Escolar Documentos
Profissional Documentos
Cultura Documentos
Braslia - DF
2010
1
Presidente da Repblica
Luis Incio Lula da Silva
Vice-Presidente da Repblica
Jos Alencar Gomes da Silva
Ministro Chefe do Gabinete de Segurana Institucional
Jorge Armando Felix
Secretrio Executivo
Antonio Srgio Geromel
Diretor do Departamento de Segurana da Informao e
Comunicaes
Raphael Mandarino Junior
Copyright 2010 Presidncia da Repblica. Permitida a reproduo sem fins lucrativos, parcial ou total,
por qualquer meio, se citada a fonte.
Disponvel em formato eletrnico: http://dsic.planalto.gov.br
Organizadores
Claudia Canongia, Admilson Gonalves Jnior e Raphael Mandarino Junior
Colaboradores
Subgrupos 1, 2 e 3 do Grupo de Trabalho de Segurana das Infraestruturas Crticas da
Informao GT SICI
Subgrupo 1: Mapeamento de Ativos de Informao das Infraestruturas Crticas da Informao
Admilson Gonalves Jnior, Ministrio do Planejamento, Oramento e Gesto
Alexandre Costa Guindani, Caixa Econmica Federal
Alexandre Mariano Feitosa, Ministrio da Defesa
Jos Ney de Oliveira Lima, Ministrio do Planejamento, Oramento e Gesto
Murilo Srgio de Farias Flix, Petrobras
Nbia Moreira dos Santos, Ministrio do Planejamento, Oramento e Gesto
Pedro Andr Freire, Servio Federal de Processamento de Dados
Ricardo Brigatto Salvatore, Ministrio da Defesa
Sandro Herman Pereira Rehem, Ministrio do Planejamento, Oramento e Gesto
Suzana de Queiroz Ramos Teixeira, Ministrio da Cincia e Tecnologia
Subgrupo 2: Requisitos mnimos necessrios Segurana das Infraestruturas Crticas da
Informao: aumentar a segurana, resilincia e capacitao
Amilcar Faria, Banco Central
Andr Moreira, Banco do Brasil
Danilo Dias, Banco Central
Eduardo Gomes de Barros, Comando do Exrcito
Humberto Campedelli, Empresa de Tecnologia e Informaes da Previdncia Social
Marcelo Paiva Fontenele, Comando do Exrcito
Marcos Allemand Lopes, Servio Federal de Processamento de Dados
Subgrupo 3: Mtodo para Identificao de Ameaas e Gerao de Alertas de Segurana das
Infraestruturas Crticas da Informao
Alexandre Hosang, Agncia Brasileira de Inteligncia
tila Bandeira, Banco do Brasil
Bernadette S. C. Castilho, Petrobras
Joo Matos Pinheiro Filho, Agncia Brasileira de Inteligncia
Paulo Gonalves Garcia, Ministrio das Relaes Exteriores
Projeto grfico, edio e impresso
Agncia Brasileira de Inteligncia/GSIPR
Apoio de reviso tcnica
Marlene Isidro (DSIC/GSIPR)
Ficha Catalogrfica
Dados Internacionais de Catalogao na Publicao (CIP)
B823g
Brasil. Presidncia da Repblica. Gabinete de Segurana Institucional. Departamento de Segurana da
Informao e Comunicaes.
Guia de referncia para a segurana das infraestruturas crticas da informao / Gabinete de
Segurana Institucional, Departamento de Segurana da Informao e Comunicaes; organizao
Claudia Canongia, Admilson Gonalves Jnior e Raphael Mandarino Junior. Braslia: GSIPR/SE/DSIC,
2010.
151 p.
Verso 01
1. Segurana das Infraestruturas crticas da informao Brasil. 2. Segurana da informao e
comunicaes - Brasil. 3. Segurana ciberntica - Brasil. I. Ttulo. II. Canongia, Claudia. III. Gonalves
Jnior, Admilson. IV. Mandarino Junior, Raphael.
CDD 658.4038
CDU 004.056.57 (035)
Ficha Catalogrfica produzida pela Biblioteca da Presidncia da Repblica.
APRESENTAO
Boa leitura!
MPOG
OWASP
PDTI
RNP
SICI
SISBIN
SISP
10
LISTA DE FIGURAS
Figura 0.1
Figura 0.2
Figura 1.1
Figura 3.1
Figura 4.1
Figura 4.2
11
12
LISTA DE TABELAS
Tabela 2.1
Tabela 2.2
Tabela 2.3
Probabilidade x Impacto, 80
Tabela 2.4
Tabela 3.1
Tabela 3.2
Tabela 3.3
Tabela 4.1
13
14
SUMRIO
APRESENTAO, 7
LISTA DE SIGLAS E ABREVIATURAS, 9
LISTA DE FIGURAS, 11
LISTA DE TABELAS, 13
PREFCIO, 19
INTRODUO, 27
CAPTULO 1. MACROPROCESSOS PARA
MAPEAMENTO DE ATIVOS DE
INFORMAO, 37
1.1.
