Guia de Seguranca Informacao Usuario

Ministrio do Planejamento Oramento e Gesto
Secretaria de Logstica e Tecnologia da Informao

Departamento de Servios de Rede
Coordenao de Servios de Redes
Guia de Referencia para a

Segurana da Informao
Usurio Final
28/07/2005
Introduo .............................................................................................................................. 3
1. Fundamentos e Conceitos de Poltica de Segurana................................... 4
2. Recomendaes Gerais .............................................................................................. 7
2.1 Recomendaes para o uso aceitvel dos recursos de TI ...................... 7
2.2 Recomendaes para o uso seguro dos recursos de TI ........................... 7
2.3 Recomendaes sobre atividades permitidas............................................... 9
2.4 Recomendaes sobre atividades NO permitidas ................................ 9
3. Recomendaes Especficas ................................................................................. 11
3.1 Recomendaes para controle de acesso ..................................................... 11
3.2 Recomendaes para a Utilizao do Correio Eletrnico ................... 14
Corporativo ......................................................................................................................... 14
3.3 Recomendaes para a Utilizao de Aplicaes Corporativas e ... 16
Software de Terceiros .................................................................................................... 16
3.4 Recomendaes para a Manipulao das Informaes ....................... 20
3.5 Responsabilidade dos rgos Pblicos ........................................................ 21
Anexo I - Glossrio de Termos Tcnicos ............................................................ 22
Anexo II - Referncias de Legislao ................................................................... 30
Anexo III Exemplo de Termo de Confidencialidade ................................. 31
Verso: 1.0 - SLTI/Coordenao de Segurana da Informao
28/07/2005
Introduo
O presente guia tem como objetivo a criao de um instrumento de referncia

para a implantao de um ambiente informacional mais seguro nos rgo e instituies
pblicas, facilitando desta forma os processos de gesto e controle. A segurana da
informao tende a se tornar um tema permanente na agenda de atividades do Frum
de CGMIs, institudo pelo Decreto N 1048/94 que estabelece o sistema de informao
e informtica, no qual questes estratgicas da rea de Tecnologia da Informao TI,
so tratadas e discutidas de maneira a aprimorar os mecanismos de gesto
governamental, visando a melhoria continua da qualidade dos processos internos e
servios prestados ao cidado.
Questes relacionadas com segurana da informao devem ser tratadas como

tema sensvel nas organizaes governamentais.
Observa-se atualmente um grande desnvel cultural e tecnolgico entre os

rgos que formam a Administrao Pblica Federal APF.
Com o objetivo de promover e motivar a criao de uma cultura de segurana da

informao, na dimenso de usurio final proposto o presente guia de referencia. De
maneira complementar sero desenvolvidos dois guias adicionais cuja abrangncia
ser a dimenso tcnica e a gerencial.
O objetivo deste guia, que ele sirva como referencia, na rea de segurana da
informao, para as unidades responsveis pela gesto de TI, nos rgos e instituies
publicas que formam a APF. A dimenso considerada a de usurio final. Estas
entidades pblicas podero desenvolver guias de melhores prticas, considerando o
seu contexto de atuao e observando sempre o disposto na legislao vigente, bem
como nos padres de interoperabilidade do Governo Eletrnico e-PING.
Como um guia relacionado com uma rea tecnolgica bem definida, segurana
da informao, importante que o mesmo seja revisto anualmente, sob a coordenao
28/07/2005
do MPOG/SLTI/DSR/Coordenao de Segurana da Informao, com vista a sua

atualizao, adequao tecnolgica e legal.
Utilizando a idia da criao de uma ampla rede de colaboradores, torna-se

possvel a criao, dentro deste ambiente cooperativo, de grupos tcnicos temticos na
rea de segurana, sob demanda, com total envolvimento institucional. Estes grupos
podero interagir com outras aes em andamento na APF, evitando o re-trabalho e
promovendo a racionalizao de gastos nesta rea.
1. Fundamentos e Conceitos de Poltica de Segurana
Para a implementao de controles de segurana faz-se necessria a criao de

um processo de gesto da segurana da informao. Este processo deve considerar o
incentivo definio de polticas de segurana, cujos escopos devem abarcar o
gerenciamento de riscos baseado em analise quantitativa e qualitativa, como analises
de custo benefcio e programas de conscientizao.
A gesto da segurana da informao inicia-se com a definio de polticas,

procedimentos, guias e padres.
As polticas podem ser consideradas como o mais alto nvel de documentao

da segurana da informao, enquanto nos nveis mais baixos podemos encontrar os
padres, procedimentos e guias. Isto no quer dizer que as polticas sejam mais
importantes que os guias, procedimentos e padres.
As polticas superiores devem ser definidas em primeiro lugar por questes

estratgicas, enquanto os outros documentos seguem como elementos tticos, como
uma poltica de segurana para firewall, que se refere a controles de acessos e lista de
roteamento de informaes.
28/07/2005
O primeiro documento a ser definido deve conter o comprometimento da alta

administrao, deixando clara a importncia da segurana da informao e dos
recursos computacionais para a misso institucional. uma declarao que
fundamenta a segurana da informao na totalidade da instituio. Deve conter ainda
a autorizao para a definio dos padres, procedimentos e guias de mais baixo nvel.
As polticas de alerta no so mandatrias, mas so fortemente incentivadas,

normalmente incluindo as conseqncias da no conformidade com as mesmas.
A poltica informativa aquela que existe simplesmente para informar aos

usurios de um determinado ambiente. No implicam necessariamente em requisitos
especficos, e seu publico alvo pode ser determinados setores somente ou ate mesmo
parceiros externos. Possuindo carter genrico, pode ser distribuda para parceiros
externos, como fornecedores, por exemplo, que acessam a rede da instituio, sem
que isso acarrete o comprometimento da informao interna.
Os regulamentos de segurana so polticas que uma instituio deve

implementar em conformidade com legislao em vigor, garantindo aderncia
padres e procedimentos bsicos de setores especficos.
Os padres especificam o uso uniforme de determinadas tecnologias.

