Você está na página 1de 11

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

Portal do SISP SISP : Segurana da Informao : Segurana da Informao e Comunicaes

Voc pode solicitar notificao para Segurana da Informao e Comunicaes. 1. Qual a importncia da Segurana da Informao e Comunicaes? 2. Quais os fundamentos utilizados pela Segurana da Informao? 3. Quais as disciplinas que fazem parte da Segurana da Informao e Comunicaes? 4. O que meu rgo ou entidade deve fazer em relao Segurana da Informao e Comunicaes? 5. Quais as estratgias fundamentais da Segurana da Informao? 6. H recomendaes do TCU em relao Segurana da Informao e Comunicaes? 7. Onde posso encontrar dispositivos legais relacionados Segurana da Informao e Comunicaes? 8. Quais outras normas meu rgo ou entidade pode respaldar-se na Gesto de Segurana da Informao e Comunicaes? 9. Qual a competncia dos rgos e entidades da Administrao

1 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

Pblica Federal direta e indireta relativa Segurana da Informao? 10. Qual o papel do Gestor de Segurana da Informao e Comunicaes do meu rgo ou entidade? 11. Meu rgo pode contratar servios de gesto de Segurana da Informao? 12. Na contratao de bens e servios de TI, h a necessidade de especificar requisitos de Segurana da Informao? 13. Tenho de elaborar algum termo de responsabilidade e de confidencialidade na contratao de servios de TI? 14. H alguma metodologia de Gesto de Segurana da Informao e Comunicaes? 15. H alguma recomendao de uma estrutura de Gesto de Segurana da Informao e Comunicaes? 16. H padres de segurana estabelecidos pelo governo brasileiro? 1.

A Segurana da Informao definida pelo Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR) como um conjunto de aes aes que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes. Segurana o estado em que se est livre de perigos e

2 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

incertezas. Nas instituies governamentais, a segurana est relacionada a proteger tudo aquilo que possui valor para o rgo ou entidade da Administrao Pblica Federal, ou seja, os ativos de informao, as pessoas e a sua imagem. 2.

As estratgias fundamentais de proteo utilizadas pela Segurana da Informao so: a) Privilgio mnimo evitar exposies desnecessrias que possam aumentar o nvel de risco de segurana; b) Defesa em profundidade utilizar diversos controles de segurana complementares ao invs de um s; c) Elo mais fraco nas estratgias utilizadas no desenvolvimento de sistemas de proteo, deve-se considerar que a segurana total do sistema igual segurana oferecida pela sua proteo mais frgil; d) Ponto de estrangulamento qualquer tipo de acesso realizado somente por um local; e) Segurana atravs da obscuridade a estratgia de que quanto menos informaes relevantes puder ser divulgada, menor a chance de uma quebra de segurana; deve ser utilizada com outros controles; f) Simplicidade quanto mais simples for um sistema, mais fcil de torn-lo seguro.

3.

3 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

As principais disciplinas relacionadas SIC so: Segurana em Recursos Humanos: tem como objetivo reduzir os riscos de erro humano, roubo, fraude, uso, acesso e divulgao indevidos dos ativos de informao; estabelecer responsabilidades sobre a Segurana da Informao; abranger a fase de recrutamento, inclui contratos de trabalho, durao do trabalho e desligamento de pessoal; estudar os motivos que levam as pessoas a realizar quebras de SIC; Segurana Fsica e do Ambiente: busca a proteo do acesso s reas restritas, dos equipamentos de segurana e dos controles gerais; Gerenciamento de Operaes e Comunicaes: diz respeito a atividades, processos, procedimentos e recursos que visam disponibilizar e manter servios, sistemas e infraestrutura que os suporta, satisfazendo os acordos de nveis de servio; Segurana no Desenvolvimento de Aplicaes: tem como objetivo desenvolver um software sem vulnerabilidades, que funcione de forma esperada e que no comprometa a segurana de outros requisitos do software, do seu ambiente e as informaes manipuladas por ele; Auditoria e Conformidade: atividade estruturada que tem por objetivo examinar criteriosamente a situao dos controles de Segurana da Informao; Infraestrutura de TI: est relacionada segurana das instalaes prediais (energia, climatizao e acesso fsico), computadores e equipamentos, software, redes e telecomunicaes, sistemas de armazenamento e recuperao de dados (arquivos e storage) e aplicaes computacionais; Governana de TI: critrios de Segurana da Informao relacionados ao gerenciamento de todos os aspectos da tecnologia da informao e comunicao que se relacionam diretamente com os objetivos de negcio; Criptografia e infra-estrutura de chaves pblicas: conjunto de tcnicas que visam garantir o sigilo e integridade de informaes e sistemas; Gesto de Continuidade no Servio Pblico: este processo fornece uma estrutura para que se desenvolva uma resilincia organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputao e a marca da organizao, suas atividades, servios e ativos de informao no caso de um impacto na instituio; Tratamento e Classificao da Informao: Gesto de Ativos de Informao: 4.

