Ministrio do Planejamento Oramento e Gesto Secretaria de Logstica e Tecnologia da Informao Departamento de Servios de Rede Coordenao de Servios de Redes

Guia de Referencia para a Segurana da Informao Usurio Final

28/07/2005

Introduo .............................................................................................................................. 3 1. Fundamentos e Conceitos de Poltica de Segurana................................... 4 2. Recomendaes Gerais .............................................................................................. 7 2.1 Recomendaes para o uso aceitvel dos recursos de TI ...................... 7 2.2 Recomendaes para o uso seguro dos recursos de TI ........................... 7 2.3 Recomendaes sobre atividades permitidas............................................... 9 2.4 Recomendaes sobre atividades NO permitidas ................................ 9 3. Recomendaes Especficas ................................................................................. 11 3.1 Recomendaes para controle de acesso ..................................................... 11 3.2 Recomendaes para a Utilizao do Correio Eletrnico ................... 14 Corporativo ......................................................................................................................... 14 3.3 Recomendaes para a Utilizao de Aplicaes Corporativas e ... 16 Software de Terceiros .................................................................................................... 16 3.4 Recomendaes para a Manipulao das Informaes ....................... 20 3.5 Responsabilidade dos rgos Pblicos ........................................................ 21 Anexo I - Glossrio de Termos Tcnicos ............................................................ 22 Anexo II - Referncias de Legislao ................................................................... 30 Anexo III Exemplo de Termo de Confidencialidade ................................. 31

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28/07/2005

Introduo

O presente guia tem como objetivo a criao de um instrumento de referncia para a implantao de um ambiente informacional mais seguro nos rgo e instituies pblicas, facilitando desta forma os processos de gesto e controle. A segurana da informao tende a se tornar um tema permanente na agenda de atividades do Frum de CGMIs, institudo pelo Decreto N 1048/94 que estabelece o sistema de informao e informtica, no qual questes estratgicas da rea de Tecnologia da Informao TI, so tratadas e discutidas de maneira a aprimorar os mecanismos de gesto governamental, visando a melhoria continua da qualidade dos processos internos e servios prestados ao cidado.

Questes relacionadas com segurana da informao devem ser tratadas como tema sensvel nas organizaes governamentais.

Observa-se atualmente um grande desnvel cultural e tecnolgico entre os rgos que formam a Administrao Pblica Federal APF.

Com o objetivo de promover e motivar a criao de uma cultura de segurana da informao, na dimenso de usurio final proposto o presente guia de referencia. De maneira complementar sero desenvolvidos dois guias adicionais cuja abrangncia ser a dimenso tcnica e a gerencial.

O objetivo deste guia, que ele sirva como referencia, na rea de segurana da informao, para as unidades responsveis pela gesto de TI, nos rgos e instituies publicas que formam a APF. A dimenso considerada a de usurio final. Estas entidades pblicas podero desenvolver guias de melhores prticas, considerando o seu contexto de atuao e observando sempre o disposto na legislao vigente, bem como nos padres de interoperabilidade do Governo Eletrnico e-PING.

Como um guia relacionado com uma rea tecnolgica bem definida, segurana da informao, importante que o mesmo seja revisto anualmente, sob a coordenao

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28/07/2005

do MPOG/SLTI/DSR/Coordenao de Segurana da Informao, com vista a sua atualizao, adequao tecnolgica e legal.

Utilizando a idia da criao de uma ampla rede de colaboradores, torna-se possvel a criao, dentro deste ambiente cooperativo, de grupos tcnicos temticos na rea de segurana, sob demanda, com total envolvimento institucional. Estes grupos podero interagir com outras aes em andamento na APF, evitando o re-trabalho e promovendo a racionalizao de gastos nesta rea.

1. Fundamentos e Conceitos de Poltica de Segurana

Para a implementao de controles de segurana faz-se necessria a criao de um processo de gesto da segurana da informao. Este processo deve considerar o incentivo definio de polticas de segurana, cujos escopos devem abarcar o gerenciamento de riscos baseado em analise quantitativa e qualitativa, como analises de custo benefcio e programas de conscientizao.

A gesto da segurana da informao inicia-se com a definio de polticas, procedimentos, guias e padres.

As polticas podem ser consideradas como o mais alto nvel de documentao da segurana da informao, enquanto nos nveis mais baixos podemos encontrar os padres, procedimentos e guias. Isto no quer dizer que as polticas sejam mais importantes que os guias, procedimentos e padres.

As polticas superiores devem ser definidas em primeiro lugar por questes estratgicas, enquanto os outros documentos seguem como elementos tticos, como uma poltica de segurana para firewall, que se refere a controles de acessos e lista de roteamento de informaes.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28/07/2005

O primeiro documento a ser definido deve conter o comprometimento da alta administrao, deixando clara a importncia da segurana da informao e dos recursos computacionais para a misso institucional. uma declarao que fundamenta a segurana da informao na totalidade da instituio. Deve conter ainda a autorizao para a definio dos padres, procedimentos e guias de mais baixo nvel.

As polticas de alerta no so mandatrias, mas so fortemente incentivadas, normalmente incluindo as conseqncias da no conformidade com as mesmas.

A poltica informativa aquela que existe simplesmente para informar aos usurios de um determinado ambiente. No implicam necessariamente em requisitos especficos, e seu publico alvo pode ser determinados setores somente ou ate mesmo parceiros externos. Possuindo carter genrico, pode ser distribuda para parceiros externos, como fornecedores, por exemplo, que acessam a rede da instituio, sem que isso acarrete o comprometimento da informao interna.