Normalmente so mandatrios e implementados atravs de toda a instituio, a fim de
proporcionar maiores benefcios.
Os fundamentos ou princpios so semelhantes aos padres, com pequena

diferena. Uma vez que um conjunto consistente de fundamentos seja definido, a
arquitetura de segurana de uma instituio pode ser planejada e os padres podem
ser definidos. Os fundamentos devem levar em conta as diferenas entre as
plataformas
existentes,
para
garantir
que
segurana
seja
implementada
uniformemente em toda a instituio. Quando adotados, so mandatrios.
Os guias so similares aos padres, embora mais flexveis, se referindo a

metodologias para os sistemas de segurana, contendo apenas aes recomendadas e
no mandatrias. Consideram a natureza distinta de cada sistema de informao.
28/07/2005
Podem ser usados para especificar a maneira pela qual os padres devem ser
desenvolvidos, como quando indicam a conformidade com certos princpios da
segurana da informao.
Os procedimentos contm os passos detalhados que devem ser seguidos para a

execuo de tarefas especficas. So aes detalhadas que os funcionrios envolvidos
devem seguir. So considerados como inseridos no mais baixo nvel em uma cadeia de
polticas. O seu propsito fornecer os passos detalhados para a implementao das
polticas, padres e guias. Tambm podem ser chamados de prticas.
As responsabilidades devem estar relacionadas com o perfil de cada funcionrio

envolvido no processo, como nos exemplos listados a seguir:
Gerentes de mais alto nvel Esto envolvidos com toda a responsabilidade da

segurana da informao. Podem delegar a funo de segurana, mas so visto
como o principal ponto quando so consideradas as responsabilizaes por
eventos relacionados com a segurana;
Profissionais de segurana dos sistemas de informao Recebem da gerncia

de mais alto nvel a responsabilidade pela implementao e manuteno da
segurana. Esto sob sua responsabilidade o projeto, a implementao, o
gerenciamento e a reviso das polticas, padres, guias e procedimentos;
Possuidores de dados So responsveis pela classificao da informao.

Podem tambm ser responsabilizados pela exatido e integridade das
informaes;
Usurios Devem aderir s determinaes definidas pelos profissionais de

segurana da informao;
Auditores de sistemas de informao So responsveis pelo fornecimento de

relatrios para a gerencia superior sobre a eficcia dos controles de segurana,
consolidados atravs de auditorias independentes e peridicas. Tambm analisam se
28/07/2005
as polticas, padres, guias e procedimentos so eficazes e esto em conformidade

com os objetivos de segurana definidos para a instituio.
2. Recomendaes Gerais
2.1 Recomendaes para o uso aceitvel dos recursos de TI
O uso correto e responsvel dos recursos de TI deve ser aplicado a todos

os usurios da APF, inclusive aos externos, servidores e prestadores de
servio, que utilizam esses recursos e a infra-estrutura disponvel.
Somente atividades lcitas, ticas e administrativamente admitidas devem

ser realizadas, pelo usurio, no mbito da infra-estrutura de TI, ficando os
transgressores sujeitos Lei Penal, Civil e Administrativa, na medida da
conduta, dolosa ou culposa, que praticarem.
Os documentos produzidos por intermdio dos sistemas de TI so de

propriedade da Administrao Pblica Federal. De igual modo, os programas
desenvolvidos para a APF, por servidores do quadro ou prestadores de servio.
Os sistemas de TI devero ser utilizados sem violao dos direitos de

propriedade intelectual de qualquer pessoa ou empresa, como marcas e
patentes, nome comercial, segredo empresarial, domnio na Internet, desenho
industrial ou qualquer outro material, que no tenha autorizao expressa do
autor ou proprietrio dos direitos, relativos obra artstica, cientfica ou literria.
As informaes pertencentes ao rgo ou instituio pblica da APF ou

sob salvaguarda destes devem ser utilizadas apenas para os propsitos
definidos na sua misso institucional.
2.2 Recomendaes para o uso seguro dos recursos de TI

28/07/2005
O envolvimento do usurio importante no processo da segurana dos

recursos de TI, pois na adequada utilizao destes recursos, como
instrumento de trabalho, que se inicia a formao de uma slida cultura de
Desta forma, recomenda-se aos usurios a adoo das seguintes prticas:

1. Fazer regularmente cpias de segurana de seus dados;
2. Manter registro das cpias de segurana;
3. Guardar as cpias de segurana em local seguro e distinto daquele onde
se encontra a informao original;
4. Utilizar senhas que contenham, pelo menos, oito caracteres, compostos
de letras, nmeros e smbolos, evitando o uso de nomes, sobrenomes,
nmeros de documentos, placas de carros, nmeros de telefones, datas
que possam ser relacionadas com o usurio ou palavras constantes em
dicionrios;
5. Alterar periodicamente suas senhas;
6. Utilizar criptografia sempre que enviar ou receber dados com informaes
sensveis;
7. Certificar a procedncia do stio e a utilizao de conexes seguras
(criptografadas) ao realizar transaes via web;
8. Verificar se o certificado do stio ao qual se deseja acessar, esta integro e
corresponde realmente aquele stio, observando ainda, se o mesmo est
dentro do prazo de validade;
9. Certificar que o endereo apresentado no navegador corresponde ao stio
que realmente se quer acessar, antes de realizar qualquer ao ou
transao;
10.
Digitar no navegador o endereo desejado e no utilizar links como
recurso para acessar um outro endereo destino;
28/07/2005
11.
No abrir arquivos ou executar programas anexados a e-mails, sem
antes verific-los com um antivrus;

12.
No utilizar o formato executvel em arquivos compactados, pois
estes tipos so propcios propagao de vrus.
2.3 Recomendaes sobre atividades permitidas

1. Utilizar programas de computador licenciados para uso pelo rgo
pblico, de acordo com as disposies especficas previstas em
contrato. A instalao de programas e sistemas homologados
atribuio da administrao de sistemas e TI;
2. Criar, transmitir, distribuir, disponibilizar e armazenar documentos, desde
que respeite s leis e regulamentaes, notadamente quelas referentes
aos crimes informticos, tica, decncia, pornografia envolvendo
crianas, honra e imagem de pessoas ou empresas, vida privada e
intimidade;
3. Fazer cpia de documentos e ou programas de computador a fim de
salvaguard-los, respeitada a legislao que rege a salvaguarda de
dados, informaes, documentos e materiais sigilosos no mbito da
Administrao Pblica Federal, exigindo-se autorizao para aqueles
protegidos pelos direitos autorais, inclusive msicas, textos, documentos
digitalizados e qualquer contedo encontrado em revistas, livros ou
quaisquer outras fontes protegidas por direitos autorais.
2.4 Recomendaes sobre atividades NO permitidas

