TCU agosto/2011 A importncia da Alta Administrao na Segurana da Informao e Comunicaes PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 Agenda O Problema; Legislao; Quem somos; O que fazer. PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 A informao: crucial para APF acessada por pessoas diversas mas est exposta a riscos pode afetar a (DICA): Disponibilidade Integridade Confidencialidade Autenticidade O problema PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011
APF: Envolvimento efetivo da Alta Administrao com a Gesto de SIC; Metodologia e cultura de Segurana da Informao e Comunicaes para garantir a DICA; Construir o marco legal contra ataques cibernticos; Atualizar as Normas conforme avano das tecnologias; Ao Pas: Elementos que garantam a Segurana e a Defesa de seu Espao Ciberntico. Para: Proteger a Sociedade; Nortear as aes dos diversos atores que interagem na grande rede.
Desafios Invases Invases Promoo de Stios Maliciosos em Mecanismos de Buscas Promoo de Stios Maliciosos em Mecanismos de Buscas Promoo de Stios Maliciosos em Mecanismos de Buscas Estatsticas Domnios Governamentais Estatsticas Domnios Governamentais PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 Gabinete de Segurana Institucional Secretaria de Assuntos Militares Secretaria de Segurana Presidencial Agncia Brasileira de Inteligncia Secretaria de Acompanhamento e Estudos Institucionais Secretaria- Executiva GSI-PR Departamento de Segurana da Informao e Comunicaes Secretaria Executiva do Conselho de Defesa Nacional Cmara de Relaes Exteriores e de Defesa Nacional PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 Coordenao da Inteligncia Federal e atividades de Segurana da Informao. DSIC Decreto 5772 de 08 de maio de 2006 Decreto 6931 de 11 de agosto de 2009 Decreto 7.411 de 29 de dezembro de 2010
(Lei n 10.683, de 29 de maio de 2003)
Planejar e Coordenar a execuo das atividades de Segurana Ciberntica e de Segurana da Informao e Comunicaes na Administrao Pblica Federal. PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 SEGURANA: recursos humanos; sistemas de informao e comunicaes; reas e instalaes; recursos materiais.
NORMAS, REQUISITOS E METODOLOGIAS PARA GESTO DE SIC; CAPACITAO SERVIDORES PBLICOS; ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAES SIGILOSAS; TRATAMENTO DE INCIDENTES DE REDES; ANLISE E GESTO DE RISCOS; CONTINUIDADE DE NEGCIOS; CONTROLE DE ACESSO; CRITRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA; SEGURANA DAS INFRAESTRUTURAS CRITICAS DA INFORMAO; APURAO DAS RESPONSABILIDADES POR QUEBRA DE SEGURANA. Classificao da informao
Abrangncia de SIC PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 Coordenao-Geral de Gesto de SIC (CGGSIC) Elaborao de Normas e Capacitao de Servidores, ouvido o Comit Gestor de Segurana da Informao. Coordenao-Geral de Tratamento de Incidente de Redes (CGTIR) Avaliar Acordos Internacionais de Troca de Informaes Classificadas com vistas ao Sistema de Segurana e Credenciamento. Coordenao-Geral do Sistema de Segurana e Credenciamento (CGSISC) Centro de Resposta de Incidentes de Redes da APF. PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011
Disciplina a Gesto de SIC na APF; Gesto SIC: integrao dos processo de Gesto de Riscos; Gesto de Continuidade do Negcio; Tratamento de Incidentes; Tratamento da Informao; Conformidade; Credenciamento; Seguranas Ciberntica, Fsica, Lgica, Orgnica e Organizacional aos processos institucionais estratgicos, operacionais e tticos , no se limitando a TIC. Atribui competncias ao CGSI: Assessorar o GSI na Gesto de SIC; e Instituir grupos de trabalho em temas de SIC.
IN GSI 01, de 13 de junho de 2008 Correio Braziliense - Sbado, 18 de Maro de 2006 PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 IN GSIPR N1 de 13 de junho 2008 Disciplina a Gesto de SIC na APF direta e indireta e d outras providncias.
