Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASLIA
2004
BRASLIA
2004
Aprovada por:
_________________________________________
Prof. Reinaldo Mangialardo
_________________________________________
Prof.
_________________________________________
Prof.
BRASLIA
2004
DEDICATRIA
Ronaldo Bandeira:
A meus pais e minha namorada, pela pacincia, dando-me todo o apoio necessrio
concluso desta obra.
AGRADECIMENTOS
Ronaldo Bandeira:
Ao meu amigo Ivan, pela grande contribuio do seu conhecimento a esta obra, e pelo seu
empenho.
LISTA DE ABREVIATURAS
SUMRIO
1
INTRODUO ........................................................................................................... 11
1.1
Justificativa .............................................................................................................. 17
1.2
Objetivos.................................................................................................................. 20
1.3
Escopo do Projeto..................................................................................................... 22
1.3.1
Descrio das reas envolvidas ............................................................................. 22
1.4
ESTRUTURA ORGANIZACIONAL ...................................................................... 24
1.5
RECURSOS DO PROJETO ..................................................................................... 26
1.6
REFERENCIAL TERICO ..................................................................................... 26
1.7
METODOLOGIA .................................................................................................... 27
2
SEGURANA E SEUS COMPONENTES .................................................................. 31
2.1
Poltica de segurana ................................................................................................ 43
2.2
Segurana organizacional ......................................................................................... 45
2.2.1
Infra-estrutura da segurana da informao........................................................... 45
2.2.2
Segurana no acesso de prestadores de servios.................................................... 49
2.3
Classificao e controle dos ativos de informao .................................................... 51
2.4
Segurana em pessoas .............................................................................................. 53
2.5
Segurana fsica e do ambiente................................................................................. 58
2.5.1
reas de segurana ............................................................................................... 60
2.5.2
Segurana dos equipamentos ................................................................................ 67
2.5.3
Controles gerais.................................................................................................... 74
2.6
Conformidade .......................................................................................................... 76
2.6.1
Conformidade com requisitos legais ..................................................................... 76
2.7
Anlise da poltica de segurana e da conformidade tcnica ..................................... 80
2.8
Mecanismos e dispositivos de segurana .................................................................. 82
2.8.1
Infra-Estrutura do Data Center ............................................................................. 82
2.8.2
Acesso ao CPD..................................................................................................... 86
3
ESTUDO DE CASO .................................................................................................... 92
3.1
Poltica de segurana ................................................................................................ 92
3.1.1
Situao Atual em Relao Poltica de Segurana .............................................. 92
3.1.1.1 Comit Gestor ...................................................................................................... 92
3.1.2
Recomendaes quanto Poltica de Segurana.................................................... 93
3.1.3
Plano de Ao ...................................................................................................... 95
3.2
Segurana organizacional ......................................................................................... 98
3.2.1
Responsabilidades do Comit de Segurana.......................................................... 99
3.2.2
Coordenao do Comit de Segurana na ELECTRA ......................................... 100
3.2.3
Situao Atual em relao Segurana Organizacional ...................................... 102
3.2.4
Recomendaes quanto Segurana Organizacional da ELECTRA ................... 104
3.2.5
Plano de Ao .................................................................................................... 106
3.3
Classificao e controle dos ativos de informao .................................................. 112
3.3.1
Classificao das informaes ............................................................................ 115
3.3.2
Recomendaes sobre os Ativos e Classificao das informaes....................... 119
3.3.3
Plano de Ao .................................................................................................... 119
3.4
Segurana em pessoas ............................................................................................ 124
3.4.1
Terceirizao...................................................................................................... 127
3.4.2
Fatores humanos................................................................................................. 129
3.4.3
Situao atual em relao Segurana em Pessoas/Fatores Humanos ................. 135
3.4.4
Recomendaes em relao Segurana em Pessoas .......................................... 136
3.4.5
Plano de Ao .................................................................................................... 139
3.5
Segurana fsica e do ambiente............................................................................... 148
3.5.1
Segurana em equipamentos............................................................................... 155
3.5.2
Suprimento de energia eltrica............................................................................ 158
3.5.3
Manuteno dos equipamentos ........................................................................... 161
3.5.4
Diretrizes de proteo......................................................................................... 164
3.5.5
Situao atual do Data Center em relao Segurana Fsica............................. 165
3.5.6
Recomendaes de Segurana Fsica do Data Center ......................................... 177
3.5.6.1 Recomendaes especficas da ELECTRA .......................................................... 177
3.5.6.2 Recomendaes especficas do Data Center ....................................................... 179
3.5.7
Plano de Ao .................................................................................................... 191
3.6
Conformidade ........................................................................................................ 214
3.6.1
Preservao dos registros da ELECTRA ............................................................. 216
3.6.2
Situao atual em relao Conformidade.......................................................... 220
3.6.3
Recomendaes sobre a conformidade................................................................ 223
3.6.4
Plano de Ao .................................................................................................... 224
3.7
Plano de Ao Geral (Todos os Mdulos Analisados)............................................. 226
4
ANLISE DE RESULTADOS .................................................................................. 229
5
CONCLUSO ........................................................................................................... 230
6
REFERNCIAS BIBLIOGRFICAS ........................................................................ 232
APNDICE A ................................................................................................................... 234
APNDICE B.................................................................................................................... 239
APNDICE C.................................................................................................................... 251
APNDICE D ................................................................................................................... 307
ANEXO A ......................................................................................................................... 312
ANEXO B ......................................................................................................................... 322
GLOSSRIO..................................................................................................................... 323
LISTA DE FIGURAS
LISTA DE TABELAS
RESUMO
ABSTRACT
11
INTRODUO
12
13
Confidencialidade;
Integridade;
Disponibilidade.
14
Alm desses pode-se citar a Legalidade como outro componente que visa o
enquadramento da organizao no mbito legal, sendo abrangido por leis federais,
estaduais, municipais e a poltica de segurana da organizao.
Segundo Dias (2000, p.107):
A falta de controles ambientais adequados pode provocar danos aos
equipamentos, causados por desastre natural, picos de energia, descarga
eltrica de um raio, temperaturas extremas ou eletricidade esttica. Pode
ainda ocorrer perda de dados devido s falhas ou falta de fornecimento de
energia. A indisponibilidade dos sistemas computacionais pode acarretar
problemas econmicos e perda de competitividade da empresa no mercado.
Estatsticas
Algumas estatsticas sero apresentadas para um melhor entendimento sobre a
importncia da segurana fsica no contexto da segurana da informao e esto
baseados na 9a Pesquisa de Segurana da Informao Mdulo (2003) conforme
abaixo:
15
As Falhas na Segurana Fsica foram apontadas por 37% dos entrevistados como
uma das principais ameaas, mostrando que atualmente a Segurana Fsica faz parte
da preocupao do Security Officer.
16
Definio
O assunto abordado sobre a Segurana Fsica, pois esta relegada ao segundo
escalo da Segurana da Informao.
Delimitao
Este projeto tem como objetivo abordar um estudo e uma anlise de Segurana
Fsica em conformidade com a Norma ISO/IEC 17799. Sero esclarecidos, em mbito
geral, conceitos necessrios para que uma empresa consiga alcanar o mais alto nvel
de Segurana Fsica, atendendo a situaes dos mais diversos gneros com polticas
especificas de atualizao tecnolgica, Poltica de Segurana da Informao e
acompanhando as tendncias do mercado.
Esclarecimentos
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua
direo para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Este trabalho no visa certificar a empresa analisada com a Certificao BS
7799. O objetivo apenas fazer uma avaliao de Segurana Fsica, diminuindo, ao
mximo, a possibilidade de ocorrncia de um incidente de Segurana Fsica.
17
1.1 Justificativa
18
Relevncia
Este projeto tem relevncia uma vez identificada a ausncia de manuteno
evolutiva da poltica de segurana e tambm da segurana fsica, o que torna oportuno
o estudo de alternativas para proteo fsica dos principais ativos como informaes,
equipamentos e pessoas, em razo da sua respectiva importncia. Ainda pode-se
salientar o baixo nvel de tolerncia a falhas, que no permite interrupes no
planejadas no fornecimento do servio, j que seu SLA (Service Level Agreement
acordo
de
nvel
de
servio)
exige
99,999%
de
disponibilidade
anual
19
20
1.2 Objetivos
Objetivo Geral
Executar uma anlise de conformidade com a norma ABNT NBR ISO/IEC
17799 voltada a Segurana Fsica, propondo solues para minimizar os riscos
identificados1.
Objetivos Especficos
Esta anlise no tem como objetivo certificar a ELECTRA em relao norma BS 7799.
21
22
1.3
Escopo do Projeto
Estrutura organizacional
Presidente
Diretoria
RH
Gerncia 1
Diretoria
Tecnologia
Gerncia 2
Diretoria
Comercial
Gerncia 3
Gerncia 4
Diretoria
Financeira
Gerncia 5
23
Pavimento da cobertura;
Salas
estratgicas
como
hidrantes,
sprinklers
(jatos
de
gua
acionados
24
1.4
ESTRUTURA ORGANIZACIONAL
Modelo de Negcio
A organizao analisada receber o nome fictcio de ELECTRA a pedido de sua
direo para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Seu modelo de negcio se baseia no provimento dos servios de abastecimento
de energia eltrica. A ELECTRA a responsvel pela gesto do negcio em nvel
nacional.
A estrutura organizacional existende na ELECTRA robusta e hierarquizada,
permitindo uma administrao mais eficiente e atendendo as melhores prticas na
administrao empresarial.