4 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

Os rgos e entidades integrantes do SISP, de acordo com as instrues propostas pelo Gabinete de Segurana Institucional GSI/PR, devem: Elaborar a poltica de Segurana da Informao e de Comunicaes e demais normas; Criar Grupo de Trabalho para elaborao da Poltica de Segurana da Informao e Comunicaes e das Normas de SIC; Implementar normas para Gesto de Segurana da Informao e Comunicaes; Promover em conjunto com DSIC/GSI/PR a capacitao em Segurana da Informao e Comunicaes; Adotar os padres de SIC de dados governamentais observando os 5.

As estratgias fundamentais de proteo de Segurana da Informao so: Privilgio mnimo qualquer usurio deve ter acesso somente ao necessrio para a realizao do seu trabalho; Defesa em profundidade utilizar diversos controles de segurana complementares; Elo mais fraco a segurana total do sistema igual segurana oferecida pela sua proteo mais frgil; Ponto de estrangulamento qualquer tipo de acesso deve ser realizado somente por um local; Segurana atravs da obscuridade a estratgia de que quanto menos informaes relevantes puder ser divulgada, menor a chance de uma quebra de segurana; deve ser utilizada com outros controles; Simplicidade quanto mais simples for um sistema, mais fcil de torn-lo seguro. 6.

5 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

Sim. O Tribunal de Contas da Unio, em seus Acrdos 1603/2008 e 2308/2010, recomenda que sejam estabelecidas polticas de Segurana da Informao e Comunicaes, bem como normatizaes especficas que complementem a PoSIC do rgo ou entidade da APF. A recomendao registrada no item 9.1.3 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: 9.1.3 orientem sobre a importncia do gerenciamento da Segurana da Informao, promovendo, inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos, a rea especfica para gerenciamento da Segurana da Informao, a poltica de Segurana da Informao e os procedimentos de controle de acesso. Alm desses acrdos existem outros especficos de vrias instituies governamentais que passaram por processo de auditoria e que devem implementar questes relacionadas SIC.

7.

Para facilitar acesso e fortalecer a cultura de Segurana o Departamento de Segurana da Informao e Comunicaes do Gabinete Institucional da Presidncia da Repblica (http://dsic.planalto.gov.br/legislacaodsic) disponibiliza em seu site uma compilao da legislao vigente a fim de subsidiar trabalhos de operadores, tcnicos e juristas da rea de Segurana da Informao. 8.

6 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

As Normas da famlia ISO/IEC 27000, descritas abaixo, tratam da Gesto de Segurana da Informao, podendo ser utilizadas por qualquer rgo ou entidade da Administrao Pblica Federal, direta e indireta: ISO 27001 estabelece um Sistema de Gesto de Segurana da Informao. ISO 27002 o Cdigo de Prticas para a Gesto da Segurana da Informao. ISO 27003 ser o guia de implementao de um sistema de gesto de Segurana da Informao (SGSI). ISO 27004 incidir sobre mecanismos de medio e de relatrio de um SGSI. ISO 27005 descreve a gesto de riscos em Segurana da Informao. A ISO 27011 descrever o guia de gesto de Segurana da Informao para organizaes de telecomunicaes, sendo baseada na 27002. As demais normas da famlia ISO/IEC 27000 esto em fase de desenvolvimento: A ISO 27007 ser o guia de auditoria de um SGSI. A ISO 27012 ser o guia de Segurana da Informao para o governo eletrnico. A ISO 27032 guiar a cybersegurana. A ISO 27034 abordar a segurana de aplicaes. A ISO 27037 mostrar tcnicas de segurana na gesto de Segurana da Informao, setor a setor. Alm das normas da famlia 27000 ainda existem as seguintes: ISO/IEC 15408 (Common Criteria) essa norma tem por objetivo avaliar a segurana da TI. Ela dividida em trs partes: a) intruduo e modelo geral; b) componentes funcionais de segurana e c) componentes de garantia de segurana. NBR 15999 trata-se da gesto de continuidade dos negcios (GCN). dividida em duas partes: 1) Cdigo de Prtica, onde so estabelecidos o processo, princpios e terminologia do GCN e 2) Requisitos de gesto. Guia de Boas Prticas em Segurana da Informao do TCU este guia serve para auxiliar os rgos e entidades da APF na gesto de Segurana da Informao e Comunicaes. [Neto, 2010] 9.

