Você está na página 1de 15

UNIVERSIDADE DO OESTE DE SANTA CATARINA REA DAS CINCIAS EXATAS E DA TERRA CURSO DE ENGENHARIA DA COMPUTAO DISCIPLINA: SEGURANA EM SISTEMAS

CRDITOS: 4 HORAS/AULA: 60 PROFESSOR: TIAGO FAGONDE DE MORAES PERODO LETIVO: 1 SEM DE 2012 FASE: 5 DATA DA ENTREGA: 26/MAIO/2012 EQUIPE: FELIPE SANTOS, WILLIAM C. M., ANA CRISTINA BERTHI, ANDR SIMO NOTA: ______________

POLTICAS DE SEGURANAS UNOESC

Introduo

O presente trabalho foi desenvolvido durante o curso de Engenharia da Computao, na disciplina de Segurana em Sistemas. Nele so listadas algumas normativas que devem ser seguidas, a fim de aumentar a segurana dentro de uma instituio de ensino superior (neste caso, a UNOESC). Tendo como base a norma ISSO 27002, desenvolvemos alguns tpicos com tratativas a respeito da Segurana da Informao.

Objetivo

O objetivo principal deste trabalho desenvolver, a partir da norma ISO 27002, 66 tratativas de segurana da informao que visam ser aplicas na instituio Universidade do Oeste de Santa Catarina. O objetivo de se ter uma norma dentro da instituio de que seus funcionrios a respeitem, e caso isso no ocorra, sejam aplicadas as sanses necessrias.

Tpicos 1 - Anlise/ Avaliao e tratamento de riscos; 2 - Organizando a segurana da informao; 3 - Gesto de ativos; 4 - Segurana em recursos humanos; 5 - Segurana fsica e do ambiente; 6 - Gerenciamento das operaes e comunicaes 7 - Controle de acessos; 8 - Aquisio, desenvolvimento e manuteno de sistemas de informao; 9 - Gesto de incidentes de segurana da informao; 10 - Gesto da continuidade do negcio; 11- Conformidade;

As 6 Tratativas podemos nos basear em uma para cada rea abaixo. Humano Telecomunicaes Gesto da Informao Hardware Software

1 - Anlise/ Avaliao e tratamento de riscos; Humano 1.1 Ser considerado como tentativas de ataques caso qualquer pessoa tente acessar servidores afim de busca de informaes confidenciais e ser tomadas medidas administrativas quanto a mesma.(felipe)

Telecomunicaes 1.2 Os riscos de incidentes de segurana que envolvem em especial, o uso da rede. O UNOESC criou esta norma de segurana da informao para o ambiente educacional a fim de prevenir esses riscos e orientar os usurios de tais tecnologias.(felipe) 1.3 O objetivo da instituio com esta norma, que deve ser observada e seguida pelos usurios de toda a rede, estimular o uso dos recursos tecnolgicos afim de prevenir

vulnerabilidades e preservando as questes legais do negcio da instituio.(felipe)

Gesto da Informao 1.4 A anlise dos riscos deve atuar como ferramenta de orientao ao gestor da segurana da informao, principalmente, no que diz respeito a identificao dos

principais riscos de incidente de segurana aos quais a informao da UNOESC est vulnervel e priorizando a viabilidade dos riscos apontados, tais como implantao de novos controles, criao de novas regras e procedimentos, reformulao de sistemas etc.(felipe)

Hardware 1.5 normativo que a analise/avaliao de riscos em todos os dispositivos de hardwares sejam efetuados atravs de uma manuteno preventiva trimestral, para que se garanta sua integridade.(william)

Software 1.6 normativo que a analise/avaliao de riscos do sistema operacional de todos os computadores sejam efetuados atravs de manuteno preventiva semestral, para que se verifique sua integridade.(william) 1.7 normativo que a analise/avaliao de riscos em todos os softwares utilizados na Empresa sejam obrigatrio o uso de login e senha para identificar os usurios, para que possa ser garantida a integridade das informaes dentro da Empresa. (andr)

2 - Organizando a segurana da informao; Humano 2.1 Todo usurio do sistema ir possuir um espao para armazenar seus arquivos, ser responsvel pelos arquivos contidos l, tais como direitos autorais, em caso de arquivos mal intencionados causando vulnerabilidade no sistema da instituio, ser tomada medidas administrativas.(felipe)