1. Introduzir cdigos maliciosos nos sistemas de TI;
2. Revelar cdigos de identificao, autenticao e autorizao de uso
pessoal (conta, senhas, chaves privadas etc) ou permitir o uso por
terceiros de recursos autorizados por intermdio desses cdigos;
28/07/2005
3. Divulgar ou comercializar produtos, itens ou servios a partir de qualquer

recurso dos sistemas de TI;
4. Tentar interferir ou interferir desautorizadamente em um servio,
sobrecarreg-lo ou, ainda, desativ-lo, inclusive aderir ou cooperar com
ataques de negao de servios internos ou externos;
5. Alterar registro de evento dos sistemas de TI;
6. Modificar cabealho de qualquer protocolo de comunicao de dados;
7. Obter acesso no autorizado, ou acessar indevidamente dados,
sistemas ou redes, incluindo qualquer tentativa de investigar, examinar
ou testar vulnerabilidades nos sistemas de TI;
8. Monitorar ou interceptar o trfego de dados nos sistemas de TI, sem a
autorizao de autoridade competente;
9. Violar medida de segurana ou de autenticao, sem autorizao de
autoridade competente;
10. Fornecer
informaes
terceiros,
sobre
usurios
ou
servios
disponibilizados nos sistemas de TI, exceto os de natureza pblica ou

mediante autorizao de autoridade competente;
11. Fornecer dados classificados de acordo com a legislao vigente, sem
autorizao de autoridade competente;
12. Armazenamento ou uso de jogos em
computador ou sistema
informacional dos rgos e instituies da APF;

13. Uso de recurso informacional da entidade pblica para fins pessoais,
incluindo entre estes o comrcio, venda de produtos ou engajamento
em atividades comerciais de qualquer natureza;
14. Uso de aplicativos no homologados nos recursos informacionais do
rgo Pblico.
10
28/07/2005
3. Recomendaes Especficas
3.1 Recomendaes para controle de acesso
1. O acesso a informaes rotuladas como pblicas e uso interno no
restringido com controles de acesso que discriminam o usurio.
Por outro lado, o acesso s informaes confidenciais ou restritas
ser permitido apenas quando uma necessidade de trabalho tiver
sido identificada e tal acesso aprovado pela unidade responsvel.
Da mesma forma, o acesso a alguns equipamentos de hardware
e/ou software especiais (como equipamentos de diagnstico de
rede chamados sniffers) deve ser restrito a profissionais
competentes, com uso registrado e baseado nas necessidades do
rgo.
2. Recursos automticos Ser dado a todos os usurios,

automaticamente, o acesso aos servios bsicos como correio
eletrnico, aplicaes de produtividade e browser WEB. Estas
facilidades bsicas iro variar de acordo com os cargos e sero
determinadas pela autoridade competente em cada rgo pblico.
Todos os outros recursos dos sistemas sero providos via perfis de
trabalho ou por uma solicitao especial feita ao proprietrio da
informao envolvida. A existncia de acessos privilegiados, no
significa por si s, que um individuo esteja autorizado a usar esses
privilgios. Se os usurios tiverem quaisquer questes sobre
controle de acessos privilegiados, devero direcionar suas
perguntas unidade competente dentro do rgo Pblico.
3. Solicitao de acesso As solicitaes para novas identificaes

de usurios e alteraes de privilgios devem ser feitas por escrito
e aprovadas pela chefia imediata do usurio antes que um
administrador de sistema realize tal solicitao. Os usurios devem
declarar, claramente, porque so necessrias alteraes em seus
privilgios e a relao de tais alteraes com as atividades
exercidas.
11
28/07/2005
4. O processo de aprovao do acesso deve ser iniciado pelo superior

do usurio e os privilgios garantidos continuaro em efeito at que
o usurio mude suas atividades ou deixe o rgo Pblico. Se um
desses dois eventos ocorrer, o superior hierrquico tem que
notificar imediatamente a unidade responsvel. Todos aqueles que
no
so
usurios
diretos
do
rgo
Pblico
(contratados,
consultores, temporrios, etc) tm que se submeter a um processo

semelhantes atravs de seus gerentes de projetos. Os privilgios
destas pessoas devero ser imediatamente revogados quando da
finalizao do projeto. O mesmo dever ser observado no
desligamento antecipado, considerando ainda a responsabilizao
pelas atividades e atos cometidos durante a sua permanncia no
rgo Pblico.
5. Os privilgios para todos os usurios dos servios da rede devero

ser revistos a cada seis meses.
6. Termo de Responsabilizao e Sigilo Todos os usurios que

desejam usar os sistemas de rgo Pblico devem assinar este
termo antes da criao de uma identificao de usurio. Nos casos
em que o usurio j possua a identificao e acesso, mas que
ainda no tenha assinado tal termo, a assinatura do termo deve ser
obtida em carter de urgncia. A assinatura deste termo indica que
o usurio em questo entende e concorda com
as polticas,
padres, normas e procedimentos do rgo Pblico relacionados

ao ambiente de TI (incluindo as instrues contidas neste
documento), bem como as implicaes legais decorrentes do no
cumprimento do disposto no termo.
7. Senha de Acesso As senhas de acesso so controles de

segurana essenciais para os sistemas de segurana do ambiente
de TI da Administrao Pblica Federal. Para garantir que os
sistemas de segurana faam a parte do trabalho para o qual eles
12
28/07/2005
foram desenvolvidos, os usurios devem escolher senhas que

sejam difceis de serem deduzidas.
8. Proibio de Senhas de Acesso Cclicas Os usurios dos

recursos de TI devem utilizar sempre novas senhas e o histrico
das senhas j utilizadas deve ser mantido pela gerencia de redes
9. Senha de fcil memorizao Os usurios podem escolher senhas

de fcil memorizao, mas que sejam ao mesmo tempo difceis de
serem descobertas por outras pessoas. Por exemplo:

Encadear vrias palavras formando o que conhecido como

frases de acesso.
Combinar nmeros e pontuao em uma palavra regular.
Criar acrnimos a partir de palavras de msica, um poema
ou uma outra seqncia de palavras conhecidas.
10. Senha de Boot Todas as estaes de trabalho utilizadas no

rgo Pblico, no importando sua localizao fsica, deve ter seu
acesso controlado a partir de um sistema de controle de acesso
definido pela unidade competente e que esteja em conformidade
com os requisitos de segurana do rgo Pblico.
11. Em caso suspeita de exposio indevida do ambiente de TI do

rgo
Pblico,
todas
as
senhas
de
acesso
devem
ser
imediatamente alteradas.
12. Os usurios devem possuir orientao sobre a manuteno sigilosa

das suas senhas de acesso e as responsabilidades envolvidas com
o mal uso das mesmas.
13. Independente das circunstncias, as senhas de acesso no devem

ser compartilhadas ou reveladas para outras pessoas que no o
usurio autorizado, ficando o proprietrio da senha responsvel
legal por qualquer prtica indevida cometida.
13
28/07/2005
14. Em caso de comprometimento comprovado da segurana do

ambiente de TI por algum evento no previsto, todas as senhas de
acesso devero ser modificadas.
segura do sistema operacional
Nestes eventos uma verso

assim como dos softwares de
segurana devero ser baixados novamente. Da mesma forma, sob

uma dessas circunstancias, todas as alteraes recentes de
usurios e privilgios do sistema devem ser revisadas a fim de
detectar modificaes no autorizada de dados. Alm destas
aes, o responsvel pela segurana da informao do rgo
Pblico poder interagir com o rgo de Resposta a Incidentes do
Governo Federal CTIR-Gov (www.ctir.gov.br).
15. Todos os usurio tm que ser corretamente identificados antes de

estarem aptos a utilizar qualquer atividade em computador ou
recursos do ambiente de TI.
16. Qualquer computadores que tenham comunicao remota
em
tempo real com os sistemas de TI do rgo Pblico devem se

submeter ao mecanismo de controle de acesso definido pela
unidade competente, levando-se sempre em considerao os
privilgios necessrios ao acesso a cada tipo de informao.
17. Os computadores com informaes sensveis e/ou classificadas

devero, obrigatoriamente, ser desligados ou bloqueados na
ausncia do usurio.
18. Quando os equipamentos ou contas de usurio no estiverem em

uso deveram ser imediatamente bloqueados ou desligados.
3.2 Recomendaes para a Utilizao do Correio Eletrnico

Corporativo
1. Deve ser vedado o acesso no autorizado s caixas postais de
terceiros e as tentativas de acesso devero ser registradas em log,
14
28/07/2005
inclusive acessos feitos indevidamente por administradores de

sistemas;
2. Deve ser vedado o envio de informaes crticas para pessoas ou
organizaes no
autorizadas observando quando for o caso,
orientaes para o tratamento de informaes classificadas;
3. Deve ser vedado o envio de material obsceno, ilegal ou no tico,

envio
de
propaganda, mensagem
do
tipo
corrente
de
entretenimento, relacionadas com nacionalidade, raa, orientao

sexual, religiosa, convico poltica ou qualquer outro assunto que
possa vir a difamar o usurio como cidado e que no tenha
relao com o servio a que o usurio destinado no ambiente do
TI do rgo Pblico;
4. Deve ser vedado o envio de mensagens simultneas aos usurios

da rede, exceto por intermdio da administrao desta;
5. Deve ser vedado a participao em Listas de Discusso, utilizando

o servio de Correio Eletrnico Corporativo, que possam abordar
assuntos alheios ao rgo Pblico, suas diretorias e suas
gerncias, exceto em casos de participao em Listas de
Discusso
sobre
assuntos
relacionados
atividades
desenvolvidos no rgo pblico;
6. necessrio o registro por parte do usurio, enquanto funcionrio

do rgo Pblico, das listas de discusso em que se encontra
inserido, para fins de controle e possvel cancelamento quando
houver necessidade;
7. recomendada a utilizao de Assinatura Digital, para o envio de

mensagens internas via Correio Eletrnico Corporativo quando do
tramite
de
informaes
classificadas,
seguindo
sempre
legislao vigente que trata deste assunto.
15
28/07/2005
8. O Correio Eletrnico do rgo Pblico deve ser utilizado sempre

baseado no bom senso e de acordo com os preceitos legais.
3.3 Recomendaes para a Utilizao de Aplicaes Corporativas e

Software de Terceiros
1. Deve ser vedado aos usurios que fazem uso de sistemas de
informao o acesso no autorizado a qualquer outro sistema que
no possua permisso de uso, assim como a danificao, a
alterao a interrupo da operao de qualquer sistema do
ambiente de TI. Da mesma maneira deve ser vedado aos usurios
a obteno indevida de senhas de acesso, chaves criptogrficas ou
qualquer outro mecanismo de controle de acesso que possa
possibilitar o acesso no autorizado a recursos informacionais;
2. A classificao ou reclassificao da informao deve seguir as

orientaes da legislao vigente, assim como aquelas regras
definidas pelo Decreto N 4553 ou sua atualizao;
3. Deve ser vedado aos usurios o acesso, modificao, a remoo

ou a cpia de arquivos que pertenam a outro usurio sem a
permisso expressa do mesmo;
4. O rgo pblico deve se reservar o direito de revogar os privilgios

de usurio de qualquer sistema e a qualquer momento. No sendo
permitidas condutas que interfiram com a operao normal e
adequada dos sistemas de informao do rgo Pblico e que
adversamente afetem a capacidade de outras pessoas utilizarem
esses sistemas de informao, bem como condutas que sejam
prejudiciais e ofensivas;
5. Deve ser vedado aos usurios a execuo de testes ou tentativas

de comprometimento de controles interno, este tipo de pratica
somente pode ser permitada a usurios tcnico, em situaes nas
16
28/07/2005
quais esteja ocorrendo monitorao e analise de riscos, com a

autorizao da unidade competente;
6. Deve ser exigido a assinatura de termo de confidencialidade antes

