Guia Gestor

Verso 2.
Braslia- DF
2015
Presidenta da Repblica
Dilma Rousseff
Vice-Presidente da Repblica
Michel Temer
Chefe da Casa Militar da Presidncia da Repblica

General de Diviso Marcos Antonio Amaro dos Santos
Secretrio-Executivo do Conselho de Defesa Nacional

Assessor-Chefe da Assessoria Especial da Secretaria-Executiva do

Conselho de Defesa Nacional
Contra-Almirante Noriaki Wada
Diretor do Departamento de Segurana da Informao e Comunicaes

Marconi dos Reis Bezerra
Coordenador do Comit Gestor da Segurana da Informao

Marconi dos Reis Bezerra
PRESIDNCIA DA REPBLICA
Casa Militar
Secretaria-Executiva do Conselho de Defesa Nacional
Departamento de Segurana da Informao e Comunicaes
GUIA BSICO DE ORIENTAES

AO GESTOR EM
SEGURANA DA INFORMAO E COMUNICAES
Verso 2.0
Braslia DF
2015
Copyright 2015 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos,

parcial ou total, por qualquer meio, desde que citada a fonte.
Disponvel no formato eletrnico em: <http://dsic.planalto.gov.br>.
Organizadores
Danielle Rocha da Costa
Jos Ney de Oliveira Lima
Membros do GT
Adelino Fernando de Souza Correia, Ministrio da Sade
Carlos de Faria Castro, Ministrio da Previdncia Social
Danielle Rocha da Costa, Gabinete de Segurana Institucional da Presidncia da
Repblica
Eduardo Magalhes de Lacerda Filho, Casa Civil da Presidncia da Repblica
Gilson Fernando Botta, Ministrio do Planejamento, Oramento e Gesto
Jos Ney de Oliveira Lima, Ministrio do Planejamento, Oramento e Gesto
Juliana Rocha Munita, Ministrio do Planejamento, Oramento e Gesto
Lucas de Oliveira Souto, Gabinete de Segurana Institucional da Presidncia da Repblica
Marlene Isidro da Silva, Gabinete de Segurana Institucional da Presidncia da Repblica
Marcos Allemand Lopes, Ministrio da Fazenda
Nbia Moreira dos Santos, Ministrio do Planejamento, Oramento e Gesto
Zeneide Sanches Pureza (Convidada), Secretaria de Segurana Pblica e Defesa Social
do Estado do Par
Normalizao bibliogrfica: Biblioteca da Presidncia da Repblica.
Desenvolvido pelo Grupo de Trabalho (GT) Elaborao de Guia de Orientaes ao

Gestor de SIC, institudo no mbito do Comit Gestor da Segurana da Informao (CGSI),
por meio da Portaria N 26 do Conselho de Defesa Nacional (CDN), de 15 de Julho de 2014.
[Membros designados pela Portaria N 28 SE/CDN, de 7 de Agosto de 2014 - (DOU n 151;
8/08/2014)]
Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)
B823g
Brasil. Presidncia da Repblica. Casa Militar. Departamento de Segurana da Informao e Comunicaes.
Guia bsico de orientaes ao gestor em segurana da informao e comunicaes : verso 2.0 /
Casa Militar, Departamento de Segurana da Informao e Comunicaes; organizadores Danielle Rocha da
Costa, Jos Ney de Oliveira Lima. Braslia : Presidncia da Repblica, 2016.
92 p. : il.
1. Segurana da informao e comunicaes. 2. Gesto em segurana da informao e

comunicaes. I. Ttulo.
CDD 005.8
Ficha Catalogrfica produzida pela Biblioteca da Presidncia da Repblica
SUMRIO
LISTA DE SIGLAS ............................................................................................................... 10
LISTA DE FIGURAS............................................................................................................. 11
LISTA DE TABELAS ............................................................................................................ 12
APRESENTAO ................................................................................................................ 13
PREFCIO ........................................................................................................................... 15
CONTEXTUALIZAO ....................................................................................................... 17
1.
POLTICA DE SEGURANA DA INFORMAO E COMUNICAES ...................... 21

1.1.
Objetivos ............................................................................................................... 21
1.2.
A Poltica de Segurana da Informao e Comunicaes ................................ 22
1.2.1.
Responsabilidades ........................................................................................... 23
1.2.2.
Resultados Esperados ..................................................................................... 24
1.2.3
Institucionalizao da POSIC .......................................................................... 24
1.2.3.1 Recomendaes para Institucionalizao da POSIC .................................... 25

1.3.
Elementos da Poltica de Segurana da Informao e Comunicaes ........... 26
1.3.1.
Escopo ............................................................................................................... 27
1.3.2.
Conceitos e definies ..................................................................................... 27
1.3.3.
Referncias legais e normativas ..................................................................... 27
1.3.4.
Princpios .......................................................................................................... 27
1.3.5.
Diretrizes Gerais ............................................................................................... 27
1.3.6.
Penalidades ....................................................................................................... 28
1.3.7.
Competncias e Responsabilidades ............................................................... 28
1.3.8.
Atualizao ........................................................................................................ 28
1.4.
Normas Complementares .................................................................................... 28
1.5.
2.
Referncias legais e normativas ......................................................................... 30
EQUIPE
DE
TRATAMENTO
RESPOSTAS
INCIDENTES
EM
REDES
COMPUTACIONAIS - ETIR ................................................................................................. 31

2.1.
Objetivo ................................................................................................................. 31
2.2.
Papis e responsabilidades ................................................................................ 31
2.2.1.
Papis ................................................................................................................ 31
2.2.1.1.
Gestor de Segurana da Informao e Comunicaes ............................. 31
2.2.1.2.
Agente Responsvel ..................................................................................... 31
2.2.1.3.
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais

31
2.2.1.4.
2.2.2.
Responsabilidades ........................................................................................... 32
2.2.2.1.
2.2.3.
Criao da ETIR ............................................................................................. 32

Gesto da ETIR ................................................................................................. 33
2.3.
Ideograma da rotina de comunicao simples e tarefas bsicas da Equipe .. 34
2.4.
Resultados esperados ......................................................................................... 34
2.5.
Etapas para alcance dos resultados .................................................................. 35
2.5.1.
Cuidados no processo de criao da ETIR .................................................... 35
2.5.2.
Cuidados na definio do modelo, autonomia e servios disponveis ....... 35
2.5.3.
Opes recomendadas .................................................................................... 35
2.5.3.1.
Modelos.......................................................................................................... 35
2.5.3.2.
Autonomia ..................................................................................................... 36
2.5.3.3.
Servios adicionais ....................................................................................... 36
2.6.
3.
Caractersticas comuns aos componentes ................................................ 32
GESTO DE RISCOS EM SEGURANA DA INFORMAO E COMUNICAES
(GRSIC) ................................................................................................................................ 38
3.1.
4.
Procedimentos ..................................................................................................... 39
3.1.1.
Definies preliminares ................................................................................... 40
3.1.2.
Anlise/avaliao dos riscos ........................................................................... 41
3.1.3.
Plano de Tratamento dos Riscos .................................................................... 43
3.1.4.
Aceitao do Risco ........................................................................................... 44
3.1.5.
Implementao do Plano de Tratamento dos Riscos .................................... 44
3.1.6.
Monitorao e anlise crtica ........................................................................... 45
3.1.7.
Melhoria do Processo de GRSIC ..................................................................... 45
3.1.8.
Comunicao do Risco .................................................................................... 45
3.2.
Responsabilidades ............................................................................................... 46
3.3.
GESTO DE CONTINUIDADE DE NEGCIOS ........................................................... 47

4.1.
Objetivo ................................................................................................................. 47
4.2.
Papis e Responsabilidades ............................................................................... 47
4.3.
Resultados esperados ......................................................................................... 49
4.4.
Etapas para o alcance dos resultados ............................................................... 51
4.4.1.
Entender a Organizao Anlise de Riscos ................................................ 51
4.4.2.
Entender a organizao Anlise de Impactos nos Negcios .................... 52
4.4.3.
Determinar a Estratgia de Continuidade....................................................... 55
4.4.4.
Desenvolver e Implementar uma Resposta de GCN ...................................... 56
4.4.5.
Tipos de Planos ................................................................................................ 57
4.4.6.
Testar e Manter os Planos ............................................................................... 58
4.5.
GLOSSRIO DE SIC ........................................................................................................... 63

ANEXO I ............................................................................................................................... 89
ICP-BRASIL: Certificado Digital ........................................................................................ 89

Conceitos Gerais............................................................................................................. 89
Algoritmo Assimtrico .................................................................................................... 89
Assinatura Digital............................................................................................................ 90
Autenticidade .................................................................................................................. 90
Autoridade Certificadora - AC ........................................................................................ 90
Autoridade de Carimbo de Tempo - ACT ...................................................................... 90
Autoridade de Registro - AR .......................................................................................... 90
Certificado Digital ........................................................................................................... 91
No-repdio (ou irretratabilidade) ................................................................................. 91
Arcabouo Jurdico ........................................................................................................ 91
NOTAS SOBRE ESTA EDIO ........................................................................................... 92
LISTA DE SIGLAS
ACs
Autoridades Certificadoras
AIN
Anlise de Impacto nos Negcios
APF
Administrao Pblica Federal
CTIR GOV
Centro de Tratamento e Resposta a Incidentes de Segurana em Redes de

Computadores da Administrao Pblica Federal
DICA
Disponibilidade, Integridade, Confidencialidade e Autenticidade
DSIC
Departamento de Segurana da Informao e Comunicaes
ETIR
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais
GCN
Gesto de Continuidade de Negcios
GRSIC
Gesto de Riscos em Segurana da Informao e Comunicaes
GSIC
Gesto da Segurana da Informao Comunicaes
ICP- Brasil
Infraestrutura de Chaves Pblicas Brasileira
ITI
Instituto Nacional de Tecnologia da Informao
POSIC
Poltica de Segurana da Informao e Comunicaes
SE/CDN
Secretria-Executiva do Conselho de Defesa Nacional
SGCN
Sistema de Gesto de Continuidade de Negcios
SIC
Segurana da Informao e Comunicaes
TIC
Tecnologia da Informao e Comunicaes
10
LISTA DE FIGURAS
Figura 1: Polticas (Estratgico), Normas (Ttico) e Procedimentos (Operacional) .............29
Figura 2: Todo o processo deve ser balizado pelas Normas Complementares N 05 e N 08
da IN01/DSIC/GSIPR. .........................................................................................................34
Figura 3: Anexo da NC N 04/IN01/DSIC/GSIPR (Reviso 01) ...........................................40
Figura 4: Exemplo de Anlise Qualitativa ............................................................................42
Figura 5: Exemplo de Anlise Quantitativa ..........................................................................42
Figura 6: Exemplo de Anlise Semi-quantitativa .................................................................43
Figura 7: Exemplo Anlise de Risco ....................................................................................43
Figura 8: Exemplo de Plano de Tratamento ........................................................................44
Figura 9: Tempos associados com o plano de recuperao de desastres de TI. ................55
Figura 10: Etapas de execuo do teste do plano de continuidade de negcios. ...............59
11
LISTA DE TABELAS
Tabela 1: Papis e responsabilidades na gesto de continuidade de negcios. ............... 49

Tabela 2: Etapas do projeto GCN Viso geral. ............................................................... 51
Tabela 3: Tempos a serem considerados no plano de recuperao de desastres. ........... 54
Tabela 4: Tipos de planos de acordo com a NC n 06/IN01/DSIC/GSIPR ......................... 58
Tabela 5: Principais mtodos de teste para os planos de continuidade. ............................ 60
12
APRESENTAO
com imensa satisfao que apresento este Guia Bsico de Orientaes ao
Gestor em Segurana da Informao e Comunicaes (SIC), o qual rene mtodos e
instrumentos, visando orientar os gestores, com importantes aspectos inerentes
relevncia do tema nos dias atuais.
Dentre as motivaes para publicao desta obra, tem-se a prpria prerrogativa
do Secretrio Executivo do Conselho de Defesa Nacional de coordenar a implantao da
Poltica de Segurana da Informao no Governo Federal, bem como a respectiva
competncia de coordenar o Comit Gestor da Segurana da Informao (CGSI) que, entre
outras atividades, normatiza a Segurana da Informao e Comunicaes no mbito da
Administrao Pblica Federal (APF), mantendo o compromisso do Estado de promover
aes que objetivam viabilizar e assegurar a disponibilidade, a integridade, a
confidencialidade e a autenticidade das informaes.
Dessa forma, motivado por esta misso, e considerando a necessidade de
assegurar aos gestores uma linha de procedimentos consolidados, temos por objetivo
fortalecer a cultura desta atividade de extrema necessidade no mbito da APF.
Este Guia Bsico de Orientaes, alm de assistir a misso da SE/CDN, rene
estudos tcnicos sobre as legislaes e normas de SIC, desenvolvidos por especialistas de
diferentes rgos e entidades da APF, direta e indireta.
O emprego da padronizao e metodologia indicadas por este Guia conduzem a
uma resultante avaliada e apresentada como eficiente para a organizao e implementao
da Segurana da Informao e Comunicaes no Servio Pblico. O planejamento de
eventos e atividades estruturadas entrega aos gestores uma coordenao e controle de
aes que minimizam vulnerabilidades organizacionais. Assim, a correta gesto do risco,
baseada em slido mapeamento de ativos de informao, assegura ao gestor dos rgos a
tranquilidade necessria ao melhor desempenho da funo do rgo.
13
Em maro de 2014 foi institudo, no mbito do Comit Gestor da Segurana da

Informao (CGSI) um grupo de trabalho para estudo e anlise de matrias relacionadas s
melhores prticas e metodologias de implantao, coordenao e controle de atividades de
Segurana da Informao e Comunicaes. O grupo foi composto por 12 servidores federais
dos seguintes rgos poca: GSIPR, MP, MS, MPS, MF e Casa Civil. Tal diversidade
enriqueceu e propiciou diversas e significativas opinies sobre o tema, as quais
indubitavelmente, fomentaro discusses e propostas de melhorias sobre o assunto.
Manifesto, por oportuno, minha satisfao com o resultado final obtido, fruto do esforo,
dedicao e sinergia demonstrados pelo grupo de trabalho, bem como pela criteriosa
apreciao do CGSI sobre o trabalho apresentado.
Recomendo, portanto, a leitura deste Guia cuja publicao considero significativo
incremento no arcabouo de documentos que objetivam garantir a Segurana da
Informao, e convido-os a contribuir com propostas e sugestes para a evoluo do
mesmo, visando estabelecer melhores prticas de SIC no Governo Brasileiro.
Boa leitura! Boas prticas!
Chefe da Casa Militar da Presidncia da Repblica
14
PREFCIO
As informaes tratadas no mbito da Administrao Pblica Federal, direta e
indireta, so ativos valiosos para a eficiente prestao dos servios pblicos.
Consequentemente, como ativo valioso
e estratgico, a informao deve ser
adequadamente tratada, armazenada e protegida.