1.1.1.
1.1.2.
1.1.3.
1.1.4.
15
ANEXO A.2
16
ANEXO A.3
ANEXO A.4
ANEXO B.1
ANEXO B.2
17
18
PREFCIO
19
20
21
Captulo
1:
apresenta
os
Macroprocessos de Mapeamento de Ativos
de Informao, no intuito de delinear caminhos
para determinar se um ambiente ou no
seguro no que se refere informao e
comunicaes,
considerando-se
a
DICA
(critrios de
Disponibilidade,
Integridade,
Confidencialidade e Autenticidade). Somam-se
questes relativas crescente incidncia de
ataques cibernticos, o que torna ainda maior a
necessidade de rastrear interdependncias
internas/externas, a fim de que sejam
identificados os impactos decorrentes da
interrupo
dos
servios
oriundos
de
infraestruturas crticas da informao, e que
sejam implementadas aes adequadas
manuteno da continuidade dos servios. Uma
das principais medidas iniciais refere-se ao
alcance do entendimento inequvoco dos ativos
de informao, e tambm da identificao de
seus respectivos contineres;
24
Coordenador do GT SICI
Diretor do DSIC/GSIPR
https://dsic.planalto.gov.br/fale-com-o-dsic
25
26
INTRODUO
29
organizao;
Melhorar a governana;
e)
Melhorar os controles;
f)
Melhorar a eficcia e eficincia operacional;
g)
Minimizar perdas;
h)
Aumentar a resilincia da organizao.
Desta forma o processo de Gesto de Riscos produzir
subsdios para suportar o Sistema de Gesto de Segurana
da Informao e Comunicaes e a Gesto de Continuidade
dos Negcios.
Definir o escopo de aplicao da Gesto de Riscos de
Segurana da Informao e Comunicaes GRSIC ,
portanto, necessrio a fim de delimitar seu mbito de atuao.
Esse escopo pode abranger o rgo ou entidade como um
todo, um segmento, um processo, um sistema, um recurso ou
um ativo de informao, segundo leciona a Norma
Complementar N 04/IN01/DSIC/GSIPR (2009a).
No caso da Infraestrutura Crtica da Informao, o
escopo de aplicao dos conceitos e mtodos de GRSIC o
subconjunto de Ativos de Informao - meios de
armazenamento, transmisso e processamento, sistemas de
informao, bem como os locais onde se encontram esses
meios e as pessoas que a eles tm acesso que afetam
diretamente a consecuo e a continuidade da misso do
Estado e a segurana da sociedade (CDN/SE, 2009).
Existe certa complexidade no estabelecimento de
parmetros que sirvam de subsdio para a afirmao de que
um ambiente de informao seguro. importante a
identificao
das
consequncias
relacionadas
s
vulnerabilidades do tratamento da informao, da
compreenso dos diversos ambientes de contexto e da
adoo de um modelo de segurana que possa minimizar tais
consequncias (CT-STI, 2000).
31
33
35
36
CAPTULO 1. MACROPROCESSOS
PARA MAPEAMENTO
DE ATIVOS DE
INFORMAO
1.1.1. Metodologia
O processo de Identificao e Classificao de Ativos
de Informao composto por seis atividades: (1) coletar
informaes gerais; (2) definir as informaes dos ativos;
(3) identificar o(s) responsvel(is); (4) identificar os
contineres dos ativos; (5) definir os requisitos de
segurana; e (6) estabelecer o valor do ativo de
informao. Cada atividade do processo coleta informaes
adicionais sobre os recursos, as quais podem ser refinadas
conforme novas percepes identificadas nas atividades
seguintes. Quando isto acontece, o processo dever ser
reiniciado com cada ativo de informao para garantir
acuracidade e consistncia entre as atividades (STEVENS,
2005).
Atividade 1 - Coletar Informaes Gerais
O objetivo desta atividade definir como ser a
estratgia da coleta das informaes, quem sero os
responsveis e qual a previso de concluso dos trabalhos.
natural que os recursos da informao evoluam com
o tempo, desta maneira, os perfis gerados pelo mapeamento
dos ativos da informao precisam ser constantemente
atualizados ou at mesmo recriados. Alm disto, pode ser
necessrio investigar ou saber a histria de um ativo
(STEVENS, 2005).
41
Outros.
O autor prope algumas questes bsicas que podem
ser teis para identificar contineres:
Qual sistema de informao ou aplicao usa ou
processa determinada informao?
Em quais plataformas os ativos de informao
podem ser encontrados?
Que pessoas tm acesso informao? Essas
pessoas podem ser agrupadas?
