerados identifiquem o usurio efetivo que gerou o evento. O compartilhamento de uma identidade de usurio deve ser evitado pois: a. Impede a rastreabilidade dos acessos: no possvel precisar qual foi o usurio que realizou tal acesso. b. Causa problemas relacionados ao compartilhamento da senha: toda mudana de senha deve ser informada aos outros usurios. Esta comunicao muitas vezes realizada de maneira insegura. Existe tambm a tendncia de escolha de senhas triviais nesta situao. 9.4 9.4.1 Controle de acesso aos recursos computacionais Privilgio mnimo no acesso aos recursos
O direito de acesso aos recursos deve ser atribudo de tal forma que o usurio possua privilgio mnimo para realizao de suas atividades. 9.4.2 Direito de acesso aos recursos computacionais
O LEA deve preferencialmente utilizar um modelo de controle de acesso baseado em papel, utilizando os perfis atribudos s identidades de usurios em relao definio do direito de acesso aos recursos computacionais. Direito de acesso discreto pode ser tambm definido. 9.5 9.5.1 Controles automatizados Controles automatizados associados s senhas
Se possvel, devem ser configurados diretamente no sistema os seguintes controles automatizados relacionados aos parmetros mostrados na Tabela 5: Tabela 5 Definio do valor dos parmetros de senhas.
LEA
45/50
Valor 8 2 7 dias 30 dias 4
Parmetro Quantidade mnima de caracteres Quantidade mnima de caracteres no-alfabticos Perodo mnimo entre troca de senha Perodo mximo entre troca de senha Impedir a reutilizao das ltimas senhas
9.5.2
Controles automatizados asssociados ao login
Os sistemas devem suspender a identidade de um usurio aps cinco tentativas de login malsucedidas. 9.5.3 Controle automatizado de inatividade
Os sistemas devem, sempre que possvel, travar ou encerrar a sesso de terminal em caso de inatividade. 9.5.4 Controle automatizado de expirao da identidade de usurio
Devem ser ativados os controles de bloqueio de identidade de usurio em relao validade definida para a identidade expirar. 9.6 9.6.1 Acessos Externos Acesso de terminal remoto externo
Entende-se como acesso de terminal remoto externo aos acessos procedentes de qualquer ponto externo da rede para um equipamento interno rede que possibilite a execuo de comandos do sistema. Portanto, isto refere-se aos seguintes protocolos: a. Acesso de terminal remoto em comando de linha: TELNET, rlogin, SSH. b. Acesso de terminal remoto com ambiente grfico: VNC, TerminalServices. 9.6.2 Restrio de protocolo de acesso de terminal remoto externo
Por motivos de segurana, acesso de terminal remoto que no garanta o sigilo da comunicao, como telnet, rlogin e VNC, no devem ser utilizados. Neste sentido, devem ser utilizados somente os protocolos que possibilitem sigilo da comunicao como SSH e TerminalServices (com opo segura habilitada).
Verso v3.3.r.6
LEA
46/50
9.6.3
Classificao dos acessos externos
Os acessos podem ser classificados em: a. Acesso privilegiado: aquele cujo privilgio de acesso de administrador. b. Acesso no privilegiado: aquele cujo privilgio de acesso de usurio normal. 9.6.4 Acesso remoto privilegiado
Nunca deve ser permitido o acesso remoto privilegiado (com privilgio de administrador). Acessos externos de terceiros, para manuteno, no so permitidos. 9.6.5 Ponto de controle e concentrao de acesso de terminal remoto externo
Todo acesso de terminal remoto externo deve ser direcionado a um servidor especialmente concebido para esta finalidade. Assim, existe um nico ponto de concentrao e controle de acessos externos. Configurando desta maneira ser possvel: a. Armazenar o registro (log) de acesso de todos os acessos externos. b. Restringir o acesso externo somente para os usurios de TI autorizados. 9.7 Sincronizao de tempo
Todos os equipamentos devem ter seu horrio sincronizado com uma fonte confivel de tempo. 9.8 9.8.1 Registros (logs) Gerao de registros
A existncia de registros (logs) tem o objetivo de garantir a rastreabilidade do sistema. Para isto, devem ser mantidos registros, principalmente de: a. Registros de tentativas de login (sucesso e falhas). b. Registros de acesso a servios (WEB, correio eletrnico, etc). c. Registros das conexes TCP e datagramas UDP em elementos de roteamento com a Internet, quando for utilizado NAT (Network Address Translation). Apesar da quantidade de registros gerada, estes registros so fundamentais para possibilitar a identificao da origem da sesso de comunicao no caso de notificao de incidentes.
Verso v3.3.r.6
LEA
47/50
9.8.2
Servidor de registros
Se possvel, deve ser mantido um servidor de registros (logs) com a finalidade de possibilitar a integridade desta informao (no caso de um incidente de segurana invaso externa o log local do equipamento passa a no ser confivel, pois pode ser alterado). 9.9 Segregao de redes
O ambiente computacional deve possuir redes segregadas de forma a restringir a comunicao entre os ambientes. Devem existir no mnimo as seguintes redes segregadas: DMZ Rede desmilitarizada. Deve conter os servidores com necessidade de acesso externo da Internet como, por exemplo, servidores WEB, correio eletrnico e DNS. Intranet Rede interna. Deve conter os equipamentos internos, exceto os equipamentos utilizados no laboratrio de ensaio. Ensaios Deve conter somente os equipamentos do laboratrio de ensaios. 9.10 Tecnologias mveis Todo e qualquer tipo de tecnologia mvel, como celular de alta tecnologia, PDA, notebook, pendrive, dentre outros, devem seguir os mesmos requisitos que esta norma confere aos computadores internos.
Verso v3.3.r.6
LEA
48/50
10 Investigao de Infrao e Penalidades