O MINISTRO CHEFE DO GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA REPBLICA, na condio de SECRETRIO-EXECUTIVO DO CONSELHO DE DEFESA NACIONAL, no uso de suas atribuies; CONSIDERANDO: ... as informaes tratadas no mbito da Administrao Pblica Federal, direta e indireta, como ativos valiosos para a eficiente prestao dos servios pblicos; o interesse do cidado como beneficirio dos servios prestados pelos rgos e entidades da Administrao Pblica Federal, direta e indireta; o dever do Estado de proteo das informaes pessoais dos cidados; a necessidade de incrementar a segurana das redes e bancos de dadosgovernamentais; e a necessidade de orientar a conduo de polticas de segurana da informao e comunicaes j existentes ou a serem implementadas pelos rgos e entidades da Administrao Pblica Federal, direta e indireta RESOLVE: PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 IN GSIPR N1 de 13 de junho 2008
Art. 1 Aprovar orientaes para Gesto de Segurana da Informao e Comunicaes que devero ser implementadas pelos rgos e entidades da Administrao Pblica Federal, direta e indireta;
Art. 2 Para fins desta Instruo Normativa, entende-se por: I Poltica de Segurana da Informao e Comunicaes: documento aprovado pela autoridade responsvel pelo rgo ou entidade da Administrao Pblica Federal, direta e indireta, com o objetivo de fornecer diretrizes, critrios e suporte administrativo suficientes implementao da segurana da informao e comunicaes;
PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 IN GSIPR N1 de 13 de junho 2008
Art. 5 Aos demais rgos e entidades da Administrao Pblica Federal, direta e indireta, em seu mbito de atuao, compete: I - coordenar as aes de segurana da informao e comunicaes II - aplicar as aes corretivas e disciplinares cabveis nos casos de quebra de segurana; III - propor programa oramentrio especfico para as aes de segurana da informao e comunicaes; IV - nomear Gestor de Segurana da Informao e Comunicaes; V - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais; VI - instituir Comit de Segurana da Informao e Comunicaes; VII - aprovar Poltica de Segurana da Informao e Comunicaes e demais normas de segurana da informao e Comunicaes; VIII - remeter os resultados consolidados dos trabalhos de auditorias de Gesto de Segurana da Informao e Comunicaes para o GSI.
PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 Como comear 1. Elaborao de Normas: Instruo Normativa IN GSIPR 01 de13/06/2008 Gesto de SIC na APF; e 9 Normas Complementares NC GSIPR/DSIC NC 01, de 14 de outubro de 2008 Normalizao; NC 02, de 15 de outubro de 2008 Metodologia; NC 03, de 03 de julho de 2009 Poltica de SIC; NC 04, de 17 de agosto de 2009 - Gesto de Riscos em SIC; NC 05, de 17 de agosto de 2009 Criao de ETIR; NC 06, de 11 de novembro de 2010 GCN; NC 07, de 07 de maio de 2010 - Controle de Acesso; NC 08, de 24 de agosto de 2010 Gesto de Incidentes de Redes; NC 09, de 22 de novembro de 2010 Uso de Recursos Criptogrficos.
2. Capacitao: 31 Seminrios; 4 Congressos; 3 Cursos de Especializao GSIPR/UnB = + de 40.000 servidores federais treinados. PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 Normas Complementares DSIC/GSIPR: NC 01, de 14 de outubro de 2008: estabelece critrios e procedimentos para elaborao, atualizao, alterao, aprovao e publicao de normas complementares sobre Gesto de SIC na APF; NC 02, de 15 de outubro de 2008: define a metodologia de Gesto SIC, baseada no processo de melhoria contnua (PDCA) da ABNT NBR ISO/IEC 27001:2006, utilizada pelos rgos e entidades da APF; NC 03, de 03 de julho de 2009: estabelece diretrizes, critrios e procedimentos para elaborao, institucionalizao, divulgao e atualizao da POSIC, que declara o comprometimento da alta direo, na APF;
Framework de Gesto de SIC na APF PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 NC 04, de 17 de agosto de 2009: estabelece diretrizes para o processo de Gesto de Riscos de SIC (GRSIC). As diretrizes devero considerar os objetivos estratgicos, processos, requisitos legais, a estrutura e a POSIC do rgo; NC 05, de 17 de agosto de 2009: disciplina a criao de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) nos rgos e entidades da APF; NC 06, de 11 de novembro de 2010: estabelecer diretrizes para Gesto de Continuidade de Negcios (GCN) relacionados SIC na APF. A GCN busca minimizar os impactos de falhas, desastres ou indisponibilidades dos servios, alm de recuperar perdas de ativos de informao a um nvel aceitvel;
Framework de Gesto de SIC na APF PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 Framework de Gesto de SIC na APF NC 07, de 07 de maio de 2010: estabelece diretrizes para implementao de Controles de Acesso relacionados SIC na APF. A identificao, a autorizao, a autenticao, o interesse do servio e a necessidade de conhecer so condicionantes prvias para concesso de acesso; NC 08, de 24 de agosto de 2010: disciplina o Gerenciamento de Incidentes de Segurana em Redes de Computadores realizado pelas ETIRs na APF. O gerenciamento de incidentes em redes requer ateno da alta administrao; NC 09, de 22 de novembro de 2010: estabelece orientaes para o uso de recursos criptogrficos como ferramenta de controle de acesso na APF. Os Gestores de SIC so responsveis pela implementao dos procedimentos de uso dos recursos criptogrficos. PRESIDNCIA DA REPBLICA GABINETE DE SEGURANA INSTITUCIONAL TCU agosto/2011 OBRIGADO ! raphael.mandarino@presidencia.gov.br http://dsic.planalto.gov.br http://twitter.com/dsic_br