Escolar Documentos
Profissional Documentos
Cultura Documentos
Braslia- DF
2015
Presidenta da Repblica
Dilma Rousseff
Vice-Presidente da Repblica
Michel Temer
PRESIDNCIA DA REPBLICA
Casa Militar
Secretaria-Executiva do Conselho de Defesa Nacional
Departamento de Segurana da Informao e Comunicaes
Braslia DF
2015
Organizadores
Danielle Rocha da Costa
Jos Ney de Oliveira Lima
Membros do GT
Adelino Fernando de Souza Correia, Ministrio da Sade
Carlos de Faria Castro, Ministrio da Previdncia Social
Danielle Rocha da Costa, Gabinete de Segurana Institucional da Presidncia da
Repblica
Eduardo Magalhes de Lacerda Filho, Casa Civil da Presidncia da Repblica
Gilson Fernando Botta, Ministrio do Planejamento, Oramento e Gesto
Jos Ney de Oliveira Lima, Ministrio do Planejamento, Oramento e Gesto
Juliana Rocha Munita, Ministrio do Planejamento, Oramento e Gesto
Lucas de Oliveira Souto, Gabinete de Segurana Institucional da Presidncia da Repblica
Marlene Isidro da Silva, Gabinete de Segurana Institucional da Presidncia da Repblica
Marcos Allemand Lopes, Ministrio da Fazenda
Nbia Moreira dos Santos, Ministrio do Planejamento, Oramento e Gesto
Zeneide Sanches Pureza (Convidada), Secretaria de Segurana Pblica e Defesa Social
do Estado do Par
Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)
B823g
Brasil. Presidncia da Repblica. Casa Militar. Departamento de Segurana da Informao e Comunicaes.
Guia bsico de orientaes ao gestor em segurana da informao e comunicaes : verso 2.0 /
Casa Militar, Departamento de Segurana da Informao e Comunicaes; organizadores Danielle Rocha da
Costa, Jos Ney de Oliveira Lima. Braslia : Presidncia da Repblica, 2016.
92 p. : il.
SUMRIO
LISTA DE SIGLAS ............................................................................................................... 10
LISTA DE FIGURAS............................................................................................................. 11
LISTA DE TABELAS ............................................................................................................ 12
APRESENTAO ................................................................................................................ 13
PREFCIO ........................................................................................................................... 15
CONTEXTUALIZAO ....................................................................................................... 17
1.
Objetivos ............................................................................................................... 21
1.2.
1.2.1.
Responsabilidades ........................................................................................... 23
1.2.2.
1.2.3
1.3.1.
Escopo ............................................................................................................... 27
1.3.2.
1.3.3.
1.3.4.
Princpios .......................................................................................................... 27
1.3.5.
1.3.6.
Penalidades ....................................................................................................... 28
1.3.7.
1.3.8.
Atualizao ........................................................................................................ 28
1.4.
1.5.
2.
EQUIPE
DE
TRATAMENTO
RESPOSTAS
INCIDENTES
EM
REDES
Objetivo ................................................................................................................. 31
2.2.
2.2.1.
Papis ................................................................................................................ 31
2.2.1.1.
2.2.1.2.
2.2.1.3.
2.2.1.4.
2.2.2.
Responsabilidades ........................................................................................... 32
2.2.2.1.
2.2.3.
2.3.
2.4.
2.5.
2.5.1.
2.5.2.
2.5.3.
2.5.3.1.
Modelos.......................................................................................................... 35
2.5.3.2.
Autonomia ..................................................................................................... 36
2.5.3.3.
2.6.
3.
(GRSIC) ................................................................................................................................ 38
3.1.
4.
Procedimentos ..................................................................................................... 39
3.1.1.
3.1.2.
3.1.3.
3.1.4.
3.1.5.
3.1.6.
3.1.7.
3.1.8.
3.2.
Responsabilidades ............................................................................................... 46
3.3.
Objetivo ................................................................................................................. 47
4.2.
4.3.
4.4.
4.4.1.
4.4.2.
4.4.3.
4.4.4.
4.4.5.
4.4.6.
4.5.