Nesse contexto, o Guia Bsico de Orientaes ao Gestor em Segurana da
Informao e Comunicaes foi elaborado com o propsito de oferecer ao leitor orientaes
e dicas referentes implementao das aes de segurana da informao nas
organizaes pblicas federais.
Cabe ressaltar que este estudo adotou como referencial o conjunto de normas e
documentos elaborados sob a coordenao do Departamento de Segurana da Informao
e Comunicaes (DSIC), do Gabinete de Segurana Institucional da Presidncia da
Repblica (GSIPR) no perodo de maio de 2006 a setembro de 2015, disponveis no stio:
<https://dsic.planalto.gov.br/>.
Dessa forma, esse trabalho foi estruturado da seguinte forma:
Introduo: delineia o contexto no qual o trabalho foi desenvolvido e
apresenta desafios atuais relacionados segurana da informao e comunicaes.
Poltica de Segurana da Informao e Comunicaes POSIC: aborda os
principais conceitos afetos POSIC, considerando, entre outros tpicos, a importncia da
sua elaborao, implementao, atualizao e divulgao.
Equipe
de
Tratamento
Resposta
Incidentes
em
Redes
Computacionais ETIR: orienta sobre a concepo, regulamentao e gesto da ETIR e

sobre o gerenciamento de incidentes de segurana em redes de computadores.
Gesto de Continuidade de Negcios GCN: considera o processo de GCN
e os potenciais benefcios de sua implementao.
15
Gesto de Riscos em Segurana da Informao e Comunicaes GRSIC: trata do conjunto de processos que permite identificar e implementar as medidas
de proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os ativos
de informao de um determinado rgo, e equilibr-los com os custos operacionais e
financeiros envolvidos.
Infraestrutura de Chaves Pblicas Brasileira-ICP-BRASIL: anexo a este
Guia, trata sobre a cadeia hierrquica e de confiana da ICP-BRASIL que viabiliza a emisso
de certificados digitais.
Glossrio de SIC: um Glossrio com conceitos e definies oriundos dos
Normativos publicados pelo Departamento de Segurana da Informao e Comunicaes
do Gabinete de Segurana Institucional da Presidncia da Repblica (DSIC/GSIPR)
apresentado ao final deste estudo compreendo todos os conceitos publicados na Instruo
Normativa GSI N 1, de 13 de junho de 2008, e suas respectivas 21 Normas
Complementares, de maio de 2008 outubro de 2014.
Esse Guia destina-se, portanto, contribuir com os profissionais da rea de
segurana da informao em seu rduo, porm gratificante, desafio de dedicar
informao, como ativo valioso que , o adequado tratamento, armazenamento e proteo.
Jos Ney de Oliveira Lima

Coordenador do Grupo de Trabalho
Elaborao de Guia de Orientaes ao Gestor de SIC
16
CONTEXTUALIZAO
As diretrizes e metas relacionadas ao tema Segurana da Informao e
Comunicaes (SIC) no planejamento estratgico de cada rgo e entidade da
Administrao Pblica Federal (APF), com o objetivo de promover e motivar a criao de
uma cultura de segurana da informao, bem como implementar e manter os controles de
segurana adequados devem fazer parte da agenda estratgica do Estado brasileiro.
A informao tornou-se um recurso crescente e de fundamental Importncia na
execuo das atividades do governo brasileiro. Neste sentido, a informao e o
conhecimento sobre questes relativas SIC so fatores determinantes para a eficincia
da gesto dos rgos e entidades da APF.
No atual contexto, com a utilizao de um grande volume de informaes, desde
a prestao de servio pblico ao cidado, igualmente na tomada de decises estratgicas,
as aes exercidas possuem estreito relacionamento com a segurana da informao e
comunicaes.
Problemas
decorrentes
da
falta
de
Disponibilidade,
Integridade,
Confidencialidade e Autenticidade (DICA) em sistemas de informao levam necessidade

de desenvolver aes permanentes e gradativas nas organizaes da APF. Diante desse
cenrio, surgem vrios desafios relacionados SIC:
Redes Sociais;
Computao em nuvem;
Aumento exponencial da utilizao de dispositivos mveis;
Problemas tecnolgicos;
Aumento da demanda de informaes pelos cidados;
Convergncia digital;
Leis, regulamentaes e normas no unificadas;
Aumento exponencial de compartilhamento de informaes;
17
Reduo do custo de aquisio de tecnologias de comunicao e

processamento;
Acesso a conexes de internet em banda larga;
Fragilidade na identificao de usurio ao acesso internet;
Ampla disponibilidade de tcnicas e ferramentas de ataque e invaso na rede
e no mercado, aliado facilidade de uso dessas ferramentas;
Compartilhamento de informaes e ferramentas de ataque e invaso entre
grupos annimos;
Crescimento exponencial do crime virtual;
Exaltao por prticas ilcitas com utilizao de tecnologias de informao;
Diversificao dos perfis de ameaa: concorrente, sabotador, especulador,
hacker, servidores insatisfeitos e criminosos;
Necessidade de tratar a informao como um recurso estratgico e
econmico;
Crescente valorizao da informao como principal ativo de gesto do
Estado;
Crescentes transaes bilaterais com suporte da tecnologia da informao e
comunicaes;
Crescente dependncia da gesto do Estado por recursos de tecnologia da
informao e comunicaes;
Forte dependncia tecnolgica;
Interdependncia entre os ativos de informao;
Aumento dos riscos associados aos ativos de informao;
Processos de continuidade dos servios pblicos sem um grau de maturidade
adequado;
Desconhecimento das tecnologias embutidas nas arquiteturas proprietrias; e
18
Alinhamento estratgico da SIC com as atribuies institucionais dos rgos e

entidades pblicos.
De uma forma geral, para tratar do escopo apresentado, cabe ao Gestor de SIC
as seguintes atribuies:
Promover a cultura de segurana da informao e comunicaes;
Acompanhar as investigaes e as avaliaes dos danos decorrentes de
quebras de segurana;
Propor alta administrao, recursos necessrios s aes de segurana da
Coordenar o Comit de Segurana da Informao e Comunicaes e a Equipe
de Tratamento e Resposta a Incidentes em Redes Computacionais;
Realizar e acompanhar estudos de novas tecnologias, quanto a possveis
impactos da SIC no rgo;
Manter contato direto com o Departamento de Segurana da Informao e
Comunicaes do Gabinete de Segurana Institucional da Presidncia da
Repblica (DSIC/GSIPR), para o trato de assuntos relativos segurana da
Propor normas relativas SIC ao Comit Gestor de SIC do rgo;
Responder pela SIC no rgo;
Gerenciar a aplicao de normas e polticas de proteo aos ativos e sistemas,
de acordo com a legislao vigente;
Desenvolver a anlise de risco e mapeamento de vulnerabilidades;
Elaborar o plano estratgico de Continuidade de Negcios e Recuperao de
Desastres;
Atuar junto aos usurios finais para resoluo de problemas que coloquem em
risco a SIC do rgo; e
19
Cuidar para que sejam observadas e aplicadas no rgo, integralmente, a

Poltica de Segurana da Informao e Comunicaes (POSIC) e os normativos
vigentes.
Ressalta-se a obrigatoriedade do arcabouo normativo de SIC publicado pelo
GSI/PR, do mesmo modo que tal aplicao/implantao do citato arcabouo nos rgos e
entidades da APF de responsabilidade da Alta Administrao, conforme Acrdo
1233/2012 TCU-Plenrio. Portanto, nesta verso 2.0 deste Guia tratamos de quatro temas
fundamentais no contexto da SIC:
Poltica de Segurana da Informao e Comunicaes (POSIC);

Equipes
de
Tratamento
Respostas
Incidentes
em
Redes
Computacionais (ETIR);
Gesto de Continuidade de Negcios (GCN); e
Gesto de Riscos em Segurana da Informao e Comunicaes
(GRSIC).
Considerando o panorama exposto, este Guia visa prover ao Gestor

conhecimentos bsicos necessrios para conduzir e planejar as aes de SIC. Observa-se
que no escopo da APF, as boas prticas de SIC so as aes de segurana da informao
e comunicaes descritas no arcabouo normativo desenvolvido pelo DSIC/GSIPR, cuja
observncia obrigatria e de responsabilidade da Alta Administrao da APF, conforme
Acrdo 1.233/2012-TCU-Plenrio em relao aos normativos de SIC publicados pelo
GSI/PR.
Alm disso, compete aos Gestores de SIC articular e promover o planejamento
das aes de segurana da informao e comunicaes nos rgos e entidades da APF
como previsto na Norma Complementar N 02/IN01/DSIC/GSIPR, devidamente alinhado
tanto aos requisitos e pressupostos estabelecidos pelo planejamento estratgico do rgo
bem como ao disposto na Estratgica de Segurana da Informao e Comunicaes e de
Segurana Ciberntica da Administrao Pblica Federal 2015/2018, verso 1.0.
20
1.
POLTICA DE SEGURANA DA INFORMAO E COMUNICAES
1.1. Objetivos
Esta sesso discorre sobre os principais conceitos afetos Poltica de Segurana
da Informao e Comunicaes (POSIC), considerando, entre outros temas, a importncia
da sua elaborao, implementao, atualizao e divulgao.
O Decreto N 3.505, de 13 de junho de 2000, que instituiu a Poltica de Segurana
da Informao nos rgos e entidades da APF, no seu Art. 3, estabelece como objetivos:
I - dotar os rgos e as entidades da Administrao Pblica Federal de

instrumentos jurdicos, normativos e organizacionais que os capacitem
cientfica, tecnolgica e administrativamente a assegurar a confidencialidade,
a integridade, a autenticidade, o no-repdio e a disponibilidade dos dados e
das informaes tratadas, classificadas e sensveis;
II - eliminar a dependncia externa em relao a sistemas, equipamentos,
dispositivos e atividades vinculadas segurana dos sistemas de informao;
III - promover a capacitao de recursos humanos para o desenvolvimento de
competncia cientfico-tecnolgica em segurana da informao;
IV - estabelecer normas jurdicas necessrias efetiva implementao da
segurana da informao;
V - promover as aes necessrias implementao e manuteno da
segurana da informao;
VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as
entidades da Administrao Pblica Federal e as instituies pblicas e
privadas, sobre as atividades de segurana da informao;
VII - promover a capacitao industrial do Pas com vistas sua autonomia no
desenvolvimento e na fabricao de produtos que incorporem recursos
criptogrficos, assim como estimular o setor produtivo a participar
21
competitivamente do mercado de bens e de servios relacionados com a

segurana da informao; e
VIII - assegurar a interoperabilidade entre os sistemas de segurana da
informao.
1.2. A Poltica de Segurana da Informao e Comunicaes
A POSIC um documento estratgico que compreende um conjunto de diretrizes

com vistas a promover o uso seguro dos ativos de informao de uma organizao. Deste
modo, a POSIC pode ser entendida como uma declarao formal dos rgos e entidades
da APF acerca de seu compromisso com a proteo das informaes sobre sua custdia,
devendo ser cumprida por todos os agentes pblicos e colaboradores.
Na elaborao de uma POSIC, a organizao deve se preocupar no somente
com aspectos tcnicos, mas, tambm, considerar questes comportamentais e prticas do
cotidiano. Afinal, as organizaes enfrentam problemas de segurana que no esto
relacionados somente aos aspectos tecnolgicos.
Neste contexto, uma POSIC declara o comprometimento da alta direo
organizacional com as aes de segurana da informao e comunicaes, alm de prover
diretrizes estratgicas, responsabilidades, competncias e apoio para implementar a
Gesto da Segurana da Informao Comunicaes (GSIC).
Alm do mais, o estabelecimento de suas diretrizes objetiva viabilizar e assegurar
a Disponibilidade, Integridade, Confidencialidade e Autenticidade (DICA) das informaes
no mbito da APF, direta e indireta.
Disponibilidade
Diz respeito garantia de que a informao estar acessvel s pessoas, processos
automatizados, rgos ou entidades no momento que for requerida. Logo, a
22
disponibilidade est relacionada prestao continuada de um servio, sem

interrupes no fornecimento de informaes.
Integridade
A integridade da informao est relacionada sua fidedignidade. Assegurar a
integridade da informao, portanto, significa garantir que a informao no foi
modificada ou destruda de maneira no autorizada, quer de forma acidental ou
intencional.
Confidencialidade
Implica em impedir o acesso no autorizado, quer acidental quer intencional,
garantindo que apenas pessoas, sistemas, rgos ou entidades devidamente
autorizados e credenciados tenham acesso informao.
Autenticidade
Mediante a autenticao possvel confirmar a identidade de quem presta a
informao. Ou seja, a autenticao permite assegurar a fidedignidade da fonte da
informao.
1.2.1. Responsabilidades
da competncia da Alta Administrao dos rgos e entidades da APF avaliar
a necessidade de que na estrutura da organizao exista uma rea responsvel pela
segurana da informao e comunicaes.
Cabe ao Gestor de SIC a responsabilidade pela elaborao da POSIC,
assessorado pelo Comit Gestor de SIC do rgo, bem como pela sua implantao e
reviso aps aprovao da referida pela Alta Administrao.
Todos os servidores, usurios, prestadores de servio, contratados e
colaboradores que habitualmente trabalham no rgo ou entidade da APF so responsveis
pela segurana da informao, pela segurana dos ativos e processos que estejam sob sua
custdia e por todos os atos executados com suas respectivas identificaes.
23
Qualquer que seja a forma de identificao, ela deve ser pessoal e intransfervel,
permitindo de maneira clara e indiscutvel o seu reconhecimento.
O grau de sucesso da POSIC, portanto, est intimamente relacionado ao
patrocnio da Alta Administrao, que deve ser expresso formalmente, por escrito. Quanto
maior o seu comprometimento, maior a probabilidade de que a poltica seja eficiente e eficaz
para a organizao.
1.2.2. Resultados Esperados

A Instruo Normativa GSI/PR N 1, de 13 de junho de 2008, destaca a
importncia de uma POSIC, que tem como objetivo fornecer diretrizes, critrios e suporte
administrativos
suficientes
implementao
da
SIC.
Seguidamente,
Norma
Complementar n 03/IN01/DSIC/GSIPR, estabeleceu diretrizes, critrios e procedimentos

para elaborao, institucionalizao, divulgao e atualizao da POSIC nos rgos e
entidades da APF, direta e indireta. Neste sentido, a POSIC formalizada, institucionalizada
e divulgada resulta na promoo de uma cultura de SIC, por intermdio de iniciativas
institucionais de sensibilizao, conscientizao, capacitao e especializao.
1.2.3 Institucionalizao da POSIC

Para a institucionalizao da POSIC no rgo ou entidade da APF, so
recomendadas as seguintes aes:
Implementar a POSIC mediante aprovao formal da autoridade mxima do
rgo ou entidade;
Garantir a proviso dos recursos necessrios para a sua implementao; e
Promover no rgo ou entidade a cultura de segurana da informao por meio
de atividades de sensibilizao, conscientizao, capacitao e especializao.
importante salientar que a POSIC e suas atualizaes devem ser divulgadas a
todos os servidores, usurios, prestadores de servio, contratados e colaboradores que
habitualmente trabalham no respectivo rgo ou entidade da APF. Adicionalmente, todos
24
os instrumentos normativos gerados a partir da POSIC, inclusive a prpria, devem ser

revisados sempre que se fizer necessrio, no excedendo o perodo mximo de 3 (trs)
anos.
1.2.3.1
Recomendaes para Institucionalizao da POSIC

A Tabela 1 apresenta recomendaes que devem ser observadas pelo Gestor de
SIC durante o desenvolvimento, implantao e manuteno de uma POSIC.