Os regulamentos de segurana so polticas que uma instituio deve implementar em conformidade com legislao em vigor, garantindo aderncia padres e procedimentos bsicos de setores especficos.

Os padres especificam o uso uniforme de determinadas tecnologias. Normalmente so mandatrios e implementados atravs de toda a instituio, a fim de proporcionar maiores benefcios.

Os fundamentos ou princpios so semelhantes aos padres, com pequena diferena. Uma vez que um conjunto consistente de fundamentos seja definido, a arquitetura de segurana de uma instituio pode ser planejada e os padres podem ser definidos. Os fundamentos devem levar em conta as diferenas entre as plataformas existentes, para garantir que a segurana seja implementada

uniformemente em toda a instituio. Quando adotados, so mandatrios.

Os guias so similares aos padres, embora mais flexveis, se referindo a metodologias para os sistemas de segurana, contendo apenas aes recomendadas e no mandatrias. Consideram a natureza distinta de cada sistema de informao.
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28/07/2005

Podem ser usados para especificar a maneira pela qual os padres devem ser desenvolvidos, como quando indicam a conformidade com certos princpios da segurana da informao.

Os procedimentos contm os passos detalhados que devem ser seguidos para a execuo de tarefas especficas. So aes detalhadas que os funcionrios envolvidos devem seguir. So considerados como inseridos no mais baixo nvel em uma cadeia de polticas. O seu propsito fornecer os passos detalhados para a implementao das polticas, padres e guias. Tambm podem ser chamados de prticas.

As responsabilidades devem estar relacionadas com o perfil de cada funcionrio envolvido no processo, como nos exemplos listados a seguir:

Gerentes de mais alto nvel Esto envolvidos com toda a responsabilidade da segurana da informao. Podem delegar a funo de segurana, mas so visto como o principal ponto quando so consideradas as responsabilizaes por eventos relacionados com a segurana;

Profissionais de segurana dos sistemas de informao Recebem da gerncia de mais alto nvel a responsabilidade pela implementao e manuteno da segurana. Esto sob sua responsabilidade o projeto, a implementao, o gerenciamento e a reviso das polticas, padres, guias e procedimentos;

Possuidores de dados So responsveis pela classificao da informao. Podem tambm ser responsabilizados pela exatido e integridade das informaes;

Usurios Devem aderir s determinaes definidas pelos profissionais de segurana da informao;

Auditores de sistemas de informao So responsveis pelo fornecimento de relatrios para a gerencia superior sobre a eficcia dos controles de segurana, consolidados atravs de auditorias independentes e peridicas. Tambm analisam se
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28/07/2005

as polticas, padres, guias e procedimentos so eficazes e esto em conformidade com os objetivos de segurana definidos para a instituio.

2. Recomendaes Gerais

2.1 Recomendaes para o uso aceitvel dos recursos de TI

O uso correto e responsvel dos recursos de TI deve ser aplicado a todos os usurios da APF, inclusive aos externos, servidores e prestadores de servio, que utilizam esses recursos e a infra-estrutura disponvel.

Somente atividades lcitas, ticas e administrativamente admitidas devem ser realizadas, pelo usurio, no mbito da infra-estrutura de TI, ficando os transgressores sujeitos Lei Penal, Civil e Administrativa, na medida da conduta, dolosa ou culposa, que praticarem.

Os documentos produzidos por intermdio dos sistemas de TI so de propriedade da Administrao Pblica Federal. De igual modo, os programas desenvolvidos para a APF, por servidores do quadro ou prestadores de servio.

Os sistemas de TI devero ser utilizados sem violao dos direitos de propriedade intelectual de qualquer pessoa ou empresa, como marcas e patentes, nome comercial, segredo empresarial, domnio na Internet, desenho industrial ou qualquer outro material, que no tenha autorizao expressa do autor ou proprietrio dos direitos, relativos obra artstica, cientfica ou literria.

As informaes pertencentes ao rgo ou instituio pblica da APF ou sob salvaguarda destes devem ser utilizadas apenas para os propsitos definidos na sua misso institucional.

2.2 Recomendaes para o uso seguro dos recursos de TI

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28/07/2005

O envolvimento do usurio importante no processo da segurana dos recursos de TI, pois na adequada utilizao destes recursos, como instrumento de trabalho, que se inicia a formao de uma slida cultura de segurana da informao.

Desta forma, recomenda-se aos usurios a adoo das seguintes prticas: 1. Fazer regularmente cpias de segurana de seus dados; 2. Manter registro das cpias de segurana; 3. Guardar as cpias de segurana em local seguro e distinto daquele onde se encontra a informao original; 4. Utilizar senhas que contenham, pelo menos, oito caracteres, compostos de letras, nmeros e smbolos, evitando o uso de nomes, sobrenomes, nmeros de documentos, placas de carros, nmeros de telefones, datas que possam ser relacionadas com o usurio ou palavras constantes em dicionrios; 5. Alterar periodicamente suas senhas; 6. Utilizar criptografia sempre que enviar ou receber dados com informaes sensveis; 7. Certificar a procedncia do stio e a utilizao de conexes seguras (criptografadas) ao realizar transaes via web; 8. Verificar se o certificado do stio ao qual se deseja acessar, esta integro e corresponde realmente aquele stio, observando ainda, se o mesmo est dentro do prazo de validade; 9. Certificar que o endereo apresentado no navegador corresponde ao stio que realmente se quer acessar, antes de realizar qualquer ao ou transao; 10. Digitar no navegador o endereo desejado e no utilizar links como

recurso para acessar um outro endereo destino;

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28/07/2005

11.