LISTA DE SIGLAS
ACs
Autoridades Certificadoras
AIN
APF
CTIR GOV
DICA
DSIC
ETIR
GCN
GRSIC
GSIC
ICP- Brasil
ITI
POSIC
SE/CDN
SGCN
SIC
TIC
10
LISTA DE FIGURAS
Figura 1: Polticas (Estratgico), Normas (Ttico) e Procedimentos (Operacional) .............29
Figura 2: Todo o processo deve ser balizado pelas Normas Complementares N 05 e N 08
da IN01/DSIC/GSIPR. .........................................................................................................34
Figura 3: Anexo da NC N 04/IN01/DSIC/GSIPR (Reviso 01) ...........................................40
Figura 4: Exemplo de Anlise Qualitativa ............................................................................42
Figura 5: Exemplo de Anlise Quantitativa ..........................................................................42
Figura 6: Exemplo de Anlise Semi-quantitativa .................................................................43
Figura 7: Exemplo Anlise de Risco ....................................................................................43
Figura 8: Exemplo de Plano de Tratamento ........................................................................44
Figura 9: Tempos associados com o plano de recuperao de desastres de TI. ................55
Figura 10: Etapas de execuo do teste do plano de continuidade de negcios. ...............59
11
LISTA DE TABELAS
12
APRESENTAO
com imensa satisfao que apresento este Guia Bsico de Orientaes ao
Gestor em Segurana da Informao e Comunicaes (SIC), o qual rene mtodos e
instrumentos, visando orientar os gestores, com importantes aspectos inerentes
relevncia do tema nos dias atuais.
Dentre as motivaes para publicao desta obra, tem-se a prpria prerrogativa
do Secretrio Executivo do Conselho de Defesa Nacional de coordenar a implantao da
Poltica de Segurana da Informao no Governo Federal, bem como a respectiva
competncia de coordenar o Comit Gestor da Segurana da Informao (CGSI) que, entre
outras atividades, normatiza a Segurana da Informao e Comunicaes no mbito da
Administrao Pblica Federal (APF), mantendo o compromisso do Estado de promover
aes que objetivam viabilizar e assegurar a disponibilidade, a integridade, a
confidencialidade e a autenticidade das informaes.
Dessa forma, motivado por esta misso, e considerando a necessidade de
assegurar aos gestores uma linha de procedimentos consolidados, temos por objetivo
fortalecer a cultura desta atividade de extrema necessidade no mbito da APF.
Este Guia Bsico de Orientaes, alm de assistir a misso da SE/CDN, rene
estudos tcnicos sobre as legislaes e normas de SIC, desenvolvidos por especialistas de
diferentes rgos e entidades da APF, direta e indireta.
O emprego da padronizao e metodologia indicadas por este Guia conduzem a
uma resultante avaliada e apresentada como eficiente para a organizao e implementao
da Segurana da Informao e Comunicaes no Servio Pblico. O planejamento de
eventos e atividades estruturadas entrega aos gestores uma coordenao e controle de
aes que minimizam vulnerabilidades organizacionais. Assim, a correta gesto do risco,
baseada em slido mapeamento de ativos de informao, assegura ao gestor dos rgos a
tranquilidade necessria ao melhor desempenho da funo do rgo.
13
14
PREFCIO
As informaes tratadas no mbito da Administrao Pblica Federal, direta e
indireta, so ativos valiosos para a eficiente prestao dos servios pblicos.
Consequentemente, como ativo valioso
de
Tratamento
Resposta
Incidentes
em
Redes
15
Gesto de Riscos em Segurana da Informao e Comunicaes GRSIC: trata do conjunto de processos que permite identificar e implementar as medidas
de proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os ativos
de informao de um determinado rgo, e equilibr-los com os custos operacionais e
financeiros envolvidos.
Infraestrutura de Chaves Pblicas Brasileira-ICP-BRASIL: anexo a este
Guia, trata sobre a cadeia hierrquica e de confiana da ICP-BRASIL que viabiliza a emisso
de certificados digitais.
Glossrio de SIC: um Glossrio com conceitos e definies oriundos dos
Normativos publicados pelo Departamento de Segurana da Informao e Comunicaes
do Gabinete de Segurana Institucional da Presidncia da Repblica (DSIC/GSIPR)
apresentado ao final deste estudo compreendo todos os conceitos publicados na Instruo
Normativa GSI N 1, de 13 de junho de 2008, e suas respectivas 21 Normas
Complementares, de maio de 2008 outubro de 2014.
Esse Guia destina-se, portanto, contribuir com os profissionais da rea de
segurana da informao em seu rduo, porm gratificante, desafio de dedicar
informao, como ativo valioso que , o adequado tratamento, armazenamento e proteo.