Recomendaes ao Gestor de SIC
1.
Realizar planejamento de SIC alinhado ao planejamento estratgico do
rgo e entidade da APF pautado nas caractersticas especficas dos mesmos.

Considerar o contexto da organizao, mapear os ativos de informao e avaliar o
que deve ser protegido.
2.
Promover a aprovao da POSIC pela alta direo do rgo.
O patrocnio da alta administrao fundamental para o sucesso na adoo da

POSIC.
3.
Efetuar mapeamento e anlise dos ativos de informao do rgo e
entidade da APF.
Definir os nveis e requisitos de segurana a serem aplicados conforme a criticidade
e relevncia de cada ativo de informao. Caso a organizao j possua polticas e
programas de segurana, avaliar deficincias e fatores de risco, visando seu
refinamento.
4.
Elaborar normas estabelecendo regras e proibies.
Devem ser elaboradas normas referentes ao uso dos ativos de informao, tais
como: utilizao da internet, uso de dispositivos mveis, gerenciamento de acessos
fsicos e lgicos, utilizao do e-mail, entre outros.
25
5.
Obter aprovao e apoio institucional.
No tocante legislao vigente (leis trabalhistas, por exemplo) e cultura

organizacional, as normas e procedimentos relacionados POSIC devem ser lidos
e
aprovados
pelos
departamentos
Jurdico
de
Recursos
Humanos,
respectivamente. Alm disso, a POSIC deve ter o apoio e patrocnio da alta

administrao.
6.
Investir na educao e capacitao.
A POSIC deve ser de conhecimento de todos na organizao, alm de estar sempre

disponvel. Para isso, fundamental iniciativas relacionadas educao e
capacitao dos envolvidos.
7.
Fazer avaliao periodicamente.
A fim de que no fique ultrapassada ou desatualizada a POSIC assim como os

instrumentos normativos gerados a partir dela devem ser revistos de acordo com
a periodicidade estabelecida ou tempestivamente, quando se fizer necessrio.
Tabela 1-Recomendaes 7 (sete) passos
1.3. Elementos da Poltica de Segurana da Informao e Comunicaes

Na elaborao da POSIC recomenda-se o envolvimento de representantes dos
diferentes setores do rgo ou entidade da APF como: segurana patrimonial, tecnologia
da informao, recursos humanos, jurdico, financeiro e planejamento. A poltica deve levar
em considerao a natureza e a finalidade do rgo ou entidade, considerando sua misso
e
planejamento
estratgico.
De
acordo
com
Norma
Complementar
03/IN01/DSIC/GSIPR recomendvel que a POSIC contemple ao menos os seguintes

itens:
26
1.3.1. Escopo
Este item deve conter a descrio do objeto e abrangncia da POSIC,
estabelecendo o limite das aes que sero desenvolvidas no rgo ou entidade da APF.
1.3.2. Conceitos e definies

Este item deve conter as definies de todos os conceitos utilizados na POSIC
que poderiam gerar dificuldades de interpretao.
1.3.3. Referncias legais e normativas

As referncias legais e normativas utilizadas para a elaborao da POSIC do
rgo ou entidade da APF devem ser relacionadas neste item.
1.3.4. Princpios
Neste item devem ser relacionados os princpios que regem a segurana da
informao no respectivo rgo ou entidade da APF.
1.3.5. Diretrizes Gerais

Recomenda-se estabelecer diretrizes sobre, no mnimo, os seguintes temas,
considerando as normas especficas vigentes no ordenamento jurdico:
a) Tratamento da Informao;
b) Tratamento de Incidentes de Rede;
c) Gesto de Risco;
d) Gesto de Continuidade;
e) Auditoria e Conformidade;
f) Controles de Acesso;
27
g) Uso de e-mail; e
h) Acesso a Internet.
1.3.6. Penalidades
Este item deve identificar as consequncias e penalidades para os casos de
violao da POSIC e de quebra de segurana, devendo ser proposto um termo de
responsabilidade.
1.3.7. Competncias e Responsabilidades

Compete Alta Administrao dos rgos e entidades da APF:
Definir estrutura adequada para a Gesto da Segurana da Informao e
Comunicaes;
Instituir o Gestor de Segurana da Informao e Comunicaes do rgo ou
entidade da APF, dentre servidores pblicos civis ou militares, conforme o caso;
Instituir o Comit de Segurana da Informao e Comunicaes; e
Instituir a Equipe de Tratamento e Resposta a Incidentes de Segurana em Redes
Computacionais (ETIR).
1.3.8. Atualizao
recomendvel estabelecer a periodicidade da reviso da POSIC e dos
instrumentos normativos gerados a partir dela.
1.4. Normas Complementares

A POSIC deve ser clara e objetiva, de fcil leitura e entendimento. Alm disso,
poder ser complementada por normas e procedimentos que a referenciem nos nveis
estratgico, ttico e operacional conforme apresenta a Figura 1.
28
Figura 1: Polticas (Estratgico), Normas (Ttico) e Procedimentos (Operacional)
Recomenda-se a normatizao dos respectivos assuntos j publicados pelo

GSI/PR e portanto obrigatrios, envolvendo as reas de tecnologia, pessoas, ambiente e
processos. Alm disso, sugere-se que temas ainda no normatizados no governo federal,
mas j amparados por normas da famlia ISSO 27.0001/27.0002, tambm sejam analisados
a luz das necessidades especficas de cada rgo e entidade da APF:
1)
Planejamento e Gesto de SIC;
2)
Tratamento da Informao;
3)
Formao de Equipes de Tratamento de Incidentes de Segurana em Redes

Computacionais;
4)
Gerenciamento de Incidentes de Segurana em Redes Computacionais;
5)
Inventrio e mapeamento de ativos de informao;
6)
Gesto de Riscos nos aspectos de SIC;
7)
Gesto de mudanas nos aspectos relativos SIC;
8)
Gesto de Continuidade de Negcios nos aspectos de SIC;
9)
Avaliao e Conformidade de SIC;
10) Controles de Acesso relativos SIC;

11) Uso seguro de Dispositivos mveis;
29
12) Uso seguro de Computao em nuvem;

13) Uso seguro de Redes Sociais;
14) Desenvolvimento e obteno de software seguro;
15) Atuao e adequaes para profissionais da rea de SIC;
16) Atividades de ensino em SIC;
17) SIC em Sistemas Estruturantes;
18) Uso de recursos criptogrficos;
19) Registro de eventos, coleta e preservao de evidncias de incidentes de
segurana;
20) Uso seguro de e-mail;
21) Backup; e
22) Uso seguro da Internet.
1.5. Referncias legais e normativas

Decreto N 3.505, de 13 de junho de 2000. Presidncia da Repblica, Casa Civil,
Subchefia para Assuntos Jurdicos. Institui a Poltica de Segurana da Informao nos
rgos e entidades da Administrao Pblica Federal. Braslia, 2000.
Instruo Normativa GSIPR N 1, de 13 de junho de 2008.
Norma Complementar N 02/IN01/DSIC/GSIPR, de 13 de outubro de 2008.
Norma Complementar N 03/IN01/DSIC/GSIPR, de 30 de junho de 2009.
30
2. EQUIPE DE TRATAMENTO E RESPOSTAS
A INCIDENTES EM REDES
COMPUTACIONAIS - ETIR
2.1. Objetivo
Facilitar a atuao do Gestor na concepo, regulamentao e gesto da Equipe
de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR), e no
disciplinamento do gerenciamento de incidentes de segurana em redes de computadores.
Neste eixo do Guia, no possvel definir um padro rgido que atenda deforma
apropriada s caractersticas de cada organizao, considerada a complexidade, misso e
viso de negcio de cada uma. Contudo, possvel descrever o conjunto geral dos tpicos
e assuntos que possam auxiliar o Gestor em suas aes.
2.2. Papis e responsabilidades

2.2.1. Papis
2.2.1.1. Gestor de Segurana da Informao e Comunicaes
Responsvel por coordenar a instituio, implementao e manuteno da
infraestrutura necessria da ETIR e dos processos de trabalho da equipe.
2.2.1.2. Agente Responsvel

Funo que tem como principais competncias chefiar e gerenciar a ETIR,
promover integrao junto ao Centro de Tratamento e Resposta a Incidentes de Segurana
em Redes de Computadores da Administrao Pblica Federal (CTIR GOV), articular junto
s reas da organizao atendidas, fornecedores e prestadores de servios de TIC.
2.2.1.3. Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais

Grupo de pessoas com a responsabilidade de receber, analisar, classificar e
responder s notificaes e atividades relacionadas a incidentes de segurana em redes de
31
computadores, alm de armazenar registros para formao de sries histricas como

subsidio estatstico.
2.2.1.4. Caractersticas comuns aos componentes

Composto de pessoas com o perfil operacional e de gerenciamento de TIC, com
conhecimento do contexto tecnolgico, estratgia de atuao e viso de negcio da
organizao.
2.2.2. Responsabilidades
2.2.2.1. Criao da ETIR
Para a criao de uma ETIR, a organizao deve possuir a competncia formal
para administrao total ou parcial da infraestrutura da rede de computadores da
organizao. Uma vez estabelecida a competncia, com o apoio e chancela da Alta
Administrao, deve ser publicado, alinhado com a POSIC da organizao, o documento de
constituio da ETIR.
Neste sentido, cumpre evidenciar os requisitos mnimos para a instituio da
ETIR:
Definir sua misso - propsito e estrutura das atividades desenvolvidas. A definio

da misso fornecer a linha base para as atividades a serem desenvolvidas pela
Equipe;
Pblico-alvo - usurios da organizao e relacionamentos externos;
Estrutura proporcional complexidade da organizao;
Modelo de implementao;
Nvel de autonomia; e
Servios que sero prestados.
32
2.2.3. Gesto da ETIR

Os Gestores de SIC so os responsveis por coordenar a instituio,
implementao e manuteno da infraestrutura necessria s ETIR, nos rgos e entidades
da APF, direta e indireta, em conformidade com o inciso V do art 5 da Instruo Normativa
n 01, do Gabinete de Segurana Institucional, de 13 de junho de 2008.
Preferencialmente, a Equipe deve ser composta por servidores pblicos
ocupantes de cargo efetivo ou militares de carreira, conforme o caso, com perfil tcnico
compatvel, lotados nos seus respectivos rgos. Adicionalmente, a ETIR dever guiar-se
por padres e procedimentos tcnicos e normativos no contexto de tratamento de incidentes
de rede orientados pelo CTIR Gov/DSIC.
A implementao dos servios da ETIR deve ser gradativa e de forma compatvel
com a maturidade da comunidade de usurios, em conformidade com a adoo do modelo
e autonomia da equipe. Sugere-se que o processo de trabalho seja modelado em forma de
fluxo, com rotinas e sub-rotinas claras e estabelecidas a partir de negociaes com a alta
administrao da organizao e suas reas de negcio, fornecedores e prestadores de
servios de TIC. Este procedimento facilitar adequaes futuras advindas de mudanas
tecnolgicas, de estrutura administrativa, entre outras, uma vez que o processo de
tratamento de incidentes de redes computacionais estar mapeado.
Destaca-se a responsabilidade da ETIR em comunicar as ocorrncias de
incidentes de segurana em redes de computadores ao CTIR Gov/DSIC, conforme
procedimentos normatizados pelo GSI/PR, especficos sobre o assunto.
33
2.3. Ideograma da rotina de comunicao simples e tarefas bsicas da Equipe

A Figura 2 representa a comunicao e as tarefas bsicas de uma ETIR.
Figura 2: Todo o processo deve ser balizado pelas Normas Complementares

N 05 e N 08 da IN01/DSIC/GSIPR.
2.4. Resultados esperados
Marco institucional: ato administrativo publicado com previso de estrutura formal

mnima da ETIR;
Infraestrutura de sustentao, dimensionada de acordo com o modelo, autonomia e

servios selecionados;
Classificao de incidentes;
Formulrios padro;
Processos de trabalho desenhados e atribuies definidas;
Matriz de comunicao interna e externa;
Rol de prticas e ferramentas de apoio para monitoramento dos servios disponveis;
Plano de capacitao continuada para a equipe;
Composio de sries histricas como subsdio estatstico; e
Articulao com o CTIR Gov/DSIC.
34
2.5. Etapas para alcance dos resultados

2.5.1. Cuidados no processo de criao da ETIR
A forma de atuao e autonomia da ETIR deve ajustar-se s caractersticas
prprias de cada organizao, suas necessidades e limitaes. No momento de criao e
instituio da ETIR torna-se necessrio conhecer e considerar alguns fatores
organizacionais como:
a) Misso institucional;
b) Porte, capilaridade e criticidade dos servios;
c) Conhecimento da criticidade dos ativos de informao do rgo ou entidade;
d) Conhecimento do nvel de maturidade e sensibilizao dos servidores e
colaboradores de TIC em relao ao tema;
e) Nvel de transferncia operacional e de gesto de TI a terceiros;
f)
Acordo(s) de Nvel de Servio com o(s) prestador(es) da organizao; e
g) Acordos de Nveis Operacionais internos do(s) prestador(es) de servios de TI.
2.5.2. Cuidados na definio do modelo, autonomia e servios disponveis

Recomenda-se 4 (quatro) modelos de implementao, 3 (trs) tipos de autonomia
e 9 (nove) servios. Este cardpio de opes deve ser combinado de forma equilibrada,
sempre respeitando a maturidade e as prprias restries, pois cada rgo ou entidade
dever estabelecer, dentre os modelos apresentados abaixo, aquele que melhor se adequar
s suas necessidades e limitaes. Contudo, independentemente do modelo escolhido,
devem ser observadas as diretrizes da Norma Complementar N 05/IN01/DSIC/GSIPR.
2.5.3. Opes recomendadas

2.5.3.1. Modelos
1. Estruturado como componente da rea TI.
35
2. Estruturado independente da rea de TI, recursos operacionais e tcnicos prprios.