Faz parte desta estrutura hierrquica o presidente, diretores executivos, diretores
adjuntos, gerncia e coordenaes.
25
Estrutura de Tecnologia
A ELECTRA possui uma estrutura robusta de processamento de dados em um
Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb.
Dentro desta estrutura existem 100 servidores plataforma Windows, 40 servidores
plataforma Linux/Unix e um Mainframe. Na matriz, as estaes de trabalho esto
distribudas em dois blocos de edifcios de 12 andares cada, As estaes encontram-se
distribudas nesses blocos e totalizam cerca de 800 equipamentos.
Existem sete filiais, cada uma com sua estrutura prpria de rede, mas
convergindo suas conexes para a matriz, acessando o CPD central. Existe um backup
site fora de uso, conectado ao CPD central. O nmero de estaes existentes nas filiais
da ordem de 550 equipamentos sem considerar as impressoras e outros dispositivos
inteligentes de controles de acesso fsico e alarme contra incndio.
26
1.5
RECURSOS DO PROJETO
Instalaes
Uma sala com dois computadores e uma impressora em rede com comunicao
externa para Internet e servio de e-mail.
Softwares necessrios
Editor de textos, planilha de clculo, browser de apresentao.
Recursos humanos
1.6
Um engenheiro civil;
REFERENCIAL TERICO
27
1.7
METODOLOGIA
Questionrio (APNDICE C)
Existe um questionrio para cada um dos mdulos da norma utilizados na
anlise:
Poltica de segurana
Segurana organizacional
Segurana em pessoas
28
Cada item avaliado recebe uma ponderao que foi acordada juntamente
com a ELECTRA, sendo:
A situao atual de cada item classificada conforme o critrio abaixo, que foi
acordado com a ELECTRA:
No atende
Sim atende
O clculo feito item a item atravs do produto do peso do item por sua
pontuao de presena. Os totais dos itens so somados para compor subtotal do ponto
analisado. Estes subtotais so somados e faro a composio da aderncia geral do
mdulo analisado.
Os percentuais so calculados levando-se em conta os mximos pontos de cada
item, que so totalizados conforme descrito acima.
29
Metodologia da anlise
Anlise on-site:
30
31
Segurana da informao
O termo Segurana da Informao muito abrangente e requer uma definio
para o seu correto entendimento, permitindo estabelecer o escopo do desenvolvimento
desta obra.
Segundo a NBR ISO/IEC 17799 (2000, p.1):
A informao um ativo que, como qualquer outro ativo importante
para os negcios, tem um valor para a organizao e conseqentemente
necessita ser adequadamente protegida. A segurana da informao protege
a informao de diversos tipos de ameaas para garantir a continuidade dos
negcios, minimizar os danos aos negcios e maximizar o retorno dos
investimentos e as oportunidades de negcio. A informao pode existir em
muitas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos,
mostrada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou o meio atravs do qual a informao compartilhada ou
armazenada, recomendado que ela seja sempre protegida adequadamente.
A segurana da informao aqui caracterizada pela preservao de:
a) confidencialidade: garantia de que a informao acessvel
somente por pessoas autorizadas a terem acesso;
b) integridade: salvaguarda da exatido e completeza da informao e
dos mtodos de processamento;
c) disponibilidade: garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que necessrio.
Segurana da informao obtida a partir da implementao de uma
srie de controles, que podem ser polticas, prticas, procedimentos,
estruturas organizacionais e funes de software. Estes controles precisam
ser estabelecidos para garantir que os objetivos de segurana especficos da
organizao sejam atendidos.
32
3. Poltica de Segurana;
4. Segurana Organizacional;
6. Segurana em pessoas;
33
9. Controle de acesso;
12. Conformidade.
3. Poltica de Segurana;
4. Segurana Organizacional
6. Segurana em pessoas;
12. Conformidade
34
Pilares da segurana
A segurana da informao, conforme descrito acima, baseia-se em
caractersticas que estabelecem condies mnimas de uso da informao que so a
disponibilidade, confidencialidade e integridade. Podemos ainda citar mais uma
caracterstica que a legalidade.
Para que uma informao esteja segura devem ser observados os fatores que
influenciam cada uma dessas caractersticas.
As caractersticas citadas acima sero detalhadas para tornar claro o seu
entendimento e importncia na segurana da informao.
Disponibilidade: para que seja utilizada a informao ou o ativo precisa estar
disponvel e acessvel a quem tenha o privilgio de uso.
35
36
37
38
Riscos
Alguns conceitos necessitam ser expostos para o correto entendimento do que
risco e suas implicaes.
Segundo Galvo e Poggi (2002, p.5):
Um ativo algo que tem valor para a empresa, e portanto precisa ser
protegido. Os ativos podem ser fsicos (computadores, equipamentos, infraestruturas de transmisso de dados, prdios, etc), softwares, informaes
(documentos, bancos de dados, etc), processos, pessoas, e at mesmo
intangveis (por exemplo, a imagem da empresa). muito importante avaliar
periodicamente o grau de risco dos ativos, porque eles so o suporte de
negcios da empresa.
Quando se fala em segurana, seja patrimonial, de informaes ou
qualquer outro ativo a ser preservado, logo se pensa, do qu se deve proteger
este ativo?
A resposta mais bvia que se deve proteger de tudo aquilo que
venha ameaar o ativo em questo. A possibilidade de que uma ameaa
venha a causar danos ao ativo recebe o nome de risco.
J que os ativos possuem valor para a empresa, este valor precisa ser
avaliado de alguma forma. Esta avaliao pode ser quantitativa, quando
existem dados disponveis, ou qualitativa, onde feita uma estimativa da
relevncia do ativo para os componentes ou processos do negcio que ele
suporta.
Uma ameaa um agente ou causa potencial de incidentes que pode
ocasionar danos aos ativos, atravs da explorao de vulnerabilidades. Com
relao s fontes, as ameaas podem ser humanas (acidentais ou deliberadas)
ou ambientais. O acesso no autorizado a dados confidenciais uma ameaa
humana deliberada, um erro de parametrizao em um sistema E.R.P. por
parte do operador pode ser acidental, e um terremoto uma ameaa
ambiental.
Uma vulnerabilidade pode ser entendida como sendo uma fragilidade
qualquer do ativo que pode ser explorada por uma ameaa.
39
NEGCIO
baseado
INFORMAO
sujeita
protegem
contm
MEDIDAS
DE
SEGURANA
VULNERABILIDADE
diminuem
aumentam
permitem
RISCOS
reduzem
IMPACTOS
NO
NEGCIO
contm
aumentam
aumentam
AMEAAS
aumentam
comprometem
causam
INTEGRIDADE
CONFIDENCIALIDADE
DISPONIBILIDADE
Fonte: Dias (2000, p.21)
Figura 6 - Ciclo da Segurana da Informao
40
41
42
43
2.1
Poltica de segurana
Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que
algumas orientaes seja includas em seu documento:
a) definio de segurana da informao, resumo das metas e escopo e
a importncia da segurana como um mecanismo que habilita o
compartilhamento da informao (ver introduo);
b) declarao do comprometimento da alta direo, apoiando as metas
e princpios da segurana da informao;
c) breve explanao das polticas, princpios, padres e requisitos de
conformidade de importncia especfica para a organizao, por exemplo:
1) conformidade com a legislao e clusulas contratuais;
2) requisitos na educao de segurana;
44
45
2.2
Segurana organizacional
46
47
que
qualquer
instalao,
seja
hardware
ou
software,
seja
48
49
Tal anlise crtica pode ser executada pela auditoria interna, por um gestor
independente ou por uma organizao prestadora de servios especializada em tais
anlises crticas, onde estes possurem habilidade e experincia apropriadas.
Tipos de acesso;
o Acesso fsico: qualquer acesso aos ambientes crticos,
Data Center, almoxarifado, armrios de equipamentos e
cabeamentos, sala dos diretores, sala de gerncia e
controle de alarmes etc, deve ser controlado e autorizado
atravs de mecanismos e dispositivos biomtricos, caso
a situao exija.
50
51
2.3
52
Classificao da informao
O objetivo da classificao da informao garantir que os ativos de informao
recebam um nvel adequado de proteo, pois a informao possui vrios nveis de
sensibilidade e criticidade. A informao deve ser classificada para indicar a
importncia, a prioridade e o nvel de proteo. Pode ser que informaes mais
sensveis recebam um nvel adicional de proteo ou um tratamento especial. Um
sistema de classificao da informao deve ser usado com intuito de definir nveis
mais adequados de proteo.
53
2.4
Segurana em pessoas
Os objetivos desta seo so: reduzir os riscos de falha humana, roubo, fraude ou
uso imprprio das instalaes; assegurar que os usurios, de acordo com seus cargos,
estejam cientes das ameaas segurana da informao; assegurar que os usurios
estaro preocupados e treinados em apoiar a poltica de segurana da informao no
desenvolvimento rotineiro de suas tarefas, ajudando a minimizar os danos de
incidentes e o mau funcionamento da segurana, sabendo como agir em caso de
incidentes.