16
CONTEXTUALIZAO
As diretrizes e metas relacionadas ao tema Segurana da Informao e
Comunicaes (SIC) no planejamento estratgico de cada rgo e entidade da
Administrao Pblica Federal (APF), com o objetivo de promover e motivar a criao de
uma cultura de segurana da informao, bem como implementar e manter os controles de
segurana adequados devem fazer parte da agenda estratgica do Estado brasileiro.
A informao tornou-se um recurso crescente e de fundamental Importncia na
execuo das atividades do governo brasileiro. Neste sentido, a informao e o
conhecimento sobre questes relativas SIC so fatores determinantes para a eficincia
da gesto dos rgos e entidades da APF.
No atual contexto, com a utilizao de um grande volume de informaes, desde
a prestao de servio pblico ao cidado, igualmente na tomada de decises estratgicas,
as aes exercidas possuem estreito relacionamento com a segurana da informao e
comunicaes.
Problemas
decorrentes
da
falta
de
Disponibilidade,
Integridade,
17
18
De uma forma geral, para tratar do escopo apresentado, cabe ao Gestor de SIC
as seguintes atribuies:
Promover a cultura de segurana da informao e comunicaes;
Acompanhar as investigaes e as avaliaes dos danos decorrentes de
quebras de segurana;
Propor alta administrao, recursos necessrios s aes de segurana da
informao e comunicaes;
Coordenar o Comit de Segurana da Informao e Comunicaes e a Equipe
de Tratamento e Resposta a Incidentes em Redes Computacionais;
Realizar e acompanhar estudos de novas tecnologias, quanto a possveis
impactos da SIC no rgo;
Manter contato direto com o Departamento de Segurana da Informao e
Comunicaes do Gabinete de Segurana Institucional da Presidncia da
Repblica (DSIC/GSIPR), para o trato de assuntos relativos segurana da
informao e comunicaes;
Propor normas relativas SIC ao Comit Gestor de SIC do rgo;
Responder pela SIC no rgo;
Gerenciar a aplicao de normas e polticas de proteo aos ativos e sistemas,
de acordo com a legislao vigente;
Desenvolver a anlise de risco e mapeamento de vulnerabilidades;
Elaborar o plano estratgico de Continuidade de Negcios e Recuperao de
Desastres;
Atuar junto aos usurios finais para resoluo de problemas que coloquem em
risco a SIC do rgo; e
19
de
Tratamento
Respostas
Incidentes
em
Redes
Computacionais (ETIR);
Gesto de Continuidade de Negcios (GCN); e
Gesto de Riscos em Segurana da Informao e Comunicaes
(GRSIC).
20
1.
1.1. Objetivos
Esta sesso discorre sobre os principais conceitos afetos Poltica de Segurana
da Informao e Comunicaes (POSIC), considerando, entre outros temas, a importncia
da sua elaborao, implementao, atualizao e divulgao.
O Decreto N 3.505, de 13 de junho de 2000, que instituiu a Poltica de Segurana
da Informao nos rgos e entidades da APF, no seu Art. 3, estabelece como objetivos:
21
Disponibilidade
Diz respeito garantia de que a informao estar acessvel s pessoas, processos
automatizados, rgos ou entidades no momento que for requerida. Logo, a
22
1.2.1. Responsabilidades
da competncia da Alta Administrao dos rgos e entidades da APF avaliar
a necessidade de que na estrutura da organizao exista uma rea responsvel pela
segurana da informao e comunicaes.
Cabe ao Gestor de SIC a responsabilidade pela elaborao da POSIC,
assessorado pelo Comit Gestor de SIC do rgo, bem como pela sua implantao e
reviso aps aprovao da referida pela Alta Administrao.
Todos os servidores, usurios, prestadores de servio, contratados e
colaboradores que habitualmente trabalham no rgo ou entidade da APF so responsveis
pela segurana da informao, pela segurana dos ativos e processos que estejam sob sua
custdia e por todos os atos executados com suas respectivas identificaes.
23
Qualquer que seja a forma de identificao, ela deve ser pessoal e intransfervel,
permitindo de maneira clara e indiscutvel o seu reconhecimento.
O grau de sucesso da POSIC, portanto, est intimamente relacionado ao
patrocnio da Alta Administrao, que deve ser expresso formalmente, por escrito. Quanto
maior o seu comprometimento, maior a probabilidade de que a poltica seja eficiente e eficaz
para a organizao.
suficientes
implementao
da
SIC.
Seguidamente,
Norma
24
1.2.3.1
1.
entidade da APF.