que seja fornecido o acesso aos sistemas governamentais
relacionados com a cadeia de privilgios do usurio.
7. As configuraes e atribuio de parmetros em todos os

computadores conectados rede do rgo Pblico devem estar de
acordo com as polticas e normas de gerenciamento internas.
8. Quando um usurio do desligamento do usurio, seus arquivos

armazenados em estao de trabalho ou em qualquer servidor de
rede do rgo Pblico e, tambm, seus documentos em papel
devem ser imediatamente revisados pela chefia imediata para
determinar
quem
tornar-se-
curador
das
informaes
relacionadas, assim como nos casos devidos, identificar o mtodo

mais adequado para a eliminao das mesmas, levando-se em
conta
as
orientaes
sobre
eliminao
de
informaes
classificadas contidas na legislao vigente.
9. Todas as atividades dos usurios que podem afetar os sistemas de

informao governamentais devem ser possveis de reconstituio
a partir dos logs de maneira a evitar ou dissuadir o comportamento
incorreto. Estes procedimentos devem contar inclusive com
mecanismos de responsabilizao claros e amplamente divulgados
nos meios de comunicao internos.
10. A divulgao das regras e orientaes de segurana aplicadas aos

usurios finais devero ser objeto de campanhas internas
permanentes, seminrios de conscientizao e quaisquer outros
meios de maneira a criar uma cultura de segurana dentro da
instituio pblica.
17
28/07/2005
11. Deve ser vedada a utilizao de software da Internet ou de

qualquer outro sistema externo ao rgo Pblico. Esta proibio
necessria porque tal software pode conter vrus, worms, cavalos
de tria e outros softwares maliciosos que podem comprometer o
ambiente de TI. Caso haja uma legtima necessidades de obteno
de aplicaes de terceiros o fato deve ser comunicado unidade
competente para que a mesma estabelea os procedimentos de
segurana necessrios.
12. Deve ser vedada a utilizao de disquetes de origem externa, nas

estaes de trabalho do rgo Pblico ou nos servidores de rede
antes de serem submetidos a um sotware antivrus.
13. Todos os softwares e arquivos transferidos de fontes que no

sejam do prprio rgo Pblico via Internet (ou qualquer outra rede
Pblica) devem ser examinados com o software de deteco de
vrus utilizado pelo Ministrio. Este exame deve acontecer antes
que o arquivo seja executado ou aberto por um outro programa,
como por exemplo, por um processador de texto e tambm, antes e
depois que o material tenha sido descompactado.
14. O usurio do ambiente de TI de rgo Pblico no deve executar

ou desenvolver qualquer tipo de programa ou processo externo s
suas atividades.
15. Os usurios no devem desenvolver, gerar, compilar, copiar,

coletar, propagar, executar ou tentar introduzir qualquer cdigo
projetado para se auto-replicar, danificar ou de outra maneira
obstruir o acesso ou afetar o desempenho de qualquer computador,
rede ou sistema de TI da APF.
16. Deve ser vedado aos usurios e visitantes fumar, comer ou beber
prximo aos equipamentos de TI.
18
28/07/2005
19
28/07/2005
3.4 Recomendaes para a Manipulao das Informaes

1. A palavra usurio ser utilizada para designar todos utilizadores
do ambiente de TI, independente do cargo ocupado;
2. Instrues claras e bem divulgadas sobre normas existentes sobre
a manipulao de informaes;
3. Todos os usurios tm que observar as exigncias para
manipulao da informao, baseadas no tipo de informao
considerada e que ser definida pelo seu proprietrio (ou
responsvel) seguindo as orientaes encontradas no documento
de Poltica de Segurana de cada rgo ou instituio. Os
proprietrios podem atribuir controles adicionais para maior
restrio de acesso ou para ampliar a proteo a suas informaes.
4. A divulgao de informaes CONFIDENCIAL ou RESTRITA, para
qualquer pessoa (usurio ou no do ambiente de TI do rgo ou
instituio), proibida, a menos que este acesso tenha sido
previamente autorizado pelo proprietrio da informao. Todas as
pessoa que no forem usurios diretos do rgo ou instituio
devem assinar um termo de confidencialidade antes de terem
acesso
a esses tipos de informao. Os curadores dessas
informaes devem verificar a existncia deste termo, devidamente

assinado, antes de divulg-las para pessoas que no pertenam ao
quadro funcional do rgo ou instituio. O acesso a este tipo de
informao deve ser sempre devidamente registrado.
5. A reproduo da informao CONFIDENCIAL e/ou
RESTRITA,
incluindo a impresso de cpias adicionais, no permitida a

menos que seja explicitamente autorizada por seu proprietrio. Da
mesma forma, trechos, resumos, tradues ou qualquer material
derivado de informaes sensveis ou resguardadas por direitos
autorais, no poderam ser feito a menos que o proprietrio da
informao tenha aprovado previamente.
20
28/07/2005
6. O
transporte
fsico
das
informaes
CONFIDENCIAL
e/ou
RESTRITA requer a observao no disposto em legislao

relacionada.
7. Quando as informaes so CONFIDENCIAL e/ou RESTRITAS
no forem mais necessrias e quando exigncias legais ou
regulatrias para sua reteno no se aplicarem mais, elas devero
ser destrudas de acordo com os mtodos aprovados. proibida a
eliminao em latas de lixo ou em depsitos de papel que sero
encaminhados para reciclagem. A informao sensvel em forma de
papel deve ser eliminada com o uso de picotador de papel.
informao sensvel armazenada em disquetes, fitas magnticas ou

outras mdias magnticas computacionais deve ser destruda via
refornatao ou apagando-se a informao caso a mdia seja
reutilizada por outros sistemas do rgo ou instituio pblica. A
simples remoo de uma informao sensvel armazenada em
uma mdia magntica no suficiente porque a informao pode
ser definitivamente destruda com cortadores ou colocada em um
recipiente especialmente destinado a armazenagem de informao
sensvel que ser destruda.
3.5 Responsabilidade dos rgos Pblicos

de competncia de cada rgo elaborar termo de responsabilidade para
assinatura de seus usurios, objetivando a declarao de conhecimento de suas
normas de segurana.
As transgresses a tais normas devero ser apuradas em conformidade com a
legislao aplicvel.
21
28/07/2005
Anexo I - Glossrio de Termos Tcnicos