54
Poltica de pessoal
necessrio verificar, no momento de sua contratao ou promoo, a
idoneidade de funcionrios que de alguma maneira tero acesso s informaes
consideradas sensveis ou sigilosas. Para aqueles funcionrios que ocupam cargos
revestidos de autoridade, e que tm tambm acessos a essas informaes, necessrio
que a checagem seja refeita periodicamente. Os funcionrios novos e sem experincia,
que tm autorizao para acesso a sistemas sensveis devem passar por um perodo de
avaliao e superviso. Um processo similar de seleo deve ser feito para
funcionrios temporrios e fornecedores. No caso em que os recursos humanos so
fornecidos por agncias de RH, o contrato entre a agncia e a organizao deve
55
Acordos de confidencialidade
Os acordos de confidencialidade so importantes para ressaltar o sigilo da
informao. Eles devem fazer parte dos termos e condies iniciais de contratao e,
alm disso, devem continuar a ter validade, mesmo aps o encerramento do contrato
de trabalho. Funcionrios temporrios e fornecedores devem possuir acordos
semelhantes.
56
rpido
possvel.
Processos
de
realimentao
(feedback)
devem
ser
57
juntamente com os resultados obtidos aps o incidente ser tratado. Tais incidentes
podem ser usados nos treinamentos de usurios.
Processo disciplinar
58
Deve ser previsto processo disciplinar formal para os funcionrios que tenham
violado as polticas e os procedimentos de segurana. Muitas vezes, a existncia desse
processo pode dissuadir funcionrios que estejam inclinados a desrespeitar os
procedimentos de segurana. necessrio que qualquer punio esteja enquadrada nas
leis vigentes.
2.5
59
Tempestades, furaces;
Terrorismo;
Sabotagem e vandalismo;
Exploses;
Roubos, furtos;
Desmoronamento de construes;
Materiais txicos;
Falhas em equipamentos;
Outros.
60
Portanto, para se obter um ambiente fsico seguro alguns pontos devem ser
observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a
serem analisados:
61
62
63
64
65
66
67
68
Roubo;
Fogo;
Explosivos;
Fumaa;
Poeira;
Vibrao;
Efeitos qumicos;
Radiao eletromagntica.
69
Fornecimento de energia
Convm que os equipamentos sejam protegidos contra falhas de energia e outras
anomalias na alimentao eltrica. Convm que um fornecimento de energia
apropriado ocorra em conformidade com as especificaes do fabricante do
equipamento. Algumas opes para alcanar a continuidade do fornecimento eltrico
incluem:
a) Alimentao mltipla para evitar um nico ponto de falha no fornecimento
eltrico;
b) No-break (Uninterruptable Power Supply - UPS);
c) Gerador de reserva. recomendado o uso de no-break em equipamentos
que suportem atividades crticas para permitir o encerramento ordenado ou
a continuidade do processamento. Convm que os planos de contingncia
contenham aes a serem tomadas em casos de falha no no-break. Convm
70
Segurana do cabeamento
Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou
suporta os servios de informao seja protegido contra interceptao ou dano.
Recomenda-se que os seguintes controles sejam considerados:
a) Convm que as linhas eltricas e de telecomunicaes das instalaes de
processamento da informao sejam subterrneas, onde possvel, ou
sejam submetidas proteo alternativa adequada.
71
72
73
74
75
Remoo de propriedade
Equipamentos, informaes ou software no devem ser retirados da organizao
sem autorizao. Quando necessrio e apropriado, os equipamentos devem ser
desconectados e conectados novamente no seu retorno. Inspees pontuais devem ser
76
2.6
Conformidade
77
78
79
80
Coleta de evidncias
Um processo jurdico contra pessoa ou organizao deve estar embasado em
evidncias adequadas. Quando ele for de ordem interna, as evidncias necessrias
devero estar definidas nos procedimentos internos. Quando for de ordem externa, as
evidncias necessrias devem estar de acordo com as regras estabelecidas pela lei ou
tribunal de justia especficos da localidade onde o caso ser julgado.
Para se obter a admissibilidade da evidncia, as organizaes devem garantir que
seus sistemas de informao estejam em conformidade com qualquer norma ou cdigo
de prtica publicados.
Por outro lado, para o proprietrio obter qualidade e inteireza da evidncia, um
bom registro (log) de evidncia necessrio. Quando o incidente detectado, pode
no ser bvio que resultar num possvel processo jurdico. Pode ser, tambm, que a
evidncia necessria seja destruda acidentalmente antes que seja percebida a
seriedade do incidente. conveniente acionar um advogado ou a polcia, to logo seja
constatada a necessidade de processos jurdicos, bem como obter consultoria
especializada sobre as evidncias necessrias.
2.7
81
82
2.8
Sala-Cofre
Segundo Brasiliano (2004), a sala-cofre uma soluo mundialmente adotada
pelos Data Centers. Ela composta por uma clula hermtica e de mltiplas camadas
de proteo para distribuio e absoro de impacto, presso e calor..
83
84
85
O piso deve ser projetado de forma a permitir que sua integridade seja
mantida e garantir um isolamento trmico conveniente, no caso de um
incndio iniciar-se dentro do vo criados entre tal piso e a laje;
86
Controle de Acesso
Segundo Haical (2004):
O controle de acesso do tipo fsico toda e qualquer aplicao de
equipamentos ou procedimentos com o objetivo de proteger ambientes,
equipamentos ou informaes cujo acesso deve ser restrito. Esse tipo de
controle envolve o uso de cancelas, chaves, trancas, guardas, ces, crachs,
grades, muros, alarmes, vdeo, smart cards (cartes com capacidade de
armazenar e processar dados), biometria (ramo da cincia que estuda a
mensurao dos seres vivos). e outros meios que podem ser usados nos
pontos de acesso onde o usurio tenta obter o acesso, alm da aplicao de
normas e procedimentos utilizados pela empresa para esse fim.
como
integrao
com
leitores
biomtricos,
controle
de
87
88
89
Cancelas: Podem ser simples para locais abertos ou articuladas para locais que
obstruam o seu levantamento. As cancelas podem ser controladas manualmente, por
meio de botes, cartes magnticos, de cdigo de barras ou cartes de proximidade e
por algum dispositivo biomtrico (referente biometria) como o de verificao de
digital, o mais comum.
Guardas: podem ser posicionados em pontos estratgicos para melhor controlar
o acesso e permiti-lo apenas a pessoas autorizadas. Sua atuao bastante eficaz na
inspeo de pacotes e outros objetos de mo na entrada ou sada. Autenticao por
senha: geralmente feita por meio da digitao da senha em um teclado junto ao ponto
de acesso. Ao ser digitada corretamente abre-se a porta ou outro tipo de acesso. A
senha tambm pode ser utilizada em um carto ou crach de identificao, sendo
recomendada a ausncia de identificao visual, informaes ou perfuraes no carto
ou crach referentes aos privilgios de acesso, evitando o uso indevido em caso de
perda ou furto.
Portas duplas: geralmente usadas para forar pessoas que esto tentando ter o
acesso a identificarem-se para um guarda, que pode se posicionar na entrada da
segunda porta ou por um sistema de televiso e udio. Pode ser aplicada em situaes
que uma pessoa persegue outra para tentar obter acesso a reas restritas.
Torniquetes: um equipamento que permite o fluxo controlado de pessoas nos
dois sentidos de giro (uni ou bidirecional). Aceita a condio monitorada de entrada e /
ou sada com restries de autorizao da passagem ou ainda por horrio por meio do
coletor de dados.
Podem ser integrados com vrios validadores ou equipamentos de controle (por
carto magntico, cdigo de barras, proximidade, smart cards, dispositivos
90
91
92
ESTUDO DE CASO
3.1
Poltica de segurana
93
A Norma ABNT ISO/IEC 17799 trata desse assunto em seu item 3.1 Poltica de
Segurana da seguinte forma:
Convm que a direo estabelea uma Poltica clara e demonstre apoio e
comprometimento com a segurana da informao atravs da emisso e manuteno
de uma Poltica de Segurana da Informao para toda a ELECTRA.
94
Novas vulnerabilidades.
95
3.1.3 Plano de Ao
Geral
Este plano possibilita a soluo dos itens do mdulo de Poltica de Segurana
atravs de:
96
97
A poltica deve ter um gestor que ser responsvel por sua manuteno e
reviso de acordo com um processo de reviso definido;
98
3.2
Segurana organizacional
OBJETIVO:
Administrar a segurana da informao dentro da ELECTRA, estabelecendo
referencial de gerenciamento para implementao da segurana da informao na
ELECTRA.
Convm que o comit gestor faa pesquisas (as quais devem ser
disponibilizadas para toda a ELECTRA), principalmente para:
99
Deve ser nomeado um gestor para cada ativo de informao, que passar
a ser responsvel pela segurana no dia-a-dia.
100
101
Os
nveis
de
autorizao
devem
ser claramente
definidos e
documentados.
102
3.2.3
103
104
Acesso de Terceiros
deficiente o controle sobre os terceiros que deixam de prestar servios
ELECTRA, continuando, em alguns casos, com seus acessos ativos;
Existem terceiros que prestam servios, que no esto localizados no site, mas
podem ter acesso fsico e lgico.
105
106
3.2.5 Plano de Ao
Geral
107
108
Officer)
que
assumir
responsabilidade
global
pelo
109
110
111
Deve existir uma poltica definida para terceiros que ficam localizados
no site durante um determinado tempo, definido em contrato como:
pessoal de manuteno e suporte de hardware e software; pessoal de
limpeza, fornecimento de refeies, guardas de segurana e outros
servios de suporte terceirizados, estagirios e outras nomeaes
ocasionais em curto prazo e consultores;
112
3.3
OBJETIVO:
Manter uma proteo apropriada dos ativos de informaes da ELECTRA.
113
114
Ativos de Informao
Arquivos de dados;
Material de treinamento;
Planos de continuidade;
Informaes arquivadas.
