Escolar Documentos
Profissional Documentos
Cultura Documentos
28/07/2005
Introduo .............................................................................................................................. 3 1. Fundamentos e Conceitos de Poltica de Segurana................................... 4 2. Recomendaes Gerais .............................................................................................. 7 2.1 Recomendaes para o uso aceitvel dos recursos de TI ...................... 7 2.2 Recomendaes para o uso seguro dos recursos de TI ........................... 7 2.3 Recomendaes sobre atividades permitidas............................................... 9 2.4 Recomendaes sobre atividades NO permitidas ................................ 9 3. Recomendaes Especficas ................................................................................. 11 3.1 Recomendaes para controle de acesso ..................................................... 11 3.2 Recomendaes para a Utilizao do Correio Eletrnico ................... 14 Corporativo ......................................................................................................................... 14 3.3 Recomendaes para a Utilizao de Aplicaes Corporativas e ... 16 Software de Terceiros .................................................................................................... 16 3.4 Recomendaes para a Manipulao das Informaes ....................... 20 3.5 Responsabilidade dos rgos Pblicos ........................................................ 21 Anexo I - Glossrio de Termos Tcnicos ............................................................ 22 Anexo II - Referncias de Legislao ................................................................... 30 Anexo III Exemplo de Termo de Confidencialidade ................................. 31
28/07/2005
Introduo
O presente guia tem como objetivo a criao de um instrumento de referncia para a implantao de um ambiente informacional mais seguro nos rgo e instituies pblicas, facilitando desta forma os processos de gesto e controle. A segurana da informao tende a se tornar um tema permanente na agenda de atividades do Frum de CGMIs, institudo pelo Decreto N 1048/94 que estabelece o sistema de informao e informtica, no qual questes estratgicas da rea de Tecnologia da Informao TI, so tratadas e discutidas de maneira a aprimorar os mecanismos de gesto governamental, visando a melhoria continua da qualidade dos processos internos e servios prestados ao cidado.
Questes relacionadas com segurana da informao devem ser tratadas como tema sensvel nas organizaes governamentais.
Observa-se atualmente um grande desnvel cultural e tecnolgico entre os rgos que formam a Administrao Pblica Federal APF.
Com o objetivo de promover e motivar a criao de uma cultura de segurana da informao, na dimenso de usurio final proposto o presente guia de referencia. De maneira complementar sero desenvolvidos dois guias adicionais cuja abrangncia ser a dimenso tcnica e a gerencial.
O objetivo deste guia, que ele sirva como referencia, na rea de segurana da informao, para as unidades responsveis pela gesto de TI, nos rgos e instituies publicas que formam a APF. A dimenso considerada a de usurio final. Estas entidades pblicas podero desenvolver guias de melhores prticas, considerando o seu contexto de atuao e observando sempre o disposto na legislao vigente, bem como nos padres de interoperabilidade do Governo Eletrnico e-PING.
Como um guia relacionado com uma rea tecnolgica bem definida, segurana da informao, importante que o mesmo seja revisto anualmente, sob a coordenao
28/07/2005
do MPOG/SLTI/DSR/Coordenao de Segurana da Informao, com vista a sua atualizao, adequao tecnolgica e legal.
Utilizando a idia da criao de uma ampla rede de colaboradores, torna-se possvel a criao, dentro deste ambiente cooperativo, de grupos tcnicos temticos na rea de segurana, sob demanda, com total envolvimento institucional. Estes grupos podero interagir com outras aes em andamento na APF, evitando o re-trabalho e promovendo a racionalizao de gastos nesta rea.
Para a implementao de controles de segurana faz-se necessria a criao de um processo de gesto da segurana da informao. Este processo deve considerar o incentivo definio de polticas de segurana, cujos escopos devem abarcar o gerenciamento de riscos baseado em analise quantitativa e qualitativa, como analises de custo benefcio e programas de conscientizao.
A gesto da segurana da informao inicia-se com a definio de polticas, procedimentos, guias e padres.
As polticas podem ser consideradas como o mais alto nvel de documentao da segurana da informao, enquanto nos nveis mais baixos podemos encontrar os padres, procedimentos e guias. Isto no quer dizer que as polticas sejam mais importantes que os guias, procedimentos e padres.
As polticas superiores devem ser definidas em primeiro lugar por questes estratgicas, enquanto os outros documentos seguem como elementos tticos, como uma poltica de segurana para firewall, que se refere a controles de acessos e lista de roteamento de informaes.
28/07/2005
O primeiro documento a ser definido deve conter o comprometimento da alta administrao, deixando clara a importncia da segurana da informao e dos recursos computacionais para a misso institucional. uma declarao que fundamenta a segurana da informao na totalidade da instituio. Deve conter ainda a autorizao para a definio dos padres, procedimentos e guias de mais baixo nvel.