A
Ambiente do Stio - Infra-estrutura computacional, de rede e lgica, que compe a
base para o provimento do servio Web..
Arquitetura de Rede uma definio de alto nvel do comportamento e das
conexes entre os ns em uma rede, suficiente para possibilitar a avaliao das
propriedades da rede.
Atacante - Indivduo responsvel pela realizao de um ataque.
Ataque - Ao que constitui uma tentativa delibarada e no autorizada para
acessar/manipular informaes, ou tornar um sistema no confivel, ou indisponvel,
violando assim a poltica de segurana. Um ataque
bem sucedido que resulte no
acesso ou manipulao de informaes, de forma no autorizada, chamado de

invaso.
Ataque de Negao de Servio - Ataque que consiste em impedir o acesso autorizado
a recursos de um sistema, seja atravs de uma grande sobrecarga no processamento
de
dados de um sistema computacional, da saturao de um ponto de
acesso
atravs de um grande trfego de dados para uma rede, ou da indisponibilizao de um

ou mais servios desse sistema.
Atividade Maliciosa - Qualquer atividade que infrinja a poltica de segurana de uma

instituio ou que atente contra a segurana de um sistema computacional.
Autenticao
Procedimento utilizado na identifio de usurios, dispositivos ou
processos, e que pr-requisito para o acesso aos recursos de um sistema.

Autorizao o direito ou permisso de acesso a um recurso de um sistema.
Backdoor - Programa que permite a um invasor retornar a um computador

comprometido. Normalmente este programa colocado de forma a no ser notado.
C
Capacidade de Sobrevivncia (Survivability) - a capacidade de um sistema de
cumprir a sua misso, no momento certo, na presena de ataques, falhas ou incidentes.
22
28/07/2005
Cavalo de Tria - um Programa que alm de executar funes para as quais foi
aparentemente projetado, tambm executa outras funes normalmente maliciosas e
sem o conhecimento do usurio.
Cenrio de Uso - uma instancia do uso de um sistema, tanto o uso legitimo como o
uso em uma invaso.
Cliente - Entidade, normalmente caracterizada por um processo ou programa de

computador, que requisita e utiliza recursos/informaes e interage com um servio
fornecido por um sistema computacional, como por exemplo um servidor Web (ver
Servidor Web, Servio Web).
Cdigo Malicioso - Programa, ou parte de um programa de computador, projetado

especificamente para atentar contra a segurana de um sistema
computacional,
normalmente atravs de explorao de alguma vulnerabilidade desse sistema.
Comprometimento de segurana - uma violao de segurana na qual os recursos

do sistema so expostos, ou potencialmente expostos, a um acesso no autorizado.
Confiana - Atributo de um sistema de informao que prov a base para ter a

confiana de que o sistema opera de forma a cumprir a poltica de segurana.
Confiana (Assurance) Medida de confiana garantida pela arquitetura ou pelas

caractersticas de segurana implementadas em um sistema de informao
automatizado.
Confidencialidade - o requisito que diz que uma informao no disponibilizada ou

revelada para partes no autorizadas.
Contato Tcnico de Segurana - Pessoa ou equipe a ser acionada em caso de

incidente de segurana envolvendo um stio governamental, com atribuies
eminentemente tcnicas sobre a questo.
23
28/07/2005
Correo de Segurana - Software que tm por finalidade corrigir os problemas de

segurana
referentes a vulnerabilidades conhecidas. Tambm chamado de patch,
hot fix ou service pack.
Criptografia - a disciplina que trata dos princpios, meios e mtodos para a

transformao de dados, tornando-os ininteligveis, de forma a possibilitar a deteco
de modificaes no contedo da informao e/ou prevenir seu uso no autorizado.
Controle de Acesso - Mecanismo utilizado para proteger os recursos de um sistema

de acesso no autorizado. Deve permitir, de acordo com uma poltica de segurana,
o acesso somente a entidades autorizadas, como usurios, processos, programas ou
outros sistemas.
Desfigurao de Stio - Ataque que consiste em desfigurar, ou seja, substituir ou

alterar o contedo de uma ou mais pginas Web em um stio. A desfigurao
normalmente conseqncia da explorao bem sucedida de uma vulnerabilidade no
servidor Web que hospeda as pginas do stio.
Deteco de Intruso - Consiste no monitoramento e anlise de eventos em sistemas

computacionais, com o propsito de detectar e prover alertas sobre
tentativas de
acesso no autorizado a recursos destes sistemas.
Direito de Acesso - a permisso dada a uma entidade para acessar e manipular

informaes presentes em um sistema.
Disponibilidade - o requisito que diz que os recursos de um sistema estaro

disponveis para acesso, por entidades autorizadas, sempre que venham a ser
solicitados.
24
28/07/2005
Firewall - Um sistema, constitudo pela combinao de software e hardware, que

intermedia o acesso a uma rede, permitindo ou proibindo certos
tipos de acesso, de
acordo com uma poltica de segurana pr-estabelecida.
Firewall Pessoal - Um sistema utilizado para proteger um nico computador contra

acessos no autorizados. Constitui um tipo especfico de firewall.
I
Incidente de Segurana - Um incidente de segurana caracterizado por qualquer
evento adverso, confirmado ou sob suspeita, relacionado segurana de
sistemas
computacionais ou de redes de computadores. Tentativas de obter acesso no

autorizado a sistemas ou dados, ataques de negao de servio, uso ou acesso no
autorizado a um sistema e desrespeito poltica de segurana ou poltica de uso
aceitvel de uma instituio so exemplos de incidentes de segurana.
Informao de Autenticao - Informao apresentada e utilizada para confirmar a

identidade de uma entidade, como usurios, processos, programas ou sistemas.
Integridade -
o requisito que diz que uma informao no modificada ou
destruda de maneira no autorizada ou acidental.
Intruso - Ver Invaso.
Intruso - Ver Invasor.
Invaso -
Evento ou combinao de eventos que constituem um incidente de
segurana em que um invasor ou um cdigo malicioso obtm acesso a um sistema, ou

a recursos de um sistema, de forma no autorizada.
Invasor - Indivduo responsvel pela realizao de uma invaso.
Irretratabilidade - Garantia de que o emissor de uma mensagem no ir negar

posteriormente a sua autoria ou participao em uma transao.
controlada pela
existncia de uma assinatura digital que somente o emissor pode gerar.