Definir os nveis e requisitos de segurana a serem aplicados conforme a criticidade
e relevncia de cada ativo de informao. Caso a organizao j possua polticas e
programas de segurana, avaliar deficincias e fatores de risco, visando seu
refinamento.
4.
Devem ser elaboradas normas referentes ao uso dos ativos de informao, tais
como: utilizao da internet, uso de dispositivos mveis, gerenciamento de acessos
fsicos e lgicos, utilizao do e-mail, entre outros.
25
5.
aprovados
pelos
departamentos
Jurdico
de
Recursos
Humanos,
6.
planejamento
estratgico.
De
acordo
com
Norma
Complementar
26
1.3.1. Escopo
Este item deve conter a descrio do objeto e abrangncia da POSIC,
estabelecendo o limite das aes que sero desenvolvidas no rgo ou entidade da APF.
1.3.4. Princpios
Neste item devem ser relacionados os princpios que regem a segurana da
informao no respectivo rgo ou entidade da APF.
27
g) Uso de e-mail; e
h) Acesso a Internet.
1.3.6. Penalidades
Este item deve identificar as consequncias e penalidades para os casos de
violao da POSIC e de quebra de segurana, devendo ser proposto um termo de
responsabilidade.
1.3.8. Atualizao
recomendvel estabelecer a periodicidade da reviso da POSIC e dos
instrumentos normativos gerados a partir dela.
28
2)
Tratamento da Informao;
3)
4)
5)
6)
7)
8)
9)
29
30
A INCIDENTES EM REDES
COMPUTACIONAIS - ETIR
2.1. Objetivo
Facilitar a atuao do Gestor na concepo, regulamentao e gesto da Equipe
de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), e no
disciplinamento do gerenciamento de incidentes de segurana em redes de computadores.
Neste eixo do Guia, no possvel definir um padro rgido que atenda deforma
apropriada s caractersticas de cada organizao, considerada a complexidade, misso e
viso de negcio de cada uma. Contudo, possvel descrever o conjunto geral dos tpicos
e assuntos que possam auxiliar o Gestor em suas aes.
31
2.2.2. Responsabilidades
2.2.2.1. Criao da ETIR
Para a criao de uma ETIR, a organizao deve possuir a competncia formal
para administrao total ou parcial da infraestrutura da rede de computadores da
organizao. Uma vez estabelecida a competncia, com o apoio e chancela da Alta
Administrao, deve ser publicado, alinhado com a POSIC da organizao, o documento de
constituio da ETIR.
Neste sentido, cumpre evidenciar os requisitos mnimos para a instituio da
ETIR:
Modelo de implementao;
Nvel de autonomia; e
32
33
Classificao de incidentes;
Formulrios padro;
34
35
2.5.3.2. Autonomia
(A) Completa adota decises, iniciativas e medidas de recuperao, sem depender
de nveis superiores de gesto.
(B) Compartilhada compe o processo decisrio sobre medidas a serem adotadas.
Recomenda procedimentos e aes. As reas participantes do processo decisrio
devem ser explcitas no ato de criao da ETIR.
(C) Sem autonomia age mediante a autorizao de um membro da organizao
designado no ato de criao da ETIR.
Tratamento de vulnerabilidades;
Anncios;
Avaliao de segurana;
36
Deteco de intruso; e
37
38
3.1. Procedimentos
Com a finalidade de manter os riscos em nveis aceitveis a abordagem
sistemtica do processo de GRSIC compreende as seguintes etapas:
Definies preliminares;
Anlise/avaliao dos riscos;
Plano de tratamento dos riscos;
Aceitao dos riscos;
Implementao do plano de tratamento dos riscos;
Monitorao e anlise crtica;
Melhoria do processo de GRSIC; e
Comunicao do risco.
39
40
41
42
Depois de feita a anlise e a avaliao dos riscos, o Gestor deve relacionar todos
os riscos que requeiram tratamento, estabelecendo suas prioridades de execuo em
conformidade com os critrios estabelecidos.
43
Reter.
44
45
3.2. Responsabilidades
A responsabilidade da aprovao das diretrizes de GRSIC da Alta
Administrao do rgo, cabendo ao Gestor de SIC a coordenao da GRSIC.
Tendo em vista a complexidade da GRSIC, o Gestor de SIC poder indicar outros
servidores para auxili-lo em algumas atividades como na anlise/avaliao de riscos, no
tratamento dos riscos e na elaborao de relatrios.