3. Estruturado de forma descentralizada, possui colaboradores designados nas unidades
descentralizadas da organizao, mas alinhados s diretrizes estabelecidas na
coordenao central.
4. Estruturado de forma combinada, um mix de 2 e 3. Ou seja, existir uma ETIR central
e suas projees sero refletidas nas unidades descentralizadas da organizao.
2.5.3.2. Autonomia
(A) Completa adota decises, iniciativas e medidas de recuperao, sem depender
de nveis superiores de gesto.
(B) Compartilhada compe o processo decisrio sobre medidas a serem adotadas.
Recomenda procedimentos e aes. As reas participantes do processo decisrio
devem ser explcitas no ato de criao da ETIR.
(C) Sem autonomia age mediante a autorizao de um membro da organizao
designado no ato de criao da ETIR.
2.5.3.3. Servios adicionais

Alm de receber, analisar, classificar e responder s notificaes e atividades
relacionadas a incidentes de segurana em redes de computadores, podero ser oferecidos
os seguintes servios, devidamente aderentes com as normas e legislaes sobre o tema:
Tratamento de artefatos maliciosos;
Tratamento de vulnerabilidades;
Emisso de alertas e advertncias;
Anncios;
Prospeco ou monitorao de novas tecnologias;
Avaliao de segurana;
36
Desenvolvimento de ferramentas de segurana;
Deteco de intruso; e
Disseminao de informaes relacionadas segurana.

Instruo Normativa N 01 GSIPR, de 13 de junho de 2008.
Norma Complementar N 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009 e anexo A.
Norma Complementar N 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010.
NIC.br - Ncleo de Informao e Coordenao do Ponto BR Disponvel em:
<http://www.nic.br>.
37
3. GESTO DE RISCOS EM SEGURANA DA INFORMAO E COMUNICAES

(GRSIC)
A Gesto de Riscos em Segurana da Informao e Comunicaes (GRSIC)
um conjunto de processos que permite identificar e implementar as medidas de proteo
necessrias para minimizar ou eliminar os riscos a que esto sujeitos os ativos de
informao de um determinado rgo, e equilibr-los com os custos operacionais e
financeiros envolvidos.
Conforme a IN 01/DSIC/GSIPR, a GRSIC uma atividade integrante da Gesto
de SIC tornando-se uma atividade obrigatria e essencial para todo o Gestor de SIC.
Convm que o processo de GRSIC esteja alinhado ao planejamento estratgico da
organizao e tambm, com o processo maior de gesto de riscos corporativos, se esse
existir.
Para implementao da SIC nos rgos e entidades da APF, o Gestor deve
seguir as recomendaes contidas na Norma Complementar N 02/IN01/DSIC/GSIPR,
baseada no processo de melhoria contnua, denominado ciclo PDCA (Plan-Do-CheckAct).
Na primeira fase do ciclo PDCA, denominada fase de planejamento, o Gestor de
SIC planejar e implementar diversas aes de SIC como:
Definir a abordagem de gesto de riscos de seu rgo ou entidade;
Identificar os riscos;
Analisar os riscos;
Identificar as opes para o tratamento de riscos;
Selecionar as aes de SIC consideradas necessrias para o tratamento de
riscos; e
Obter aprovao da autoridade decisria de seu rgo ou entidade quanto aos
riscos residuais propostos.
Com o objetivo de estabelecer diretrizes para o processo de GRSIC nos rgos
ou entidades da APF foi publicada a Norma Complementar N 04/IN01/GSIPR/DSIC
38
(Reviso 01). Ao aplicar a supracitada Norma, o Gestor deve considerar, prioritariamente,

os objetivos estratgicos, os processos, os requisitos legais e a estrutura do rgo ou
entidade da APF, alm de alinhar com a respectiva POSIC do rgo ou entidade.
Para que a implementao e operao da Gesto de SIC seja efetiva, torna-se
importante que o Gestor implemente a GRSIC de uma forma contnua, pois por meio da
GRSIC que o Gestor obter subsdios necessrios para suportar um Sistema de Gesto de
Segurana da Informao (SGSI), como tambm a GCN.
3.1. Procedimentos
Com a finalidade de manter os riscos em nveis aceitveis a abordagem
sistemtica do processo de GRSIC compreende as seguintes etapas:
Definies preliminares;
Anlise/avaliao dos riscos;
Plano de tratamento dos riscos;
Aceitao dos riscos;
Implementao do plano de tratamento dos riscos;
Monitorao e anlise crtica;
Melhoria do processo de GRSIC; e
Comunicao do risco.
39
A Norma Complementar N 04/IN01/DSIC/GSIPR (Reviso 01), em seu Anexo,

apresenta a interao das etapas da GRSIC.
Figura 3: Anexo da NC N 04/IN01/DSIC/GSIPR (Reviso 01)
3.1.1. Definies preliminares

Na fase de definio preliminares o Gestor deve realizar uma anlise da
organizao visando estruturar o processo de GRSIC, considerando as caractersticas e as
restries do rgo ou entidade. Esta anlise inicial permite que os critrios e o enfoque da
GRSIC sejam os mais apropriados para o rgo, apoiando-se na definio do escopo e na
adoo de uma metodologia.
40
Com a finalidade de delimitar o mbito de atuao do Gestor preciso definir o

escopo e onde ser aplicado a GRSIC. importante frisar que o escopo pode abranger todo
o rgo, um segmento, um processo, um sistema, um recurso ou um ativo de informao.
As melhores prticas indicam que fazer a GRSIC em toda organizao pode levar
ao erro, assim recomenda-se inicialmente fazer a GRSIC por parte, para somente depois,
aps o mapeamento de todas as reas realizar a integrao de todos os escopos
previamente elaborados para uma anlise total do rgo.
Dessa forma, aps definido o escopo onde ser realizado a GRSIC, o Gestor
deve adotar uma metodologia de GRSIC que venha atender aos seus objetivos e diretrizes.
A Norma Complementar N 04/IN01/DSIC/GSIPR (Reviso 01), deixa a critrio dos rgos
e entidades da APF a definio dessa metodologia, no restringindo apenas aquelas de
governo. Todavia, uma vez escolhida a metodologia, devem ser atendidos todos os
requisitos de segurana preconizados nas normas de governo.
3.1.2. Anlise/avaliao dos riscos

Esta fase inicia-se com a anlise dos riscos. Nesta fase o Gestor deve realizar o
inventrio e o mapeamento dos ativos de informao definidos no escopo para aplicao da
GRSIC, identificando as possveis ameaas, vulnerabilidades, riscos, tal como todas as
aes de SIC j implementadas no escopo. Para a realizao do inventrio e mapeamento
dos ativos de informao, a Norma Complementar N 10/IN01/DSIC/GSIPR fornece
subsdios para realizao do processo de Inventrio e Mapeamento de Ativos de Informao
para o rgo ou entidade da APF, em conformidade com os requisitos legais e do negcio.
Esse processo de Inventrio e Mapeamento de Ativos de Informao deve ser dinmico,
peridico e estruturado com a finalidade de manter a Base de Dados de Ativos de
Informao atualizada e, conseqentemente, prover informaes para o desenvolvimento
de aes e planos de aperfeioamento de prticas de Gesto da Segurana da Informao
e Comunicaes.
41
Dessa maneira, depois de identificados os riscos, o Gestor deve estimar os

valores e os nveis de riscos, levando em considerao os fatores de probabilidade de
ocorrncia e tambm as consequncias, caso acontea, de um determinado risco de
segurana comprometer a disponibilidade, integridade, confidencialidade e autenticidade
das informaes.
Na anlise de riscos, o Gestor poder usar as formas quantitativa e qualitativa,
ou ento, uma forma que utilize uma mistura dessas duas formas.
A Figura 6 representa um exemplo de Anlise Qualitativa:
Figura 4: Exemplo de Anlise Qualitativa
A Figura 7 apresenta um outro exemplo de Anlise Quantitativa:
Figura 5: Exemplo de Anlise Quantitativa
A Figura 8 demonstra um exemplo de Anlise Semi-quantitativa
42
Figura 6: Exemplo de Anlise Semi-quantitativa

Durante a fase de avaliao dos riscos, a organizao estabelecer os critrios
para que os riscos sejam aceitos ou tratados. Esse processo feito por meio da comparao
dos resultados obtidos na fase de anlise com os critrios estabelecidos.
A Figura 9 expe um exemplo de critrios:
Figura 7: Exemplo Anlise de Risco
Depois de feita a anlise e a avaliao dos riscos, o Gestor deve relacionar todos
os riscos que requeiram tratamento, estabelecendo suas prioridades de execuo em
conformidade com os critrios estabelecidos.
3.1.3. Plano de Tratamento dos Riscos

Nesta fase, o Gestor determinar as formas de tratamento dos riscos
identificados. Diante disso, cabe observar as quatro opes de tratamento:
Reduzir;
Evitar;
Transferir; e
43
Reter.
Ao definir as formas de tratamento dos riscos, o Gestor deve fazer algumas

consideraes relativas eficcia das aes de SIC j existentes, s restries existentes
na organizao, aos requisitos legais e, por fim, realizar a anlise de custo/benefcio.
Portanto, o Gestor formular um plano para o tratamento dos riscos, relacionando
no mnimo as aes de SIC, os responsveis, as prioridades e os prazos de execuo
necessrios sua implantao.
3.1.4. Aceitao do Risco

A Figura 10 apresenta um modelo de plano de tratamento. Aps a adoo de um
modelo o mesmo deve ser aprovado pela alta administrao do rgo. Caso haja
discordncia no plano de tratamento proposto, o mesmo deve ser submetido ao Gestor para
uma nova avaliao.
Figura 8: Exemplo de Plano de Tratamento
3.1.5. Implementao do Plano de Tratamento dos Riscos

Esta etapa compreende a execuo de todas as aes de SIC includas no Plano
de Tratamento dos Riscos aprovado, cabendo ao Gestor o acompanhamento da execuo
dessas aes, principalmente, em relao aos prazos.
44
3.1.6. Monitorao e anlise crtica

Nesta fase ocorre todo o processo de GRSIC. Os integrantes que fazem parte
desse processo detectam possveis falhas nos resultados, monitoram os riscos, as aes
de SIC e por fim, verificam a eficcia da GRSIC.
Cabe salientar que o monitoramento e a anlise crtica incluem tanto o processo
de GRSIC, como o risco propriamente dito. Isto porque, o processo deve estar alinhado s
diretrizes gerais da organizao, pois qualquer alterao desta altera o processo de GRSIC.
Alm disso, preciso verificar regularmente as possveis mudanas que venham
afetar as anlises/avaliaes dos riscos. Essas mudanas podem ser nos critrios de
avaliao e aceitao dos riscos, por exemplo, uma probabilidade de ocorrncia que
anteriormente era baixa, no momento atual pode ser considerada alta, como uma mudana
no ambiente que altera o escopo que foi anteriormente definido. Outra mudana que pode
ocorrer nas aes de SIC so os fatores de riscos, pois surgem cada vez mais, novas
ameaas e, consequentemente, novas vulnerabilidades.
3.1.7. Melhoria do Processo de GRSIC

Todas as aes detectadas na monitorao e anlise crtica devem ser propostas
autoridade decisria do rgo, a fim de que sejam implementadas as devidas aes
corretivas ou preventivas.
3.1.8. Comunicao do Risco
Esta fase tambm ocorre em todo o processo de GRSIC, nela que todos os
integrantes da GRSIC compartilham informaes, principalmente entre os tomadores de
decises e as demais partes.
Na fase de monitorao e anlise crtica ocorrem diversas mudanas, tanto no
processo de GRSIC como no risco. por meio da comunicao que essas mudanas
chegam ao conhecimento de todos os integrantes do processo.
45
3.2. Responsabilidades
A responsabilidade da aprovao das diretrizes de GRSIC da Alta
Administrao do rgo, cabendo ao Gestor de SIC a coordenao da GRSIC.
Tendo em vista a complexidade da GRSIC, o Gestor de SIC poder indicar outros
servidores para auxili-lo em algumas atividades como na anlise/avaliao de riscos, no
tratamento dos riscos e na elaborao de relatrios.

Norma Complementar N 02/IN01/DSIC/GSIPR, de 13 de outubro de 2008.
Norma Complementar N 04/IN01/DSIC/GSIPR, e seu anexo (Reviso 01) de 15 de
fevereiro de 2013.
Norma Complementar N 10/IN01/DSIC/GSIPR, de 30 de janeiro de 2012.
46
4. GESTO DE CONTINUIDADE DE NEGCIOS
4.1. Objetivo
A Gesto de Continuidade de Negcios (GCN) um processo abrangente de
gesto que identifica ameaas potenciais para uma organizao e os possveis impactos
nas operaes de negcio, caso estas ameaas se concretizam. Este processo fornece
uma estrutura para que se desenvolva uma resilincia organizacional que seja capaz de
responder efetivamente e salvaguardar os interesses das partes interessadas, a reputao
e a marca da organizao, e suas atividades de valor agregado.
Benefcios de um programa eficaz de GCN:
Identificar proativamente os impactos de uma interrupo operacional;
Ter uma resposta eficiente s interrupes, o que minimiza o impacto
organizao;
Manter a capacidade de gerenciar riscos que no podem ser segurados;
Promover trabalho em equipe;
Demonstrar uma resposta possvel por meio de um processo de testes;
Melhorar a reputao; e
Obter vantagem competitiva por meio da capacidade demonstrada de manter a
entrega de seus produtos e servios.
4.2. Papis e Responsabilidades

Os papis e responsabilidades associados com a gesto de continuidade devem
ser definidos e divulgados dentro da organizao. A Tabela 2 apresenta um exemplo para
estas definies, considerando uma organizao de abrangncia nacional e com mltiplas
reas setoriais envolvidas na gesto de continuidade.
47
PAPEL
RESPONSABILIDADES
Assegurar a existncia da gesto de continuidade para
atender s necessidades da organizao.
Determinar
grau
de
importncia
da
gesto
de
continuidade.
Alta Administrao
Determinar o direcionamento estratgico.