No abrir arquivos ou executar programas anexados a e-mails, sem

antes verific-los com um antivrus; 12. No utilizar o formato executvel em arquivos compactados, pois

estes tipos so propcios propagao de vrus.

2.3 Recomendaes sobre atividades permitidas

1. Utilizar programas de computador licenciados para uso pelo rgo pblico, de acordo com as disposies especficas previstas em contrato. A instalao de programas e sistemas homologados atribuio da administrao de sistemas e TI; 2. Criar, transmitir, distribuir, disponibilizar e armazenar documentos, desde que respeite s leis e regulamentaes, notadamente quelas referentes aos crimes informticos, tica, decncia, pornografia envolvendo crianas, honra e imagem de pessoas ou empresas, vida privada e intimidade; 3. Fazer cpia de documentos e ou programas de computador a fim de salvaguard-los, respeitada a legislao que rege a salvaguarda de dados, informaes, documentos e materiais sigilosos no mbito da Administrao Pblica Federal, exigindo-se autorizao para aqueles protegidos pelos direitos autorais, inclusive msicas, textos, documentos digitalizados e qualquer contedo encontrado em revistas, livros ou quaisquer outras fontes protegidas por direitos autorais.

2.4 Recomendaes sobre atividades NO permitidas

1. Introduzir cdigos maliciosos nos sistemas de TI; 2. Revelar cdigos de identificao, autenticao e autorizao de uso pessoal (conta, senhas, chaves privadas etc) ou permitir o uso por terceiros de recursos autorizados por intermdio desses cdigos;
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28/07/2005

3. Divulgar ou comercializar produtos, itens ou servios a partir de qualquer recurso dos sistemas de TI; 4. Tentar interferir ou interferir desautorizadamente em um servio, sobrecarreg-lo ou, ainda, desativ-lo, inclusive aderir ou cooperar com ataques de negao de servios internos ou externos; 5. Alterar registro de evento dos sistemas de TI; 6. Modificar cabealho de qualquer protocolo de comunicao de dados; 7. Obter acesso no autorizado, ou acessar indevidamente dados, sistemas ou redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades nos sistemas de TI; 8. Monitorar ou interceptar o trfego de dados nos sistemas de TI, sem a autorizao de autoridade competente; 9. Violar medida de segurana ou de autenticao, sem autorizao de autoridade competente; 10. Fornecer informaes a terceiros, sobre usurios ou servios

disponibilizados nos sistemas de TI, exceto os de natureza pblica ou mediante autorizao de autoridade competente; 11. Fornecer dados classificados de acordo com a legislao vigente, sem autorizao de autoridade competente; 12. Armazenamento ou uso de jogos em computador ou sistema

informacional dos rgos e instituies da APF; 13. Uso de recurso informacional da entidade pblica para fins pessoais, incluindo entre estes o comrcio, venda de produtos ou engajamento em atividades comerciais de qualquer natureza; 14. Uso de aplicativos no homologados nos recursos informacionais do rgo Pblico.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

10

28/07/2005

3. Recomendaes Especficas 3.1 Recomendaes para controle de acesso

1. O acesso a informaes rotuladas como pblicas e uso interno no restringido com controles de acesso que discriminam o usurio. Por outro lado, o acesso s informaes confidenciais ou restritas ser permitido apenas quando uma necessidade de trabalho tiver sido identificada e tal acesso aprovado pela unidade responsvel. Da mesma forma, o acesso a alguns equipamentos de hardware e/ou software especiais (como equipamentos de diagnstico de rede chamados sniffers) deve ser restrito a profissionais competentes, com uso registrado e baseado nas necessidades do rgo.

2. Recursos automticos Ser dado a todos os usurios, automaticamente, o acesso aos servios bsicos como correio eletrnico, aplicaes de produtividade e browser WEB. Estas facilidades bsicas iro variar de acordo com os cargos e sero determinadas pela autoridade competente em cada rgo pblico. Todos os outros recursos dos sistemas sero providos via perfis de trabalho ou por uma solicitao especial feita ao proprietrio da informao envolvida. A existncia de acessos privilegiados, no significa por si s, que um individuo esteja autorizado a usar esses privilgios. Se os usurios tiverem quaisquer questes sobre controle de acessos privilegiados, devero direcionar suas perguntas unidade competente dentro do rgo Pblico.

3. Solicitao de acesso As solicitaes para novas identificaes de usurios e alteraes de privilgios devem ser feitas por escrito e aprovadas pela chefia imediata do usurio antes que um administrador de sistema realize tal solicitao. Os usurios devem declarar, claramente, porque so necessrias alteraes em seus privilgios e a relao de tais alteraes com as atividades exercidas.
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

11

28/07/2005

4. O processo de aprovao do acesso deve ser iniciado pelo superior do usurio e os privilgios garantidos continuaro em efeito at que o usurio mude suas atividades ou deixe o rgo Pblico. Se um desses dois eventos ocorrer, o superior hierrquico tem que notificar imediatamente a unidade responsvel. Todos aqueles que no so usurios diretos do rgo Pblico (contratados,

consultores, temporrios, etc) tm que se submeter a um processo semelhantes atravs de seus gerentes de projetos. Os privilgios destas pessoas devero ser imediatamente revogados quando da finalizao do projeto. O mesmo dever ser observado no desligamento antecipado, considerando ainda a responsabilizao pelas atividades e atos cometidos durante a sua permanncia no rgo Pblico.