7 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

O Art. 5 da Instruo Normativa GSI/PR n 01 as competncias dos rgos e entidades da Administrao Pblica Federal, direta e indireta, em seu mbito de atuao: coordenar as aes de Segurana da Informao e Comunicaes; aplicar as aes corretivas e disciplinares cabveis nos casos de quebra de segurana; propor programa oramentrio especfico para as aes de Segurana da Informao e Comunicaes; nomear Gestor de Segurana da Informao e Comunicaes; instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais; instituir Comit de Segurana da Informao e Comunicaes; aprovar Poltica de Segurana da Informao e Comunicaes e demais normas de Segurana da Informao e Comunicaes; remeter os resultados consolidados dos trabalhos de auditoria de Gesto de Segurana da Informao e Comunicaes para o GSI. 10.

Segundo o Art. 7 da Instruo Normativa GSI/PR n 01 o Gestor de Segurana da Informao e Comunicaes deve: promover cultura de Segurana da Informao e Comunicaes; acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana; propor recursos necessrios s aes de Segurana da Informao e Comunicaes; coordenar o Comit de Segurana da Informao e Comunicaes e a equipe de tratamento e resposta a incidentes em redes computacionais; realizar e acompanhar estudos de novas tecnologias, quanto a possveis impactos na Segurana da Informao e Comunicaes; manter contato direto com o DSIC para o trato de assuntos relativos Segurana da Informao e Comunicaes; Propor normas relativas Segurana da Informao e Comunicaes. 11.

8 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

No! De acordo com o Art. 5 da IN 04, a gesto de processos de TI, incluindo gesto de Segurana da Informao, no pode ser objeto de contratao. Salvo quando o servio for prestado por empresas pblicas de Tecnologia da Informao que tenham sido criadas para este fim especfico, devendo acompanhar o processo a justificativa da vantajosidade para a APF. 12.

Sim! O requisitante dever definir os requisitos de Segurana, com apoio da Tecnologia da Informao e, se for o caso, da Coordenao de Segurana da Informao da SLTI. 13.

De acordo com o Art. 14, inciso II, alnea g, na Estratgia de Contratao, deve-se indicar o termo de compromisso, contendo declarao de manuteno de sigilo e cincia das normas de segurana vigentes no rgo ou entidade, a ser assinado pelo representante legal do fornecedor e seus empregados diretamente envolvidos na contratao. 14.

9 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

Sim! A NC 02 estabelece a metodologia de Gesto de Segurana da Informao e Comunicaes que deve ser seguida pelos rgo e entidades da Administrao Pblica Federal, direta e indireta. A metodologia baseia-se no processo de melhoria contnua denominado PDCA (Plan-Do-Check-Act) estabelecido pela ABNT NBR ISO/IEC 27001:2006. Plan (Planejar) O Gestor de Segurana da Informao e Comunicaes deve planejar aes de Segurana da Informao e Comunicaes a serem implementadas, levando em considerao os requisitos estabelecidos pelo planejamento do rgo ou entidade, como tambm as diretrizes determinadas pela autoridade decisria. Do (Fazer) Nesta fase o Gestor de Segurana da Informao e Comunicaes deve implementar as aes de segurana definidas na fase de planejamento. Check (Checar) O Gestor de Segurana da Informao e Comunicaes deve avaliar e analisar criticamente as aes implementadas. Act (Agir) Nesta fase, o Gestor de Segurana da Informao e Comunicaes, baseando-se no monitoramento realizado anteriormente, deve melhorar continuamente as aes de segurana. 15.

Sim. O GSI recomenda que tenha pelo menos: o Comit de Segurana da Informao e Comunicaes; o Gestor de Segurana da Informao e Comunicaes; e a Equipe de Tratamento e Respostas a Incidentes. A Coordenao-Geral de Segurana da Informao da SLTI/MP recomenda que a estrutura de SIC do rgo ou entidade esteja definida no organograma institucional em um nvel estratgico tendo a participao de todas as reas da organizao. necessrio que essa estrutura de SIC trate o tema nos nveis estratgicos (Comit de Segurana), ttico (diretorias) e operacional (grupos de trabalho e equipes de SIC especficas como segurana de TI, segurana patrimonial, etc.

10 de 11

13/05/2013 17:44

Segurana da Informao

http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...

16.

Sim. A e-PING (Arquitetura de Interoperabilidade do Governo Eletrnico) possui no seu Documento de Referncia especificaes para serem adotados pelos rgos e entidades da Administrao Pblica Federal. Adicionar comentrio

11 de 11

13/05/2013 17:44