Ativos de Software
Software aplicativo;
Software de sistema;
Ativos Fsicos
115
Mobilirio;
Acomodaes.
Ativos de Servios
OBJETIVO:
Assegurar que os ativos de informao recebam um nvel de proteo adequado.
A necessidade;
116
As prioridades;
O grau de proteo.
As diretrizes de classificao
As
necessidades
da
ELECTRA
de
compartilhar
ou
restringir
informaes;
117
Cpia;
Armazenagem;
118
Destruio.
119
3.3.3 Plano de Ao
Geral
Implementar a Classificao das Informaes (a metodologia dever estabelecer
Escalas dos Graus de sigilo e o Teor Crtico das informaes da ELECTRA, de modo
a refletir a abrangncia de utilizao da informao):
120
Pblica
Interna
Secreta
Teor Crtico:
Pouco Crtica
Crtica
Muito Crtica
Procedimentos de Proteo:
Criao
Divulgao
Reproduo
Transporte
Armazenamento
Destruio
121
122
123
124
discos,
CD-ROMs,
cassetes),
mensagens
transferncias de arquivo;
3.4
Segurana em pessoas
OBJETIVO:
eletrnicas
125
126
127
3.4.1 Terceirizao
OBJETIVO:
Manter a segurana da informao nos casos em que a responsabilidade pelo
processamento das informaes da ELECTRA for confiada a uma organizao
externa.
128
129
O direito de auditoria.
OBJETIVO:
Reduzir os riscos de falha humana, furto, fraude e/ou uso indevido das
instalaes.
As responsabilidades devem ser atendidas desde a fase de recrutamento,
includas nos contratos e monitoradas enquanto durar o vnculo empregatcio.
Deve ser exigido do empregado o acordo por escrito de no divulgao das
informaes.
130
sensveis
(informaes
financeiras
ou
informaes
altamente
Nos casos em que terceiros so fornecidos por uma agncia, o contrato com a
agncia deve especificar claramente as seguintes responsabilidades:
131
Os gerentes devem se dar conta do fato de que circunstncias pessoais dos seus
subordinados podem afetar o trabalho dos mesmos e devem ficar atentos s seguintes
situaes:
Compromissos de confidencialidade
132
As leis de copyright;
133
134
135
Limitar a freqncia;
Processo disciplinar
136
Foi observado que em horrio de pico pode ocorrer certa dificuldade para
as recepcionistas observarem se a pessoa entrou ou saiu sem autorizao;
137
138
139
3.4.5 Plano de Ao
Geral
140
Como
incluir
segurana
nas
responsabilidades
da
funo
141
142
143
144
145
Deve ser avisado aos usurios que eles no devem, em hiptese alguma,
tentar provar um ponto fraco de que suspeitam, pois o teste de um ponto
fraco poderia ser interpretado como um uso abusivo potencial do sistema.
146
Deve existir uma lista de telefones e endereos de emergncia (prontosocorro, hospitais, corpo de bombeiros, policia militar etc.);
147
148
3.5
OBJETIVO:
O objetivo da Segurana Fsica e do Ambiente prevenir acesso no autorizado,
dano e interferncia s informaes e instalaes fsicas das organizaes.
Hall de elevadores;
Pavimento da cobertura;
Almoxarifados;
Arquivo;
Iluminao;
Sala de controle;
Data Center;
149
Piso elevado;
Terem poltica de mesa vazia e tela vazia para reduzir o risco de acesso
no autorizado ou danos a documentos, mdias e instalaes de
processamento de informaes.
150
Permetro de Segurana
Na proteo com barreiras fsicas em volta das instalaes da ELECTRA e dos
equipamentos de processamento de informaes devem ser observadas as seguintes
situaes:
151
152
153
Controles
154
Atividades de terceiros
155
OBJETIVO:
156
157
Riscos da vizinhana
158
OBJETIVO:
Providenciar suprimento adequado de eletricidade que atenda s especificaes
do fabricante dos equipamentos.
Devem ser providenciadas fontes alternativas para gerao de energia e
observados os seguintes requisitos:
159
Deve haver Gaiola de Faraday (cmara metlica com ligao a terra, que
Faraday, famoso qumico e fsico ingls idealizou. um recinto metlico (gaiola ou
cmara, conforme o caso) em cujo interior no podem penetrar emisses eltricas ou
eletromagnticas.) e pra-raios Franklin (pra-raios tipo haste instalado no alto de
edificaes ou das torres. Esse pra-raios oferece proteo para a edificao contida
sob o cone de proteo cujo vrtice encontra-se no topo da haste captora. O que estiver
dentro desse espao estar protegido. O ngulo de proteo variar de acordo com o
nvel de proteo requerido, tipo de ocupao, valor do contedo, localizao e altura
da edificao).
160
Segurana do cabeamento
Proteo contra interceptao ou danos, levando-se em considerao os
seguintes aspectos:
161
162
163
164
165
Retirada de bens
Devem ser feitas inspees por amostragem para detectar a retirada noautorizada de bens;
166
Veculos e pessoas
O prdio que abriga a ELECTRA e o seu Data Center dispe de grande rea de
estacionamento em sua rea externa, que fica totalmente ocupada durante o expediente
normal, devido ao expressivo nmero de pessoas que trabalham ou visitam o local e os
demais edifcios prximos. Embora representado risco menor de incndio em
automveis nesse estacionamento, no devem ser desconsiderados possveis prejuzos
pelos gases emanados, que prejudicam mdias e equipamentos sensveis.
O estacionamento interno situa-se no subsolo do prdio. Dispe de grande
quantidade de vagas, grande parte delas abaixo do Data Center, representando alto
risco relativamente a incndio em automveis, cujos gases podem afetar, direta ou
indiretamente, os equipamentos sensveis.
Salas de escritrios
O prdio tem nove andares de escritrios.
Existem vrias dependncias com papis e outros materiais combustveis e por
onde transitam diariamente centenas de pessoas.
167
Vizinhana
Ao lado do prdio, localiza-se uma grande edificao comercial. Esse
estabelecimento, bem como outros situados na redondeza, atraem muitos automveis e
pessoas para as proximidades do Data Center da ELECTRA, configurando nesse
sentido, juntamente com as outras ameaas descritas, uma vizinhana de alto risco.
As edificaes da ELECTRA
a) Estacionamentos
Externo: O prdio que abriga a ELECTRA e o seu Data Center dispe de uma
grande rea de estacionamento em sua rea externa, que fica totalmente ocupada
durante o expediente normal, devido ao expressivo nmero de pessoas que trabalham
no local e nos demais edifcios prximos.
168
169
170
Localizao
O Data Center est localizado no subsolo do prdio, cuja edificao no foi
construda especificamente para abrigar um Data Center.
Edificaes
Pelas suas prprias atividades do dia-a-dia, as reas da edificao onde se situa o
Data Center no configuram um permetro de segurana adequado. As barreiras e as
portas controladas por vigilantes de segurana necessitam de controles compatveis
com os riscos dessa rea crtica
Paredes externas
Esto em bom estado de conservao.
Paredes internas
As que circundam a rea crtica, em alvenaria, esto em bom estado de
conservao.
171
Portas
Existem brechas no permetro de segurana, como por exemplo:
172
Divisrias internas
So constitudas de frmica e vidro, que so materiais no resistentes ao fogo.
No so fechadas de laje a laje, o que facilita o acesso indevido sob as placas do piso
elevado e tambm no impedem penetrao de fogo ou gases de salas vizinhas.
Portas internas
So extenses das divisrias e, portanto, frgeis. Na rea sensvel, no so
mantidas trancadas e nem dispem de acesso somente ao pessoal autorizado. As que
esto junto com as divisrias sobre todo o piso elevado necessitam que, abaixo e
acima delas, haja o mesmo cuidado sugerido para as divisrias;
A porta da entrada do Data Center, que tambm pode ser improvisada como
sada de emergncia, d para o corredor externo rea crtica e nesse h facilidade de
evacuao. Entretanto, os corredores internos de circulao das salas da rea crtica
so muito apertados, o que certamente dificultaria uma evacuao de pessoal em caso
de emergncia.
173
Instalaes eltricas
A rede, o quadro de fora do subsolo e as instalaes eltricas que servem ao
Data Center apresentam bom estado de conservao e so adequadas.
No-break
O no-break, apesar de ser um modelo antigo, tem atendido ao Data Center.
Todavia, em caso de interrupo de fornecimento de energia por perodos mais longos,
haver necessidade de se contar com um grupo gerador, principalmente para atender
climatizao da sala de segurana que a ELECTRA planeja instalar para o Data
Center;
Cabeamento Lgico
174
Combate a incndio
175
Climatizao
quatro funcionam
e quatro so
redundantes;
176
Controle de Acesso
O controle de acesso de funcionrios realizado por meio de carto magntico,
que no tem a finalidade de segregar o acesso a reas de outras funes,
principalmente no Data Center. Atualmente, qualquer pessoa, visitante ou funcionrio,
no ter maiores dificuldades de entrar em dependncias da ELECTRA,
caracterizando um grande risco para a segurana, pois as reas deveriam ser protegidas
com grau de permisso de acesso.
No h circuito fechado de televiso (CFTV), mas existe projeto para esse
coadjuvante da segurana predial.
177
178
Uso de Crachs
Circuito fechado de TV
179
Demais dependncias
Segurana Mxima
A literatura da segurana da informao define a disposio fsica ideal dos Data
Center, orientando que as instalaes mais sensveis sejam localizadas no centro, e as
demais, de acordo com a sensibilidade, dispostas do centro para fora, configurando
camadas concntricas de segurana.