Algum processo automtico depende do recurso
da informao?
Que tipos de mdias so utilizados para
armazenar a informao?
A informao frequentemente impressa, quem
pode imprimi-la e onde as cpias impressas so
armazenadas?
Cliente e parceiros tm acesso informao?
H cpias de segurana externas contratadas
por terceiros?
H locais onde a informao possa ser
armazenada fisicamente (papel, mdias magnticas,
etc.)?
Atividade 5 Definir os requisitos de segurana
Nesta atividade, os requisitos de segurana da
informao devem ser definidos por meio de critrios que
atendam a disponibilidade, integridade, confidencialidade e
autenticidade dessa informao. Se um proprietrio de um
ativo da informao no for capaz de apropriadamente definir
os requisitos de segurana desse ativo, no poder existir e
garantir que o curador possa efetivamente proteg-lo.
Podem ser fontes primrias de requisitos de
segurana: acordos, contratos, leis, relacionamento com
45
das
partes
49
50
a) Energia;
b) Comunicaes;
c) gua;
d) Finanas;
e) Transportes.
f) Outro. Especificar __________________________.
51
de
servios
essenciais para
c) Servios de comrcio;
d) Ampla rede de alcance nacional;
e) Rede de servios de topologia local.
4. Quais reas do negcio da organizao se
relacionam diretamente com o ativo de informao?
a) Sistemas de informao corporativos;
b) Todo o ciclo da informao;
c) Processos de operao;
d) Processos de gesto e suporte aos negcios;
e) Redes de comunicao;
f) Gesto
de
suprimentos
(equipamentos
componentes) e rede de fornecedores.
52
5.
atividades
relacionadas
com
segurana pblica;
c) Servios e atividades relacionadas com o setor
financeiro;
d) Atividades relacionadas com a produo;
e) Atividades relacionadas com transportes;
f) Atividades relacionadas com o setor de energia;
g) Atividades
relacionadas
com
setor
de
gua/abastecimento.
6.
informao?
a) Altamente estratgico para o ramo de negcio em
que faz parte;
b) Altamente estratgico para a economia;
c) Altamente estratgico para a ordem social;
d) Altamente estratgico para o Pas;
e) Altamente
estratgico
para
as
relaes
internacionais;
f) Altamente estratgico no apoio pesquisa;
g) Altamente estratgico para a defesa nacional.
53
7.
estatsticas
de
perdas
que
justificam
frequentes
perturbaes
e/ou
manifestaes;
c) Com grande densidade demogrfica;
d) Adequada ao nvel de aceitao de risco.
9.
54
uma
55
com
parceiros
nacionais
de
informao
est
informao
est
parcialmente
58
60
c) Equipe
tcnica
capacitada
desastres/incidentes;
para
possveis
os
danos
comprometem
quais
a) Comrcio;
b) Indstria;
c) Servios;
d) Agronegcio.
28. Em situao de incidente/desastre com o ativo
de informao, qual seria a extenso do dano?
a) Municipal;
b) Estadual;
c) Regional;
d) Nacional;
e) Internacional.
29. Um ataque bem sucedido ao ativo
informao poder se propagar em que escala?
de
61
c) Sociedade;
d) O ataque no gera propagao.
30. Nvel de impacto esperado em caso
comprometimento do ativo de informao:
de
62
informao
est
63
64
65
informatizados
com
arquiteturas
70
50.2. Integridade:
a) Eficiente e eficaz;
b) Eficiente e pouco eficaz;
c) Pouco eficiente e eficaz;
d) Pouco eficiente e pouco eficaz;
e) Inexistente.
50.3. Confidencialidade:
a) Eficiente e eficaz;
b) Eficiente e pouco eficaz;
c) Pouco eficiente e eficaz;
d) Pouco eficiente e pouco eficaz;
e) Inexistente.
50.4. Autenticidade:
a) Eficiente e eficaz;
b) Eficiente e pouco eficaz;
c) Pouco eficiente e eficaz;
d) Pouco eficiente e pouco eficaz;
e) Inexistente.
Como complemento ao questionrio, apresentado no
Anexo A.1 um conjunto de formulrios que visam estruturar as
informaes coletadas e as constataes estabelecidas
durante as atividades apresentadas no Captulo 1.
Cada ativo de informao dever possuir seu conjunto
especfico de informaes composto pelo questionrio
respondido e pelos formulrios preenchidos.
71
72
73
74
Ameaas no intencionais
Consideram-se Ameaas No Intencionais, aquelas
provocadas por falhas humanas ou de equipamentos, cujo
acontecimento independe de dolo. Dividem-se as ameaas
no intencionais em duas categorias:
Humanas: podem ser provocadas por
negligncia, imprudncia ou impercia;
Tecnolgicas: podem ser provocadas por falhas
em sistemas, equipamentos ou software.