25
28/07/2005
Mecanismo de Controle de Acesso (Access Control Mechanism ) So

mecanismos de hardware ou software, procedimentos operacionais ou gerenciais
usados para detectar e prevenir os sistemas computacionais contra acessos no
autorizados.
Modelo de Uso (Usage Model) a definio de todos os cenrios de utilizao

possveis de um ambiente de sistemas, incluindo o uso legitimo e aquele possvel de
ser explorado por um intruso.
Mecanismos de Controle de Acesso - So mecanismos de hardware ou software, ou

procedimentos operacionais ou gerenciais, usados para proteger os sistemas
computacionais contra acessos no autorizados.
Modo seguro - o conjunto que envolve configuraes, procedimentos e diretrizes

de segurana recomendados por entidades notoriamente reconhecidas na rea de
Negao de Servio o ataque a segurana feito a partir da saturao de um ponto

de acesso de forma que este no disponha de banda passante para o atendimento do
seus usurios legtimos.
rgos Conveniados - So aquelas entidades que no fazem parte das estruturas

organizacionais da Administrao Pblica Federal (APF), e, mediante convnio, utilizam
os servios oferecidos por meio dos Sistemas de TI destas.
26
28/07/2005
rgo Proprietrio do Stio Governamental - Entidade governamental proprietria do

domnio onde se encontram armazenadas as informaes e servios prestados.
Plug-in - Mdulo constitudo por um dispositivo de hardware ou software, queadiciona

uma caracterstica, funcionalidade ou servio especfico a um sistema.
Poltica de Segurana - Atribui direitos e responsabilidades aos indivduos que lidam

com os recursos computacionais de uma instituio e com as informaes
neles
armazenadas. Define as atribuies de cada indivduo em relao segurana dos

recursos com os quais trabalha. Qualquer evento que resulte no descumprimento da
poltica de segurana considerado um incidente de segurana.
Poltica de Uso Aceitvel Documento que define como os recursos computacionais

de uma instituio podem ser utilizados. Tambm define os direitos e responsabilidades
dos usurios destes recursos.
Recursos da Infra-estrutura de TI - Os recursos da infra-estrutura de TI incluem

equipamentos,
utilitrios,
aplicativos,
sistemas
operacionais,
mdias
de
armazenamento, contas em servidores, contas de correio eletrnico, navegao na

Internet e intranet, servio de transferncias de dados, terminal virtual, comunicao
interativa e sistemas de gesto.
Rede Sem Permetro uma rede caracterizada por topologia e funcionalidade que
no podem ser determinadas, assim como pela ausncia de controle centralizado.
27
28/07/2005
Registro de Evento - Conjunto de informaes armazenadas e que esto relacionadas

aos eventos ocorridos em um determinado contexto, como servios Web, autenticao
de usurios, etc.
Requisitos de Sobrevivncia de Servios a definio dos servios essenciais

assim com das funcionalidades relacionadas com a resistncia, reconhecimento,
recuperao e adaptao, e evoluo que so suficientes para se satisfazer os
requisitos necessrios garantia da sobrevivncia do sistema.
Script - Um script consiste em uma lista de comandos que podem ser executados sem
a interao do usurio. Normalmente escrito em
simples, que facilita o seu
servios
uma linguagem de programao
desenvolvimento. bastante utilizado, por exemplo, em
Web, para a realizao de buscas, processamento e fornecimento de
informaes em pginas Web.
Servios de Adaptao e Evoluo So funes que melhoram continuamente a

capacidade do sistema de fornecer os
servios essenciais, melhorando sua
resistncia, capacidade de reconhecimento e recuperao.
Servios Subsidirios
So servios adicionais emisso dos certificados que
suportam a assinatura digital e outros servios relacionados ao comercio eletrnico

como criptografia de dados. Como exemplo deste tipo de servios pode-se citar
servios de diretrio e servios de gerao de pares de chaves. O servio de diretrio
possibilitam que os usurios recuperem certificados e outras informaes sobre
pessoas, como nomes distintos e endereos de e-mail. Servios de gerao de pares
de chaves fornecem aos usurios pares de chaves pblica/privada de alta qualidade
apropriadas para um algoritmo criptogrfico particular.
As chaves privadas so
seguramente destrudas aps a sua gerao de forma a evitar potenciais

comprometimentos.
28
28/07/2005
Servios Essenciais So servios para os usurios de um sistema que devero ser

providos mesmo na presena de um intruso, de falhas ou acidentes.
Servios No Essenciais So servios que podem ser temporariamente suspensos

para permitir que os servios essenciais no sejam interrompidos quando um sistema
esta sob ataque ou invaso.
Servios de Reconhecimento So funes que detectam tentativas e invases.
Servios de Recuperao So funes que possibilitam a recuperao do sistema

aps uma invaso.
Servios de Resistncia So funes e propriedades do sistema que dificultam e

torna dispendiosa uma invaso.
Servio Web - Servio em rede de computadores disponibilizado por meio da Internet.
Servidor Web - Computador encarregado de prover servios web.
Sigilo - Classificao dada a informaes onde apenas entidades autorizadas e

previamente autenticadas podero ter acesso.
Sistema de TI - Sistema de Tecnologia da Informao (TI) o conjunto de elementos

materiais ou intelectuais, colocados disposio dos usurios, em forma de servios ou
bens; que possibilitam a agregao dos recursos de informtica e telecomunicaes de
maneira integrada.
Stio - Endereo eletrnico de servio web.
29
28/07/2005
Anexo II - Referncias de Legislao
3.2 Decreto N 8.183, de 11 de abril de 1991

Dispe sobre a organizao e o funcionamento do Conselho de Defesa
Nacioal.
3.3 Decreto N 1.048, de 21 de janeiro de 1994
Dispe sobre a estrutura e o funcionamento do SISP
3.4 Decreto 3505, de 13 de junho de 2000
Define a poltica de segurana para a Administrao Pblica Federal
3.5 Lei N 9983, de 14 de julho de 2000
Atualiza o cdigo penal e da outras providencias
3.6 Decreto 4553
Define procedimentos para a classificao de informaes sensveis.
3.7 Medida Provisria 2200-2
Define a Infra-estrutura de Chaves Pblicas Brasileira
30
28/07/2005
Anexo III Exemplo de Termo de Confidencialidade