Fornecer os recursos financeiros e humanos compatveis
com a importncia e estratgia definidas.
Delegar as atividades de planejamento e coordenao do
processo de gesto de continuidade ao Gestor de
Continuidade de Negcios.
Conceder ao Gestor de Continuidade de Negcios a devida
autoridade.
Posicionar a Alta Administrao sobre a evoluo do
Gestor/Coordenador
Sistema de Gesto de Continuidade de Negcios (SGCN).
de GCN
Posicionar a Alta Administrao sobre a evoluo da

situaes de emergncia / contingncia local e regionais.
Planejar e coordenar a realizao dos testes / exerccios
corporativos.
Participar do Comit Gestor de Segurana da Informao e
Comunicaes do rgo ou entidade.
Coordenar o desenvolvimento/manuteno dos planos
setoriais / regionais.
Coordenar a elaborao/execuo dos testes e exerccios
regionais.
48
Equipe de
Contingncia
Elaborar/manter os planos de continuidade.

Participar dos testes e exerccios.
Revisar aspectos estratgicos da GCN.
Comit Gestor de
Segurana da
Manter o SGCN.
Apoiar o Gestor/Coordenador nas situaes de emergncia/
Informao e
desastre.
Comunicaes do
rgo ou entidade
Aprovar os planos corporativos.

Coordenar o desenvolvimento/manuteno dos planos
setoriais / regionais.
Coordenar a elaborao/execuo dos testes e exerccios
setoriais/ regionais.
Tabela 1: Papis e Responsabilidades na GCN.
4.3. Resultados esperados

A implantao do processo de GCN na organizao pode ser realizado por meio
de um projeto especfico. A Tabela 3 apresenta as etapas bsicas deste projeto com os
respectivos resultados esperados.
ETAPA
RESULTADOS ESPERADOS
Apresentar a viso geral da gesto de continuidade de negcios.
Apresentar as etapas principais da gesto de continuidade.
Incio e gesto do
projeto
Apresentar o objetivo geral do projeto.

Apresentar as equipes envolvidas.
Nivelar o conhecimento das equipes.
49
Forma de trabalho definida e aprovada.

Estrutura Analtica de Projeto (EAP) definida e aprovada
Determinar a prioridade dos objetivos da organizao.
Determinar as funes crticas para a organizao.
Entender a
Determinar os recursos crticos necessrios para estas funes.
organizao
Determinar
(Anlise dos
operacionais).
os
impactos
das
interrupes
(financeiros,
Impactos nos
Negcios;
Avaliao dos
riscos)
Determinar o ponto de retomada para as operaes crticas aps

a interrupo.
Prover informao para que as estratgias apropriadas de
recuperao possam ser determinadas.
Requisitos de recuperao (TOR, POR MTD, WRT).
Interdependncias.
Prioridades de recuperao dos servios.
Anlise de Risco
Explicitar os riscos para os tomadores de deciso.
Se necessrio, desenvolver estratgias e medidas adequadas
para minimizar os riscos de forma prvia e elevar o robustez da
organizao.
Identificar os cenrios de riscos para os quais os planos de
continuidade especficos devem ser desenvolvidos.
Determinar a
Estratgia de continuidade de cada funo/sistema crtico
estratgia de
definida, analisada sob os aspectos de viabilidade tcnica e
continuidade
econmica, e aprovada pelo gestor do projeto (ou direo/cliente).
Poltica de continuidade de negcios.
50
Desenvolver e
implementar uma
Papis e responsabilidades.
Organizao da continuidade de negcios.
resposta de GCN
Forma de acionamento dos planos.
Tipos de planos de continuidade de negcios.
Planos de continuidade de negcios.
Planos de testes capazes de validar a funcionalidade do plano de

Testar e manter os
planos
contingncia.
Relatrio do resultado do teste contendo ajustes necessrios nos
planos de continuidade e no prprio plano de teste.
Equipes capacitadas para conduzir as aes nas situaes de
contingncia.
Estabelecer aes com o objetivo de conscientizar os empregados

Criar e fortalecer a
cultura de GCN
Gesto do
programa de GCN
de uma forma geral e capacitar os empregados diretamente

envolvidos com a gesto de continuidade de negcios.
Executar os processos / atividades estabelecidos por meio do
SGCN.
Tabela 2: Etapas do projeto GCN Viso geral.
4.4. Etapas para o alcance dos resultados

4.4.1. Entender a Organizao Anlise de Riscos
A anlise de riscos realizada no contexto da GCN serve para identificar ameaas
que possam causar a interrupo de processos de negcio e avaliar os riscos associados.
Devem ser consideradas as ameaas, vulnerabilidades e impactos que possam afetar os
51
recursos, a probabilidade dessas ocorrncias, a viabilidade da adoo de controles, e a

aceitao e comunicao dos riscos. Os objetivos da anlise de riscos so:
Explicitar os riscos para os tomadores de deciso.
Se necessrio, desenvolver estratgias e medidas adequadas para minimizar
os riscos de forma prvia e elevar a robustez da organizao.
Identificar os cenrios de riscos para os quais os planos de continuidade
especficos devem ser desenvolvidos.
A abordagem tpica da anlise de riscos consiste na identificao das ameaas

relevantes para a organizao, para o processo ou para um determinado recurso, e ento
realizar uma avaliao dos riscos. Os seguintes aspectos devem ser considerados:
(A) impossvel identificar todos os riscos.
(B) A probabilidade de ocorrncia no pode ser estimada de forma precisa.
4.4.2. Entender a organizao Anlise de Impactos nos Negcios

Anlise de Impacto nos Negcios (AIN), visa estimar os impactos resultantes da
interrupo de servios e de cenrios de desastres que possam afetar o desempenho dos
rgos ou entidades da APF e as tcnicas para quantificar e qualificar esses impactos.
Define, tambm, a criticidade dos processos de negcio, suas prioridades de recuperao,
interdependncias e os requisitos de segurana da informao e comunicaes para que
os objetivos de recuperao sejam atendidos nos prazos estabelecidos. Assim, a AIN um
processo para analisar as funes de negcios e os efeitos que uma interrupo pode
causar sobre as mesmas.
Objetivos da AIN:
Identificar reas de misso crtica para o negcio.
Identificar impactos das interrupes nos negcios.
Identificar requisitos de recuperao.
52
Identificar lacunas (gaps) na capacidade de recuperao da organizao.

Estimar/justificar o oramento do planejamento da continuidade.
Atividades a serem realizadas:
(A) Revisar conceitos e definies.
(B) Definir forma de coleta de informaes.
(C) Relacionar reas inseridas na abrangncia do trabalho.
(D) Reunir com patrocinador do projeto.
(E) Workshop incio da etapa.
(F) Reunir individualmente com as reas para analisar as informaes coletadas.
(G) Anlise das informaes.
A AIN ajuda a entender a organizao, porm os impactos devem estar

relacionados aos objetivos de negcio e s partes interessadas da organizao como:
Estimar os impactos resultantes da interrupo de servios e de cenrios de

desastres que possam afetar o desempenho dos rgos ou entidades da APF,
bem como as tcnicas para quantificar e qualificar esses impactos.
Identificar a importncia das atividades da organizao por meio da verificao dos

impactos no tempo das interrupes e permitir o estabelecimento dos objetivos de
recuperao e continuidade.
Analisar as funes de negcio e os efeitos que uma interrupo possa causar

nelas.
Identificar as funes essenciais para a sobrevivncia do negcio e que podem

causar grande impacto se interrompidas. A anlise deve considerar os impactos
em uma escala de tempo.
Estimar os impactos resultantes da interrupo de servios e de cenrios de

desastre que possam afetar o desempenho da organizao, como tambm as
53
tcnicas para quantificar e qualificar estes impactos (ver Tabela 3). Define tambm
a criticidade dos processos de negcio, suas prioridades de recuperao,
interdependncias e os requisitos de SIC para que os objetivos de recuperao
sejam atingidos nos prazos estabelecidos.
Os Requisitos de tempos de recuperao (janelas de tempos), importantes para

a AIN nas situaes de recuperao de desastres de TI (Disaster Recovery) so ilustrados
na tabela 4 e na figura 3.
REQUISITO DE RECUPERAO
DESCRIO
o tempo pr-definido no qual uma

TOR Tempo Objetivo de Recuperao.
atividade dever estar disponvel aps uma

interrupo ou incidente;
Representa a tolerncia perda de dados
POR - Ponto objetivo de recuperao
como resultado de uma interrupo;

Tempo necessrio para recuperar os
TTR Tempo de Trabalho de
dados perdidos ou digitar manualmente os
Recuperao
dados coletados.
TIT Tempo de Interrupo Tolerado
TIT = TOR + TTR
Tabela 3: Tempos a serem considerados no plano de recuperao de desastres.
54
Figura 9: Tempos associados com o plano de recuperao de desastres de TI.
4.4.3. Determinar a Estratgia de Continuidade

Esta etapa tem como objetivo selecionar a estratgia de continuidade apropriada
ao alcance dos objetivos da organizao. A seleo de estratgias envolve:
Objetivos da continuidade de negcios.
Identificao de estratgias candidatas (potenciais).
Os requisitos identificados na AIN e cenrios de riscos.
Avaliao das estratgias candidatas x AIN e Riscos.
Consolidao das estratgias dentro da organizao.
Realizar a anlise custo x benefcio.
Apresentao dos resultados/informaes geradas para aprovao.
Tpicos a serem considerados:
55
Uma estratgia uma abordagem usada para uma organizao tratar os riscos visando
atingir os objetivos de resilincia.
A estratgia pode dar proteo contra apenas um evento ou contra vrios eventos.
Estratgias de recuperao do organizao capacidade para retornar s operaes
de forma estvel aps um desastre (evento).
Durante o processo de anlise, cenrios de crise so teis.
No desenvolvimento da estratgia, o foco deve estar no que precisa ser atingido.
A estratgia geral de recuperao deve considerar cada funo/sistema crtico. As
estratgias de recuperao disponveis devem ser consideradas.
A seleo do conjunto de estratgias depende de: custos, nvel de servio fornecido,
tempo de ativao, benefcios, gerenciamento, confiana e, considerar outros
planos/processos da organizao.
As estratgias devem ser selecionadas por meio da reviso e avaliao de combinaes
de estratgias.
Na avaliao das estratgias, considerar a viso de longo prazo (para minimizar
retrabalho e custos desnecessrios).
Quando a seleo de uma estratgia no bvia, deve ser realizada uma anlise custo
x benefcio.
Interdependncias entre processos (funes/sistemas crticos).
4.4.4. Desenvolver e Implementar uma Resposta de GCN

Esta etapa tem como objetivo desenvolver e implementar uma resposta de GCN
por meio do estabelecimento das bases para o SGCN, com a definio de orientaes para
a elaborao e o prprio desenvolvimento dos planos de continuidade.
O primeiro ciclo requer um esforo maior, considerando a necessidade de
estabelecer algumas definies bsicas como a poltica de continuidade de negcios e a
estrutura organizacional da continuidade de negcios.
56
Os demais ciclos devem considerar a reviso das definies j estabelecidas,

quando necessrio, no entanto a atividade principal estar concentrada no desenvolvimento
de planos de continuidade.
As seguintes atividades devem ser conduzidas nesta etapa do trabalho:
Estabelecer/rever Poltica de continuidade de negcios.
Definir/revisar papis e responsabilidades.
Definir/revisar organizao da continuidade de negcios (estrutura operacional).
Definir/revisar forma de acionamento (processo de resposta).
Definir /revisar forma de retorno situao normal.
Definir/revisar tipos de planos.
Desenvolver/manter os planos de continuidade.
Os seguintes aspectos devem ser considerados no desenvolvimento das

atividades:
Escopo e objetivos para continuidade de negcios.
Integrao com outros processos da organizao.
Resultado das sistemticas adotadas (AIN e anlise de riscos).
Matriz de riscos (nvel aceitvel de risco).
Demais levantamentos da organizao (regulamentaes, misso, viso, etc).
4.4.5. Tipos de Planos

A organizao deve identificar os tipos de planos a serem adotados de acordo
com o escopo definido, estratgia estabelecida e etapas do processo de resposta ao
incidente.
A Tabela 5 apresenta os planos definidos pela Norma Complementar N
06/IN01/DSIC/GSIPR Gesto de Continuidade de Negcios em SIC.
57
TIPO DE PLANO
DESCRIO
Documentao dos procedimentos e informaes necessrias

Plano de
para que os rgos ou entidades da APF mantenham seus
Continuidade de
ativos de informao crticos e a continuidade de suas
Negcios
atividades crticas em local alternativo num nvel previamente

definido, em casos de incidentes.
Plano de
Plano de ao claramente definido e documentado, para ser
Gerenciamento de
usado quando ocorrer um incidente que basicamente cubra as
Incidentes
principais pessoas, recursos, servios e outras aes que

sejam
necessrias
para
implementar
processo
de
gerenciamento de incidentes.
Plano de
Documentao dos procedimentos e informaes necessrias
Recuperao de
para que o rgo ou entidade da APF operacionalize o retorno
Negcios
das atividades crticas a normalidade.
Tabela 4: Tipos de planos de acordo com a Norma Complementar N 06/IN01/DSIC/GSIPR
4.4.6. Testar e Manter os Planos

Esta etapa tem dois objetivos principais:
Determinar se o plano de continuidade est adequado para a recuperao dos processos
de negcios dentro do perodo de tempo aceitvel.
Identificar lacunas e fragilidades que possam existir no plano de continuidade de
negcios.
58
Para atingir os objetivos a etapa de testes pode envolver vrios testes cada qual
abordando aspectos especficos do plano geral de teste.
- Viso geral
Figura 10: Etapas de execuo do teste do plano de continuidade de negcios.
Um plano de contingncia no deve ser aprovado at ser completamente testado.