Telecomunicaes 2.2 Manter cautela ao gravar dados em mdia eletrnica (pendrive, por exemplo), devero seguir as regras da respectiva norma de uso do ambiente administrativo afim de evitar ataques ou contaminao das redes da instituio.(ana)

Gesto da Informao 2.3 Quanto a tecnologia da informao da UNOESC, para todos os dispositivos de acesso ao sistema sera permitido um nico login, somente ter acesso a dispositivos desta categoria profissionais autorizados e certificado pelo Gestor De TI da instituio para garantir a integridade do sistema.(felipe)

2.4 A disponibilidade de arquivos atravs dos servidores da instituio tm finalidade educacional e no podem ser copiados ou distribudos sem autorizao prvia do ator ou responsvel.(felipe)

Hardware 2.5 normativo que exija uma equipe interna especializada, com certificao em manuteno de hardware, e disponibilidade 24h, para eventuais atividades referentes a todos dispositivos de hardwares.(william)

Software 2.6 normativo verificar mensalmente se o sistema operacional e todos os softwares instalados no mesmo, estejam sempre atualizados para que se garanta que no haver nenhum incidente de segurana.(william) 2.7 normativo que todos os usurios acessem somente o necessrio para conseguir desempenhar suas funes, em casos especficos, solicitar permisses para acessos restritos, o qual estes so avaliados e devidamente liberados pela superviso imediata. (andr) 2.8 normativo que a T.I. proveja de disponibilidade de software para todas as atividades necessrias.(andr)

3 - Gesto de ativos; Humano 3.1 Para fazer solicitaes atravs do sistema da instituio, o usurio devera estar em dias com os dbitos e em legalidade com a instituio.(felipe)

Telecomunicaes 3.2 Convm que toda a fiao eltrica e operacional da instituio seja regularmente inspecionada e adequada a tal tipo de finalidade seguindo o padro exigido para tal fim, a fim de evitar danos aos equipamentos, alm de ser uma ameaa a pessoas.(ana)

Gesto da Informao 3.3 normativo que a rea de Gesto de Segurana da Informao deve manter um inventrio atualizado que identifique e documente a existncia e as principais caractersticas de todos os seus ativos de informao (base de dados, arquivos, diretrios de rede, auditoria, cdigos fonte de sistemas, documentao de sistemas,

manuais, etc.) com disponibilidade ao nvel de permisso de profissionais da rea. (felipe)

Hardware 3.4 normativo que todos os ativos tenham um proprietrio responsvel, e o mesmo sendo responsvel pela proteo, manuteno e auditoria de todo hardware.(william) 3.5 Todos os equipamentos da instituio tero monitoramento que podem envolver inspeo fsica de equipamentos e registro de acessos internet, tendo em vista a necessidade de manuteno da conformidade legal das operaes da UNOESC.(william)

Software 3.6 normativo que se faa uma auditoria mensalmente, para que se verifique se o sistema operacional e todos os demais softwares nele instalados esto licenciados para que se garanta a legalidade dos mesmos.(william) 3.7 normativo que todos os ativos tenham somente os softwares necessrios que por sua vez sofram auditoria constante para garantir segurana das informaes, tambm permitido softwares de acessos remotos, como team viewer, e VNC.(andr)

4 - Segurana em recursos humanos; Humano 4.1 O usurio dever fornecer informaes vlidas ao sistema, tais como cpf, rg, endereo, etc, garantindo a integridade das informaes dadas ao sistema integrado UNOESC.(felipe)

Telecomunicaes 4.2 Caso haja desligamento da instituio, necessrio que todas os registros dos mesmos sejam atualizados, a fim de evitar vazamento de informaes sigilosas, garantindo a confidencialidade das informaes.(ana)

Gesto da Informao 4.3 Todos os desligamentos, afastamentos e modificaes no quadro funcional da UNOESC, sejam informados prontamente ao sistema de informaes integrado garantido a integridade do mesmo, caso possua discordncia entrar em contato com a rea de Tecnologia da informao.(felipe)

4.4 O usurio que disponibilizar informaes no autorizadas da UNOESC, no importando se a divulgao foi deliberada ou inadvertida, poder sofrer as penalidades estabelecidas pela instituio e tambm gerando penalidades previstas em lei.(felipe)

Hardware 4.5 normativo assegurar que funcionrios, alunos e demais pessoas sem autorizao no tenham acesso para nenhuma modificao para com o hardware, garantindo assim menores incidentes de segurana, e se identificado eventuais problemas, seja solicitada a verificao dos mesmos pela equipe responsvel.(william)