46
4.1. Objetivo
A Gesto de Continuidade de Negcios (GCN) um processo abrangente de
gesto que identifica ameaas potenciais para uma organizao e os possveis impactos
nas operaes de negcio, caso estas ameaas se concretizam. Este processo fornece
uma estrutura para que se desenvolva uma resilincia organizacional que seja capaz de
responder efetivamente e salvaguardar os interesses das partes interessadas, a reputao
e a marca da organizao, e suas atividades de valor agregado.
Benefcios de um programa eficaz de GCN:
Identificar proativamente os impactos de uma interrupo operacional;
Ter uma resposta eficiente s interrupes, o que minimiza o impacto
organizao;
Manter a capacidade de gerenciar riscos que no podem ser segurados;
Promover trabalho em equipe;
Demonstrar uma resposta possvel por meio de um processo de testes;
Melhorar a reputao; e
Obter vantagem competitiva por meio da capacidade demonstrada de manter a
entrega de seus produtos e servios.
47
PAPEL
RESPONSABILIDADES
Assegurar a existncia da gesto de continuidade para
atender s necessidades da organizao.
Determinar
grau
de
importncia
da
gesto
de
continuidade.
Alta Administrao
Gestor/Coordenador
de GCN
48
Equipe de
Contingncia
Comit Gestor de
Segurana da
Manter o SGCN.
Apoiar o Gestor/Coordenador nas situaes de emergncia/
Informao e
desastre.
Comunicaes do
rgo ou entidade
ETAPA
RESULTADOS ESPERADOS
Apresentar a viso geral da gesto de continuidade de negcios.
Apresentar as etapas principais da gesto de continuidade.
Incio e gesto do
projeto
49
organizao
Determinar
(Anlise dos
operacionais).
os
impactos
das
interrupes
(financeiros,
Impactos nos
Negcios;
Avaliao dos
riscos)
Determinar a
estratgia de
continuidade
50
Desenvolver e
implementar uma
Papis e responsabilidades.
Organizao da continuidade de negcios.
resposta de GCN
Forma de acionamento dos planos.
Tipos de planos de continuidade de negcios.
Planos de continuidade de negcios.
contingncia.
Relatrio do resultado do teste contendo ajustes necessrios nos
planos de continuidade e no prprio plano de teste.
Equipes capacitadas para conduzir as aes nas situaes de
contingncia.
51
52
53
tcnicas para quantificar e qualificar estes impactos (ver Tabela 3). Define tambm
a criticidade dos processos de negcio, suas prioridades de recuperao,
interdependncias e os requisitos de SIC para que os objetivos de recuperao
sejam atingidos nos prazos estabelecidos.
REQUISITO DE RECUPERAO
DESCRIO
Recuperao
dados coletados.
54
55
Uma estratgia uma abordagem usada para uma organizao tratar os riscos visando
atingir os objetivos de resilincia.
A estratgia pode dar proteo contra apenas um evento ou contra vrios eventos.
Estratgias de recuperao do organizao capacidade para retornar s operaes
de forma estvel aps um desastre (evento).
Durante o processo de anlise, cenrios de crise so teis.
No desenvolvimento da estratgia, o foco deve estar no que precisa ser atingido.
A estratgia geral de recuperao deve considerar cada funo/sistema crtico. As
estratgias de recuperao disponveis devem ser consideradas.
A seleo do conjunto de estratgias depende de: custos, nvel de servio fornecido,
tempo de ativao, benefcios, gerenciamento, confiana e, considerar outros
planos/processos da organizao.
As estratgias devem ser selecionadas por meio da reviso e avaliao de combinaes
de estratgias.
Na avaliao das estratgias, considerar a viso de longo prazo (para minimizar
retrabalho e custos desnecessrios).
Quando a seleo de uma estratgia no bvia, deve ser realizada uma anlise custo
x benefcio.
Interdependncias entre processos (funes/sistemas crticos).
56
57
TIPO DE PLANO
DESCRIO
Continuidade de
Negcios
Plano de
Gerenciamento de
Incidentes
necessrias
para
implementar
processo
de
gerenciamento de incidentes.
Plano de
Recuperao de
Negcios
58
Para atingir os objetivos a etapa de testes pode envolver vrios testes cada qual
abordando aspectos especficos do plano geral de teste.
- Viso geral
59
Simulao
Interrupo total
- Plano de Teste
Iniciar um teste de plano de contingncia sem o planejamento e preparao
adequados no apenas aumenta o risco de falhas como tambm pode causar danos
reputao das equipes e causar descrdito ao prprio processo de gesto de continuidade.