Dentre diversos aspectos, solues tcnicas pertinentes so agregadas para
fornecimento de energia, gua e esgoto, climatizao, combate a incndios e detalhes
muitas vezes desprezados em edificaes comuns, como a escolha de material de
acabamento resistente e retardante ao fogo.
Em funo do exposto acima e levando-se em considerao que a edificao que
abriga o Data Center no especfica para essa finalidade e principalmente pela
180
vizinhana de alto risco, convm que todas as recomendaes expostas nesta anlise
sejam consideradas e implementadas no mais curto prazo possvel.
Identificao Visual
Num centro de processamento de dados, sempre se deve considerar ao mximo o
item segurana. Quanto mais discreta for a programao visual do prdio, menos
interesse despertar. As identificaes devem se limitar a informar sobre as direes a
serem tomadas, avisar sobre locais de acesso restrito e indicar as sadas de emergncia.
Existem autores que chegam a defender o conceito de que um rgo sensvel
como um Data Center no deve ter qualquer identificao, nem mesmo das salas e
departamentos.
181
Deve ser instalada uma porta com controle de acesso na atual entrada do
Data Center, limitando o acesso indevido;
182
Controle de Acesso
Que o contato inicial com o Data Center disponha de uma portaria mais
abrangente para um rgido controle de acesso, no qual possa ser efetuada
melhor triagem dos visitantes, com guardas masculinos e femininos em
estreita colaborao.
183
Uso de Crachs
184
Guaritas de vigilncia
Circuito Fechado de TV
185
186
Adotar poltica de mesa vazia e tela vazia para reduzir o risco de acesso
no autorizado ou danos a documentos, mdias e instalaes de
processamento de informaes.
Piso Elevado
Substituir todo o piso elevado da rea do Data Center em funo do piso atual
estar desnivelado colocando em risco o desempenho dos equipamentos e os
operadores, em mal estado devido ao tempo de uso e principalmente por ser de
material que propaga chamas.
Incndio
Instalar equipamentos de deteco precoce de incndio. Os existentes na
ELECTRA, devido a sua tecnologia ultrapassada, s atuam quando se tem fumaa. Os
equipamentos a laser atuam pelas partculas suspensas no ar.
Instalar combate automtico de incndio com Gs FM 200 (este gs mantido
em cilindros, sob presso como um lquido, que minimiza o espao de armazenagem, e
liberado como um gs, de modo a cobrir todos os pontos da rea protegida. O FM200 suprime o fogo em at 10 segundos, impedindo a reao qumica que nele ocorre.
O FM-200 adequado para aplicaes em reas ocupadas por seres humanos,
nas concentraes aprovadas pela NFPA-2001. Por ser to seguro para as pessoas, est
sendo utilizado como propulsor em inaladores mdicos) interligado ao equipamento de
deteco de incndio.
187
Cofres
Recomenda-se a aquisio de cofres especficos para armazenamento de dados
para proteo das mdias contra fogo, poeira, gases corrosivos, campos
eletromagnticos, radiaes, furto etc;
188
Videoconferncia
Existe a necessidade de se investir tambm em equipamentos de deteco de
incndio no piso elevado.
189
Riscos de incndio
entre
cigarros
ou
similares
ambiente
Substituir cestas de lixo atuais existentes nas salas do Data Center por
metlicas e com tampa, bem como substituir por containeres metlicos
com tampa as caixas atualmente usadas para juntar grande quantidade de
papel na sala de impresso;
Orientar aos faxineiros para terem todo o cuidado com o uso de gua e
outros produtos lquidos de limpeza no piso elevado e nos equipamentos;
190
Climatizao
191
Cabeamento desorganizado;
Sem climatizao;
3.5.7 Plano de Ao
Geral
192
193
Deve existir poltica de mesa vazia e tela vazia para reduzir o risco de
acesso no autorizado ou danos a documentos, mdia e instalaes de
processamento de informaes.
Deve existir proteo fsica com barreiras fsicas em volta das instalaes
da empresa e dos equipamentos de processamento de informaes;
194
As barreiras fsicas devem ser estendidas do piso bruto ao teto bruto, para
impedir o acesso no autorizado e contaminao ambiental;
195
196
As
reas
no
ocupadas
devem
dispor
de
alarme
armado
permanentemente;
Devem existir controles para o pessoal e/ou para terceiros que trabalham
dentro da rea segura;
197
198
199
200
201
202
Manuteno
dos
equipamentos
(corresponde
ao
item
13
do
questionrio - APNDICE B)
203
204
Segurana
no
descarte
ou
na
reutilizao
de
equipamentos
205
206
207
As cestas de lixo devem ser de metal com tampa com objetivo de abafar
princpios de incndio;
208
O edifcio que abriga o Data Center deveria ser construdo com material
retardante e resistente ao fogo;
209
210
Condies
gerais
de
segurana
relacionados
com
evacuaes
211
212
Ar-condicionado
(corresponde
ao
item
28
do
questionrio
APNDICE B)
213
214
3.6
Conformidade
OBJETIVO:
Evitar violaes de leis penais ou cveis, de obrigaes decorrentes de estatutos,
regulamentos ou contratos e de quaisquer requisitos de segurana em:
215
Projeto;
Operao;
Utilizao;
Definidas explicitamente;
Controles
especficos
as
responsabilidades
individuais
pelo
216
3.6.1
OBJETIVO:
Proteger contra perda, destruio e falsificao.
Pode ser exigido para comprovar que uma empresa opera de acordo com
as normas da lei ou de rgos reguladores;
217
218
Sempre que essa ao for um assunto disciplinar interno, a prova necessria ser
descrita pelos procedimentos internos.
Nos casos em que a ao envolve a legislao civil ou penal, elas devem estar
em conformidade com as regras para constituio de prova, estabelecidas pela
legislao aplicvel ou pelas normas do tribunal especfico no qual o caso ser
julgado:
Admissibilidade da prova
Para conseguir a admissibilidade da prova, assegurar que os sistemas de
informaes obedecem a uma dada norma ou cdigo de prtica publicados para a
produo de provas admissveis.
219
Existe
risco
de
que
as
provas
necessrias
sejam
destrudas
220
Deve ser feita regularmente uma reviso em todas as reas da ELECTRA para
assegurar a conformidade com as polticas e normas de segurana. As revises devem
incluir o seguinte:
Sistemas de informaes;
Fornecedores de sistemas;
Usurios;
Administrao.
3.6.2
221
222
223
3.6.3
224
3.6.4
Plano de Ao
Geral
225
226
3.7
227
228
229
ANLISE DE RESULTADOS
Apurados
Atuais
Estimados
aps
Implantao
Melhoria
Poltica de Segurana
165
165
100%
Segurana Organizacional
651
322
546
41%
378
183
331
45%
Segurana em Pessoas
195
140
160
13%
3165
1730
2664
35%
Conformidade
285
183
263
30%
4839
2558
4129
38%
53%
85%
Mdulos
Resultado da Conformidade
230
CONCLUSO
231
232
REFERNCIAS BIBLIOGRFICAS
233
234
APNDICE A
235
236
237
238
239
APNDICE B
240
241
242
Sala de ar-condicionado:
Corroso no duto de ar-condicionado
Entrada da Cobertura:
Porta obstruda e material combustvel
Sala do Gerador:
Dutos de conexo do Gerador em ms
condies
243
Sala do Gerador:
Dutos de conexo do Gerador em ms
condies
Sala do Gerador:
Rachadura
Sala do Gerador:
Bocal de abastecimento do Gerador
Almoxarifado:
Descarte de material de forma inadequada
Almoxarifado:
Descarte de material de forma inadequada
244
245
Sala de ar-condicionado:
Filtros de ar-condicionado sujos
(manuteno inadequada)
Sala de ar-condicionado:
Cabeamento em ms condies
Cobertura do edifcio:
Corroso decorrente de vazamento no
sistema de ar-condicionado
Cobertura do edifcio:
Vazamento no sistema de ar-condicionado
246
Corredor do 1 andar:
Distribuio inadequada de material de
combate a incndio
Corredor do 1 andar:
Obstruo de sada de emergncia
247
248
249
Sala de ar-condicionado:
ar-condicionado
250
251
APNDICE C
252
Planilhas de avaliao
Poltica de Segurana
No
Item
Perguntas
Sim
Aderncia
0 1 2
Valores
Peso
3
Referncia
Legenda
Apurados
Aderncia Geral
165
0%
30
0%
15
0%
15
0%
0: Ausncia total
1: Presena inexpressiva
2: Presena parcial
3: Presena total
253
90
0%
15
0%
15
0%
15
0%
15
0%
254
So definidas responsabilidades gerais e
especficas pelo gerenciamento da
2.5 segurana das informaes, incluindo a
comunicao de incidentes de
segurana?
Existem referncias documentao que
poder apoiar a poltica, como por
exemplo polticas e procedimentos de
2.6 segurana mais detalhados para
determinados sistemas de informaes
ou normas de segurana s quais os
usurios deveriam obedecer?
3
15
0%
15
0%
45
0%
15
0%
15
0%
15
0%
255
Perguntas
Sim
Aderncia
0 1 2
1.1
2.1
Referncia
378
183
48%
42
26
62%
15
10
67%
15
10
67%
67%
33%
Legenda
Apurados
Aderncia Geral
Atualmente, so identificados os
gestores de todos os ativos relevantes
1.2 e atribuda a responsabilidade pela
manuteno de controles apropriados
?