As polticas de alerta no so mandatrias, mas so fortemente incentivadas, normalmente incluindo as conseqncias da no conformidade com as mesmas.
A poltica informativa aquela que existe simplesmente para informar aos usurios de um determinado ambiente. No implicam necessariamente em requisitos especficos, e seu publico alvo pode ser determinados setores somente ou ate mesmo parceiros externos. Possuindo carter genrico, pode ser distribuda para parceiros externos, como fornecedores, por exemplo, que acessam a rede da instituio, sem que isso acarrete o comprometimento da informao interna.
Os regulamentos de segurana so polticas que uma instituio deve implementar em conformidade com legislao em vigor, garantindo aderncia padres e procedimentos bsicos de setores especficos.
Os padres especificam o uso uniforme de determinadas tecnologias. Normalmente so mandatrios e implementados atravs de toda a instituio, a fim de proporcionar maiores benefcios.
Os fundamentos ou princpios so semelhantes aos padres, com pequena diferena. Uma vez que um conjunto consistente de fundamentos seja definido, a arquitetura de segurana de uma instituio pode ser planejada e os padres podem ser definidos. Os fundamentos devem levar em conta as diferenas entre as plataformas existentes, para garantir que a segurana seja implementada
Os guias so similares aos padres, embora mais flexveis, se referindo a metodologias para os sistemas de segurana, contendo apenas aes recomendadas e no mandatrias. Consideram a natureza distinta de cada sistema de informao.
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao
28/07/2005
Podem ser usados para especificar a maneira pela qual os padres devem ser desenvolvidos, como quando indicam a conformidade com certos princpios da segurana da informao.
Os procedimentos contm os passos detalhados que devem ser seguidos para a execuo de tarefas especficas. So aes detalhadas que os funcionrios envolvidos devem seguir. So considerados como inseridos no mais baixo nvel em uma cadeia de polticas. O seu propsito fornecer os passos detalhados para a implementao das polticas, padres e guias. Tambm podem ser chamados de prticas.
As responsabilidades devem estar relacionadas com o perfil de cada funcionrio envolvido no processo, como nos exemplos listados a seguir:
Gerentes de mais alto nvel Esto envolvidos com toda a responsabilidade da segurana da informao. Podem delegar a funo de segurana, mas so visto como o principal ponto quando so consideradas as responsabilizaes por eventos relacionados com a segurana;
Profissionais de segurana dos sistemas de informao Recebem da gerncia de mais alto nvel a responsabilidade pela implementao e manuteno da segurana. Esto sob sua responsabilidade o projeto, a implementao, o gerenciamento e a reviso das polticas, padres, guias e procedimentos;
Possuidores de dados So responsveis pela classificao da informao. Podem tambm ser responsabilizados pela exatido e integridade das informaes;
Auditores de sistemas de informao So responsveis pelo fornecimento de relatrios para a gerencia superior sobre a eficcia dos controles de segurana, consolidados atravs de auditorias independentes e peridicas. Tambm analisam se
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao
28/07/2005
as polticas, padres, guias e procedimentos so eficazes e esto em conformidade com os objetivos de segurana definidos para a instituio.
2. Recomendaes Gerais
O uso correto e responsvel dos recursos de TI deve ser aplicado a todos os usurios da APF, inclusive aos externos, servidores e prestadores de servio, que utilizam esses recursos e a infra-estrutura disponvel.
Somente atividades lcitas, ticas e administrativamente admitidas devem ser realizadas, pelo usurio, no mbito da infra-estrutura de TI, ficando os transgressores sujeitos Lei Penal, Civil e Administrativa, na medida da conduta, dolosa ou culposa, que praticarem.
Os documentos produzidos por intermdio dos sistemas de TI so de propriedade da Administrao Pblica Federal. De igual modo, os programas desenvolvidos para a APF, por servidores do quadro ou prestadores de servio.
Os sistemas de TI devero ser utilizados sem violao dos direitos de propriedade intelectual de qualquer pessoa ou empresa, como marcas e patentes, nome comercial, segredo empresarial, domnio na Internet, desenho industrial ou qualquer outro material, que no tenha autorizao expressa do autor ou proprietrio dos direitos, relativos obra artstica, cientfica ou literria.
As informaes pertencentes ao rgo ou instituio pblica da APF ou sob salvaguarda destes devem ser utilizadas apenas para os propsitos definidos na sua misso institucional.
28/07/2005
O envolvimento do usurio importante no processo da segurana dos recursos de TI, pois na adequada utilizao destes recursos, como instrumento de trabalho, que se inicia a formao de uma slida cultura de segurana da informao.