Ameaas humanas
Distinguem-se duas famlias de atributos de ameaas
humanas:
Do recurso: so atributos que descrevem a
habilidade da fonte de ameaa em atingir o seu
objetivo;
Do compromisso: so atributos que descrevem
a determinao da fonte de ameaa.
Dentro da famlia de atributos do recurso, os mesmos
abrangem as caractersticas de uma fonte de ameaa que
quantificam as pessoas, conhecimento e acesso disponveis a
uma ameaa, para perseguir o seu objetivo. As caractersticas
do recurso so indicativas da potencialidade de uma ameaa,
porque recursos maiores podem permitir que uma ameaa
atinja um objetivo mais facilmente e com maior rapidez.
Neste Guia, dado seu objetivo, tratar-se- com maiores
detalhes da famlia de atributos do compromisso. Nestes
atributos so observadas as premissas da intensidade, da
furtividade, e do tempo, e os mesmos abrangem as
caractersticas de uma ameaa que quantificam a sua
determinao para perseguir um objetivo. As caractersticas
do compromisso so indicativas da potencialidade de uma
75
76
Probabilidade
Descrio
Muito improvvel
Improvvel
Possvel
Provvel
Freqente
79
Impacto
Descrio*
Muito Baixo
Baixo
Mdio
Alto
Muito Alto
*Os valores apresentados so apenas uma sugesto, devendo ser adequados a realizada de
cada entidade.
Probabilidade
Impacto
Muito alto
Alto
Mdio
Baixo
Muito baixo
80
Muito
improvvel
Improvvel
Possvel
Provvel
Frequente
Nvel de Risco
Muito Alto
Alto
Mdio
Baixo
Muito baixo
Descrio
O risco nesta faixa intolervel.
Algumas aes devem ser imediatas. Deve-se
monitorar, continuamente, e observar se a
situao do risco muda ao longo do tempo ou se
permanece. O monitoramento deve ser contnuo.
O risco nesta faixa intolervel.
A situao de muita preocupao e, portanto,
algumas aes devem ser tomadas rapidamente.
Deve-se monitorar frequentemente para verificar
se a situao muda com
as aes
implementadas.
O risco nesta faixa tolervel, porm existe uma
situao de ateno. Algumas aes podem ser
necessrias no mdio ou longo prazo.
Deve-se monitorar frequentemente, para verificar
se a situao do risco muda ao longo do tempo,
bem como se aps a implementao das aes o
risco diminui.
O risco nesta faixa tolervel.
Nenhuma ao de imediato precisa ser tomada,
porm deve-se monitorar, periodicamente, para
verificar se a situao do risco muda com o
passar do tempo.
O risco nesta faixa tolervel.
81
82
Nvel Ttico
Nvel
Operacional
Planejar
Analisar
Monitorar
Implementar
Planejar
Planejar
Planejar
Planejar
Analisar
Analisar
Analisar
Analisar
Monitorar
Monitorar
Monitorar
Monitorar
Implementar
Implementar
Implementar
Implementar
Percepo de
mudanas no
negcio
Percepo de
mudanas
nos
indicadores
dos sistemas
de gesto
Percepo de
mudanas
fsicas,
tecnolgicas
e humanas
86
http://www.cert.org
http://www.gartner.com
87
88
http://www.resorgs.org.nz/
Sensibilizao e Conscientizao
As aes de sensibilizao e conscientizao visam
atingir os empregados de uma forma ampla. Buscam mudar
o comportamento, reforar boas prticas e focalizar a ateno
na segurana, facilitando a implantao da Poltica de
Segurana da Informao e Comunicaes.
A sensibilizao realizada, informalmente, nas
atividades cotidianas. J a conscientizao realizada com
maior formalidade, como por exemplo, por meio de palestras
e seminrios.
Treinamento
As aes de treinamento visam capacitar empregados
que realizam funes especficas de segurana de acordo
com a rea de atuao. Geralmente, estes treinamentos so
externos, realizado por fornecedores das solues. Alm
disso, h a capacitao por meio de participao em
seminrios e congressos, cujos grupos de trabalho
possibilitam exercitar a prtica e estabelecer redes de
relacionamentos tcnicos.
Educao
As aes de educao visam formar especialistas,
capazes de definir estratgias de segurana, servindo de
apoio ao Gestor de Segurana da Informao e
Comunicaes da organizao, ou at mesmo atuando como
Gestor de Segurana setorial, dependendo da estrutura de
segurana definida. As certificaes em segurana devem
servir como forma de manter gestores de segurana
atualizados.