A responsabilidade pela
1.3 implementao dos controles
delegada?
A responsabilidade deve continuar com
1.4 o gestor designado do ativo. feito
assim?
2
Valores
Peso
60
30
50%
15
33%
0: Ausncia total
1: Presena inexpressiva
2: Presena parcial
3: Presena total
256
feita uma crtica do inventrio dos
ativos ?
A empresa oferece nveis de proteo
2.4 compatveis com o valor e a
importncia dos ativos?
Cada ativo tem um acordo sobre sua
propriedade e classificao de
segurana e documentado,
2.5 juntamente com sua localizao
corrente? (Muito importante na
recuperao aps qualquer perda ou
danificao)
2.2
15
10
67%
15
10
67%
15
33%
30
20
67%
15
10
67%
15
10
67%
45
25
56%
15
10
67%
15
10
67%
257
Sabendo-se que algumas informaes
so mais sensveis e crticas do que
outras e que alguns itens podem exigir
um nvel adicional de proteo ou
manuseio especial, tem sido utilizado
4.3
um sistema de classificao para
definir um conjunto apropriado de
nveis de proteo e comunicar a
necessidade de medidas especiais de
manuseio?
5
Diretrizes de classificao
15
33%
60
20
33%
15
33%
A classificao e os controles
protetores associados levam em
considerao as necessidades da
empresa de compartilhar ou restringir
5.1 informaes e os impactos
empresariais associados a tais
necessidades, como acesso no
autorizado ou danos integridade das
informaes?
15
33%
15
33%
15
33%
258
6.1
6.2
6.3
6.4
66
27
41%
15
33%
15
33%
15
33%
15
10
67%
259
A responsabilidade pela definio da
classificao de uma determinada
informao e pela reviso peridica
6.5
desta classificao delegada da
pessoa que originou a informao ou
do gestor designado da informao?
7.1
7.2
7.3
7.4
7.5
33%
75
35
47%
15
33%
15
33%
15
33%
15
33%
15
15
100%
260
1.1
1.2
1.3
Perguntas
No
Sim
0 1
Valores
Peso
Aderncia
3
Referncia
Aderncia Geral
120
35
29%
reas Seguras
75
10
13%
15
33%
15
33%
15
10
67%
Legenda
Apurados
1.4
15
33%
1.5
15
33%
0: Ausncia total
1: Presena inexpressiva
2: Presena parcial
3: Presena total
261
2
Permetro de Segurana
180
80
44%
2.1
15
33%
2.2
15
33%
15
33%
15
10
67%
2.3
2.4
2.5
2.6
2.7
2.8
2.9
15
33%
15
33%
15
33%
15
10
67%
15
10
67%
262
Somente pessoal autorizado tem acesso
aos sites e edifcios?
As barreiras fsicas so estendidas, se
necessrio, do piso bruto ao teto bruto,
para impedir o acesso no autorizado e
contaminao ambiental, que pode ser
2.11
causada no Data Center, central de
telefonia, unidade certificadora, arquivos
de documentos sensveis e
estratgicos?
Existem portas corta-fogo no permetro
2.12 de segurana? Elas so equipadas com
alarme e fecham automaticamente?
2.10
3
3.1
3.2
3.3
3.4
3.5
15
10
67%
15
10
67%
15
0%
90
70
78%
15
10
67%
15
15
100%
15
15
100%
15
33%
15
15
100%
263
3.6
4.1
4.2
4.3
4.4
5
5.1
10
67%
51
34
67%
15
10
67%
15
10
67%
67%
15
10
67%
141
94
67%
15
10
67%
Controle
Os equipamentos crticos esto em local
no acessvel ao pblico?
15
264
5.2
15
10
67%
5.3
15
10
67%
5.4
5.5
5.6
5.7
5.8
5.9
So implementados sistemas
apropriados de deteco de intrusos,
instalados segundo padres
profissionais e testados regularmente,
para cobrir todas as portas externas e as
janelas acessveis?
As reas no ocupadas dispem de
alarme armado permanentemente?
Equipamentos administrados pela
organizao ficam fisicamente
separados dos equipamentos
administrados por terceiros?
As listas de pessoal e listas telefnicas
internas que identificam a localizao
dos equipamentos de processamento de
informaes sensveis ficam em local
no acessvel ao pblico?
Materiais perigosos ou combustveis so
armazenados de modo seguro e a uma
distncia adequada de uma rea
segura?
Os suprimentos em grande volume so
armazenados dentro de uma rea
segura, somente sendo requisitados
medida que forem sendo utilizados?
15
33%
15
33%
15
33%
67%
15
15
100%
15
15
100%
265
Os equipamentos e mdia de backup so
localizados a uma distncia segura, para
5.10
que no sejam danificados em caso de
um acidente no site principal?
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
15
15
100%
87
64
74%
15
10
67%
15
10
67%
33%
33%
15
10
67%
15
15
100%
15
15
100%
15
15
100%
266
Existem barreiras e permetros
adicionais de controle de acesso fsico
6.9 entre reas com diferentes requisitos de
segurana dentro do permetro de
segurana?
proibida a presena de equipamento
6.10 fotogrfico, de vdeo, udio ou gravao,
a no ser com autorizao?
7.1
7.2
7.3
7.4
7.5
7.6
15
15
100%
15
15
100%
105
70
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
267
7.7
8.1
8.2
8.3
9.1
9.2
9.3
Segurana do Equipamento
Os equipamentos so protegidos
fisicamente contra as ameaas sua
segurana e os perigos ambientais?
So levados em conta localizao e
disposio dos equipamentos?
Existem controles especiais para
proteo contra perigos ou acesso no
autorizado e para preservar os
equipamentos de apoio, como o
suprimento de corrente e a infraestrutura de cabeamento?
10
67%
45
30
67%
15
10
67%
15
10
67%
15
10
67%
15
120
70
58%
15
33%
15
33%
15
33%
268
9.4
9.5
15
33%
15
10
67%
9.6
15
15
100%
9.7
So monitoradas as condies
ambientais quanto a fatores que
poderiam afetar negativamente a
operao dos equipamentos de
processamento de informaes?
15
15
100%
9.8
15
10
67%
10
135
85
63%
15
10
67%
15
10
67%
269
Existem mltiplas fontes de alimentao
10.3 para evitar que o suprimento dependa
de uma nica fonte?
15
10
67%
15
10
67%
15
33%
10.4
11
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
105
70
67%
15
10
67%
12
270
Existe suprimento adequado de
combustvel para assegurar que o
12.2
gerador possa operar durante um
perodo prolongado?
As chaves de fora de emergncia esto
12.3 localizadas perto das sadas de
emergncia das salas de equipamentos?
Existe iluminao de emergncia para o
caso de falta de fora?
Os prdios so equipados com pra12.5
raios?
Existem filtros de proteo contra raios
12.6 em todas as linhas externas de
comunicaes?
Existe Gaiola de Faraday e para-raio
12.7
Franklin?
12.4
13
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
Segurana do cabeamento
96
37
39%
15
10
67%
15
33%
15
33%
271
Existem condutes blindados e salas ou
13.4 caixas trancadas em pontos de inspeo
e pontos terminais?
feito o uso de rotas ou meios de
transmisso alternativos?
feito o uso de cabeamento de fibras
13.6
pticas?
Existem cabos com sistemas de
13.7 varredura para detectar a presena de
dispositivos no autorizados?
13.5
14
14.1
14.2
14.3
14.4
14.5
14.6
15
33%
15
33%
33%
15
33%
90
60
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
272
15
120
60
50%
15
33%
15
10
67%
15
10
67%
15
10
67%
15.3
15.4
15.5
15.6
O equipamento de processamento de
informaes (todas as formas de
computadores pessoais, agendas
eletrnicas, telefones celulares, papel ou
outros meios) que ficam na posse da
pessoa para trabalho a domiclio ou que
so transportados para fora do local
normal de trabalho tem procedimento de
segurana?
Os equipamentos e as mdias retiradas
das instalaes da organizao tem
superviso em lugares pblicos?
Os computadores portteis so
transportados como bagagem de mo e
disfarados sempre que possvel,
quando se viaja?
So observadas a qualquer tempo as
instrues do fabricante para a proteo
dos equipamentos (ex.: proteo contra
a exposio a campos eletromagnticos
intensos)?
15
33%
15
33%
273
Os controles para o trabalho a domiclio
so determinados por uma avaliao dos
riscos, e so adotados controles
15.7 adequados conforme necessrio (ex.:
arquivos de ao trancados, poltica de
mesa vazia e controles de acesso a
computadores)?
Existe uma cobertura de seguros
15.8 adequada para proteger o equipamento
quando fora do site?
16
16.1
15
10
67%
15
33%
60
40
67%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
274
17
Controles gerais
45
30
67%
15
10
67%
As informaes e os equipamentos
crticos so protegidos contra revelao
17.2
a pessoas no autorizadas ou
modificao ou furto por tais pessoas?
15
10
67%
15
10
67%
18
60
25
42%
15
33%
15
33%
15
10
67%
275
tomado cuidado para que informaes
no sejam deixadas em cima de mesas,
18.4 podendo ser danificadas ou destrudas
em caso de catstrofes, como incndios,
inundaes ou exploses?
19
19.1
19.2
19.3
19.4
19.5
Diretrizes de proteo
Os documentos e mdia de computador
so armazenados em estantes
apropriadas e trancadas em outras
formas de moblia de segurana, quando
no estiverem em uso, principalmente
fora do horrio de expediente?