5. Os privilgios para todos os usurios dos servios da rede devero ser revistos a cada seis meses.

6. Termo de Responsabilizao e Sigilo Todos os usurios que desejam usar os sistemas de rgo Pblico devem assinar este termo antes da criao de uma identificao de usurio. Nos casos em que o usurio j possua a identificao e acesso, mas que ainda no tenha assinado tal termo, a assinatura do termo deve ser obtida em carter de urgncia. A assinatura deste termo indica que o usurio em questo entende e concorda com as polticas,

padres, normas e procedimentos do rgo Pblico relacionados ao ambiente de TI (incluindo as instrues contidas neste documento), bem como as implicaes legais decorrentes do no cumprimento do disposto no termo.

7. Senha de Acesso As senhas de acesso so controles de segurana essenciais para os sistemas de segurana do ambiente de TI da Administrao Pblica Federal. Para garantir que os sistemas de segurana faam a parte do trabalho para o qual eles
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

12

28/07/2005

foram desenvolvidos, os usurios devem escolher senhas que sejam difceis de serem deduzidas.

8. Proibio de Senhas de Acesso Cclicas Os usurios dos recursos de TI devem utilizar sempre novas senhas e o histrico das senhas j utilizadas deve ser mantido pela gerencia de redes

9. Senha de fcil memorizao Os usurios podem escolher senhas de fcil memorizao, mas que sejam ao mesmo tempo difceis de serem descobertas por outras pessoas. Por exemplo: Encadear vrias palavras formando o que conhecido como frases de acesso. Combinar nmeros e pontuao em uma palavra regular. Criar acrnimos a partir de palavras de msica, um poema ou uma outra seqncia de palavras conhecidas.

10. Senha de Boot Todas as estaes de trabalho utilizadas no rgo Pblico, no importando sua localizao fsica, deve ter seu acesso controlado a partir de um sistema de controle de acesso definido pela unidade competente e que esteja em conformidade com os requisitos de segurana do rgo Pblico.

11. Em caso suspeita de exposio indevida do ambiente de TI do rgo Pblico, todas as senhas de acesso devem ser

imediatamente alteradas.

12. Os usurios devem possuir orientao sobre a manuteno sigilosa das suas senhas de acesso e as responsabilidades envolvidas com o mal uso das mesmas.

13. Independente das circunstncias, as senhas de acesso no devem ser compartilhadas ou reveladas para outras pessoas que no o usurio autorizado, ficando o proprietrio da senha responsvel legal por qualquer prtica indevida cometida.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

13

28/07/2005

14. Em caso de comprometimento comprovado da segurana do ambiente de TI por algum evento no previsto, todas as senhas de acesso devero ser modificadas. segura do sistema operacional Nestes eventos uma verso assim como dos softwares de

segurana devero ser baixados novamente. Da mesma forma, sob uma dessas circunstancias, todas as alteraes recentes de usurios e privilgios do sistema devem ser revisadas a fim de detectar modificaes no autorizada de dados. Alm destas aes, o responsvel pela segurana da informao do rgo Pblico poder interagir com o rgo de Resposta a Incidentes do Governo Federal CTIR-Gov (www.ctir.gov.br).

15. Todos os usurio tm que ser corretamente identificados antes de estarem aptos a utilizar qualquer atividade em computador ou recursos do ambiente de TI.

16. Qualquer computadores que tenham comunicao remota

em

tempo real com os sistemas de TI do rgo Pblico devem se submeter ao mecanismo de controle de acesso definido pela unidade competente, levando-se sempre em considerao os privilgios necessrios ao acesso a cada tipo de informao.

17. Os computadores com informaes sensveis e/ou classificadas devero, obrigatoriamente, ser desligados ou bloqueados na ausncia do usurio.

18. Quando os equipamentos ou contas de usurio no estiverem em uso deveram ser imediatamente bloqueados ou desligados.

3.2 Recomendaes para a Utilizao do Correio Eletrnico Corporativo

1. Deve ser vedado o acesso no autorizado s caixas postais de terceiros e as tentativas de acesso devero ser registradas em log,
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

14

28/07/2005

inclusive acessos feitos indevidamente por administradores de sistemas; 2. Deve ser vedado o envio de informaes crticas para pessoas ou organizaes no autorizadas observando quando for o caso,

orientaes para o tratamento de informaes classificadas;

3. Deve ser vedado o envio de material obsceno, ilegal ou no tico, envio de propaganda, mensagem do tipo corrente e de

entretenimento, relacionadas com nacionalidade, raa, orientao sexual, religiosa, convico poltica ou qualquer outro assunto que possa vir a difamar o usurio como cidado e que no tenha relao com o servio a que o usurio destinado no ambiente do TI do rgo Pblico;

4. Deve ser vedado o envio de mensagens simultneas aos usurios da rede, exceto por intermdio da administrao desta;

5. Deve ser vedado a participao em Listas de Discusso, utilizando o servio de Correio Eletrnico Corporativo, que possam abordar assuntos alheios ao rgo Pblico, suas diretorias e suas gerncias, exceto em casos de participao em Listas de Discusso sobre assuntos relacionados s atividades

desenvolvidos no rgo pblico;

6. necessrio o registro por parte do usurio, enquanto funcionrio do rgo Pblico, das listas de discusso em que se encontra inserido, para fins de controle e possvel cancelamento quando houver necessidade;

7. recomendada a utilizao de Assinatura Digital, para o envio de mensagens internas via Correio Eletrnico Corporativo quando do tramite de informaes classificadas, seguindo sempre a

legislao vigente que trata deste assunto.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