89
Poltica de
Proteo da
Informao
Itens de Controle
Organizao da proteo da
informao
Plano de proteo da informao
Classificao e desclassificao
Conformidade e entraves legais
Classificao de ativos
Alocao de recursos
Gesto do Risco
Reviso de requisitos de segurana
Taxao do risco
90
Grau de
Implementao
(0 a 5 ou NA)
Categorias de
Controle
Itens de Controle
Grau de
Implementao
(0 a 5 ou NA)
Tratamento do risco
Gesto do Risco
Diagnstico de vulnerabilidades
Gesto de
Configurao
Controle de mudanas na
configurao
Revalidao de configurao de
segurana
Automatizao do processo
Manuteno
Manuteno remota
Confiabilidade (incluem contratos de
nveis de servio)
Identificao da mdia de sada
Controle de acesso mdia
Mtodo de transporte de mdia
Proteo de
Mdia
Controle da mdia
Armazenamento
Destruio / descarte de mdias e
gravaes
Treinamento
Cultura
Conscientizao
Existncia dos planos (confeco,
manuteno e testes)
Gesto de crise
Treinamento
(emergncia,
continuidade e
Simulao e avaliao dos planos
recuperao de
desastres)
Redundncia de servio
Backup e recuperao
91
Categorias de
Controle
Itens de Controle
Controle de acesso fsico
Monitoramento de acesso fsico
Proteo Fsica
e Ambiental
Segurana do
Pessoal
Gesto do pessoal
Gesto de recursos humanos internos
Segurana de terceiros
Treinamento simulado para incidentes
Monitoramento de incidentes
Resposta a
incidentes
Auditoria e
Monitoramento, anlise e relatrio de
Rastreamento
auditoria
de ResponsabiEstabelecimento de periodicidade de
lidades
auditorias
Penalidades administrativa, civil e
penal
92
Grau de
Implementao
(0 a 5 ou NA)
Categorias de
Controle
Itens de Controle
Grau de
Implementao
(0 a 5 ou NA)
Controle de contas
Controle de senha
Controle de configurao
Controle de acesso
Funo de controle de falhas no
acesso
Controle de
Acesso ao
Sistema e
Proteo das
Comunicaes
Controle de
Acesso ao
Sistema e
Proteo das
Comunicaes
93
Categorias de
Controle
Itens de Controle
Grau de
Implementao
(0 a 5 ou NA)
Controles criptogrficos
Segurana dos arquivos do sistema
Segurana em processos de
desenvolvimento e de suporte
Gesto de vulnerabilidades tcnicas
94
Descrio
Questionrio de Mapeamento
de Ativos de Informao
(nmero da questo)
Organizao da proteo da
informao
Classificao e desclassificao
#26 e #40
Classificao de ativos
#1, #3 e #9
95
Itens de Controle
Questionrio de Mapeamento
de Ativos de Informao
(nmero da questo)
Alocao de recursos
#6, #7 e #8
Taxao do risco
#6, #7 e #8
Tratamento do risco
Diagnstico de vulnerabilidades
Controle de mudanas na
configurao
#31 e #25
Revalidao de configurao de
segurana
#25
Automatizao do processo
#16
Manuteno remota
#16
Confiabilidade (SLA)
#16
#15
#15
#15
Controle da mdia
#15
Armazenamento
#15
#15
Treinamento
#40 e #48
Conscientizao
#40 e #48
#36
Treinamento
#36
#36
Redundncia de servio
#36
Backup e recuperao
#49
96
Itens de Controle
Questionrio de Mapeamento
de Ativos de Informao
(nmero da questo)
#49
#49
#49
#49
Inspeo de antecedentes
Gesto do pessoal
Segurana de terceiros
Monitoramento de incidentes
#33
#33
#33 e #41
Controle de contas
#17 e #40
Controle de senha
#17 e #40
Controle de configurao
#17 e #40
Controle de acesso
#17 e #40
97
Itens de Controle
Questionrio de Mapeamento
de Ativos de Informao
(nmero da questo)
#17 e #40
#17 e #40
#17 e #40
#17, #40 e # 50
#17, #40 e # 50
#17, #40 e # 50
#17, #40 e # 50
Comunicao VOIP
#17, #40 e # 50
#40 e # 50
#6, #40 e # 50
#40 e # 50
Controles criptogrficos
#6, #40 e # 50
#6, #40 e # 50
Segurana em processos de
desenvolvimento e de suporte
#6, #40 e # 50
98
99
100
CAPTULO 4. MTODO DE
IDENTIFICAO DE
AMEAAS E GERAO
DE ALERTAS DE
SEGURANA DAS
INFRAESTRUTURAS
CRTICAS DA
INFORMAO
101
4.1.2. Princpios
Os princpios gerais que devem ser seguidos pelo
processo de identificao de ameaas e gerao de alertas
para a Segurana das Infraestruturas Crticas da Informao
so a seletividade e a oportunidade.