O texto a seguir pode ser adaptado para utilizao em casos
especficos, visando salvaguardar a confidencialidade e o sigilo.
Identificao do rgo, braso, etc....
TERMO DE COMPROMISSO DE MANUTENO DE SIGILO
Eu, ______________________________________________________________,
Portador do documento de identidade n _________________, expedido pela
______________,
CPF
n
________________________,
rgo
de
origem
_____________________________, lotado no(a) _____________________________,
comprometo-me a manter sigilo sobre dados, processos, informaes, documentos e materiais
que eu venha a ter acesso ou conhecimento no mbito do ORGO, em razo das atividades
profissionais a serem realizados e ciente do que preceituam a Lei 10.406, de 10 de janeiro de
2002 (Cdigo Civil), no seu art. 229, inciso I; o Decreto-Lei n 2.848, de 7 de dezembro de
1940 (Cdigo Penal), nos arts. 153, 154, 314, 325 e 327; o Decreto-Lei n 3.689, de 3 de
outubro de 1941 (Cdigo do Processo Penal), no art. 207; a Lei n 5.689, de 11 de janeiro de
1973 (Cdigo de Processo Civil), nos arts. 116, 117, 132 e 243; a Lei n 8.159, de 8 de janeiro
de 1991 (Lei de Arquivos), nos arts. 4, 6, 23 e 25; a Lei n 9.983, de 14 de julho de 2000
(Alterao do Cdigo Penal); o Decreto n 1.171, de 22 de junho de 1994 (Cdigo de tica
Profissional do Servidor Pblico Civil do Poder Executivo Federal); e o Decreto n 4.553, de
27 de dezembro de 2002 (Salvaguarda de dados, informaes, documentos e materiais
sigilosos).
E por estar de acordo com o presente Termo, assino-o na presena das testemunhas abaixo
mencionadas.
Assinatura e
Testemunhas
31

Guia de Seguranca Informacao Usuario

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia de Seguranca Informacao Usuario

Enviado por

Direitos autorais:

Formatos disponíveis

Ministrio do Planejamento Oramento e Gesto

Secretaria de Logstica e Tecnologia da Informao

Guia de Referencia para a

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

O presente guia tem como objetivo a criao de um instrumento de referncia

Questes relacionadas com segurana da informao devem ser tratadas como

Observa-se atualmente um grande desnvel cultural e tecnolgico entre os

Com o objetivo de promover e motivar a criao de uma cultura de segurana da

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

do MPOG/SLTI/DSR/Coordenao de Segurana da Informao, com vista a sua

Utilizando a idia da criao de uma ampla rede de colaboradores, torna-se

1. Fundamentos e Conceitos de Poltica de Segurana

Para a implementao de controles de segurana faz-se necessria a criao de

A gesto da segurana da informao inicia-se com a definio de polticas,

As polticas podem ser consideradas como o mais alto nvel de documentao

As polticas superiores devem ser definidas em primeiro lugar por questes

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

O primeiro documento a ser definido deve conter o comprometimento da alta

As polticas de alerta no so mandatrias, mas so fortemente incentivadas,

A poltica informativa aquela que existe simplesmente para informar aos

Os regulamentos de segurana so polticas que uma instituio deve

Os padres especificam o uso uniforme de determinadas tecnologias.

Os fundamentos ou princpios so semelhantes aos padres, com pequena

uniformemente em toda a instituio. Quando adotados, so mandatrios.

Os guias so similares aos padres, embora mais flexveis, se referindo a

Os procedimentos contm os passos detalhados que devem ser seguidos para a

As responsabilidades devem estar relacionadas com o perfil de cada funcionrio

Gerentes de mais alto nvel Esto envolvidos com toda a responsabilidade da

Profissionais de segurana dos sistemas de informao Recebem da gerncia

Possuidores de dados So responsveis pela classificao da informao.

Usurios Devem aderir s determinaes definidas pelos profissionais de

Auditores de sistemas de informao So responsveis pelo fornecimento de

as polticas, padres, guias e procedimentos so eficazes e esto em conformidade

2.1 Recomendaes para o uso aceitvel dos recursos de TI

O uso correto e responsvel dos recursos de TI deve ser aplicado a todos

Somente atividades lcitas, ticas e administrativamente admitidas devem

Os documentos produzidos por intermdio dos sistemas de TI so de

Os sistemas de TI devero ser utilizados sem violao dos direitos de

As informaes pertencentes ao rgo ou instituio pblica da APF ou

2.2 Recomendaes para o uso seguro dos recursos de TI

O envolvimento do usurio importante no processo da segurana dos

Desta forma, recomenda-se aos usurios a adoo das seguintes prticas:

Digitar no navegador o endereo desejado e no utilizar links como

recurso para acessar um outro endereo destino;

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

No abrir arquivos ou executar programas anexados a e-mails, sem

antes verific-los com um antivrus;

No utilizar o formato executvel em arquivos compactados, pois

estes tipos so propcios propagao de vrus.

2.3 Recomendaes sobre atividades permitidas

2.4 Recomendaes sobre atividades NO permitidas

3. Divulgar ou comercializar produtos, itens ou servios a partir de qualquer

disponibilizados nos sistemas de TI, exceto os de natureza pblica ou

informacional dos rgos e instituies da APF;

Verso: 1.0 - SLTI/Coordenao de Segurana da Informao

2. Recursos automticos Ser dado a todos os usurios,

3. Solicitao de acesso As solicitaes para novas identificaes

4. O processo de aprovao do acesso deve ser iniciado pelo superior

consultores, temporrios, etc) tm que se submeter a um processo

5. Os privilgios para todos os usurios dos servios da rede devero

6. Termo de Responsabilizao e Sigilo Todos os usurios que

padres, normas e procedimentos do rgo Pblico relacionados

7. Senha de Acesso As senhas de acesso so controles de

foram desenvolvidos, os usurios devem escolher senhas que