15

28/07/2005

8. O Correio Eletrnico do rgo Pblico deve ser utilizado sempre baseado no bom senso e de acordo com os preceitos legais.

3.3 Recomendaes para a Utilizao de Aplicaes Corporativas e Software de Terceiros

1. Deve ser vedado aos usurios que fazem uso de sistemas de informao o acesso no autorizado a qualquer outro sistema que no possua permisso de uso, assim como a danificao, a alterao a interrupo da operao de qualquer sistema do ambiente de TI. Da mesma maneira deve ser vedado aos usurios a obteno indevida de senhas de acesso, chaves criptogrficas ou qualquer outro mecanismo de controle de acesso que possa possibilitar o acesso no autorizado a recursos informacionais;

2. A classificao ou reclassificao da informao deve seguir as orientaes da legislao vigente, assim como aquelas regras definidas pelo Decreto N 4553 ou sua atualizao;

3. Deve ser vedado aos usurios o acesso, modificao, a remoo ou a cpia de arquivos que pertenam a outro usurio sem a permisso expressa do mesmo;

4. O rgo pblico deve se reservar o direito de revogar os privilgios de usurio de qualquer sistema e a qualquer momento. No sendo permitidas condutas que interfiram com a operao normal e adequada dos sistemas de informao do rgo Pblico e que adversamente afetem a capacidade de outras pessoas utilizarem esses sistemas de informao, bem como condutas que sejam prejudiciais e ofensivas;

5. Deve ser vedado aos usurios a execuo de testes ou tentativas de comprometimento de controles interno, este tipo de pratica somente pode ser permitada a usurios tcnico, em situaes nas

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

16

28/07/2005

quais esteja ocorrendo monitorao e analise de riscos, com a autorizao da unidade competente;

6. Deve ser exigido a assinatura de termo de confidencialidade antes que seja fornecido o acesso aos sistemas governamentais relacionados com a cadeia de privilgios do usurio.

7. As configuraes e atribuio de parmetros em todos os computadores conectados rede do rgo Pblico devem estar de acordo com as polticas e normas de gerenciamento internas.

8. Quando um usurio do desligamento do usurio, seus arquivos armazenados em estao de trabalho ou em qualquer servidor de rede do rgo Pblico e, tambm, seus documentos em papel devem ser imediatamente revisados pela chefia imediata para determinar quem tornar-se- curador das informaes

relacionadas, assim como nos casos devidos, identificar o mtodo mais adequado para a eliminao das mesmas, levando-se em conta as orientaes sobre a eliminao de informaes

classificadas contidas na legislao vigente.

9. Todas as atividades dos usurios que podem afetar os sistemas de informao governamentais devem ser possveis de reconstituio a partir dos logs de maneira a evitar ou dissuadir o comportamento incorreto. Estes procedimentos devem contar inclusive com mecanismos de responsabilizao claros e amplamente divulgados nos meios de comunicao internos.

10. A divulgao das regras e orientaes de segurana aplicadas aos usurios finais devero ser objeto de campanhas internas permanentes, seminrios de conscientizao e quaisquer outros meios de maneira a criar uma cultura de segurana dentro da instituio pblica.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

17

28/07/2005

11. Deve ser vedada a utilizao de software da Internet ou de qualquer outro sistema externo ao rgo Pblico. Esta proibio necessria porque tal software pode conter vrus, worms, cavalos de tria e outros softwares maliciosos que podem comprometer o ambiente de TI. Caso haja uma legtima necessidades de obteno de aplicaes de terceiros o fato deve ser comunicado unidade competente para que a mesma estabelea os procedimentos de segurana necessrios.

12. Deve ser vedada a utilizao de disquetes de origem externa, nas estaes de trabalho do rgo Pblico ou nos servidores de rede antes de serem submetidos a um sotware antivrus.

13. Todos os softwares e arquivos transferidos de fontes que no sejam do prprio rgo Pblico via Internet (ou qualquer outra rede Pblica) devem ser examinados com o software de deteco de vrus utilizado pelo Ministrio. Este exame deve acontecer antes que o arquivo seja executado ou aberto por um outro programa, como por exemplo, por um processador de texto e tambm, antes e depois que o material tenha sido descompactado.

14. O usurio do ambiente de TI de rgo Pblico no deve executar ou desenvolver qualquer tipo de programa ou processo externo s suas atividades.

15. Os usurios no devem desenvolver, gerar, compilar, copiar, coletar, propagar, executar ou tentar introduzir qualquer cdigo projetado para se auto-replicar, danificar ou de outra maneira obstruir o acesso ou afetar o desempenho de qualquer computador, rede ou sistema de TI da APF.