A seletividade definida como a faculdade de
diferenciar o desejvel do indesejvel ou esprio. Este
princpio ser empregado neste mtodo para:
Definir
os
cenrios
que
devem
ser
acompanhados, levando em considerao a lista
de ameaas estabelecidas;
Estabelecer
os
responsveis
pelo
acompanhamento de cada tipo de ameaa;
Estabelecer um fluxo de comunicao dos sinais
e de validao de ameaas; e
Discriminar a quem devem ser direcionados os
alertas, levando em considerao a necessidade
de conhecer.
A oportunidade refere-se, simultaneamente,
tempestividade e convenincia de uma ao, determinando
que tal ao seja tomada de imediato e com a extenso
correta. Este princpio ser essencial para apoiar a concepo
dos processos de forma a agilizar a comunicao das
ameaas para as pessoas-chaves, garantindo que as
informaes inseridas no sistema alcancem os atores no
tempo hbil de uma reao preventiva, e no simplesmente
corretiva.
103
Objetivos
Coleta
Anlise
Divulgao
Realimentao
104
105
4.1.5.
106
4.2.Aplicao do Mtodo
O subsistema de Infraestrutura Crtica da Informao
aborda aspectos relacionados aos ativos da informao das
107
Legenda:
Processos relacionados aos Captulos 1 e 2
Processos relacionados ao Captulo 3
Figura 4.2 - Mdulo de Identificao de Ameaas e Gerao de Alertas
109
110
CONSIDERAES FINAIS
111
112
GLOSSRIO
computador,
a inteno
autorizadas
e/ou redes
ou
de
ou
de
113
114
115
118
REFERNCIAS BIBLIOGRFICAS
119
120
123
124
ANEXO A.1
FORMULRIOS DE
APOIO PARA
REGISTRO E GESTO
DOS ATIVOS DE
INFORMAO
Verso
Identificao nica
Nome Ativo
Impacto no negcio
(Alto, Mdio, Baixo)
Descrio detalhada (descreva o objetivo do ativo, o que faz, como faz, requisitos utilizados,
como foi desenvolvido, qual tecnologia, detalhes tcnicos ...)
10
125
(2) Hardwares
Servidores
Storages
Estaes de usurios
Outros hardwares
(3) Pessoas
Especialistas ou unidades
de negcio
Fornecedores
Clientes
Outras pessoas
126
Requisitos de Integridade
Requisitos de Disponibilidade
Relacionamento Interno
(Entrada ou
Sada)
Entidades
Relacionamento Externo
Sada)
Descrio (breve
descrio do tipo do
relacionamento, ex:
cadastros, lanamentos,
relatrios, banco de dados,
memorandos, atas,
solicitaes, etc.)
(Entrada ou
Descrio (breve
descrio do tipo do
relacionamento, ex:
manuteno, atualizao,
desenvolvimento, uso, etc)
127
128
Justificativa
ANEXO A.2
EXEMPLOS DE
AMEAAS COMUNS
Origem
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
N
N
N
N
N
A, I
A, I, N
A, I
A, I, N
A, I, N
A, I, N
I
I
129
Comprometimento
da informao
Falhas tcnicas
Aes no
autorizadas
Comprometimento
de funes
130
Escuta no autorizada
Furto de mdia ou documentos
Furto de equipamentos
Recuperao de mdia reciclada ou
descartada
Divulgao indevida
Dados de fones no confiveis
Alterao do hardware
Alterao do software
Determinao da localizao
Falha de equipamento
Defeito de equipamento
Saturao do sistema de informao
Defeito de software
Violao das condies de uso do
sistema de informao que
possibilitam sua manuteno
Uso no autorizado de equipamento
Cpia ilegal de software
Uso de cpias de software
falsificadas ou ilegais
Comprometimento dos dados
Processamento ilegal dos dados
Erro durante o uso
Forjamento de direitos
Abuso de diretos
Repdio de aes
Indisponibilidade de recursos
humanos
Fonte: ABNT, 2008a, p. 39-40.
I
I
I
I
A, I
A, I
I
A, I
I
A
A
A, I
A
A, I
I
I
A, I
I
I
A
A, I
I
I
A, I, N
131
Espies
Pessoas: mal
treinadas,
insatisfeitas,
malintencionadas,
negligentes,
imprudentes,
desonestas,
demitidas.
132
Engenharia social;
Invaso de sistemas;
Invaso de privacidade;
Acessos no autorizados
em sistemas (acesso a
informao restrita, de
propriedade exclusiva, e/ou
relativa tecnologia).
Agresso a funcionrio;
Chantagem;
Busca de informao
sensvel;
Abuso dos recursos
Curiosidade
computacionais;
Egocentrismo
Fraudes;
Informaes para
Furto de ativos;
servio de Inteligncia
Suborno de informao;
Ganhos financeiros
Incluso de dados falsos;
Vingana
Corrupo de dados;
Aes no intencionais
Interceptao de informao;
ou omisses (erro na
Desvio de informao;
entrada de dados, erro
Uso de programas ou
na programao).
cdigos maliciosos;
Sabotagens;
Invaso de sistemas;
Acessos no autorizados a
sistemas.