Informaes empresariais sensveis ou
crticas ficam trancadas (preferivelmente
em um cofre ou arquivo prova de fogo)
quando no em uso, principalmente
quando no houver ningum no
escritrio?
Os computadores pessoais e terminais
de computador, bem como as
impressoras, ficam logged-on na
ausncia do operador e protegidos por
bloqueios de teclas, senhas ou outros
controles quando no estiverem em
uso?
Os postos de correspondncia recebida
e enviada e as mquinas de fax e telex
sem a presena do operador so
protegidos?
As copiadoras so trancadas (ou
protegidas de algum outro modo contra o
uso no autorizado) fora do horrio
normal de expediente?
15
33%
72
44
61%
15
10
67%
15
10
67%
15
15
100%
33%
33%
276
Informaes sensveis ou confidenciais,
19.6 quando impressas, so retiradas das
impressoras imediatamente?
20
Retirada de bens
Os equipamentos, as informaes ou o
20.1 software no podem sair do site sem
autorizao. Isso verificado?
Quando necessrio e apropriado, a
20.2 sada e a devoluo dos equipamentos
registrada?
So feitas inspees por amostragem
20.3 para detectar a retirada no autorizada
de bens?
As pessoas so informadas da
20.4
existncia de tais inspees?
15
33%
60
60
100%
15
15
100%
15
15
100%
15
15
100%
15
15
100%
45
30
67%
15
33%
15
15
100%
15
10
67%
60
30
50%
15
10
67%
EDIFICAES
21
Os equipamentos e os materiais de
21.1 combate so compatveis com o
ambiente?
21.2 A quantidade existente suficiente?
21.3 Existe contingncia ?
22
22.1
5
5
5
x
x
x
277
22.2 conferida a validade das cargas?
As portas de incndio possuem sensores
22.3 e alarmes e mola para fechamento
automtico?
Existem detectores de fumaa sob o piso
22.4
falso e no teto?
23
x
x
24
15
10
67%
15
0%
15
10
67%
120
80
67%
15
15
100%
15
15
100%
15
10
67%
15
10
67%
15
10
67%
15
0%
15
15
100%
15
33%
285
125
44%
278
24.1
15
33%
24.2
15
33%
15
33%
15
33%
15
33%
15
33%
15
33%
15
33%
15
10
67%
15
15
100%
15
33%
15
0%
24.6
24.10
15
10
67%
15
10
67%
24.14
x
x
279
Havendo necessidade, os carros do
24.15 Corpo de Bombeiros podem ter acesso
fcil a qualquer lado do prdio?
As placas do piso falso so de material
retardante?
Existe reserva tcnica de gua para
24.17
hidrantes?
Existem plantas de localizao dos
24.18
extintores e detectores?
24.16
25
15
33%
15
10
67%
15
10
67%
15
10
67%
15
0%
186
121
65%
25.1
25.4
15
33%
15
33%
15
0%
100%
15
10
67%
15
10
67%
15
10
67%
280
Existem alarmes para informar a
25.8 vigilncia a violao de portas e acessos
a reas do Data Center?
15
33%
15
10
67%
25.9
25.10
15
15
100%
25.11
15
15
100%
25.12
15
15
100%
25.13
15
15
100%
90
35
39%
15
10
67%
26
27
15
33%
15
33%
15
10
67%
15
33%
15
0%
57
26
46%
5
5
x
x
281
27.1
27.2
2
5
28
33%
67%
15
10
67%
15
33%
15
33%
120
70
58%
Suprimento de energia
28.1
15
10
67%
28.2
Existe estabilizador/no-break/gerador
com autonomia satisfatria?
15
10
67%
15
10
67%
15
33%
15
10
67%
15
33%
15
10
67%
5
5
x
x
282
28.8
29
Ar-condicionado
15
10
67%
225
75
33%
15
33%
15
33%
15
10
67%
15
33%
29.5
15
33%
29.6
O dimensionamento do equipamento de
ar-condicionado adequado?
15
10
67%
29.7
29.8
29.9
29.10
29.11
29.12
H redundncias (e reservas) e
simulaes peridicas?
As aberturas externas (troca de ar)
proporcionam uma adequada
renovao?
Existem dampers corta-fogo e gases no
interior dos dutos?
Os equipamentos de ar-condicionado
esto instalados em compartimentos
fechados (com acesso somente ao
pessoal autorizado)?
As tomadas de ar so protegidas contra
contaminao?
Existem alarmes nos sistemas de arcondicionado?
15
33%
15
33%
15
0%
15
10
67%
15
33%
15
0%
5
5
x
x
283
29.13
Os dutos do ar condicionado so de
material retardante?
30
30.1
15
0%
15
0%
15
10
67%
225
95
42%
15
33%
15
33%
15
33%
15
33%
15
10
67%
15
33%
15
33%
15
33%
15
33%
284
Os encanamentos, exceto os
30.10 necessrios, foram retirados do piso
falso em reas sob o computador?
15
10
67%
15
10
67%
15
0%
15
33%
15
15
100%
15
33%
30.12
x
x
285
Segurana em Pessoas
Item
Perguntas
Valores
Aderncia
Referncia
140
72%
60
50
83%
15
10
67%
1.2
1.3
1.4
x
x
15
10
67%
15
15
100%
15
15
100%
Legenda
Apurados
195
2.1
Sim
Aderncia Geral
1.1
No
Peso
45
25
56%
15
10
67%
0: Ausncia total
1: Presena inexpressiva
2: Presena parcial
3: Presena total
286
2.2
2.3
So definidas responsabilidades
especficas pela proteo de determinados
ativos ou responsabilidades pela execuo
de determinados procedimentos ou
atividades de segurana?
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
15
10
67%
15
33%
195
110
56%
15
33%
15
33%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
15
33%
15
33%
287
3.9
3.10
3.11
3.12
3.13
4.1
15
15
100%
15
10
67%
15
15
100%
15
33%
15
33%
75
60
80%
15
15
100%
Compromissos de confidencialidade
Usam-se compromissos de
confidencialidade ou no-revelao para
indicar que determinadas informaes so
confidenciais ou secretas?
Acordos de confidencialidade ou de no
divulgao so usados para alertar que a
informao confidencial ou secreta.
288
4.2
4.3
4.4
4.5
5.1
5.2
5.3
15
100%
15
10
67%
15
10
67%
15
10
67%
15
60
20
33%
15
33%
15
33%
15
33%
289
5.4
6.1
6.2
7.1
15
33%
30
17%
15
33%
15
0%
30
10
33%
15
33%
290
7.2
8.1
8.2
8.3
15
33%
90
75
83%
15
10
67%
15
10
67%
15
15
100%
8.4
15
15
100%
8.5
15
15
100%
8.6
15
10
67%
291
9
9.1
9.2
10
10.1
10.2
21
11
52%
100%
15
33%
60
15
25%
15
33%
15
10
67%
10.3
15
0%
10.4
15
0%
292
11
11.1
11.2
11.3
12
45
20
44%
15
33%
15
33%
15
10
67%
45
30
67%
Processo disciplinar
12.1
15
10
67%
12.2
15
10
67%
12.3
15
10
67%
PESSOAL
293
13
Situaes de emergncia
165
120
73%
15
10
67%
15
33%
15
10
67%
13.1
13.2
13.3
13.4
15
15
100%
13.5
15
15
100%
13.6
15
15
100%
13.7
15
0%
13.8
15
10
67%
13.9
15
15
100%
13.10
15
15
100%
13.11
15
10
67%
120
75
63%
14
Casos de incndio
x
x
x
294
14.1
14.2
14.3
14.4
5
5
15
10
67%
33%
15
33%
15
15
100%
15
10
67%
15
15
100%
15
0%
90
65
72%
15
15
100%
14.6
15
100%
15
14.8
15
15
14.5
14.7
5
5
x
x
Segurana funcional
15.1
15.2
feito um acompanhamento de
funcionrios descontentes ou com
problemas financeiros a pessoais?
15
33%
15.3
15
33%
15.4
Periodicamente so verificados os
antecedentes criminais dos vigilantes?
15
15
100%
295
15.5
15.6
15
10
67%
15
15
100%
296
Segurana Organizacional
No
Item
Perguntas
Aderncia
0 1 2 3
Valores
Sim
Peso
Referncia
Aderncia Geral
651
322
49%
Comit de Segurana
120
40
33%
15
33%
15
10
67%
15
0%
15
0%
15
10
67%
15
33%
Legenda
Apurados
0: Ausncia total
1: Presena inexpressiva
2: Presena parcial
3: Presena total
Gerenciar a segurana da informao
na organizao.
297
So realizadas iniciativas relevantes
1.7 para aperfeioar a segurana das
informaes?
Existe um gerente responsvel por
1.8 todas as atividades relacionadas com
a segurana?
2
2.1
2.2
2.3
2.4
2.5
2.6
15
10
67%
15
0%
246
137
56%
15
33%
15
33%
33%
15
10
67%
15
10
67%
15
33%
298
As responsabilidades pela proteo de
ativos individuais e pela execuo de
2.7
processos especficos de segurana
esto claramente definidas?
2.8
2.9
2.10
2.11
2.12
2.13
2.14
2.15
15
10
67%
15
33%
15
33%
15
10
67%
15
33%
15
10
67%
15
10
67%
15
15
100%
15
15
100%
299
A administrao de usurios,
2.16 autorizao, sua finalidade e utilizao
so feitas de forma segura?
concedida autorizao para o uso de
2.17 equipamentos pessoais de forma
criteriosa?