Desta forma, recomenda-se aos usurios a adoo das seguintes prticas: 1. Fazer regularmente cpias de segurana de seus dados; 2. Manter registro das cpias de segurana; 3. Guardar as cpias de segurana em local seguro e distinto daquele onde se encontra a informao original; 4. Utilizar senhas que contenham, pelo menos, oito caracteres, compostos de letras, nmeros e smbolos, evitando o uso de nomes, sobrenomes, nmeros de documentos, placas de carros, nmeros de telefones, datas que possam ser relacionadas com o usurio ou palavras constantes em dicionrios; 5. Alterar periodicamente suas senhas; 6. Utilizar criptografia sempre que enviar ou receber dados com informaes sensveis; 7. Certificar a procedncia do stio e a utilizao de conexes seguras (criptografadas) ao realizar transaes via web; 8. Verificar se o certificado do stio ao qual se deseja acessar, esta integro e corresponde realmente aquele stio, observando ainda, se o mesmo est dentro do prazo de validade; 9. Certificar que o endereo apresentado no navegador corresponde ao stio que realmente se quer acessar, antes de realizar qualquer ao ou transao; 10. Digitar no navegador o endereo desejado e no utilizar links como
28/07/2005
11.
antes verific-los com um antivrus; 12. No utilizar o formato executvel em arquivos compactados, pois
28/07/2005
3. Divulgar ou comercializar produtos, itens ou servios a partir de qualquer recurso dos sistemas de TI; 4. Tentar interferir ou interferir desautorizadamente em um servio, sobrecarreg-lo ou, ainda, desativ-lo, inclusive aderir ou cooperar com ataques de negao de servios internos ou externos; 5. Alterar registro de evento dos sistemas de TI; 6. Modificar cabealho de qualquer protocolo de comunicao de dados; 7. Obter acesso no autorizado, ou acessar indevidamente dados, sistemas ou redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades nos sistemas de TI; 8. Monitorar ou interceptar o trfego de dados nos sistemas de TI, sem a autorizao de autoridade competente; 9. Violar medida de segurana ou de autenticao, sem autorizao de autoridade competente; 10. Fornecer informaes a terceiros, sobre usurios ou servios
disponibilizados nos sistemas de TI, exceto os de natureza pblica ou mediante autorizao de autoridade competente; 11. Fornecer dados classificados de acordo com a legislao vigente, sem autorizao de autoridade competente; 12. Armazenamento ou uso de jogos em computador ou sistema
informacional dos rgos e instituies da APF; 13. Uso de recurso informacional da entidade pblica para fins pessoais, incluindo entre estes o comrcio, venda de produtos ou engajamento em atividades comerciais de qualquer natureza; 14. Uso de aplicativos no homologados nos recursos informacionais do rgo Pblico.
10
28/07/2005
2. Recursos automticos Ser dado a todos os usurios, automaticamente, o acesso aos servios bsicos como correio eletrnico, aplicaes de produtividade e browser WEB. Estas facilidades bsicas iro variar de acordo com os cargos e sero determinadas pela autoridade competente em cada rgo pblico. Todos os outros recursos dos sistemas sero providos via perfis de trabalho ou por uma solicitao especial feita ao proprietrio da informao envolvida. A existncia de acessos privilegiados, no significa por si s, que um individuo esteja autorizado a usar esses privilgios. Se os usurios tiverem quaisquer questes sobre controle de acessos privilegiados, devero direcionar suas perguntas unidade competente dentro do rgo Pblico.
3. Solicitao de acesso As solicitaes para novas identificaes de usurios e alteraes de privilgios devem ser feitas por escrito e aprovadas pela chefia imediata do usurio antes que um administrador de sistema realize tal solicitao. Os usurios devem declarar, claramente, porque so necessrias alteraes em seus privilgios e a relao de tais alteraes com as atividades exercidas.
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao
11
28/07/2005
4. O processo de aprovao do acesso deve ser iniciado pelo superior do usurio e os privilgios garantidos continuaro em efeito at que o usurio mude suas atividades ou deixe o rgo Pblico. Se um desses dois eventos ocorrer, o superior hierrquico tem que notificar imediatamente a unidade responsvel. Todos aqueles que no so usurios diretos do rgo Pblico (contratados,
consultores, temporrios, etc) tm que se submeter a um processo semelhantes atravs de seus gerentes de projetos. Os privilgios destas pessoas devero ser imediatamente revogados quando da finalizao do projeto. O mesmo dever ser observado no desligamento antecipado, considerando ainda a responsabilizao pelas atividades e atos cometidos durante a sua permanncia no rgo Pblico.