Software 4.6 normativo assegurar que cada usurio do sistema operacional tenha acesso somente as informaes que lhe so permitidas, estes estabelecidos de acordo com seu estado funcional na instituio para evitar algum incidente de segurana, e possveis

ameaas a danos no sistema.(william)


4.7 normativo assegurar que funcionrios, alunos e demais pessoas sem autorizao no tenham acesso para nenhuma modificao para com o software, garantindo assim menores incidentes de segurana, e se identificado eventuais problemas, seja solicitada a verificao dos mesmos pela equipe responsvel. (andr) 4.8 normativos que todos os usurios possuam login e senha para acesso aos computadores, aonde tenham perfis bem definidos e que cada perfil acesse somente o que lhe compete.(andr) 4.9 - normativo que todos usurios que tenham acesso a internet informe-se atravs de login e senha no proxy da Empresa.(andr)

5 - Segurana fsica e do ambiente; Humano 5.1 Ser permitida somente pessoal autorizado as instalaes da UNOESC, tais como reas de TI, para evitar que pessoas m intencionadas ameacem a integridade do sistema.(felipe)

Telecomunicaes 5.2 Convm que as chaves de eletricidade no fiquem ao alcance de pessoas no autorizadas, correspondendo a uma ameaa a integridades de sala, laboratrios, evitando assim o desligamento das mesmas de forma intencional.(ana)

Gesto da Informao 5.3 normativo que as reas seguras sejam protegidas por controles de

autenticaes com encriptaes para assegurar que somente pessoas autorizadas e especializadas tenham acesso as informaes confidenciais e pessoais da instituio. (felipe)

Hardware 5.4 Garantir a preveno ao acesso fsico no autorizado a qualquer dispositivo ou ambiente, que contenha algum dispositivo de hardware. Sendo assim, somente de acesso autorizado e/ou mediante acompanhamento de algum responsvel autorizado pelo local. Diminuindo assim a probabilidade a danos fsicos.(william) 5.5 normativo garantir que os dispositivos de hardwares, servidores e demais dispositivos necessrios, referenciados ao armazenamento dos sistemas vinculados a instituio, tenham um ambiente exclusivo e separado. Garantindo a privacidade e

integridade dos mesmos.(william)

Software 5.6 normativo garantir que nenhuma pessoa sem autorizao tenha acesso a qualquer dispositivo de hardware para possveis mudanas de configurao em quaisquer softwares da instituio, assim mantendo sua confidencialidade e privacidade. (william) 5.7 normativo garantir que os softwares que sejam vinculados na instituio, sejam utilizados de forma responsvel, e que cada software disponvel somente para os perfis que realmente o utilizem. Garantindo a privacidade e integridade dos mesmos.(andr)

6 - Gerenciamento das operaes e comunicaes Humano 6.1 Todo usurio ser conectado atravs servidor de domnio que possui um firewall que diminuir a probabilidade de vulnerabilidades.(felipe)

Telecomunicaes

6.2 normativo que o gerenciamento das redes seja feito de maneira segura, para que as informaes que trafegam em rede sejam protegidas garantindo a integridade do negcio.(ana)

Gesto da Informao 6.3 Todos os usurios, profissionais e colaboradores da UNOESC devem ter cincia de que o uso das informaes e dos sistemas de informao do mesmo pode ser monitorado para garantir a integridade e disponibilidade do mesmo, sero mantidos registros por determinado perodo e poder ser utilizados para deteco de violaes da Poltica de Segurana da Informao.(felipe) 6.4 A instituio tambm no responde pela disponibilidade de dados com imprecises, incompatibilidades, erros, fraudes, falhas, inexatido, divergncia, perdas ou quaisquer outros danos durante o uso dos equipamentos, salvo se for erro dos sistemas automatizados da instituio que devem ser notificadas para correes.(felipe)

Hardware 6.5 normativo que todo dispositivo de hardware esteja de acordo com o processamento de informaes, legalidade e operaes necessrias para sua finalidade. (william)

Software 6.6 normativo que todo software esteja configurado corretamente, de acordo com a autenticao necessria para garantir o acesso as informaes dependentes e necessrias para o uso da instituio, garantindo assim o integridade do sistema e das informaes nele correntes.(william) 6.7 normativo que todo software esteja de acordo com o processamento de informaes, legalidade e operaes necessrias para sua finalidade. (andr)

