Escolar Documentos
Profissional Documentos
Cultura Documentos
EXRCITO BRASILEIRO
DCT
CITEx
5 CENTRO DE TELEMTICA DE REA
(CPD/4 1978)
2. DEFINIO
Poltica de Segurana da Informao e Comunicaes (POSIC) um documento que
descreve as atividades que os usurios esto autorizados a realizar, como e quando podem ser
realizadas. de vital importncia que a alta administrao apie o uso da poltica e demonstre o
comprometimento com a aplicao de penalidades cabveis.
adequado que as responsabilidades pela proteo de cada ativo e pelo cumprimento de
processos de segurana sejam claramente definidas.
A POSIC deve definir claramente os procedimentos bsicos a serem seguidos por todos os
integrantes da Organizao, a fim de minimizar os riscos. Estes procedimentos, tambm chamados
de melhores prticas (best pratices), no tem objetivo de restringir aes, e sim, garantir que essas
aes sejam pautadas em conscincia e autocrtica, e que so aplicveis a todos os campos da
atividade humana.
3. OBJETIVO
O principal objetivo de uma poltica de segurana comunicar aos usurios, equipe e
administradores os direitos e deveres para o adequado emprego da tecnologia e o acesso seguro s
informaes organizacionais. Para tanto, a poltica deve:
a) identificar o que a instituio quer proteger e qual esforo quer alocar nesse intuito;
4. ESCOPO
O documento visa definir as regras de segurana e de utilizao dos recursos de tecnologia
da informao do 5 CTA de modo que estes estejam sempre disponveis, ntegros e com os
requisitos de confidencialidade suficientes ao cumprimento da misso institucional outorgada ao
Centro.
Para atingir esses objetivos sero regulados o uso e a administrao de todos os recursos de
TI, sejam eles, equipamentos, dispositivos, instalaes, softwares, correspondncias eletrnicas,
arquivos e quaisquer informaes relativas a esses ativos, de propriedade do Exrcito.
Os recursos de TI abrangidos por esta poltica e que precisam ser protegidos podem ser
agrupados nas seguintes categorias:
Hardware:
5. PRINCPIOS DE SEGURANA
Um sistema computacional dito seguro se atende a trs requisitos bsicos relacionados aos
recursos que o compem: confidencialidade, integridade e disponibilidade.
A confidencialidade diz que a informao s est disponvel para aqueles devidamente
autorizados.
A integridade diz que a informao no destruda ou corrompida e o sistema tem um
desempenho correto.
A disponibilidade diz que os servios/recursos do sistema estaro acessveis sempre que
forem necessrios.
Alm dos princpios bsicos, interessante que o sistema computacional tambm atenda aos
requisitos de autenticidade, no repdio e controle de acesso.
A autenticidade diz respeito certeza de ambas as partes envolvidas na comunicao de que
est trocando informaes com o interlocutor verdadeiro, no dando margem possibilidade de um
terceiro fingir ser um ou outro elemento envolvido na transao.
O no repdio garante ao receptor que no haver a negao de que determinada mensagem
foi transmitida pelo emissor. Desta forma, quando uma mensagem enviada, o receptor pode provar
que, de fato, a mensagem foi enviada pelo emissor em questo.
O controle de acesso a habilidade de limitar o acesso aos computadores hospedeiros, ou
aplicaes, atravs dos enlaces de comunicaes e do controle de acesso fsico. Para tal, cada
entidade que precisa obter acesso ao recurso, deve primeiramente ser cadastrada, ou autenticada, de
3/22
6. CONCEITOS E DEFINIES
a. Usurios internos: militares integrantes do Centro, e desde que previamente autorizados,
os funcionrios de empresas prestadoras de servios terceirizados, consultores, estagirios, e outras
pessoas que se encontrem a servio do Centro, utilizando em carter temporrio os recursos
tecnolgicos do 5 CTA.
b. Usurios externos: todos que direta, ou indiretamente, acessem recursos de tecnologia da
informao disponibilizados pelo 5 CTA.
c. Ameaas: condies que podem causar incidentes por meio da revelao de
vulnerabilidades.
d. Vulnerabilidade: definida como uma falha no projeto, implementao ou configurao
de um software ou sistema operacional que, quando explorada por um atacante, resulta na violao
da segurana de um computador ou sistema.
e. Ativo: a informao em si, ou qualquer componente que integra um dos processos que
interferem direta, ou indiretamente, no fluxo das informaes organizacionais, desde sua origem at
seu destino, tais como: equipamentos computacionais, sistemas, manuais, ferramentas de
desenvolvimento, mdias, servios gerais (iluminao, eletricidade,...), entre outros.
f. Informao: ativo valorizado nas corporaes, o que requer proteo correspondente ao
seu coeficiente de valor.
g. Impacto: prejuzo decorrente de uma vulnerabilidade ter sido descoberta por uma
ameaa.
h. Riscos: so as probabilidades das ameaas descobrirem as vulnerabilidades e,
consequentemente, causarem impactos aos negcios.
i. Cookies: so pequenas informaes que os sites visitados podem armazenar nos browsers,
de forma que na visita seguinte ao mesmo site, este j possua um mnimo de informao sobre o
comportamento do usurio.
j. Cdigo malicioso ou Malware: (Malicious Software) um termo genrico que abrange
todos os tipos de programas especificamente desenvolvidos para executar aes danosas a um
computador.
k. Vrus: um programa, ou parte de um programa, de computador, normalmente malicioso,
que se propaga inserindo copias de si mesmo e tornando-se parte de outros programas e arquivos,
de computadores que se comunicam, ou de dispositivos mveis de entrada de dados.
l. Worm: um programa capaz de se propagar automaticamente atravs de redes, enviando
cpias de si mesmo de computador para computador.
4/22
8. DIRETRIZES GERAIS
8.1. TRATAMENTO DA INFORMAO
As informaes trazem consigo a inteligncia, o estado e o modus operandi
organizacional, ou seja, constituem ativos de alto valor para as instituies.
Devido a estas caractersticas as informaes devem ser tratadas com a maior seriedade e
cuidado possveis, de forma que a instituio no tenha os seus segredos operacionais violados e
nem o seu nome comprometido pelo vazamento de informaes que se mal interpretadas podem
causar danos sua imagem.
Dessa forma os usurios das informaes devem assinar um termo de compromisso de
manuteno do sigilo que comprove o seu conhecimento respeito das regras de segurana da
informao a que esto sujeitos e as sanes que lhes podem ser impostas caso desrespeite o termo
citado acima.
10/22
11/22
Sempre que necessrio, filtros de endereo MAC devem ser usados para controlar o acesso
atravs de determinados pontos de acesso.
4.
7. A Seo de Redes dever verificar se o laptop (Notebook) est com Antivrus instalado e
atualizado, alm de programas anti-spyware e se o equipamento est livre de malwares; caso
positivo, dever fazer o cadastro do equipamento, guardando o hostname e endereo MAC
da mquina, e o nome e a seo, do proprietrio.
17/22
________________________
EDSON ISHIKAWA Cel
Chefe do 5 CTA
22/22