5. Os privilgios para todos os usurios dos servios da rede devero ser revistos a cada seis meses.
6. Termo de Responsabilizao e Sigilo Todos os usurios que desejam usar os sistemas de rgo Pblico devem assinar este termo antes da criao de uma identificao de usurio. Nos casos em que o usurio j possua a identificao e acesso, mas que ainda no tenha assinado tal termo, a assinatura do termo deve ser obtida em carter de urgncia. A assinatura deste termo indica que o usurio em questo entende e concorda com as polticas,
padres, normas e procedimentos do rgo Pblico relacionados ao ambiente de TI (incluindo as instrues contidas neste documento), bem como as implicaes legais decorrentes do no cumprimento do disposto no termo.
7. Senha de Acesso As senhas de acesso so controles de segurana essenciais para os sistemas de segurana do ambiente de TI da Administrao Pblica Federal. Para garantir que os sistemas de segurana faam a parte do trabalho para o qual eles
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao
12
28/07/2005
foram desenvolvidos, os usurios devem escolher senhas que sejam difceis de serem deduzidas.
8. Proibio de Senhas de Acesso Cclicas Os usurios dos recursos de TI devem utilizar sempre novas senhas e o histrico das senhas j utilizadas deve ser mantido pela gerencia de redes
9. Senha de fcil memorizao Os usurios podem escolher senhas de fcil memorizao, mas que sejam ao mesmo tempo difceis de serem descobertas por outras pessoas. Por exemplo: Encadear vrias palavras formando o que conhecido como frases de acesso. Combinar nmeros e pontuao em uma palavra regular. Criar acrnimos a partir de palavras de msica, um poema ou uma outra seqncia de palavras conhecidas.
10. Senha de Boot Todas as estaes de trabalho utilizadas no rgo Pblico, no importando sua localizao fsica, deve ter seu acesso controlado a partir de um sistema de controle de acesso definido pela unidade competente e que esteja em conformidade com os requisitos de segurana do rgo Pblico.
11. Em caso suspeita de exposio indevida do ambiente de TI do rgo Pblico, todas as senhas de acesso devem ser
imediatamente alteradas.
12. Os usurios devem possuir orientao sobre a manuteno sigilosa das suas senhas de acesso e as responsabilidades envolvidas com o mal uso das mesmas.
13. Independente das circunstncias, as senhas de acesso no devem ser compartilhadas ou reveladas para outras pessoas que no o usurio autorizado, ficando o proprietrio da senha responsvel legal por qualquer prtica indevida cometida.
13
28/07/2005
14. Em caso de comprometimento comprovado da segurana do ambiente de TI por algum evento no previsto, todas as senhas de acesso devero ser modificadas. segura do sistema operacional Nestes eventos uma verso assim como dos softwares de
segurana devero ser baixados novamente. Da mesma forma, sob uma dessas circunstancias, todas as alteraes recentes de usurios e privilgios do sistema devem ser revisadas a fim de detectar modificaes no autorizada de dados. Alm destas aes, o responsvel pela segurana da informao do rgo Pblico poder interagir com o rgo de Resposta a Incidentes do Governo Federal CTIR-Gov (www.ctir.gov.br).
15. Todos os usurio tm que ser corretamente identificados antes de estarem aptos a utilizar qualquer atividade em computador ou recursos do ambiente de TI.
em
tempo real com os sistemas de TI do rgo Pblico devem se submeter ao mecanismo de controle de acesso definido pela unidade competente, levando-se sempre em considerao os privilgios necessrios ao acesso a cada tipo de informao.
17. Os computadores com informaes sensveis e/ou classificadas devero, obrigatoriamente, ser desligados ou bloqueados na ausncia do usurio.
18. Quando os equipamentos ou contas de usurio no estiverem em uso deveram ser imediatamente bloqueados ou desligados.
14
28/07/2005
inclusive acessos feitos indevidamente por administradores de sistemas; 2. Deve ser vedado o envio de informaes crticas para pessoas ou organizaes no autorizadas observando quando for o caso,
3. Deve ser vedado o envio de material obsceno, ilegal ou no tico, envio de propaganda, mensagem do tipo corrente e de
entretenimento, relacionadas com nacionalidade, raa, orientao sexual, religiosa, convico poltica ou qualquer outro assunto que possa vir a difamar o usurio como cidado e que no tenha relao com o servio a que o usurio destinado no ambiente do TI do rgo Pblico;
4. Deve ser vedado o envio de mensagens simultneas aos usurios da rede, exceto por intermdio da administrao desta;
5. Deve ser vedado a participao em Listas de Discusso, utilizando o servio de Correio Eletrnico Corporativo, que possam abordar assuntos alheios ao rgo Pblico, suas diretorias e suas gerncias, exceto em casos de participao em Listas de Discusso sobre assuntos relacionados s atividades
6. necessrio o registro por parte do usurio, enquanto funcionrio do rgo Pblico, das listas de discusso em que se encontra inserido, para fins de controle e possvel cancelamento quando houver necessidade;
7. recomendada a utilizao de Assinatura Digital, para o envio de mensagens internas via Correio Eletrnico Corporativo quando do tramite de informaes classificadas, seguindo sempre a