10.1 Infrao denominada infrao a violao de qualquer dispositivo legal ou dispositivo de alguma poltica. considerada infrao, qualquer obstruo, omisso ou m-f por parte do colaborador que tentar prejudicar a ao fiscalizadora. 10.2 Investigao interna 10.2.1 Comisso de investigao Assim que uma suspeita de infrao for detectada, deve ser formada uma comisso de investigao com, no mnimo, dois componentes nomeados pelo Coordenador Geral. A comisso de investigao deve relatar formalmente o ocorrido, notificar o(s) colaborador(es) envolvido(s), apurar a veracidade dos fatos e consolidar todos os fatos apurados em um relatrio denominado Relatrio de Investigao. 10.2.1.1 Direito de defesa Ao colaborador deve ser dado, o quanto antes, conhecimento dos fatos sob investigao e programada uma oportunidade para realizao de sua defesa. 10.2.1.2 Relatrio de investigao A Comisso de Investigao, ao trmino da investigao, deve apresentar o Relatrio de Investigao ao Coordenador Geral do LEA que responsvel por tomar as medidas cabveis. 10.3 Das Penalidades No caso de uma infrao, o prestador de servio estar sujeito s seguintes penalidades: I Advertncia. II Suspenso. III - Demisso ou encerramento de contrato. As penalidades so consideradas em razo da natureza e da gravidade da infrao cometida e podem ser aplicadas isoladamente ou cumulativamente.
LEA
49/50
Compete ao Coordenador-Geral do LEA a aplicao motivada das penalidades. 10.4 Responsabilizao Alm da responsabilidade tica e profissional, o colaborador de acordo com seu cargo e atribuies, deve responder legalmente por qualquer dano causado. A responsabilizao civil do colaborador se dar por ao ou omisso, negligncia ou imprudncia, comportando indenizao, nos termos da lei. A propriedade intelectual que incide sobre os programas de computador, inclusive os chamados softwares livres, definida nos respectivos termos de uso e contratos de licena e os casos de violao ensejaro indenizaes, alm de eventual ao criminal.
Verso v3.3.r.6
LEA
50/50
Referncias Bibliogrficas
LABORATRIO DE ENSAIOS E AUDITORIA (LEA). GG-1 Glossrio Geral. So Paulo. LEA. 2009. LABORATRIO DE ENSAIOS E AUDITORIA (LEA). MQ-1 Manual da Qualidade. verso 1.0. So Paulo. LEA. 2009. ADAMS, C.; CAIN, P.; PINKAS, D.; ZUCCHERATO, R.; RFC 3161: Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP). August, 2001. 26p. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR 11515/ NB 1334: Critrios de segurana fsica relativos ao armazenamento de dados. Rio de Janeiro: ABNT, 1990. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799: Tecnologia da informao - cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro: ABNT, 2003. 56p. COMIT GESTOR DA ICP-BRASIL. Resoluo N 8: Requisitos mnimos para as declaraes de prticas de certificao das autoridades certificadoras da ICP-Brasil. Braslia: ICP-BRASIL, 2001. 36 p. HOUSLEY, R; RFC 3852: Cryptographic Message Syntax (CMS3). July, 2004. 56p. LABORATRIO DE ENSAIOS E AUDITORIA (LEA). PT-11 Procedimento Tcnico de Depsito de Material de Ensaio. verso 1.0. So Paulo. LEA. 2009.
Verso v3.3.r.6

LEA NORMA NR-8 SegurancaInformacao v3.3.r.6

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

LEA NORMA NR-8 SegurancaInformacao v3.3.r.6

Enviado por

Direitos autorais:

Formatos disponíveis

LEA

NR-8 Norma de Segurana da Informao verso 3.3 release 6

So Paulo, 16 de Maro de 2010

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Do desempenho da funo e do comportamento do colaborador Desempenho da funo

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

b) Definir os privilgios de acessos aos recursos. 2.6.4 Responsabilidades dos colaboradores

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Segurana Fsica e de Ambiente

Aninhamento dos Nveis de Segurana

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Devem existir, no mnimo, dois tipos de credenciais: Colaborador do LEA. Visitante.

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Classificao e Controle dos Ativos de Informao

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Rtulo de ativo de informao

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ativo de informao pblica

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ativo de informao restrito

Ttulo NR-8 Norma de Segurana da Informao

Data de emisso 16/03/2010

Classificao de segurana Restrito

Ttulo NR-8 Norma de Segurana da Informao