O propsito da etapa de teste portanto validar a estratgia de continuidade de negcios,
suposies, atividades, procedimentos e orientaes especificados no plano, considerando
cenrios de interrupo. A Figura 4 apresenta uma viso geral das principais etapas para
o desenvolvimento de um plano de teste de plano de continuidade, destacando a fase de
execuo.
- Mtodos de teste
A Tabela 6 apresenta os principais mtodos para testar os planos de
continuidade. Esses mtodos variam em termos de custo, esforo e impactos na operao
normal.
59
o tipo mais simples de teste e geralmente realizado

Checklist
antes de testes mais complexos. De uma forma geral a

equipe revisa o plano de continuidade e verifica a
disponibilidade e adequao das informaes e recursos
necessrios para a execuo do plano.
Geralmente denominado de teste de mesa. um mtodo

barato. Normalmente realizado antes de um teste de
simulao.
Walkthrough
As equipes envolvidas se renem para
descrever verbalmente suas atividades, procedimentos e

atividades. Este teste permite s equipes familiarizao
com o plano de continuidade, recursos envolvidos e outros
membros envolvidos.
Neste teste feita uma simulao de interrupo de acordo
Simulao
com cenrio de desastre previamente estabelecido. Este

teste permite s equipes verificarem na prtica a execuo
do plano de continuidade e validar partes do plano.
O teste de interrupo total ativa todos os componentes do
Interrupo total
plano de continuidade de negcios. Ao contrrio do plano

de simulao, este teste possui uma abrangncia bem
maior e envolve as operaes e atividades reais
especificadas no plano de continuidade.
Tabela 5: Principais mtodos de teste para os planos de continuidade.
- Plano de Teste
Iniciar um teste de plano de contingncia sem o planejamento e preparao
adequados no apenas aumenta o risco de falhas como tambm pode causar danos
reputao das equipes e causar descrdito ao prprio processo de gesto de continuidade.
60
Alguns participantes consideram que os testes representam apenas perda de

tempo de gastos desnecessrios e, portanto, tendem a no colaborarem, principalmente
quando os testes falham. Estas pessoas tendem a no participar dos testes seguintes. Da
mesma forma pode ser difcil obter a aprovao dos gerentes para realizar novos testes
devido aos custos e erros dos testes anteriores. Por este motivo o plano de teste deve ser
cuidadosamente planejado.
O plano de teste de continuidade de negcios um documento que fornece
direcionamento para a preparao e execuo do teste. Ele transmite informaes crticas
para as equipes envolvidas, tais como:
Quais partes do plano de continuidade sero testadas.
Quando e onde o teste ser realizado.
Quais recursos sero envolvidos.
Quem vai conduzir o teste.
Quais atividades devem ocorrer antes, durante e aps o teste.
Como o teste ser avaliado.
Quem ser o observador do teste.
O plano de teste da continuidade de negcios deve ser revisado pelas equipes para
garantir os seguintes pontos:
O plano de teste est correto, atualizado e no contm lacunas.
O plano possui uma relao custo x benefcio adequada.
O plano realizvel.
O plano contm objetivos e cenrios realistas e prticos.
Os membros das equipes entendem o que esperado deles nas etapas antes, durante
e aps o teste.
61

Norma Complementar N 06/IN01/DSIC/GSIPR, de 11 de novembro de 2009.
62
GLOSSRIO DE SIC
A
ACESSO: ato de ingressar, transitar, conhecer ou consultar a informao, bem como a
possibilidade de usar os ativos de informao de um rgo ou entidade.
http://dsic.planalto.gov.br/documentos/nc_07_revisao_01.pdf
ADMINISTRADOR DE PERFIL INSTITUCIONAL: agentes pblicos que detenham

autorizao do responsvel pela rea interessada para administrar perfis institucionais de
um rgo ou entidade da APF nas redes sociais.
https://dsic.planalto.gov.br/documentos/nc_15_redes_sociais.pdf
AGENTE PBLICO: todo aquele que exerce, ainda que transitoriamente ou sem
remunerao, por eleio, nomeao, designao, contratao ou qualquer outra forma
de investidura ou vnculo, mandato, cargo, emprego ou funo nos rgos e entidades da
APF.
http://dsic.planalto.gov.br/documentos/NC20_Revisao01.pdf
AGENTE PBLICO COM DISPOSITIVO MVEL CORPORATIVO: servidores ou

empregados da APF, que utilizam dispositivos mveis de computao de propriedade dos
rgos ou entidade a que pertencem.
http://dsic.planalto.gov.br/documentos/nc_12_dispositivos.pdf
AGENTE PBLICO COM DISPOSITIVO MVEL PARTICULAR: servidores ou

empregados da APF que utilizam dispositivos mveis de computao de sua propriedade.
63
AGENTE RESPONSVEL (CREDENCIAMENTO): servidor pblico ocupante de cargo

efetivo ou militar de carreira de rgo ou entidade do Poder Executivo Federal e possuidor
de credencial de segurana.
AGENTE RESPONSVEL PELA ETIR: Servidor Pblico ocupante de cargo efetivo ou

militar de carreira de rgo ou entidade da Administrao Pblica Federal, direta ou
indireta incumbido de chefiar e gerenciar a Equipe de Tratamento e Resposta a Incidentes
em Redes Computacionais.
http://dsic.planalto.gov.br/documentos/nc_21_preservacao_de_evidencias.pdf
AGENTE RESPONSVEL (GESTO DE ATIVOS): Servidor Pblico ocupante de cargo

efetivo ou militar de carreira de rgo ou entidade da Administrao Pblica Federal,
direta ou indireta, incumbido de chefiar e gerenciar o processo de Inventrio e
Mapeamento de Ativos de Informao.
http://dsic.planalto.gov.br/documentos/nc_10_ativos.pdf
ALGORITMO DE ESTADO: funo matemtica utilizada na cifrao e na decifrao de

informaes sigilosas, necessariamente as informaes classificadas, desenvolvido pelo
Estado, para uso exclusivo em interesse do servio de rgos ou entidades da APF, direta
e indireta, no comercializvel.
ALGORITMO REGISTRADO: funo matemtica utilizada na cifrao e na decifrao de

informaes no classificadas, para uso exclusivo em interesse do servio de rgos ou
entidades da APF, direta e indireta, cujo cdigo fonte e mtodo de processos sejam
passveis de controle e auditoria.
AMBIENTAO: Evento que oferece informaes sobre a misso organizacional do

rgo ou instituio, bem como sobre o papel do agente pblico nesse contexto.
64
http://dsic.planalto.gov.br/documentos/nc_18_atividades_ensino.pdf
AMEAA conjunto de fatores externos ou causa potencial de um incidente indesejado,
que pode resultar em dano para um sistema ou organizao.
http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf
ANLISE DINMICA: tipo de teste de software que verifica seu comportamento externo
em busca de anomalias ou vulnerabilidades. A anlise dinmica ocorre por meio de
interaes com o software em execuo.
http://dsic.planalto.gov.br/documentos/nc_16_software_seguro.pdf
ANLISE ESTTICA: tipo de teste de software que verifica sua lgica interna em busca
de falhas ou vulnerabilidades. A anlise esttica ocorre por meio da verificao do cdigofonte ou dos binrios.
ANLISE DE IMPACTO NOS NEGCIOS (AIN): visa estimar os impactos resultantes da

interrupo de servios e de cenrios de desastres que possam afetar o desempenho dos
rgo ou entidades da APF, bem como as tcnicas para quantificar e qualificar esses
impactos. Define tambm a criticidade dos processos de negcio, suas prioridades de
recuperao, interdependncias e os requisitos de SIC para que os objetivos de
recuperao sejam atendidos nos prazos estabelecidos.
http://dsic.planalto.gov.br/documentos/nc_6_gcn.pdf
ANLISE DE RISCO: uso sistemtico de informaes para identificar fontes e estimar o

risco.
AQUISIO DE EVIDNCIA: processo de coleta e cpia das evidncias de incidente de

segurana em redes computacionais.
65
ARTEFATO MALICIOSO: qualquer programa de computador, ou parte de um

programa, construdo com a inteno de provocar danos, obter informaes no
autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores.
http://dsic.planalto.gov.br/documentos/nc_05_etir.pdf
ATIVIDADE: processo ou conjunto de processos executados por um rgo ou entidade,

ou em seu nome, que produzem ou suportem um ou mais produtos ou servios.
ATIVIDADES CRTICAS: atividades que devem ser executadas de forma a garantir a

consecuo dos produtos e servios fundamentais do rgo ou entidade de tal forma que
permitam atingir os seus objetivos mais importantes e sensveis ao tempo.
ATIVIDADE DE ENSINO EM SEGURANA DA INFORMAO E COMUNICAES:

eventos de orientao/instruo que abordam o tema SIC.
ATIVOS DE INFORMAO: os meios de armazenamento, transmisso e processamento

da informao; os equipamentos necessrios a isso; os sistemas utilizados para tal; os
locais onde se encontram esses meios, e tambm os recursos humanos que a eles tm
acesso.
AUDITORIA: processo de exame cuidadoso e sistemtico das atividades desenvolvidas,

cujo objetivo averiguar se elas esto de acordo com as disposies planejadas e
estabelecidas previamente, se foram implementadas com eficcia e se esto adequadas
(em conformidade) consecuo dos objetivos.
66
AUTENTICAO: processo de identificao das partes envolvidas em um processo.

AUTENTICAO DE MULTIFATORES: utilizao de dois ou mais fatores de

autenticao para concesso de acesso a um sistema. Os fatores de autenticao se
dividem em: algo que o usurio conhece (senhas, frases de segurana, PIN, dentre
outros); algo que o usurio possui (certificado digital, tokens, cdigos enviados por SMS
e similares) ou algo que o usurio (afervel por meios biomtricos, tais como digitais,
padres de retina, reconhecimento facial, dentre outros).
http://dsic.planalto.gov.br/documentos/nc_19_SISTEMAS_ESTRUTURANTES.pdf
AUTENTICIDADE: propriedade de que a informao foi produzida, expedida, modificada

ou destruda por uma determinada pessoa fsica, ou por um determinado sistema, rgo
ou entidade.
http://dsic.planalto.gov.br/documentos/in_01_gsidsic.pdf
AUTORIZAO: processo que visa garantir que as informaes so acessveis

exclusivamente queles com permisso de acesso.
AVALIAO DE CONFORMIDADE EM SEGURANA DA INFORMAO E

COMUNICAES: exame sistemtico do grau de atendimento dos requisitos relativos
SIC com as legislaes especficas.
http://dsic.planalto.gov.br/documentos/nc_11_conformidade.pdf
AVALIAO de RISCO: processo de comparar o risco estimado com critrios de risco

predefinidos para determinar a importncia do risco.
67
B
BIOMETRIA: a verificao da identidade de um indivduo por meio de uma caracterstica
fsica ou comportamental nica, atravs de mtodos automatizados.
BLOQUEIO DE ACESSO: processo que tem por finalidade suspender temporariamente

o acesso.
C
CAPACITAO: atividade de ensino que tem como objetivo orientar sobre o que SIC,
fazendo com que os participantes saibam aplicar os conhecimentos em sua rotina pessoal
e profissional, alm de servirem como multiplicadores sobre o tema, estando aptos para
atuar em suas organizaes como Gestores de SIC.
CERTIFICAO PROFISSIONAL: processo negociado pelas representaes dos

setores sociais, pelo qual se identifica, avalia e valida formalmente os conhecimentos,
saberes, competncias, habilidades e aptides profissionais desenvolvidos em programas
educacionais ou na experincia de trabalho, com o objetivo de promover o acesso,
68
permanncia e progresso no mundo do trabalho e o prosseguimento ou concluso de

estudos.
http://dsic.planalto.gov.br/documentos/nc_17_profissionais_sic.pdf
CICLO DE VIDA DA INFORMAO: ciclo formado pelas fases da Produo e Recepo;

Registro e Armazenamento; Uso e Disseminao; e Destinao.
CIFRAO: ato de cifrar mediante uso de algoritmo simtrico ou assimtrico, com

recurso criptogrfico, para substituir sinais de linguagem em claro, por outros ininteligveis
por pessoas no autorizadas a conhec-la.
CHAVE CRIPTOGRFICA: valor que trabalha com um algoritmo criptogrfico para

cifrao ou decifrao.
COLETA DE EVIDNCIAS DE SEGURANA EM REDES COMPUTACIONAIS:

Processo de obteno de itens fsicos que contm uma potencial evidncia, mediante a
utilizao de metodologia e ferramentas adequadas. Este processo inclui a aquisio, ou
seja, a gerao das cpias das mdias, ou coleo de dados que contenham evidncias
do incidente.
COMIT DE SEGURANA DA INFORMAO E COMUNICAES: grupo de pessoas

com a responsabilidade de assessorar a implementao das aes de segurana da
informao e comunicaes no mbito do rgo ou entidade da APF.
http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf
69
COMUNICAES DO RISCO: troca ou compartilhamento de informao sobre o risco

entre
tomador
de
deciso
outras
partes
interessadas.
COMUNIDADE OU PBLICO ALVO: o conjunto de pessoas, setores, rgos ou

entidades atendidas por uma Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais.
COMPUTAO EM NUVEM: modelo computacional que permite acesso por demanda,

e independente da localizao, a um conjunto compartilhado de recursos configurveis
de computao (rede de computadores, servidores, armazenamento, aplicativos e
servios), provisionados com esforos mnimos de gesto ou interao com o provedor
de servios.
http://dsic.planalto.gov.br/documentos/nc_14_nuvem.pdf
CONFIDENCIALIDADE: propriedade de que a informao no esteja disponvel ou

revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado.
CONFORMIDADE EM SEGURANA DA INFORMAO E COMUNICAES:

cumprimento das legislaes, normas e procedimentos relacionados segurana da
informao e comunicaes da organizao.
CONSCIENTIZAO: atividade de ensino que tem como objetivo orientar sobre o que
SIC, fazendo com que os participantes saibam aplicar os conhecimentos em sua rotina
pessoal e profissional, alm de servirem como multiplicadores sobre o tema.
70
CONTINUIDADE DE NEGCIOS: capacidade estratgica e ttica de um rgo ou

entidade de se planejar e responder a incidentes e interrupes de negcios, minimizando
seus impactos e recuperando perdas de ativos da informao das atividades crticas, de
forma a manter suas operaes em um nvel aceitvel, previamente definido.
CONTAS DE SERVIO: contas de acesso rede corporativa de computadores,

necessrias a um procedimento automtico (aplicao, script, etc) sem qualquer
interveno humana no seu uso.
CONTROLE DE ACESSO: conjunto de procedimentos, recursos e meios utilizados com

a finalidade de conceder ou bloquear o acesso.
CONTROLES DE SEGURANA: medidas adotadas para evitar ou diminuir o risco de um

ataque. Exemplos de controles de segurana so: a criptografia, as funes de hash, a
validao de entrada, o balanceamento de carga, as trilhas de auditoria, o controle de
acesso, a expirao de sesso, os backups, etc.
CONTINERES DOS ATIVOS DE INFORMAO: o continer o local onde vive o
ativo de informao, onde est armazenado, como transportado ou processado.
CREDENCIAIS OU CONTAS DE ACESSO: permisses, concedidas por autoridade

competente aps o processo de credenciamento, que habilitam determinada pessoa,
sistema ou organizao ao acesso. A credencial pode ser fsica como crach, carto e
selo ou lgica como identificao de usurio e senha.
71
CREDENCIAL DE SEGURANA: certificado que autoriza pessoa para o tratamento de

informao classificada.
CREDENCIAMENTO: processo pelo qual o usurio recebe credenciais que concedero

o acesso, incluindo a identificao, a autenticao, o cadastramento de cdigo de
identificao e definio de perfil de acesso em funo de autorizao prvia e da
necessidade de conhecer.
CTIR GOV: Centro de Tratamento e Resposta a Incidentes de Segurana em Redes de