7 - Controle de acessos; Humano 7.1 Todo usurio receber um login e senha para garantir sua autenticao nos sistemas dependentes da instituio, devendo observar as orientaes apresentadas no ambiente virtual de aprendizagem e no manual da UNOESC.(felipe)

7.2 Cada usurio aps sua primeira autenticao, ter que efetuar a troca de senha para manter sua privacidade.(felipe)

Telecomunicaes 7.3 normativo que seja controlado o acesso de pessoas no autorizadas toda a parte de telecomunicaes da instituio garantindo a confidencialidade das salas de telecomunicaes.(ana)

Gesto da Informao 7.4 normativo que utilizem-se de identificadores de usurio individualizados para

autenticao do mesmo, de forma a assegurar a responsabilidade de cada usurio por suas aes, verificando se o mesmo possui nvel de acesso para tal fim.(felipe)

Hardware 7.5 normativo que obtenha um meio de armazenamento para assegurar e registrar o controle de acesso a qualquer local ou ambiente que contenha quaisquer dispositivos de hardware, evitando o no-repdio e ameaas fsicas.(william)

Software 7.6 normativo o uso de um software que regulamente e armazene, de todos os usurio vinculados com os sistemas da instituio, os acessos, para que se tenha um

disponibilidade de verificao imediata se requerido por qualquer autoridade maior.(william)


registro e controle das tarefas executadas, e tenha 7.7 normativo que s se obtenha acesso por meio de login e senha para assegurar e registrar o controle de acesso a qualquer local ou ambiente que contenha quaisquer dispositivos de software, evitando o no-repdio e ameaas de hackers, malwares, spywares, vrus, rootkit entre outros. (andr)

8 - Aquisio, desenvolvimento e manuteno de sistemas de informao; Humano

8.1 Somente pessoal devidamente uniformizado e com identificao atravs de crach


ter acesso a partes internas de desenvolvimento do sistema interno da UNOESC afim de manter a integridade do sistema da instituio.(felipe)

8.2
Telecomunicaes

8.2 Convm que, quando da aquisio de novos ativos voltados rea de telecomunicao (cabos de rede, por exemplo), seja seguido um padro, adquirindo os mesmos modelos que j eram utilizados anteriormente pela instituio.(ana)

Gesto da Informao 8.3 Os ambientes de desenvolvimento prestam auxilio para as demais reas envolvidas na instituio, inserindo novas tecnologias que se agregam a UNOESC, facilitando-as para aquisio de dados, garantindo a disponibilidade da mesma de forma prtica.(felipe)

Hardware 8.4 normativo que em qualquer processo de aquisio algum dispositivo de hardware, o mesmo seja analisado por responsveis certificados. Assim determinandoo se o mesmo ir suprir a necessidade, segurana, integridade e demais operaes ao uso referenciado.(william) 8.5 No permitida a alterao da disposio fsica dos equipamentos da instituio por parte de usurio comuns, o no-repdio ir acarretar em medidas administrativas. (william)

Software 8.6 normativo que em qualquer processo de aquisio algum software, os

mesmos sejam analisados por responsveis certificados. Assim verificando se o mesmo est dentro da legalidade e atenda os requisitos mnimos necessrios para o seu fim. (william) 8.7 normativo que em qualquer processo de aquisio de algum software, o mesmo seja analisado por responsveis devidamente certificados. Assim determinando-o se o mesmo ir suprir a necessidade, segurana, integridade e demais operaes ao uso referenciado. (andr)

9 - Gesto de incidentes de segurana da informao; Humano 9.1 Em caso de desvio de informaes por parte de pessoas, ser tomadas medidas drsticas, tambm gerando penalidades previstas em lei em caso de incedentes de

segurana que comprometam dados sigilosos da instituio.(felipe)

Telecomunicaes 9.2 normativo que sejam verificadas regularmente as conexes que so efetuadas no sistema interno da instituio, a fim de evitar incidentes de segurana da informao interna.(ana)

Gesto da Informao 9.3 Confidencialidade dos dados ou uso imprprio dos computadores quanto na legislao de violao de dados confidenciais por parte de usurios, funcionrios ou colaboradores ser usado como evidncia como um caso de delito civil ou criminal. (felipe)

Hardware 9.4 normativo a utilizao de um sistema especializado que faa eventual verificao do funcionamento correto e/ou falhas, dos dispositivos de hardware com tecnologia para tal ao, minimizando os incidentes de segurana.(william)