15
28/07/2005
8. O Correio Eletrnico do rgo Pblico deve ser utilizado sempre baseado no bom senso e de acordo com os preceitos legais.
2. A classificao ou reclassificao da informao deve seguir as orientaes da legislao vigente, assim como aquelas regras definidas pelo Decreto N 4553 ou sua atualizao;
3. Deve ser vedado aos usurios o acesso, modificao, a remoo ou a cpia de arquivos que pertenam a outro usurio sem a permisso expressa do mesmo;
4. O rgo pblico deve se reservar o direito de revogar os privilgios de usurio de qualquer sistema e a qualquer momento. No sendo permitidas condutas que interfiram com a operao normal e adequada dos sistemas de informao do rgo Pblico e que adversamente afetem a capacidade de outras pessoas utilizarem esses sistemas de informao, bem como condutas que sejam prejudiciais e ofensivas;
5. Deve ser vedado aos usurios a execuo de testes ou tentativas de comprometimento de controles interno, este tipo de pratica somente pode ser permitada a usurios tcnico, em situaes nas
16
28/07/2005
quais esteja ocorrendo monitorao e analise de riscos, com a autorizao da unidade competente;
6. Deve ser exigido a assinatura de termo de confidencialidade antes que seja fornecido o acesso aos sistemas governamentais relacionados com a cadeia de privilgios do usurio.
7. As configuraes e atribuio de parmetros em todos os computadores conectados rede do rgo Pblico devem estar de acordo com as polticas e normas de gerenciamento internas.
8. Quando um usurio do desligamento do usurio, seus arquivos armazenados em estao de trabalho ou em qualquer servidor de rede do rgo Pblico e, tambm, seus documentos em papel devem ser imediatamente revisados pela chefia imediata para determinar quem tornar-se- curador das informaes
relacionadas, assim como nos casos devidos, identificar o mtodo mais adequado para a eliminao das mesmas, levando-se em conta as orientaes sobre a eliminao de informaes
9. Todas as atividades dos usurios que podem afetar os sistemas de informao governamentais devem ser possveis de reconstituio a partir dos logs de maneira a evitar ou dissuadir o comportamento incorreto. Estes procedimentos devem contar inclusive com mecanismos de responsabilizao claros e amplamente divulgados nos meios de comunicao internos.
10. A divulgao das regras e orientaes de segurana aplicadas aos usurios finais devero ser objeto de campanhas internas permanentes, seminrios de conscientizao e quaisquer outros meios de maneira a criar uma cultura de segurana dentro da instituio pblica.
17
28/07/2005
11. Deve ser vedada a utilizao de software da Internet ou de qualquer outro sistema externo ao rgo Pblico. Esta proibio necessria porque tal software pode conter vrus, worms, cavalos de tria e outros softwares maliciosos que podem comprometer o ambiente de TI. Caso haja uma legtima necessidades de obteno de aplicaes de terceiros o fato deve ser comunicado unidade competente para que a mesma estabelea os procedimentos de segurana necessrios.
12. Deve ser vedada a utilizao de disquetes de origem externa, nas estaes de trabalho do rgo Pblico ou nos servidores de rede antes de serem submetidos a um sotware antivrus.
13. Todos os softwares e arquivos transferidos de fontes que no sejam do prprio rgo Pblico via Internet (ou qualquer outra rede Pblica) devem ser examinados com o software de deteco de vrus utilizado pelo Ministrio. Este exame deve acontecer antes que o arquivo seja executado ou aberto por um outro programa, como por exemplo, por um processador de texto e tambm, antes e depois que o material tenha sido descompactado.
14. O usurio do ambiente de TI de rgo Pblico no deve executar ou desenvolver qualquer tipo de programa ou processo externo s suas atividades.
15. Os usurios no devem desenvolver, gerar, compilar, copiar, coletar, propagar, executar ou tentar introduzir qualquer cdigo projetado para se auto-replicar, danificar ou de outra maneira obstruir o acesso ou afetar o desempenho de qualquer computador, rede ou sistema de TI da APF.