60
61
62
GLOSSRIO DE SIC
A
ACESSO: ato de ingressar, transitar, conhecer ou consultar a informao, bem como a
possibilidade de usar os ativos de informao de um rgo ou entidade.
http://dsic.planalto.gov.br/documentos/nc_07_revisao_01.pdf
AGENTE PBLICO: todo aquele que exerce, ainda que transitoriamente ou sem
remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma
de investidura ou vnculo, mandato, cargo, emprego ou funo nos rgos e entidades da
APF.
http://dsic.planalto.gov.br/documentos/NC20_Revisao01.pdf
63
64
http://dsic.planalto.gov.br/documentos/nc_18_atividades_ensino.pdf
AMEAA conjunto de fatores externos ou causa potencial de um incidente indesejado,
que pode resultar em dano para um sistema ou organizao.
http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
ANLISE DINMICA: tipo de teste de software que verifica seu comportamento externo
em busca de anomalias ou vulnerabilidades. A anlise dinmica ocorre por meio de
interaes com o software em execuo.
http://dsic.planalto.gov.br/documentos/nc_16_software_seguro.pdf
ANLISE ESTTICA: tipo de teste de software que verifica sua lgica interna em busca
de falhas ou vulnerabilidades. A anlise esttica ocorre por meio da verificao do cdigofonte ou dos binrios.
http://dsic.planalto.gov.br/documentos/nc_16_software_seguro.pdf
65
66
67
B
BIOMETRIA: a verificao da identidade de um indivduo por meio de uma caracterstica
fsica ou comportamental nica, atravs de mtodos automatizados.
http://dsic.planalto.gov.br/documentos/nc_07_revisao_01.pdf
C
CAPACITAO: atividade de ensino que tem como objetivo orientar sobre o que SIC,
fazendo com que os participantes saibam aplicar os conhecimentos em sua rotina pessoal
e profissional, alm de servirem como multiplicadores sobre o tema, estando aptos para
atuar em suas organizaes como Gestores de SIC.
http://dsic.planalto.gov.br/documentos/nc_18_atividades_ensino.pdf
68
69
tomador
de
deciso
outras
partes
interessadas.
http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
CONSCIENTIZAO: atividade de ensino que tem como objetivo orientar sobre o que
SIC, fazendo com que os participantes saibam aplicar os conhecimentos em sua rotina
pessoal e profissional, alm de servirem como multiplicadores sobre o tema.
http://dsic.planalto.gov.br/documentos/nc_18_atividades_ensino.pdf
70
71
72
D
DECIFRAO: ato de decifrar mediante uso de algoritmo simtrico ou assimtrico, com
recurso criptogrfico, para reverter processo de cifrao original.
http://dsic.planalto.gov.br/documentos/nc_09_revisao_02.pdf
DESASTRE: evento repentino e no planejado que causa perda para toda ou parte da
organizao e gera srios impactos em sua capacidade de entregar servios essenciais
ou crticos por um perodo de tempo superior ao tempo objetivo de recuperao.
http://dsic.planalto.gov.br/documentos/nc_6_gcn.pdf
E
EMPRESA ESTRATGICA DE DEFESA (EED) DO SETOR DE TECNOLOGIA DE
INFORMAO E COMUNICAO (TIC): toda pessoa jurdica do setor de Tecnologia de
73
EQUIPE
DE
TRATAMENTO
RESPOSTA
INCIDENTES
EM
REDES
EVITAR RISCO: uma forma de tratamento de risco na qual a alta administrao decide
no realizar a atividade, a fim de no se envolver ou agir de forma a se retirar de uma
situao de risco.
74
http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
G
GESTO DE CONTINUIDADE: processo abrangente de gesto que identifica ameaas
potenciais para uma organizao e os possveis impactos nas operaes de negcio,
caso estas ameaas se concretizem. Este processo fornece uma estrutura para que se
desenvolva uma resilincia organizacional que seja capaz de responder efetivamente e
salvaguardar os interesses das partes interessadas, a reputao e a marca da
organizao, e suas atividades de valor agregado.
http://dsic.planalto.gov.br/documentos/nc_6_gcn.pdf
o processo de
75
necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de
informao, e equilibr-los com os custos operacionais e financeiros envolvidos.