16. Deve ser vedado aos usurios e visitantes fumar, comer ou beber prximo aos equipamentos de TI.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

18

28/07/2005

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

19

28/07/2005

3.4 Recomendaes para a Manipulao das Informaes

1. A palavra usurio ser utilizada para designar todos utilizadores do ambiente de TI, independente do cargo ocupado; 2. Instrues claras e bem divulgadas sobre normas existentes sobre a manipulao de informaes; 3. Todos os usurios tm que observar as exigncias para manipulao da informao, baseadas no tipo de informao considerada e que ser definida pelo seu proprietrio (ou responsvel) seguindo as orientaes encontradas no documento de Poltica de Segurana de cada rgo ou instituio. Os proprietrios podem atribuir controles adicionais para maior restrio de acesso ou para ampliar a proteo a suas informaes. 4. A divulgao de informaes CONFIDENCIAL ou RESTRITA, para qualquer pessoa (usurio ou no do ambiente de TI do rgo ou instituio), proibida, a menos que este acesso tenha sido previamente autorizado pelo proprietrio da informao. Todas as pessoa que no forem usurios diretos do rgo ou instituio devem assinar um termo de confidencialidade antes de terem acesso a esses tipos de informao. Os curadores dessas

informaes devem verificar a existncia deste termo, devidamente assinado, antes de divulg-las para pessoas que no pertenam ao quadro funcional do rgo ou instituio. O acesso a este tipo de informao deve ser sempre devidamente registrado. 5. A reproduo da informao CONFIDENCIAL e/ou RESTRITA,

incluindo a impresso de cpias adicionais, no permitida a menos que seja explicitamente autorizada por seu proprietrio. Da mesma forma, trechos, resumos, tradues ou qualquer material derivado de informaes sensveis ou resguardadas por direitos autorais, no poderam ser feito a menos que o proprietrio da informao tenha aprovado previamente.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

20

28/07/2005

6. O

transporte

fsico

das

informaes

CONFIDENCIAL

e/ou

RESTRITA requer a observao no disposto em legislao relacionada. 7. Quando as informaes so CONFIDENCIAL e/ou RESTRITAS no forem mais necessrias e quando exigncias legais ou regulatrias para sua reteno no se aplicarem mais, elas devero ser destrudas de acordo com os mtodos aprovados. proibida a eliminao em latas de lixo ou em depsitos de papel que sero encaminhados para reciclagem. A informao sensvel em forma de papel deve ser eliminada com o uso de picotador de papel. A

informao sensvel armazenada em disquetes, fitas magnticas ou outras mdias magnticas computacionais deve ser destruda via refornatao ou apagando-se a informao caso a mdia seja reutilizada por outros sistemas do rgo ou instituio pblica. A simples remoo de uma informao sensvel armazenada em uma mdia magntica no suficiente porque a informao pode ser definitivamente destruda com cortadores ou colocada em um recipiente especialmente destinado a armazenagem de informao sensvel que ser destruda.

3.5 Responsabilidade dos rgos Pblicos

de competncia de cada rgo elaborar termo de responsabilidade para assinatura de seus usurios, objetivando a declarao de conhecimento de suas normas de segurana. As transgresses a tais normas devero ser apuradas em conformidade com a legislao aplicvel.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

21

28/07/2005

Anexo I - Glossrio de Termos Tcnicos

A Ambiente do Stio - Infra-estrutura computacional, de rede e lgica, que compe a base para o provimento do servio Web.. Arquitetura de Rede uma definio de alto nvel do comportamento e das conexes entre os ns em uma rede, suficiente para possibilitar a avaliao das propriedades da rede. Atacante - Indivduo responsvel pela realizao de um ataque. Ataque - Ao que constitui uma tentativa delibarada e no autorizada para acessar/manipular informaes, ou tornar um sistema no confivel, ou indisponvel, violando assim a poltica de segurana. Um ataque bem sucedido que resulte no

acesso ou manipulao de informaes, de forma no autorizada, chamado de invaso. Ataque de Negao de Servio - Ataque que consiste em impedir o acesso autorizado a recursos de um sistema, seja atravs de uma grande sobrecarga no processamento de dados de um sistema computacional, da saturao de um ponto de acesso

atravs de um grande trfego de dados para uma rede, ou da indisponibilizao de um ou mais servios desse sistema.

Atividade Maliciosa - Qualquer atividade que infrinja a poltica de segurana de uma instituio ou que atente contra a segurana de um sistema computacional. Autenticao Procedimento utilizado na identifio de usurios, dispositivos ou

processos, e que pr-requisito para o acesso aos recursos de um sistema. Autorizao o direito ou permisso de acesso a um recurso de um sistema.

Backdoor - Programa que permite a um invasor retornar a um computador comprometido. Normalmente este programa colocado de forma a no ser notado.

C Capacidade de Sobrevivncia (Survivability) - a capacidade de um sistema de cumprir a sua misso, no momento certo, na presena de ataques, falhas ou incidentes.
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

22

28/07/2005

Cavalo de Tria - um Programa que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio.

Cenrio de Uso - uma instancia do uso de um sistema, tanto o uso legitimo como o uso em uma invaso.

Cliente - Entidade, normalmente caracterizada por um processo ou programa de computador, que requisita e utiliza recursos/informaes e interage com um servio fornecido por um sistema computacional, como por exemplo um servidor Web (ver Servidor Web, Servio Web).

Cdigo Malicioso - Programa, ou parte de um programa de computador, projetado especificamente para atentar contra a segurana de um sistema computacional,

normalmente atravs de explorao de alguma vulnerabilidade desse sistema.

Comprometimento de segurana - uma violao de segurana na qual os recursos do sistema so expostos, ou potencialmente expostos, a um acesso no autorizado.

Confiana - Atributo de um sistema de informao que prov a base para ter a confiana de que o sistema opera de forma a cumprir a poltica de segurana.

Confiana (Assurance) Medida de confiana garantida pela arquitetura ou pelas caractersticas de segurana implementadas em um sistema de informao automatizado.

Confidencialidade - o requisito que diz que uma informao no disponibilizada ou revelada para partes no autorizadas.