3
3.1
Consultoria Interna
Existe um consultor interno de
segurana experiente?
15
10
67%
15
33%
75
45
60%
15
33%
15
10
67%
15
10
67%
15
10
67%
15
10
67%
30
10
33%
Consultoria especializada em
segurana normalmente necessria
em diversas organizaes.
300
Atualmente, so mantidos contatos
com autoridades policiais, rgos
reguladores, provedores de servios
de informaes e operadoras de
4.1
telecomunicaes para garantir a
tomada rpida de providncias e a
obteno de orientao em caso de
um incidente de segurana?
Existe filiao a associaes de
4.2
segurana ?
5
15
33%
15
33%
15
0%
15
Acesso de Terceiros
Reviso da Segurana
A implementao da poltica de
segurana deve ser revista por um
rgo independente, para dar a
garantia de que as prticas
5.1
organizacionais refletem corretamente
a poltica e que elas so viveis e
eficazes. J foi realizada alguma
reviso na poltica atual?
6
0%
165
90
55%
15
10
67%
15
33%
15
10
67%
301
6.4
6.5
6.6
6.7
6.8
15
33%
15
33%
15
10
67%
15
10
67%
15
33%
15
10
67%
302
Est especificado no contrato que a
organizao ter direito de monitorar e
revogar as atividades de usurio, o
6.10 direito de auditar as responsabilidades
contratuais ou de fazer com que tal
auditoria seja realizada por um
terceiro?
Nos casos em que a responsabilidade
pelo processamento das informaes
6.11 foi confiada a uma organizao
externa, existe a tentativa de garantir a
segurana das informaes?
15
10
67%
15
10
67%
303
Conformidade
No
Item
Perguntas
Sim
Aderncia
0 1 2
Valores
Peso
3
Referncia
Aderncia Geral
285
183
64%
51
46
90%
15
15
100%
Legenda
Apurados
15
10
67%
15
15
100%
100%
0: Ausncia total
1: Presena inexpressiva
2: Presena parcial
3: Presena total
304
2
30
30
100%
So observadas as exigncias
relevantes impostas por lei, por rgos
2.1 reguladores ou por contrato, definidas
explicitamente e documentadas por
sistema de informao?
15
15
100%
Os controles especficos e as
responsabilidades individuais pelo
2.2
atendimento a estas exigncias esto
definidos e documentados?
15
15
100%
174
92
53%
Os registros da organizao so
3.1 protegidos contra perda, destruio e
falsificao?
15
33%
15
33%
15
33%
305
observado o perodo de reteno das
informaes e dos dados a serem
3.4
conservados que so estabelecidos
pelas leis ou regulamentos do pas?
3.5
3.6
3.7
3.8
3.9
3.10
15
15
100%
15
33%
15
10
67%
67%
15
10
67%
15
33%
100%
306
Existem diretrizes sobre a reteno,
3.11 armazenagem, manuseio e descarte de
registros e informaes?
Existe um programa de reteno que
identifique os tipos dos registros
3.12
essenciais e por quanto tempo eles
devem ser conservados?
mantido um inventrio das fontes de
3.13
informaes-chave?
Foram implementados controles de
segurana apropriados para proteger
3.14
registros e informaes essenciais
contra perda, destruio e falsificao?
100%
100%
15
33%
15
33%
30
15
50%
15
10
67%
15
33%
307
APNDICE D
308
Poltica de segurana
Segurana organizacional
Segurana em pessoas
309
No
0: Ausncia total
1: Presena inexpressiva
2: Presena parcial
3: Presena total
Sim
Valores:
METODOLOGIA DA ANLISE:
Anlise on-site:
310
Observaes:
311
De acordo,
_______________________
Electra
312
ANEXO A
313
Presidncia da Repblica
Casa Civil
Subchefia para Assuntos Jurdicos
DECRETO No 3.505, DE 13 DE JUNHO DE 2000.
Institui a Poltica de Segurana da
Informao nos rgos e entidades da
Administrao Pblica Federal.
O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art.
o
84, inciso IV, da Constituio, e tendo em vista o disposto na Lei n 8.159, de 8 de
o
janeiro de 1991, e no Decreto n 2.910, de 29 de dezembro de 1998,
DECRETA:
o
314
315
316
317
Jos Serra
Alcides Lopes Tpias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
Publicado no D.O. de 14.6.2000
318
Lei 2.572
LEI N 2.572, DE 20 DE JULHO DE 2000
Dispe sobre a preveno das entidades pblicas do Distrito Federal
com relao aos procedimentos praticados na rea de informtica.
O GOVERNADOR DO DISTRITO FEDERAL, FAO SABER QUE A
CMARA LEGISLATIVA DO DISTRITO FEDERAL DECRETA E EU
SANCIONO A SEGUINTE LEI:
CAPTULO I
DOS PRINCPIOS QUE REGULAM AS CONDIES DE SEGURANA DA
TECNOLOGIA DA INFORMAO E DE INFORMAO COMO FONTE DE
DADOS
Art. 1 As entidades pblicas do Distrito Federal devem promover a segurana da
informao, mediante a garantia da disponibilidade, integridade, confiabilidade e
legalidade das informaes que suportam os seus processos operacionais.
Art. 2 A garantia da disponibilidade deve ser de forma preventiva e abranger os
aspectos fsicos, lgicos e tcnicos.
CAPTULO II
DOS PRINCPIOS DA PROTEO PREVENTIVA DA INFORMAO
Seo I
Da Segurana Fsica
Art. 3 A proteo fsica dos equipamentos, servidores de rede, telecomunicao e
outros deve ser garantida mediante o acondicionamento em ambientes ou
compartimentos e controle de acesso adequados. Pargrafo nico. Entende-se por
ambiente adequado aquele que proteja os equipamentos crticos de informtica e
informaes vitais segundo exigncias mnimas de temperatura e umidade, ou seja,
20C e 85% de umidade relativa do ar.
Seo II
Da Segurana Lgica
Art. 4 A proteo lgica dos sistemas deve ser garantida mediante a definio dos
papis dos usurios e das regras de acesso informao, respeitados os critrios de
garantia dos direitos individuais e coletivos de privacidade e segurana de pessoas
fsicas e jurdicas.
Seo III
Da Proteo de Dados e Programas
319
320
Seo II
Da Negligncia ou Omisso de Informaes
Art. 10. Negligenciar ou omitir informaes no tratamento, guarda e manuseio dos
sistemas e redes de computadores e dados.
Seo III
Da Alterao de Dados ou Programas de Computador
Art. 11. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou
parcialmente, dados ou programas de computador, de forma indevida ou no
autorizada.
Seo IV
Do Acesso ou da Obteno Indevidos ou No Autorizados de Dados ou Instruo
de Computador
Art. 12. Obter acesso, manter ou fornecer a terceiro, dados, instruo ou qualquer
meio de identificao ou acesso a computador ou a rede de computadores, de forma
indevida ou no autorizada.
Seo V
Da Alterao de Senha ou Mecanismo de Acesso a Programa de Computador ou
Dados
Art. 13. Apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou no autorizada.
Seo VI
Da Violao de Segredos Armazenados em Computador, Meio Eletrnico de
Natureza Magntica, ptica ou Similar
Art. 14. Obter segredos das entidades de que trata esta Lei, da indstria ou do
comrcio, ou informaes pessoais armazenadas em computador, rede de
computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma
indevida ou no autorizada.
Seo VII
Da Criao, do Desenvolvimento e da Insero em Computador de Dados ou
Programa de Computador com Fins Nocivos
Art. 15. Criar, desenvolver ou inserir dados ou programa em computador ou rede
de computadores, de forma indevida ou no autorizada, com a finalidade de apagar,
destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer
forma dificultar ou impossibilitar, total ou parcialmente, a utilizao de computador
ou rede de computadores.
Seo VIII
Da Veiculao de Pornografia por Meio de Rede de Computadores
Art. 16. Disseminar servio ou informao de carter pornogrfico em rede de
computadores, sem exibir previamente, de forma facilmente visvel e destacada,
aviso sobre a sua natureza, indicando o seu contedo.
CAPTULO V
DISPOSIES FINAIS
321
322
ANEXO B
323
GLOSSRIO
propagao
pelas
aberturas
nos
demais
ambientes.
(http://www.reffibra.com.br/Firevent.htm, 2004).
Insuflamento:
Ato
de
insuflar;
encher
de
ar,
soprando.
(http://www.priberam.pt/dlpo/definir_resultados.aspx).
Multiplexador: Dispositivo cuja funo multiplexar sinais permitindo a sua
transmisso em um mesmo meio de transmisso. (http://www.teleco.com.br).
Risco: lat.Perigo ou possibilidade de perigo. jur. Possibilidade de perda ou
responsabilidade pelo dano. (Dicionrio Aurlio 2a Edio, p.1512).
Segurana: 1. Ato ou efeito de segurar. 2. Estado, qualidade ou condio de
seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza,
convico. (Dicionrio Aurlio 2a Edio, p.1563).
Sprinkler: pulverizador, regador; extintor de incndio; carro de irrigao;
vaporizador; disperso, espalhado (http://www1.uol.com.br/babylon, 2004).
Time lapse: O Time Lapse um aparelho utilizado para gravao de imagens.
um aparelho semelhante ao vdeo cassete e tem capacidade mdia de gravao de 960
horas consecutivas. (Fonte: http://www.aemp.com.br, 2004).