Fonte: ABNT, 2008a, p. 40-41.
ANEXO A.3
EXEMPLOS DE
VULNERABILIDADES
Tipos
Hardware
Software
Exemplos vulnerabilidades
Exemplos de
Exemplos de ameaas
vulnerabilidades
Manuteno insuficiente
Violao das condies de
ou instalao defeituosa
uso do sistema de
de mdia de
informao que possibilitam
armazenamento
sua manuteno
Falta de uma rotina de
Destruio de equipamento
substituio peridica
ou mdia
Sensibilidade umidade,
Poeira, corroso,
poeira ou sujeira
congelamento.
Sensibilidade radiao
Radiao eletromagntica
eletromagntica
Inexistncia de um
Erro durante o uso
controle de mudanas de
configurao
Sensibilidade a variaes Interrupo do suprimento de
de voltagem
energia
Sensibilidade a variaes Fenmeno meteorolgico
de temperatura
Armazenamento no
Furto de mdia ou
protegido
documentos
Descuidado durante o
Furto de mdia ou
descarte
documentos
Utilizao de cpias no
Furto de mdias ou
controladas
documentos
Inexistncia de
Abuso de direitos
procedimentos de teste
de softwares.
133
Software
Rede
134
Falhas conhecidas no
software
No execuo do logout
ao se deixar uma estao
de trabalho
Descarte ou reutilizao
de mdia de
armazenamento sem a
execuo dos
procedimentos
apropriados de remoo
dos dados
Inexistncia de uma trilha
de auditoria
Atribuio errnea de
direitos de acesso
Software amplamente
distribudo
Utilizar programas
aplicativos com um
conjunto errado de dados
Interface de usurio
complexa
Inexistncia de
documentao
Parmetros Incorretos
Datas incorretas
Inexistncia de
mecanismos de
autenticao e
identificao
Tabelas de senhas
desprotegidas
Gerenciamento mal feito
de senhas
Servios desnecessrios
habilitados
Software novo ou imaturo
Especificaes confusas
o incompletas para os
desenvolvedores
Abuso de diretos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de diretos
Comprometimento dos
dados
Comprometimento dos
dados
Erro durante uso
Erro durante uso
Erro durante uso
Erro durante uso
Forjamento de direitos
Forjamento de diretos
Forjamento de direitos
Processamento ilegal de
dados
Defeito de software
Defeito de software
Rede
Recursos
humanos
Inexistncia de um
controle eficaz de
mudana
Download e uso no
controlado de software
Inexistncia de cpias de
segurana
Inexistncia de
mecanismos de proteo
fsica no prdio, portas e
janelas
Inexistncia de relatrios
de gerenciamento
Inexistncia de evidncias
que comprovem o envio
ou recebimento de
mensagens
Linhas de Comunicao
desprotegidas
Trfego sensvel
desprotegido
Junes de cabeamento
mal feitas
Ponto nico de falha
No identificao e no
autenticao do emissor
ou receptor
Arquitetura insegura da
rede
Transferncias de senhas
em claro
Gerenciamento de rede
inadequado, quanto
configurao de
roteamentos
Conexes de redes
pblicas desprotegidas
Ausncia de recursos
humanos
Defeito de software
Alterao do software
Alterao do software
Furto de mdia ou
documentos
Uso no autorizado de
equipamento
Repdio de aes
Escuta no autorizada
Escuta no autorizada
Falha do equipamento de
telecomunicao
Falha do equipamento de
telecomunicao
Forjamento de diretos
Espionagem distncia
Espionagem a distncia
Saturao do sistema de
informao
Uso no autorizado de
equipamento
Indisponibilidade de recursos
humanos
135
Recursos
humanos
Local ou
instalaes
Organizao
136
Procedimentos de
recrutamento
inadequados
Treinamento insuficiente
em segurana
Uso incorreto de software
e hardware
Falta de conscientizao
em segurana
Inexistncia de
mecanismos de
monitoramento
Trabalho no
supervisionado de
pessoal de limpeza ou de
terceirizados
Inexistncia de polticas
pra o uso correto de
meios de
telecomunicao e de
troca de mensagens
Uso inadequado de
mecanismos de controle
de acesso fsico a locais
sensveis
Localizao em rea
suscetvel a inundaes
Fornecimento de energia
instvel
Inexistncia de
mecanismos de proteo
fsica no prdio portas e
janelas
Inexistncia de um
procedimento formal para
o registro de remoo de
usurios
Inexistncia de processo
formal para a anlise
crtica dos direitos de
acesso
Indisponibilidade de recursos
humanos
Erro durante o uso
Erro durante o uso
Erro durante o uso
Processamento ilegal dos
dados
Furto de mdia ou
documentos