Computadores da Administrao Pblica Federal, subordinado ao Departamento de
Segurana de Informao e Comunicaes DSIC do Gabinete de Segurana
Institucional da Presidncia da Repblica GSI.
CUSTODIANTE: aquele que, de alguma forma e total ou parcialmente, zela pelo

armazenamento, operao, administrao e preservao de um sistema estruturante
ou de ativos de informao que compem um estruturante que no lhe pertence, mas
que est sob sua custdia.
CUSTODIANTE DO ATIVO DE INFORMAO: refere-se a qualquer indivduo ou

estrutura do rgo ou entidade da APF que tenha a responsabilidade formal de proteger
um ou mais ativos de informao, como armazenado, transportado e processado, ou
seja, o responsvel pelos contineres dos ativos de informao. Consequentemente, o
custodiante do ativo de informao responsvel por aplicar os nveis de controles de
segurana em conformidade com as exigncias de segurana da informao e
comunicaes comunicadas pelos proprietrios dos ativos de informao.
72
D
DECIFRAO: ato de decifrar mediante uso de algoritmo simtrico ou assimtrico, com
recurso criptogrfico, para reverter processo de cifrao original.
DESASTRE: evento repentino e no planejado que causa perda para toda ou parte da
organizao e gera srios impactos em sua capacidade de entregar servios essenciais
ou crticos por um perodo de tempo superior ao tempo objetivo de recuperao.
DISPONIBILIDADE: propriedade de que a informao esteja acessvel e utilizvel, sob

demanda, por uma pessoa fsica ou determinado sistema, rgo ou entidade.
DISPOSITIVOS MVEIS: consiste em equipamentos portteis dotados de capacidade

computacional, e dispositivos removveis de memria para armazenamento, entre os
quais se incluem, no se limitando a estes: notebooks, netbooks, smartphones, tablets,
pendrives, USB drives, HDs externos e cartes de memria.
E
EMPRESA ESTRATGICA DE DEFESA (EED) DO SETOR DE TECNOLOGIA DE
INFORMAO E COMUNICAO (TIC): toda pessoa jurdica do setor de Tecnologia de
73
Informao e Comunicao (TIC) devidamente credenciada pelo Ministrio da Defesa

mediante o atendimento cumulativo das condies previstas no inciso IV do art. 2 da Lei
n 12.598, de 22 de maro de 2012.
ENDEREO IP (Internet Protocol): refere-se ao conjunto de elementos numricos ou

alfanumricos que identifica um dispositivo eletrnico em uma rede de computadores.
EQUIPE
DE
TRATAMENTO
RESPOSTA
INCIDENTES
EM
REDES
COMPUTACIONAIS (ETIR): grupo de pessoas com a responsabilidade de receber,

analisar e responder s notificaes e atividades relacionadas a incidentes de segurana
em computadores.
ESTRATGIA DE CONTINUIDADE DE NEGCIO: abordagem de um rgo ou entidade

que garante a recuperao dos ativos de informao e a continuidade das atividades
crticas ao se defrontar com um desastre, uma interrupo ou outro incidente maior.
ESTIMATIVA DE RISCO: processo utilizado para atribuir valores probabilidade e

consequncias de um risco.
EVIDNCIA DIGITAL: informao ou dado, armazenado ou transmitido eletronicamente,

em modo binrio, que pode ser reconhecida como parte de um evento.
EVITAR RISCO: uma forma de tratamento de risco na qual a alta administrao decide
no realizar a atividade, a fim de no se envolver ou agir de forma a se retirar de uma
situao de risco.
74
EXCLUSO DE ACESSO: processo que tem por finalidade suspender definitivamente o

acesso, incluindo o cancelamento do cdigo de identificao e do perfil de acesso.
G
GESTO DE CONTINUIDADE: processo abrangente de gesto que identifica ameaas
potenciais para uma organizao e os possveis impactos nas operaes de negcio,
caso estas ameaas se concretizem. Este processo fornece uma estrutura para que se
desenvolva uma resilincia organizacional que seja capaz de responder efetivamente e
salvaguardar os interesses das partes interessadas, a reputao e a marca da
organizao, e suas atividades de valor agregado.
GESTO DE MUDANA NOS ASPECTOS RELATIVOS SIC:
o processo de
gerenciamento de mudanas, de modo que ela transcorra com mnimos impactos no

mbito do rgo ou entidade da APF, visando viabilizar e assegurar a disponibilidade,
integridade, confidencialidade e autenticidade da informao.
http://dsic.planalto.gov.br/documentos/nc_13_mudancas.pdf
GESTOR DE MUDANAS: o responsvel pelo processo de mudanas no mbito do

rgo ou entidade da APF.
GESTO DE RISCO DE SEGURANA DE INFORMAO E COMUNICAES:

conjunto de processos que permitem identificar e implementar as medidas de proteo
75
necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de
informao, e equilibr-los com os custos operacionais e financeiros envolvidos.
GESTO DE SEGURANA DA INFORMAO E COMUNICAES: aes e mtodos

que visam integrao das atividades de gesto de riscos, gesto de continuidade do
negcio,
tratamento
de
incidentes,
tratamento
da
informao,
conformidade,
credenciamento, segurana ciberntica, segurana fsica, segurana lgica, segurana

orgnica e segurana organizacional aos processos institucionais estratgicos,
operacionais e tticos, no se limitando, portanto, tecnologia da informao e
comunicaes.
GESTOR DE SEGURANA DA INFORMAO E COMUNICAES: o responsvel

pelas aes de segurana da informao e comunicaes no mbito do rgo ou entidade
da APF.
I
IDENTIFICAO E CLASSIFICAO DE ATIVOS DE INFORMAO: um processo
composto por 6 (seis) etapas:
(a) coletar informaes gerais;
(b) definir as informaes dos ativos;
(c) identificar o(s) responsvel (is);
(d) identificar os contineres dos ativos;
(e) definir os requisitos de segurana; e
(f) estabelecer o valor do ativo de informao.
76
IDENTIFICAO DE RISCO: processo para localizar, listar e caracterizar elementos do

risco.
INCIDENTE: evento que tenha causado algum dano, colocado em risco, algum ativo de
informao crtico ou interrompido a execuo de alguma z
INCIDENTE DE SEGURANA: qualquer evento adverso, confirmado ou sob suspeita,

relacionado segurana dos sistemas de computao ou das redes de computadores.
INCIDENTE DE SEGURANA EM REDES COMPUTACIONAIS: qualquer evento

adverso, confirmado ou sob suspeita, relacionado segurana dos sistemas de
computao ou das redes de computadores.
INFORMAO: dados, processados ou no, que podem ser utilizados para produo e
transmisso de conhecimento, contidos em qualquer meio, suporte ou formato.
INFORMAO CLASSIFICADA: informao sigilosa em poder dos rgos e entidades

pblicas, observado o seu teor e em razo de sua imprescindibilidade segurana da
sociedade ou do Estado, a qual classificada como ultrassecreta, secreta ou reservada.
INFORMAO SIGILOSA: aquela submetida temporariamente restrio de acesso

pblico em razo de sua imprescindibilidade para a segurana da sociedade e do Estado.
77
INFRAESTRUTURA CRTICA DA INFORMAO: so os meios de armazenamento,

transmisso e processamento, sistemas de informao, bem como os locais onde se
encontram esses meios e as pessoas que a eles tm acesso, que afetam diretamente a
consecuo e a continuidade da misso do Estado e a segurana da sociedade.
INTEGRIDADE: propriedade de que a informao no foi modificada ou destruda de

maneira no autorizada ou acidental.
INVENTRIO E MAPEAMENTO DE ATIVOS DE INFORMAO: um processo

interativo e evolutivo, composto por 3 (trs) etapas:
(a) identificao e classificao de ativos de informao;
(b) identificao de potenciais ameaas e vulnerabilidades; e
(c) avaliao de riscos.
L
LOG OU REGISTRO DE AUDITORIA: Registro de eventos relevantes em um dispositivo
ou sistema computacional.
78
M
METADADOS: dados que descrevem os dados, isto , so informaes teis para
identificar, localizar, compreender e gerenciar os dados.
MODELO DE IMPLEMENTAO DE NUVEM COMUNITRIA: soluo compartilhada

de recursos computacionais configurveis cuja infraestrutura da nuvem compartilhada
entre diversas organizaes que possuem necessidades comuns, tais como, misso,
valores, requisitos de segurana, polticas, requisitos legais, entre outras.
MODELO DE IMPLEMENTAO DE NUVEM PRPRIA: soluo compartilhada de

recursos computacionais configurveis cuja infraestrutura da nuvem pertence apenas a
uma organizao e suas subsidirias.
MUDANA: transio ou alterao de uma situao atual.

N
NECESSIDADE DE CONHECER: condio pessoal, inerente ao efetivo exerccio de
cargo, funo, emprego ou atividade, indispensvel para o usurio ter acesso
informao, especialmente se for sigilosa, bem como o acesso aos ativos de informao.
79
P
PADRES CORPORATIVOS DE SISTEMAS E DE CONTROLE: conjunto de regras e
procedimentos que compem os normativos internos das corporaes.
PERFIL DE ACESSO: conjunto de atributos de cada usurio, definidos previamente

como necessrios para credencial de acesso.
PERFIL INSTITUCIONAL: cadastro de rgo ou entidade da APF como usurio em redes

sociais, alinhado ao planejamento estratgico e Poltica de Segurana da Informao e
Comunicaes (POSIC) da instituio, com observncia de sua correlata atribuio e
competncia.
http://dsic.planalto.gov.br/documentos/nc_15_redes_sociais.pdf
PLANO DE CONTINUIDADE DE NEGCIO: documentao dos procedimentos e

informaes necessrias para que os rgos ou entidades da APF mantenham seus
ativos de informao crticos e a continuidade de suas atividades crticas em local
alternativo num nvel previamente definido, em casos de incidentes.
PLANO DE GERENCIAMENTO DE INCIDENTES: plano de ao claramente definido e

documentado, para ser usado quando ocorrer um incidente que basicamente cubra as
principais pessoas, recursos, servios e outras aes que sejam necessrias para
implementar o processo de gerenciamento de incidentes.
80
POLTICA DE SEGURANA DE INFORMAO E COMUNICAES (POSIC):

documento aprovado pela autoridade responsvel pelo rgo ou entidade da
Administrao Pblica Federal, direta e indireta, com o objetivo de fornecer diretrizes,
critrios e suporte administrativo suficientes implementao da segurana da
informao e comunicaes.
PLANO DE RECUPERAO DE NEGCIOS: documentao dos procedimentos e

informaes necessrias para que o rgo ou entidade da APF operacionalize o retorno
das atividades crticas a normalidade.
PRESERVAO DE EVIDNCIA DE INCIDENTES EM REDES COMPUTACIONAIS:

o processo que compreende a salvaguarda das evidncias e dos dispositivos, de modo a
garantir que os dados ou metadados no sofram alterao, preservando-se a integridade
e a confidencialidade das informaes.
PRESTADOR DE SERVIO: pessoa envolvida com o desenvolvimento de atividades, de

carter temporrio ou eventual, exclusivamente para o interesse do servio, que podero
receber credencial especial de acesso.
PROGRAMA DE GESTO DA CONTINUIDADE DE NEGCIOS: processo contnuo de

gesto e governana suportado pela alta direo e que recebe recursos apropriados para
garantir que os passos necessrios esto sendo tomados de forma a identificar o impacto
de perdas em potencial, manter estratgias e planos de recuperao viveis e garantir a
continuidade de fornecimento de produtos e servios por intermdio anlises crticas,
testes, treinamentos e manuteno.
81
PROPRIEDADE DO ATIVO DE INFORMAO: refere-se a parte interessada do rgo

ou entidade da APF, indivduo legalmente institudo por sua posio e/ou cargo, o qual
responsvel primrio pela viabilidade e sobrevivncia dos ativos de informao,
assumindo, no mnimo, as seguintes atividades:
a) descrever o ativo de informao;
b) definir as exigncias de segurana da informao e comunicaes do ativo de
informao;
c) comunicar as exigncias de segurana da informao e comunicaes do ativo de
informao a todos os custodiantes e usurios;
d) buscar assegurar-se de que as exigncias de segurana da informao e
comunicaes estejam cumpridas por meio de monitoramento; e
e) indicar os riscos que podem afetar os ativos de informao.
Q
QUEBRA DE SEGURANA: ao ou omisso, intencional ou acidental, que resulta no
comprometimento da segurana da informao e comunicaes.
82
R
RECURSO CRIPTOGRFICO: sistema, programa, processo, equipamento isolado ou em
rede que utiliza algoritmo simtrico ou assimtrico para realizar cifrao ou decifrao.
REDES SOCIAIS: estruturas sociais digitais compostas por pessoas ou organizaes

conectadas por um ou vrios tipos de relaes, que partilham valores e objetivos comuns.
https://dsic.planalto.gov.br/documentos/nc_15_redes_sociais.pdf
REQUISITOS DE SEGURANA: conjunto de necessidades de segurana que o software

deve atender, sendo tais necessidades influenciadas fortemente pela poltica de
segurana da organizao, compreendendo aspectos funcionais e no funcionais. Os
aspectos funcionais descrevem comportamentos que viabilizam a criao ou a
manuteno da segurana e, geralmente, podem ser testados diretamente. Na maioria
dos casos, remetem a mecanismos de segurana como, por exemplo, controle de acesso
baseado em papis de usurios (administradores, usurios comuns, etc.), autenticao
com o uso de credenciais (usurio e senha, certificados digitais, etc.), dentre outros. Os
aspectos no funcionais descrevem procedimentos necessrios para que o software
permanea executando suas funes adequadamente mesmo quando sob uso indevido.
So exemplos de requisitos no funcionais, dentre outros, a validao das entradas de
dados e o registro de logs de auditoria com informaes suficientes para anlise forense.
REDUZIR RISCOS: uma forma de tratamento de risco na qual a alta administrao decide
realizar a atividade, adotando aes para reduzir a probabilidade, as consequncias
negativas, ou ambas, associadas a um risco.
83
RESILINCIA: poder de recuperao ou capacidade de uma organizao resistir aos

efeitos de um desastre.
RESUMO CRIPTOGRFICO: um mtodo criptogrfico que, quando aplicado sobre uma