16. Deve ser vedado aos usurios e visitantes fumar, comer ou beber prximo aos equipamentos de TI.
18
28/07/2005
19
28/07/2005
informaes devem verificar a existncia deste termo, devidamente assinado, antes de divulg-las para pessoas que no pertenam ao quadro funcional do rgo ou instituio. O acesso a este tipo de informao deve ser sempre devidamente registrado. 5. A reproduo da informao CONFIDENCIAL e/ou RESTRITA,
incluindo a impresso de cpias adicionais, no permitida a menos que seja explicitamente autorizada por seu proprietrio. Da mesma forma, trechos, resumos, tradues ou qualquer material derivado de informaes sensveis ou resguardadas por direitos autorais, no poderam ser feito a menos que o proprietrio da informao tenha aprovado previamente.
20
28/07/2005
6. O
transporte
fsico
das
informaes
CONFIDENCIAL
e/ou
RESTRITA requer a observao no disposto em legislao relacionada. 7. Quando as informaes so CONFIDENCIAL e/ou RESTRITAS no forem mais necessrias e quando exigncias legais ou regulatrias para sua reteno no se aplicarem mais, elas devero ser destrudas de acordo com os mtodos aprovados. proibida a eliminao em latas de lixo ou em depsitos de papel que sero encaminhados para reciclagem. A informao sensvel em forma de papel deve ser eliminada com o uso de picotador de papel. A
informao sensvel armazenada em disquetes, fitas magnticas ou outras mdias magnticas computacionais deve ser destruda via refornatao ou apagando-se a informao caso a mdia seja reutilizada por outros sistemas do rgo ou instituio pblica. A simples remoo de uma informao sensvel armazenada em uma mdia magntica no suficiente porque a informao pode ser definitivamente destruda com cortadores ou colocada em um recipiente especialmente destinado a armazenagem de informao sensvel que ser destruda.
21
28/07/2005
acesso ou manipulao de informaes, de forma no autorizada, chamado de invaso. Ataque de Negao de Servio - Ataque que consiste em impedir o acesso autorizado a recursos de um sistema, seja atravs de uma grande sobrecarga no processamento de dados de um sistema computacional, da saturao de um ponto de acesso
atravs de um grande trfego de dados para uma rede, ou da indisponibilizao de um ou mais servios desse sistema.
Atividade Maliciosa - Qualquer atividade que infrinja a poltica de segurana de uma instituio ou que atente contra a segurana de um sistema computacional. Autenticao Procedimento utilizado na identifio de usurios, dispositivos ou
processos, e que pr-requisito para o acesso aos recursos de um sistema. Autorizao o direito ou permisso de acesso a um recurso de um sistema.
Backdoor - Programa que permite a um invasor retornar a um computador comprometido. Normalmente este programa colocado de forma a no ser notado.
C Capacidade de Sobrevivncia (Survivability) - a capacidade de um sistema de cumprir a sua misso, no momento certo, na presena de ataques, falhas ou incidentes.
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao
22
28/07/2005
Cavalo de Tria - um Programa que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio.
Cenrio de Uso - uma instancia do uso de um sistema, tanto o uso legitimo como o uso em uma invaso.
Cliente - Entidade, normalmente caracterizada por um processo ou programa de computador, que requisita e utiliza recursos/informaes e interage com um servio fornecido por um sistema computacional, como por exemplo um servidor Web (ver Servidor Web, Servio Web).
Cdigo Malicioso - Programa, ou parte de um programa de computador, projetado especificamente para atentar contra a segurana de um sistema computacional,
Comprometimento de segurana - uma violao de segurana na qual os recursos do sistema so expostos, ou potencialmente expostos, a um acesso no autorizado.
Confiana - Atributo de um sistema de informao que prov a base para ter a confiana de que o sistema opera de forma a cumprir a poltica de segurana.
Confiana (Assurance) Medida de confiana garantida pela arquitetura ou pelas caractersticas de segurana implementadas em um sistema de informao automatizado.
Confidencialidade - o requisito que diz que uma informao no disponibilizada ou revelada para partes no autorizadas.
Contato Tcnico de Segurana - Pessoa ou equipe a ser acionada em caso de incidente de segurana envolvendo um stio governamental, com atribuies eminentemente tcnicas sobre a questo.
23
28/07/2005
Correo de Segurana - Software que tm por finalidade corrigir os problemas de segurana referentes a vulnerabilidades conhecidas. Tambm chamado de patch,
Criptografia - a disciplina que trata dos princpios, meios e mtodos para a transformao de dados, tornando-os ininteligveis, de forma a possibilitar a deteco de modificaes no contedo da informao e/ou prevenir seu uso no autorizado.
Controle de Acesso - Mecanismo utilizado para proteger os recursos de um sistema de acesso no autorizado. Deve permitir, de acordo com uma poltica de segurana, o acesso somente a entidades autorizadas, como usurios, processos, programas ou outros sistemas.