Uso no autorizado de
recurso
Destruio de equipamento
ou mdia
Inundao
Interrupo de suprimento de
energia
Furto de equipamentos
Abuso de direitos
Abuso de direitos
Organizao
Provises de segurana
insuficientes o
inexistentes em contratos
com clientes e/ou
terceiros
Inexistncia de
procedimentos de
monitoramento das
instalaes de
processamento de
informaes
Inexistncia de auditorias
peridicas
Inexistncia de
procedimentos para a
identificao e
anlise/avaliao de
riscos
Inexistncia de relatos de
falha nos arquivos de
auditoria das atividades
de administradores e
operaes
Resposta inadequada do
servio de manuteno
Acordo de nvel de
servio (SLA) inexistncia
ou ineficaz
Controle de mudanas
inexistente ou ineficaz
Procedimento e controle
de sistemas de
gerenciamento de
segurana inexistentes
Atribuio inadequada
das responsabilidades
pela segurana da
informao
Plano de continuidade de
servios inexistente
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Abuso de direitos
Repdio de aes
137
Organizao
138
ANEXO A.4
PERFIS DE AMEAAS
139
140
ANEXO B.1
PROPOSTA DO GT
SICI: ESTRUTURA
GENRICA PARA
SEGURANA DAS
INFRAESTRUTURAS
CRTICAS DA
INFORMAO
141
1.2. Deteco
Face rpida evoluo de novas tecnologias, as
vulnerabilidades descobertas devem ser reportadas numa
rede de tal forma que os alertas cheguem instantaneamente
aos responsveis pelo tratamento. No nvel governamental, o
Centro de Tratamento de Incidentes de Segurana em Redes
de Computadores da Administrao Pblica Federal CTIR
Gov (GSIPR, 2008b), subordinado ao Departamento de
Segurana de Informao e Comunicaes - DSIC do
Gabinete de Segurana Institucional da Presidncia da
Repblica, tem como finalidade precpua o atendimento aos
incidentes em redes de computadores pertencentes
Administrao Pblica Federal, direta e indireta. Alm disso,
no Captulo 4 deste Guia proposto mtodo de identificao
de ameaas e gerao de alertas, bem como rede de
colaborao para intercmbio de informaes sobre a SICI.
142
1.3.
Reao
1.4.
Gesto de crise
2. Parcerias essenciais
O
rgo
responsvel
pela
Segurana
das
Infraestruturas Crticas da Informao, no mbito nacional,
deve contar com diversas competncias especializadas,
podendo estar dedicada exclusivamente ou sendo
selecionados pelas diversas Infraestruturas Crticas em
funo de suas qualificaes.
Para atender as tarefas relativas aos quatro pilares da
Segurana da Informao e Comunicaes, h que se
estabelecerem diversas competncias organizacionais,
tcnicas e analticas. A unidade de Segurana das
Infraestruturas Crticas da Informao possui trs parceiros
essenciais:
Agncia governamental, provendo liderana e
superviso estratgica;
Centro de anlise articulado com o Sistema
Brasileiro de Inteligncia - SISBIN11;
Centro(s) tcnico(s) com experincia no trato do
assunto (CTIR Gov, CERT.br, CAIS/RNP).
144
2.2.
Capacidade Analtica
2.3.
Competncias Tcnicas
145
Ter
experincia
em
Segurana
das
Infraestruturas Crticas da Informao, bons
contatos com decisores e com os que elaboram
polticas e comunicao;
Ter conhecimento legal e poltico aprofundado,
bem como articulao com servios de inteligncia;
Possuir habilidades tcnicas e de comunicao.
4.3.
5. Clientes e Produtos
Os alvos da unidade de Segurana das Infraestruturas
Crticas da Informao podem ser classificados numa base de
clientes fechada (que inclui os operadores de Infraestruturas
Crticas nacionais) e numa aberta (que envolvem todas as
pessoas jurdicas de direito privado e computadores
caseiros).
147
5.2.
148
Alertas e diretrizes; e
Assistncia em caso de incidentes.
O problema em lidar com tal base a heterogeneidade
dos integrantes da base e a grande expectativa que pode ser
gerada por parte do pblico-alvo, o que pode colocar em risco
a imagem da unidade de Segurana das Infraestruturas
Crticas da Informao. Desta forma, h que se definir com
clareza o campo de responsabilidades da unidade de
Segurana das Infraestruturas Crticas da Informao perante
o pblico.
5.3.
Fechada
Aberta
Nmero
2 a 4 representantes de cada
membro
Indeterminado
Nvel de
confiana
Forte
Fraco
149
150
ANEXO B.2
VISUALIZAO DAS
CAMADAS DE
SEGURANA
151