http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
tratamento
de
incidentes,
tratamento
da
informao,
conformidade,
I
IDENTIFICAO E CLASSIFICAO DE ATIVOS DE INFORMAO: um processo
composto por 6 (seis) etapas:
(a) coletar informaes gerais;
(b) definir as informaes dos ativos;
(c) identificar o(s) responsvel (is);
(d) identificar os contineres dos ativos;
(e) definir os requisitos de segurana; e
(f) estabelecer o valor do ativo de informao.
http://dsic.planalto.gov.br/documentos/nc_10_ativos.pdf
76
INCIDENTE: evento que tenha causado algum dano, colocado em risco, algum ativo de
informao crtico ou interrompido a execuo de alguma z
http://dsic.planalto.gov.br/documentos/nc_6_gcn.pdf
INFORMAO: dados, processados ou no, que podem ser utilizados para produo e
transmisso de conhecimento, contidos em qualquer meio, suporte ou formato.
http://dsic.planalto.gov.br/documentos/NC20_Revisao01.pdf
77
L
LOG OU REGISTRO DE AUDITORIA: Registro de eventos relevantes em um dispositivo
ou sistema computacional.
http://dsic.planalto.gov.br/documentos/nc_21_preservacao_de_evidencias.pdf
78
M
METADADOS: dados que descrevem os dados, isto , so informaes teis para
identificar, localizar, compreender e gerenciar os dados.
http://dsic.planalto.gov.br/documentos/NC20_Revisao01.pdf
N
NECESSIDADE DE CONHECER: condio pessoal, inerente ao efetivo exerccio de
cargo, funo, emprego ou atividade, indispensvel para o usurio ter acesso
informao, especialmente se for sigilosa, bem como o acesso aos ativos de informao.
http://dsic.planalto.gov.br/documentos/nc_07_revisao_01.pdf
79
P
PADRES CORPORATIVOS DE SISTEMAS E DE CONTROLE: conjunto de regras e
procedimentos que compem os normativos internos das corporaes.
http://dsic.planalto.gov.br/documentos/nc_12_dispositivos.pdf
80
81
Q
QUEBRA DE SEGURANA: ao ou omisso, intencional ou acidental, que resulta no
comprometimento da segurana da informao e comunicaes.
http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf
82
R
RECURSO CRIPTOGRFICO: sistema, programa, processo, equipamento isolado ou em
rede que utiliza algoritmo simtrico ou assimtrico para realizar cifrao ou decifrao.
http://dsic.planalto.gov.br/documentos/nc_09_revisao_02.pdf
REDUZIR RISCOS: uma forma de tratamento de risco na qual a alta administrao decide
realizar a atividade, adotando aes para reduzir a probabilidade, as consequncias
negativas, ou ambas, associadas a um risco.
http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
83
RETER RISCOS: uma forma de tratamento de risco na qual a alta administrao decide
realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado.
http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
S
SEGURANA DA INFORMAO E COMUNICAES: aes que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das
informaes.
http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf
84
imprescindvel
para
planejamento,
coordenao,
execuo,
T
TEMPO OBJETIVO DE RECUPERAO: o tempo pr-definido no qual uma atividade
dever estar disponvel aps uma interrupo ou incidente.
http://dsic.planalto.gov.br/documentos/nc_6_gcn.pdf
85
http://dsic.planalto.gov.br/documentos/nc_07_revisao_01.pdf
recepo,
transmisso,
classificao,
distribuio,
utilizao,
arquivamento,
acesso,
armazenamento,
reproduo,
eliminao,
transporte,
avaliao,
86
U
USURIO: servidores, terceirizados, colaboradores, consultores, auditores e estagirios
que obtiveram autorizao do responsvel pela rea interessada para acesso aos Ativos
de Informao de um rgo ou entidade da APF, formalizada por meio da assinatura do
Termo de Responsabilidade.
http://dsic.planalto.gov.br/documentos/nc_07_revisao_01.pdf
V
VALOR DO ATIVO DE INFORMAO: valor, tangvel e intangvel, que reflete tanto a
importncia do ativo de informao para o alcance dos objetivos estratgicos de um rgo
87
segurana
da
informao
comunicaes
da
organizao.
http://dsic.planalto.gov.br/documentos/nc_11_conformidade.pdf
88
ANEXO I
ICP-BRASIL: Certificado Digital
A Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil), instituda pela Medida
Provisria n 2.200-2, de 24 de agosto de 2001, uma cadeia hierrquica e de confiana
que viabiliza a emisso de certificados digitais. Dentre vrios modelos existentes, o modelo
adotado pelo Brasil foi o de certificao com Raiz nica. O Instituto Nacional de Tecnologia
da Informao (ITI), alm de desempenhar o papel de Autoridade Certificadora Raiz (ACRaiz), tambm tem o papel de credenciar e descredenciar os demais participantes da
cadeia, supervisionar e fazer auditoria dos processos. tambm a entidade de auditoria de
tempo da Rede de Carimbo do Tempo da ICP-Brasil.