Desfigurao de Stio - Ataque que consiste em desfigurar, ou seja, substituir ou alterar o contedo de uma ou mais pginas Web em um stio. A desfigurao normalmente conseqncia da explorao bem sucedida de uma vulnerabilidade no servidor Web que hospeda as pginas do stio.
Deteco de Intruso - Consiste no monitoramento e anlise de eventos em sistemas computacionais, com o propsito de detectar e prover alertas sobre acesso no autorizado a recursos destes sistemas. tentativas de
Direito de Acesso - a permisso dada a uma entidade para acessar e manipular informaes presentes em um sistema.
Disponibilidade - o requisito que diz que os recursos de um sistema estaro disponveis para acesso, por entidades autorizadas, sempre que venham a ser solicitados.
24
28/07/2005
Firewall - Um sistema, constitudo pela combinao de software e hardware, que intermedia o acesso a uma rede, permitindo ou proibindo certos acordo com uma poltica de segurana pr-estabelecida. tipos de acesso, de
Firewall Pessoal - Um sistema utilizado para proteger um nico computador contra acessos no autorizados. Constitui um tipo especfico de firewall.
I Incidente de Segurana - Um incidente de segurana caracterizado por qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas
computacionais ou de redes de computadores. Tentativas de obter acesso no autorizado a sistemas ou dados, ataques de negao de servio, uso ou acesso no autorizado a um sistema e desrespeito poltica de segurana ou poltica de uso aceitvel de uma instituio so exemplos de incidentes de segurana.
Informao de Autenticao - Informao apresentada e utilizada para confirmar a identidade de uma entidade, como usurios, processos, programas ou sistemas.
Integridade -
Invaso -
segurana em que um invasor ou um cdigo malicioso obtm acesso a um sistema, ou a recursos de um sistema, de forma no autorizada.
Irretratabilidade - Garantia de que o emissor de uma mensagem no ir negar posteriormente a sua autoria ou participao em uma transao. controlada pela
25
28/07/2005
Mecanismo de Controle de Acesso (Access Control Mechanism ) So mecanismos de hardware ou software, procedimentos operacionais ou gerenciais usados para detectar e prevenir os sistemas computacionais contra acessos no autorizados.
Modelo de Uso (Usage Model) a definio de todos os cenrios de utilizao possveis de um ambiente de sistemas, incluindo o uso legitimo e aquele possvel de ser explorado por um intruso.
Mecanismos de Controle de Acesso - So mecanismos de hardware ou software, ou procedimentos operacionais ou gerenciais, usados para proteger os sistemas computacionais contra acessos no autorizados.
Modo seguro - o conjunto que envolve configuraes, procedimentos e diretrizes de segurana recomendados por entidades notoriamente reconhecidas na rea de segurana da informao.
Negao de Servio o ataque a segurana feito a partir da saturao de um ponto de acesso de forma que este no disponha de banda passante para o atendimento do seus usurios legtimos.
rgos Conveniados - So aquelas entidades que no fazem parte das estruturas organizacionais da Administrao Pblica Federal (APF), e, mediante convnio, utilizam os servios oferecidos por meio dos Sistemas de TI destas.
26
28/07/2005
rgo Proprietrio do Stio Governamental - Entidade governamental proprietria do domnio onde se encontram armazenadas as informaes e servios prestados.
Plug-in - Mdulo constitudo por um dispositivo de hardware ou software, queadiciona uma caracterstica, funcionalidade ou servio especfico a um sistema.
Poltica de Segurana - Atribui direitos e responsabilidades aos indivduos que lidam com os recursos computacionais de uma instituio e com as informaes neles
armazenadas. Define as atribuies de cada indivduo em relao segurana dos recursos com os quais trabalha. Qualquer evento que resulte no descumprimento da poltica de segurana considerado um incidente de segurana.
Poltica de Uso Aceitvel Documento que define como os recursos computacionais de uma instituio podem ser utilizados. Tambm define os direitos e responsabilidades dos usurios destes recursos.
Recursos da Infra-estrutura de TI - Os recursos da infra-estrutura de TI incluem equipamentos, utilitrios, aplicativos, sistemas operacionais, mdias de
armazenamento, contas em servidores, contas de correio eletrnico, navegao na Internet e intranet, servio de transferncias de dados, terminal virtual, comunicao interativa e sistemas de gesto.
Rede Sem Permetro uma rede caracterizada por topologia e funcionalidade que no podem ser determinadas, assim como pela ausncia de controle centralizado.
27
28/07/2005
Registro de Evento - Conjunto de informaes armazenadas e que esto relacionadas aos eventos ocorridos em um determinado contexto, como servios Web, autenticao de usurios, etc.