Contato Tcnico de Segurana - Pessoa ou equipe a ser acionada em caso de incidente de segurana envolvendo um stio governamental, com atribuies eminentemente tcnicas sobre a questo.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

23

28/07/2005

Correo de Segurana - Software que tm por finalidade corrigir os problemas de segurana referentes a vulnerabilidades conhecidas. Tambm chamado de patch,

hot fix ou service pack.

Criptografia - a disciplina que trata dos princpios, meios e mtodos para a transformao de dados, tornando-os ininteligveis, de forma a possibilitar a deteco de modificaes no contedo da informao e/ou prevenir seu uso no autorizado.

Controle de Acesso - Mecanismo utilizado para proteger os recursos de um sistema de acesso no autorizado. Deve permitir, de acordo com uma poltica de segurana, o acesso somente a entidades autorizadas, como usurios, processos, programas ou outros sistemas.

Desfigurao de Stio - Ataque que consiste em desfigurar, ou seja, substituir ou alterar o contedo de uma ou mais pginas Web em um stio. A desfigurao normalmente conseqncia da explorao bem sucedida de uma vulnerabilidade no servidor Web que hospeda as pginas do stio.

Deteco de Intruso - Consiste no monitoramento e anlise de eventos em sistemas computacionais, com o propsito de detectar e prover alertas sobre acesso no autorizado a recursos destes sistemas. tentativas de

Direito de Acesso - a permisso dada a uma entidade para acessar e manipular informaes presentes em um sistema.

Disponibilidade - o requisito que diz que os recursos de um sistema estaro disponveis para acesso, por entidades autorizadas, sempre que venham a ser solicitados.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

24

28/07/2005

Firewall - Um sistema, constitudo pela combinao de software e hardware, que intermedia o acesso a uma rede, permitindo ou proibindo certos acordo com uma poltica de segurana pr-estabelecida. tipos de acesso, de

Firewall Pessoal - Um sistema utilizado para proteger um nico computador contra acessos no autorizados. Constitui um tipo especfico de firewall.

I Incidente de Segurana - Um incidente de segurana caracterizado por qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas

computacionais ou de redes de computadores. Tentativas de obter acesso no autorizado a sistemas ou dados, ataques de negao de servio, uso ou acesso no autorizado a um sistema e desrespeito poltica de segurana ou poltica de uso aceitvel de uma instituio so exemplos de incidentes de segurana.

Informao de Autenticao - Informao apresentada e utilizada para confirmar a identidade de uma entidade, como usurios, processos, programas ou sistemas.

Integridade -

o requisito que diz que uma informao no modificada ou

destruda de maneira no autorizada ou acidental.

Intruso - Ver Invaso.

Intruso - Ver Invasor.

Invaso -

Evento ou combinao de eventos que constituem um incidente de

segurana em que um invasor ou um cdigo malicioso obtm acesso a um sistema, ou a recursos de um sistema, de forma no autorizada.

Invasor - Indivduo responsvel pela realizao de uma invaso.

Irretratabilidade - Garantia de que o emissor de uma mensagem no ir negar posteriormente a sua autoria ou participao em uma transao. controlada pela

existncia de uma assinatura digital que somente o emissor pode gerar.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

25

28/07/2005

Mecanismo de Controle de Acesso (Access Control Mechanism ) So mecanismos de hardware ou software, procedimentos operacionais ou gerenciais usados para detectar e prevenir os sistemas computacionais contra acessos no autorizados.

Modelo de Uso (Usage Model) a definio de todos os cenrios de utilizao possveis de um ambiente de sistemas, incluindo o uso legitimo e aquele possvel de ser explorado por um intruso.

Mecanismos de Controle de Acesso - So mecanismos de hardware ou software, ou procedimentos operacionais ou gerenciais, usados para proteger os sistemas computacionais contra acessos no autorizados.

Modo seguro - o conjunto que envolve configuraes, procedimentos e diretrizes de segurana recomendados por entidades notoriamente reconhecidas na rea de segurana da informao.

Negao de Servio o ataque a segurana feito a partir da saturao de um ponto de acesso de forma que este no disponha de banda passante para o atendimento do seus usurios legtimos.

rgos Conveniados - So aquelas entidades que no fazem parte das estruturas organizacionais da Administrao Pblica Federal (APF), e, mediante convnio, utilizam os servios oferecidos por meio dos Sistemas de TI destas.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

26

28/07/2005

rgo Proprietrio do Stio Governamental - Entidade governamental proprietria do domnio onde se encontram armazenadas as informaes e servios prestados.

Plug-in - Mdulo constitudo por um dispositivo de hardware ou software, queadiciona uma caracterstica, funcionalidade ou servio especfico a um sistema.

Poltica de Segurana - Atribui direitos e responsabilidades aos indivduos que lidam com os recursos computacionais de uma instituio e com as informaes neles

armazenadas. Define as atribuies de cada indivduo em relao segurana dos recursos com os quais trabalha. Qualquer evento que resulte no descumprimento da poltica de segurana considerado um incidente de segurana.

Poltica de Uso Aceitvel Documento que define como os recursos computacionais de uma instituio podem ser utilizados. Tambm define os direitos e responsabilidades dos usurios destes recursos.

Recursos da Infra-estrutura de TI - Os recursos da infra-estrutura de TI incluem equipamentos, utilitrios, aplicativos, sistemas operacionais, mdias de

armazenamento, contas em servidores, contas de correio eletrnico, navegao na Internet e intranet, servio de transferncias de dados, terminal virtual, comunicao interativa e sistemas de gesto.