Software 9.5 O usurio que optar por utilizar dispositivos pessoais para acesso as redes da instituio, mesmo quando autorizado pela instituio, responsvel pelos softwares e arquivos contidos em seus equipamentos para garantir a legalidade dos mesmo.(william) 9.6 normativo o uso de um software de defesa, licenciado e legal, para que garanta quaisquer incidentes de informao, e verificao de vulnerabilidades dentro de todos os sistemas operacionais.(william) 9.7 normativo a utilizao de um sistema especializado que faa eventual verificao do funcionamento correto e/ou falhas, dos dispositivos de software com tecnologia para tal ao, minimizando os incidentes de segurana. (andr) 9.8 Todo incidente de segurana deve ser analisado, verificando as causa para que no seja repetido posteriormente.(andr)

10 - Gesto da continuidade do negcio; Humano 10.1 Visando a qualidade de seus servios educacionais, investindo em segurana com intuito de diminuir incidentes de segurana, a instituio acompanha a evoluo de servios e equipamentos de determinadas reas. Dessa forma, continua a investir em recursos tecnolgicos e afins, inovando nas atividades pedaggicas.(felipe)

Telecomunicaes 10.2 normativo que toda a rea de telecomunicaes da instituio esteja em local protegido, porm acessvel, a fim de evitar falhas, pois caso h haja, a continuidade do negcio deve ser mantida.(ana) 10.3 As reas de telecomunicaes devem ser inspecionadas regularmente afim de evitar incidentes de seguranas sempre se atualizando neste quesito e priorizando o desempenho do mesmo.(felipe)

Gesto da Informao 10.4 Todas as informaes devem estar seguras e espelhadas garantindo uma

disponibilidade em caso de pane em algum servidor ou equipamento, devem ser em lugares distintos, junto com servidores de backup que devero manter os dados no perodo de um ano(antes) para caso de conferencia ou analise dos mesmos.(felipe)

Hardware 10.5 normativo garantir o uso de dispositivos de hardware que contenham tecnologia necessria para dar continuidade e minimizar a probabilidade do no funcionamento a qualquer processo de informao e/ou operacional que no pode ser interrompido.(william)

Software 10.6 normativo garantir a disponibilidade do uso de softwares que contenham tecnologia necessria, para dar continuidade ao uso da informao de acordo com a necessidade dos servios usados e ministrados pela instituio.(william) 10.7 obrigatrio realizaes semestrais de auditoria dos sistemas informatizados, para correta manutenibilidade dos sistemas de gesto, e politica de segurana da informao da instituio.(andr) 10.8 normativo que todas as irregularidades e no-conformidades encontradas, sejam traados um plano de ao, para analisar as causas, executar as mudanas e posteriormente verificar sua eficcia.(andr)

11- Conformidade; Humano

11.1 Todo usurio de estar cientes das normas e dever estar em legalidade com a mesma afim de evitar complicaes tanto para si como para a instituio.(felipe)

Telecomunicaes 11.2 normativo que toda a parte de telecomunicaes voltada rea de TI seja previamente inspecionada por profissionais qualificados, a fim de evitar estar em desacordo com as normas e legislao.(felipe)

Gesto da Informao 11.3 Todos os direitos de propriedades intelectuais sejam de softwares, projetos, patentes, marcas, etc. Estejam em conformidade com a legalidade dos contratos. (felipe)

Hardware 11.4 normativo que os gestores de hardware garantam que todos os procedimentos de segurana da informao dentro da sua rea de responsabilidade esto sendo executadas corretamente para atender conformidade com as normas,

legalidade e polticas de segurana da informao.(william)

Software 11.5 A utilizao de softwares no processo de ensino aprendizagem ambientes educacionais ou durante as atividades com alunos, permite o uso de sites de notcias, buscadores, portais educacionais, blogs, chats, fruns ou outros servios para fins de atualizao e pesquisa, em conformidade com os preceitos ticos, legais e de acordo com contedos solicitados.(william) 11.6 Os equipamentos da UNOESC operam no modo desliga apaga tudo, ou seja, programas instalados momentaneamente assim como arquivos deixados nos computadores sero inicializados novamente no estado que esta em conformidade com os acordos feitos com a instituio.(william) 11.7 normativo que os gestores de software garantam que todos os procedimentos de segurana da informao esto sendo executadas corretamente, dentro da sua rea de responsabilidade para atender conformidade com as normas vigentes, legalidade e polticas de segurana da informao. (andr)