A AC-Raiz est encarregada de emitir a lista de certificados revogados, de
fiscalizar e auditar as Autoridades Certificadoras (ACs), as autoridades de registros e
demais prestadores de servio habilitados na ICP-Brasil. Alm disso, verifica se as ACs
esto atuando em conformidade com as diretrizes e normas tcnicas estabelecidas pelo
Comit Gestor da ICP-Brasil. O Comit Gestor da ICP-Brasil exerce a funo de autoridade
gestora de polticas e encontra-se vinculado Casa Civil da Presidncia da Repblica.
Conceitos Gerais
Alguns conceitos utilizados na ICP-Brasil so apresentados nesta seo, porm
definies
adicionais
encontram-se
em
Glossrio
especfico
no
endereo:
<http://www.iti.gov.br/images/icp-brasil/Normas%20ICP-Brasil/Glossario/GLOSSaRIOV1.4.pdf>
Algoritmo Assimtrico
um algoritmo de criptografia que usa duas chaves: uma chave pblica e uma
chave privada, onde a chave pblica pode ser distribuda abertamente enquanto a chave
privada mantida secreta. Os algoritmos assimtricos so capazes de muitas operaes,
incluindo criptografia, assinaturas digitais e acordo de chave.
89
Assinatura Digital
Cdigo anexado ou logicamente associado a uma mensagem eletrnica que
permite de forma nica e exclusiva a comprovao da autoria de um determinado conjunto
de dados (um arquivo, um e-mail ou uma transao). A assinatura digital comprova que a
pessoa criou ou concorda com um documento assinado digitalmente, como a assinatura de
prprio punho comprova a autoria de um documento escrito. A verificao da origem do
dado feita com a chave pblica do remetente.
Autenticidade
Qualidade de um documento ser o que diz ser, independente de se tratar de
minuta, original ou cpia e que livre de adulteraes ou qualquer outro tipo de corrupo.
Autoridade Certificadora - AC
Entidade que emite, renova ou revoga certificados digitais de outras ACs ou de
titulares finais. Alm disso, emite e publica a lista de certificados revogados. Na estrutura de
carimbo de tempo da ICP-Brasil, emite os certificados digitais usados nos equipamentos e
sistemas das ACTs e da EAT.
Autoridade de Registro - AR
Entidade responsvel pela interface entre o usurio e a Autoridade Certificadora
vinculada a uma AC que tem por objetivo o recebimento, validao, encaminhamento de
solicitaes de emisso ou revogao de certificados digitais s AC e a identificao, de
forma presencial, de seus solicitantes. responsabilidade da AR manter registros de suas
90
operaes. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro
remota.
Certificado Digital
Conjunto de dados de computador, gerados por uma Autoridade Certificadora,
em observncia Recomendao da International Telecommunications Union Telecommunication Standardization Sector - ITU-T X.509, que se destina a registrar, de
forma nica, exclusiva e intransfervel, a relao existente entre uma chave de criptografia
e uma pessoa fsica, jurdica, mquina ou aplicao.
Arcabouo Jurdico
O arcabouo jurdico da ICP-Brasil inicia-se com a Medida Provisria n 2.200-2,
de 24 de Agosto de 2001, que instituiu a Infraestrutura de Chaves Pblica Brasileira para
garantir a autenticidade, a integridade e a validade jurdica aos documentos em forma
eletrnica, as aplicaes de suporte e as aplicaes habilitadas que utilizem certificados
digitais como as realizaes de transaes eletrnicas seguras.
Dentre os vrios Decretos relacionados ao tema, cabe destacar o Decreto N
3.996, de 31 de outubro de 2001, que dispe sobre a prestao de servios. A tramitao
de documentos eletrnicos, as aplicaes e demais programas e equipamentos utilizados
no mbito da APF, direta e indireta, que exijam a utilizao de certificados digitais ser
mediante certificao disponibilizada por AC integrante da ICP-Brasil. Cabe informar que a
legislao
vigente
pode
ser
consultada
no
stio
do
ITI
no
endereo:
<http://www.iti.gov.br/legislacao>.
91
92
93