Rede Sem Permetro uma rede caracterizada por topologia e funcionalidade que no podem ser determinadas, assim como pela ausncia de controle centralizado.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

27

28/07/2005

Registro de Evento - Conjunto de informaes armazenadas e que esto relacionadas aos eventos ocorridos em um determinado contexto, como servios Web, autenticao de usurios, etc.

Requisitos de Sobrevivncia de Servios a definio dos servios essenciais assim com das funcionalidades relacionadas com a resistncia, reconhecimento, recuperao e adaptao, e evoluo que so suficientes para se satisfazer os requisitos necessrios garantia da sobrevivncia do sistema.

Script - Um script consiste em uma lista de comandos que podem ser executados sem a interao do usurio. Normalmente escrito em simples, que facilita o seu servios uma linguagem de programao

desenvolvimento. bastante utilizado, por exemplo, em

Web, para a realizao de buscas, processamento e fornecimento de

informaes em pginas Web.

Servios de Adaptao e Evoluo So funes que melhoram continuamente a capacidade do sistema de fornecer os servios essenciais, melhorando sua

resistncia, capacidade de reconhecimento e recuperao.

Servios Subsidirios

So servios adicionais emisso dos certificados que

suportam a assinatura digital e outros servios relacionados ao comercio eletrnico como criptografia de dados. Como exemplo deste tipo de servios pode-se citar servios de diretrio e servios de gerao de pares de chaves. O servio de diretrio possibilitam que os usurios recuperem certificados e outras informaes sobre pessoas, como nomes distintos e endereos de e-mail. Servios de gerao de pares de chaves fornecem aos usurios pares de chaves pblica/privada de alta qualidade apropriadas para um algoritmo criptogrfico particular. As chaves privadas so

seguramente destrudas aps a sua gerao de forma a evitar potenciais comprometimentos.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

28

28/07/2005

Servios Essenciais So servios para os usurios de um sistema que devero ser providos mesmo na presena de um intruso, de falhas ou acidentes.

Servios No Essenciais So servios que podem ser temporariamente suspensos para permitir que os servios essenciais no sejam interrompidos quando um sistema esta sob ataque ou invaso.

Servios de Reconhecimento So funes que detectam tentativas e invases.

Servios de Recuperao So funes que possibilitam a recuperao do sistema aps uma invaso.

Servios de Resistncia So funes e propriedades do sistema que dificultam e torna dispendiosa uma invaso.

Servio Web - Servio em rede de computadores disponibilizado por meio da Internet.

Servidor Web - Computador encarregado de prover servios web.

Sigilo - Classificao dada a informaes onde apenas entidades autorizadas e previamente autenticadas podero ter acesso.

Sistema de TI - Sistema de Tecnologia da Informao (TI) o conjunto de elementos materiais ou intelectuais, colocados disposio dos usurios, em forma de servios ou bens; que possibilitam a agregao dos recursos de informtica e telecomunicaes de maneira integrada. Stio - Endereo eletrnico de servio web.

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

29

28/07/2005

Anexo II - Referncias de Legislao

3.2 Decreto N 8.183, de 11 de abril de 1991 Dispe sobre a organizao e o funcionamento do Conselho de Defesa Nacioal. 3.3 Decreto N 1.048, de 21 de janeiro de 1994 Dispe sobre a estrutura e o funcionamento do SISP 3.4 Decreto 3505, de 13 de junho de 2000 Define a poltica de segurana para a Administrao Pblica Federal 3.5 Lei N 9983, de 14 de julho de 2000 Atualiza o cdigo penal e da outras providencias 3.6 Decreto 4553 Define procedimentos para a classificao de informaes sensveis. 3.7 Medida Provisria 2200-2 Define a Infra-estrutura de Chaves Pblicas Brasileira

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

30

28/07/2005

Anexo III Exemplo de Termo de Confidencialidade O texto a seguir pode ser adaptado para utilizao em casos especficos, visando salvaguardar a confidencialidade e o sigilo.
Identificao do rgo, braso, etc....

TERMO DE COMPROMISSO DE MANUTENO DE SIGILO

Eu, ______________________________________________________________, Portador do documento de identidade n _________________, expedido pela ______________, CPF n ________________________, rgo de origem _____________________________, lotado no(a) _____________________________, comprometo-me a manter sigilo sobre dados, processos, informaes, documentos e materiais que eu venha a ter acesso ou conhecimento no mbito do ORGO, em razo das atividades profissionais a serem realizados e ciente do que preceituam a Lei 10.406, de 10 de janeiro de 2002 (Cdigo Civil), no seu art. 229, inciso I; o Decreto-Lei n 2.848, de 7 de dezembro de 1940 (Cdigo Penal), nos arts. 153, 154, 314, 325 e 327; o Decreto-Lei n 3.689, de 3 de outubro de 1941 (Cdigo do Processo Penal), no art. 207; a Lei n 5.689, de 11 de janeiro de 1973 (Cdigo de Processo Civil), nos arts. 116, 117, 132 e 243; a Lei n 8.159, de 8 de janeiro de 1991 (Lei de Arquivos), nos arts. 4, 6, 23 e 25; a Lei n 9.983, de 14 de julho de 2000 (Alterao do Cdigo Penal); o Decreto n 1.171, de 22 de junho de 1994 (Cdigo de tica Profissional do Servidor Pblico Civil do Poder Executivo Federal); e o Decreto n 4.553, de 27 de dezembro de 2002 (Salvaguarda de dados, informaes, documentos e materiais sigilosos). E por estar de acordo com o presente Termo, assino-o na presena das testemunhas abaixo mencionadas.

Assinatura e

Testemunhas

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

31