Requisitos de Sobrevivncia de Servios a definio dos servios essenciais assim com das funcionalidades relacionadas com a resistncia, reconhecimento, recuperao e adaptao, e evoluo que so suficientes para se satisfazer os requisitos necessrios garantia da sobrevivncia do sistema.
Script - Um script consiste em uma lista de comandos que podem ser executados sem a interao do usurio. Normalmente escrito em simples, que facilita o seu servios uma linguagem de programao
Servios de Adaptao e Evoluo So funes que melhoram continuamente a capacidade do sistema de fornecer os servios essenciais, melhorando sua
Servios Subsidirios
suportam a assinatura digital e outros servios relacionados ao comercio eletrnico como criptografia de dados. Como exemplo deste tipo de servios pode-se citar servios de diretrio e servios de gerao de pares de chaves. O servio de diretrio possibilitam que os usurios recuperem certificados e outras informaes sobre pessoas, como nomes distintos e endereos de e-mail. Servios de gerao de pares de chaves fornecem aos usurios pares de chaves pblica/privada de alta qualidade apropriadas para um algoritmo criptogrfico particular. As chaves privadas so
28
28/07/2005
Servios Essenciais So servios para os usurios de um sistema que devero ser providos mesmo na presena de um intruso, de falhas ou acidentes.
Servios No Essenciais So servios que podem ser temporariamente suspensos para permitir que os servios essenciais no sejam interrompidos quando um sistema esta sob ataque ou invaso.
Servios de Recuperao So funes que possibilitam a recuperao do sistema aps uma invaso.
Servios de Resistncia So funes e propriedades do sistema que dificultam e torna dispendiosa uma invaso.
Sigilo - Classificao dada a informaes onde apenas entidades autorizadas e previamente autenticadas podero ter acesso.
Sistema de TI - Sistema de Tecnologia da Informao (TI) o conjunto de elementos materiais ou intelectuais, colocados disposio dos usurios, em forma de servios ou bens; que possibilitam a agregao dos recursos de informtica e telecomunicaes de maneira integrada. Stio - Endereo eletrnico de servio web.
29
28/07/2005
3.2 Decreto N 8.183, de 11 de abril de 1991 Dispe sobre a organizao e o funcionamento do Conselho de Defesa Nacioal. 3.3 Decreto N 1.048, de 21 de janeiro de 1994 Dispe sobre a estrutura e o funcionamento do SISP 3.4 Decreto 3505, de 13 de junho de 2000 Define a poltica de segurana para a Administrao Pblica Federal 3.5 Lei N 9983, de 14 de julho de 2000 Atualiza o cdigo penal e da outras providencias 3.6 Decreto 4553 Define procedimentos para a classificao de informaes sensveis. 3.7 Medida Provisria 2200-2 Define a Infra-estrutura de Chaves Pblicas Brasileira
30
28/07/2005
Anexo III Exemplo de Termo de Confidencialidade O texto a seguir pode ser adaptado para utilizao em casos especficos, visando salvaguardar a confidencialidade e o sigilo.
Identificao do rgo, braso, etc....
Eu, ______________________________________________________________, Portador do documento de identidade n _________________, expedido pela ______________, CPF n ________________________, rgo de origem _____________________________, lotado no(a) _____________________________, comprometo-me a manter sigilo sobre dados, processos, informaes, documentos e materiais que eu venha a ter acesso ou conhecimento no mbito do ORGO, em razo das atividades profissionais a serem realizados e ciente do que preceituam a Lei 10.406, de 10 de janeiro de 2002 (Cdigo Civil), no seu art. 229, inciso I; o Decreto-Lei n 2.848, de 7 de dezembro de 1940 (Cdigo Penal), nos arts. 153, 154, 314, 325 e 327; o Decreto-Lei n 3.689, de 3 de outubro de 1941 (Cdigo do Processo Penal), no art. 207; a Lei n 5.689, de 11 de janeiro de 1973 (Cdigo de Processo Civil), nos arts. 116, 117, 132 e 243; a Lei n 8.159, de 8 de janeiro de 1991 (Lei de Arquivos), nos arts. 4, 6, 23 e 25; a Lei n 9.983, de 14 de julho de 2000 (Alterao do Cdigo Penal); o Decreto n 1.171, de 22 de junho de 1994 (Cdigo de tica Profissional do Servidor Pblico Civil do Poder Executivo Federal); e o Decreto n 4.553, de 27 de dezembro de 2002 (Salvaguarda de dados, informaes, documentos e materiais sigilosos). E por estar de acordo com o presente Termo, assino-o na presena das testemunhas abaixo mencionadas.
Assinatura e
Testemunhas
31