informao, independente do tamanho desta, gera um resultado nico e de tamanho fixo,
tambm chamado de hash.
RETER RISCOS: uma forma de tratamento de risco na qual a alta administrao decide
realizar a atividade, assumindo as responsabilidades caso ocorra o risco identificado.
RISCOS DE SEGURANA DA INFORMAO E COMUNICAES: potencial

associado explorao de uma ou mais vulnerabilidades de um ativo de informao ou
de um conjunto de tais ativos, por parte de uma ou mais ameaas, com impacto negativo
no negcio da organizao.
S
SEGURANA DA INFORMAO E COMUNICAES: aes que objetivam viabilizar e
assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das
informaes.
84
SERVIO: o conjunto de procedimentos, estruturados em um processo bem definido,

oferecido comunidade da Equipe de Tratamento e Resposta a Incidentes em Redes
Computacionais.
SISTEMA DE PROTEO FSICA: sistema composto por pessoas, equipamentos e

procedimentos para a proteo de ativos contra danos, roubo, sabotagem e outros
prejuzos causados por aes humanas no autorizadas, conforme gesto da segurana
fsica e ambiental.
SISTEMA ESTRUTURANTE: sistema com suporte de tecnologia da informao

fundamental
imprescindvel
para
planejamento,
coordenao,
execuo,
descentralizao, delegao de competncia, controle ou auditoria das aes do Estado,

alm de outras atividades auxiliares, desde que comum a dois ou mais rgos da
Administrao e que necessitem de coordenao central.
T
TEMPO OBJETIVO DE RECUPERAO: o tempo pr-definido no qual uma atividade
dever estar disponvel aps uma interrupo ou incidente.
TERMO DE RESPONSABILIDADE: termo assinado pelo usurio concordando em

contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das
informaes que tiver acesso, bem como assumir responsabilidades decorrentes de tal
acesso.
85
TRANSFERIR RISCO: uma forma de tratamento de risco na qual a alta administrao

decide realizar a atividade, compartilhando com outra entidade o nus associado a um
risco.
TRATAMENTO DA INFORMAO: conjunto de aes referentes produo, recepo,

classificao, utilizao, acesso, reproduo, transporte, transmisso, distribuio,
arquivamento, armazenamento, eliminao, avaliao, destinao ou controle da
informao.
TRATAMENTO DA INFORMAO CLASSIFICADA: conjunto de aes referentes a

produo,
recepo,
transmisso,
classificao,
distribuio,
utilizao,
arquivamento,
acesso,
armazenamento,
reproduo,
eliminao,
transporte,
avaliao,
destinao ou controle de informao classificada em qualquer grau de sigilo.

TRATAMENTO DOS RISCOS: processo e implementao de aes de segurana da

informao e comunicaes para evitar, reduzir, reter ou transferir um risco.
TRATAMENTO DE INCIDENTES DE SEGURANA EM REDES COMPUTACIONAIS:

o servio que consiste em receber, filtrar, classificar e responder s solicitaes e alertas
e realizar as anlises dos incidentes de segurana, procurando extrair informaes que
permitam impedir a continuidade da ao maliciosa e tambm a identificao de
tendncias.
86
TRILHA DE AUDITORIA: registro ou conjunto de registros gravados em arquivos de log

ou outro tipo de documento ou mdia, que possam indicar, de forma cronolgica e
inequvoca, o autor e a ao realizada em determinada operao, procedimento ou
evento.
U
USURIO: servidores, terceirizados, colaboradores, consultores, auditores e estagirios
que obtiveram autorizao do responsvel pela rea interessada para acesso aos Ativos
de Informao de um rgo ou entidade da APF, formalizada por meio da assinatura do
Termo de Responsabilidade.
USURIO VISITANTE COM DISPOSITIVOS MVEIS: agentes pblicos ou no que

utilizam dispositivos mveis de sua propriedade, ou do rgo ou entidade a que
pertencem, dentro dos ambientes fsicos e virtuais de rgos ou entidades da APF, dos
quais no fazem parte.
V
VALOR DO ATIVO DE INFORMAO: valor, tangvel e intangvel, que reflete tanto a
importncia do ativo de informao para o alcance dos objetivos estratgicos de um rgo
87
ou entidade da APF, quanto o quo cada ativo de informao imprescindvel aos

interesses da sociedade e do Estado.
VERIFICAO DE CONFORMIDADE EM SEGURANA DA INFORMAO E

COMUNICAES: procedimentos que fazem parte da avaliao de conformidade que
visam identificar o cumprimento das legislaes, normas e procedimentos relacionados
segurana
da
informao
comunicaes
da
organizao.
VULNERABILIDADE: conjunto de fatores internos ou causa potencial de um incidente

indesejado, que podem resultar em risco para um sistema ou organizao, os quais
podem ser evitados por uma ao interna de segurana da informao.
88
ANEXO I
ICP-BRASIL: Certificado Digital
A Infraestrutura de Chaves Pblicas Brasileira (ICP-Brasil), instituda pela Medida
Provisria n 2.200-2, de 24 de agosto de 2001, uma cadeia hierrquica e de confiana
que viabiliza a emisso de certificados digitais. Dentre vrios modelos existentes, o modelo
adotado pelo Brasil foi o de certificao com Raiz nica. O Instituto Nacional de Tecnologia
da Informao (ITI), alm de desempenhar o papel de Autoridade Certificadora Raiz (ACRaiz), tambm tem o papel de credenciar e descredenciar os demais participantes da
cadeia, supervisionar e fazer auditoria dos processos. tambm a entidade de auditoria de
tempo da Rede de Carimbo do Tempo da ICP-Brasil.
A AC-Raiz est encarregada de emitir a lista de certificados revogados, de
fiscalizar e auditar as Autoridades Certificadoras (ACs), as autoridades de registros e
demais prestadores de servio habilitados na ICP-Brasil. Alm disso, verifica se as ACs
esto atuando em conformidade com as diretrizes e normas tcnicas estabelecidas pelo
Comit Gestor da ICP-Brasil. O Comit Gestor da ICP-Brasil exerce a funo de autoridade
gestora de polticas e encontra-se vinculado Casa Civil da Presidncia da Repblica.
Conceitos Gerais
Alguns conceitos utilizados na ICP-Brasil so apresentados nesta seo, porm
definies
adicionais
encontram-se
em
Glossrio
especfico
no
endereo:
<http://www.iti.gov.br/images/icp-brasil/Normas%20ICP-Brasil/Glossario/GLOSSaRIOV1.4.pdf>
Algoritmo Assimtrico
um algoritmo de criptografia que usa duas chaves: uma chave pblica e uma
chave privada, onde a chave pblica pode ser distribuda abertamente enquanto a chave
privada mantida secreta. Os algoritmos assimtricos so capazes de muitas operaes,
incluindo criptografia, assinaturas digitais e acordo de chave.
89
Assinatura Digital
Cdigo anexado ou logicamente associado a uma mensagem eletrnica que
permite de forma nica e exclusiva a comprovao da autoria de um determinado conjunto
de dados (um arquivo, um e-mail ou uma transao). A assinatura digital comprova que a
pessoa criou ou concorda com um documento assinado digitalmente, como a assinatura de
prprio punho comprova a autoria de um documento escrito. A verificao da origem do
dado feita com a chave pblica do remetente.
Autenticidade
Qualidade de um documento ser o que diz ser, independente de se tratar de
minuta, original ou cpia e que livre de adulteraes ou qualquer outro tipo de corrupo.
Autoridade Certificadora - AC
Entidade que emite, renova ou revoga certificados digitais de outras ACs ou de
titulares finais. Alm disso, emite e publica a lista de certificados revogados. Na estrutura de
carimbo de tempo da ICP-Brasil, emite os certificados digitais usados nos equipamentos e
sistemas das ACTs e da EAT.
Autoridade de Carimbo de Tempo - ACT

Entidade na qual os usurios de servios de carimbo do tempo subscritores e
terceiras parte confiam para emitir carimbos do tempo. A ACT a responsvel pelo
fornecimento do carimbo do tempo.
Autoridade de Registro - AR
Entidade responsvel pela interface entre o usurio e a Autoridade Certificadora
vinculada a uma AC que tem por objetivo o recebimento, validao, encaminhamento de
solicitaes de emisso ou revogao de certificados digitais s AC e a identificao, de
forma presencial, de seus solicitantes. responsabilidade da AR manter registros de suas
90
operaes. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro
remota.
Certificado Digital
Conjunto de dados de computador, gerados por uma Autoridade Certificadora,
em observncia Recomendao da International Telecommunications Union Telecommunication Standardization Sector - ITU-T X.509, que se destina a registrar, de
forma nica, exclusiva e intransfervel, a relao existente entre uma chave de criptografia
e uma pessoa fsica, jurdica, mquina ou aplicao.
No-repdio (ou irretratabilidade)

a garantia de que o emissor de uma mensagem ou a pessoa que executou
determinada transao de forma eletrnica utilizando a certificao digital ICP-Brasil no
poder posteriormente negar sua autoria, visto que somente aquela chave privada poderia
ter gerado aquela assinatura digital.
Arcabouo Jurdico
O arcabouo jurdico da ICP-Brasil inicia-se com a Medida Provisria n 2.200-2,
de 24 de Agosto de 2001, que instituiu a Infraestrutura de Chaves Pblica Brasileira para
garantir a autenticidade, a integridade e a validade jurdica aos documentos em forma
eletrnica, as aplicaes de suporte e as aplicaes habilitadas que utilizem certificados
digitais como as realizaes de transaes eletrnicas seguras.
Dentre os vrios Decretos relacionados ao tema, cabe destacar o Decreto N
3.996, de 31 de outubro de 2001, que dispe sobre a prestao de servios. A tramitao
de documentos eletrnicos, as aplicaes e demais programas e equipamentos utilizados
no mbito da APF, direta e indireta, que exijam a utilizao de certificados digitais ser
mediante certificao disponibilizada por AC integrante da ICP-Brasil. Cabe informar que a
legislao
vigente
pode
ser
consultada
no
stio
do
ITI
no
endereo:
<http://www.iti.gov.br/legislacao>.
91
NOTAS SOBRE ESTA EDIO
Visite <https://dsic.planalto.gov.br/> para obter atualizaes e outras informaes sobre o

Guia Bsico de Orientaes ao Gestor em SIC.
Este trabalho foi produzido no mbito do Comit Gestor da Segurana da Informao

(CGSI), rgo de assessoramento da Secretaria Executiva do Conselho de Defesa Nacional
a qual se subordina - Decreto n 3.505, de 13 de junho de 2000, e em atendimento Portaria
N 26 do Conselho de Defesa Nacional (CDN), de 15 de Julho de 2014, que instituiu o Grupo
de Trabalho Elaborao de Guia de Orientaes ao Gestor de SIC.
Copyright 2015 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos,

parcial ou total, por qualquer meio, se citada a fonte.
92
93

Guia Gestor

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia Gestor

Enviado por

Direitos autorais:

Formatos disponíveis

Verso 2.

Chefe da Casa Militar da Presidncia da Repblica

Secretrio-Executivo do Conselho de Defesa Nacional

Assessor-Chefe da Assessoria Especial da Secretaria-Executiva do

Diretor do Departamento de Segurana da Informao e Comunicaes

Coordenador do Comit Gestor da Segurana da Informao

GUIA BSICO DE ORIENTAES

Copyright 2015 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos,

Normalizao bibliogrfica: Biblioteca da Presidncia da Repblica.

Desenvolvido pelo Grupo de Trabalho (GT) Elaborao de Guia de Orientaes ao

1. Segurana da informao e comunicaes. 2. Gesto em segurana da informao e

POLTICA DE SEGURANA DA INFORMAO E COMUNICAES ...................... 21

A Poltica de Segurana da Informao e Comunicaes ................................ 22

Resultados Esperados ..................................................................................... 24

Institucionalizao da POSIC .......................................................................... 24

1.2.3.1 Recomendaes para Institucionalizao da POSIC .................................... 25

Elementos da Poltica de Segurana da Informao e Comunicaes ........... 26

Conceitos e definies ..................................................................................... 27

Referncias legais e normativas ..................................................................... 27

Diretrizes Gerais ............................................................................................... 27

Competncias e Responsabilidades ............................................................... 28

Normas Complementares .................................................................................... 28

Referncias legais e normativas ......................................................................... 30

COMPUTACIONAIS - ETIR ................................................................................................. 31

Papis e responsabilidades ................................................................................ 31

Gestor de Segurana da Informao e Comunicaes ............................. 31

Agente Responsvel ..................................................................................... 31

Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais

Criao da ETIR ............................................................................................. 32

Ideograma da rotina de comunicao simples e tarefas bsicas da Equipe .. 34

Resultados esperados ......................................................................................... 34

Etapas para alcance dos resultados .................................................................. 35

Cuidados no processo de criao da ETIR .................................................... 35

Cuidados na definio do modelo, autonomia e servios disponveis ....... 35

Opes recomendadas .................................................................................... 35

Servios adicionais ....................................................................................... 36

Caractersticas comuns aos componentes ................................................ 32

Referncias legais e normativas ......................................................................... 37

GESTO DE RISCOS EM SEGURANA DA INFORMAO E COMUNICAES

Definies preliminares ................................................................................... 40

Anlise/avaliao dos riscos ........................................................................... 41

Plano de Tratamento dos Riscos .................................................................... 43

Aceitao do Risco ........................................................................................... 44

Implementao do Plano de Tratamento dos Riscos .................................... 44

Monitorao e anlise crtica ........................................................................... 45

Melhoria do Processo de GRSIC ..................................................................... 45

Comunicao do Risco .................................................................................... 45

Referncias legais e normativas ......................................................................... 46

GESTO DE CONTINUIDADE DE NEGCIOS ........................................................... 47

Papis e Responsabilidades ............................................................................... 47

Resultados esperados ......................................................................................... 49

Etapas para o alcance dos resultados ............................................................... 51

Entender a Organizao Anlise de Riscos ................................................ 51

Entender a organizao Anlise de Impactos nos Negcios .................... 52

Determinar a Estratgia de Continuidade....................................................... 55

Desenvolver e Implementar uma Resposta de GCN ...................................... 56

Tipos de Planos ................................................................................................ 57

Testar e Manter os Planos ............................................................................... 58

Referncias legais e normativas ......................................................................... 62

GLOSSRIO DE SIC ........................................................................................................... 63

ICP-BRASIL: Certificado Digital ........................................................................................ 89

Anlise de Impacto nos Negcios

Administrao Pblica Federal

Centro de Tratamento e Resposta a Incidentes de Segurana em Redes de