Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASLIA
2004
IVAN JORGE CHUERI SALGADO
RONALDO BANDEIRA
RIVANILDO SANCHES DA SILVA
BRASLIA
2004
FACULDADES INTEGRADAS ICESP
CURSO DE TECNOLOGIA EM SEGURANA DA INFORMAO
Aprovada por:
_________________________________________
Prof. Reinaldo Mangialardo
_________________________________________
Prof.
_________________________________________
Prof.
BRASLIA
2004
DEDICATRIA
Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e
Ronaldo Bandeira:
A meus pais e minha namorada, pela pacincia, dando-me todo o apoio necessrio
Dedico este trabalho aos meus pais e minha famlia, que sempre me apoiaram e estiveram ao
meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver
Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela pacincia diante
das dificuldades impostas pela falta de ateno e dedicao famlia, e tambm, ao meu
amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta
obra.
Ronaldo Bandeira:
Ao meu amigo Ivan, pela grande contribuio do seu conhecimento a esta obra, e pelo seu
empenho.
A Deus, aos nossos amigos que contriburam para realizao deste trabalho, aos professores
1 INTRODUO ........................................................................................................... 11
1.1 Justificativa .............................................................................................................. 17
1.2 Objetivos.................................................................................................................. 20
1.3 Escopo do Projeto..................................................................................................... 22
1.3.1 Descrio das reas envolvidas ............................................................................. 22
1.4 ESTRUTURA ORGANIZACIONAL ...................................................................... 24
1.5 RECURSOS DO PROJETO ..................................................................................... 26
1.6 REFERENCIAL TERICO ..................................................................................... 26
1.7 METODOLOGIA .................................................................................................... 27
2 SEGURANA E SEUS COMPONENTES .................................................................. 31
2.1 Poltica de segurana ................................................................................................ 43
2.2 Segurana organizacional ......................................................................................... 45
2.2.1 Infra-estrutura da segurana da informao........................................................... 45
2.2.2 Segurana no acesso de prestadores de servios.................................................... 49
2.3 Classificao e controle dos ativos de informao .................................................... 51
2.4 Segurana em pessoas .............................................................................................. 53
2.5 Segurana fsica e do ambiente................................................................................. 58
2.5.1 reas de segurana ............................................................................................... 60
2.5.2 Segurana dos equipamentos ................................................................................ 67
2.5.3 Controles gerais.................................................................................................... 74
2.6 Conformidade .......................................................................................................... 76
2.6.1 Conformidade com requisitos legais ..................................................................... 76
2.7 Anlise da poltica de segurana e da conformidade tcnica ..................................... 80
2.8 Mecanismos e dispositivos de segurana .................................................................. 82
2.8.1 Infra-Estrutura do Data Center ............................................................................. 82
2.8.2 Acesso ao CPD..................................................................................................... 86
3 ESTUDO DE CASO .................................................................................................... 92
3.1 Poltica de segurana ................................................................................................ 92
3.1.1 Situao Atual em Relao Poltica de Segurana .............................................. 92
3.1.1.1 Comit Gestor ...................................................................................................... 92
3.1.2 Recomendaes quanto Poltica de Segurana.................................................... 93
3.1.3 Plano de Ao ...................................................................................................... 95
3.2 Segurana organizacional ......................................................................................... 98
3.2.1 Responsabilidades do Comit de Segurana.......................................................... 99
3.2.2 Coordenao do Comit de Segurana na ELECTRA ......................................... 100
3.2.3 Situao Atual em relao Segurana Organizacional ...................................... 102
3.2.4 Recomendaes quanto Segurana Organizacional da ELECTRA ................... 104
3.2.5 Plano de Ao .................................................................................................... 106
3.3 Classificao e controle dos ativos de informao .................................................. 112
3.3.1 Classificao das informaes ............................................................................ 115
3.3.2 Recomendaes sobre os Ativos e Classificao das informaes....................... 119
3.3.3 Plano de Ao .................................................................................................... 119
3.4 Segurana em pessoas ............................................................................................ 124
3.4.1 Terceirizao...................................................................................................... 127
3.4.2 Fatores humanos................................................................................................. 129
3.4.3 Situao atual em relao Segurana em Pessoas/Fatores Humanos ................. 135
3.4.4 Recomendaes em relao Segurana em Pessoas .......................................... 136
3.4.5 Plano de Ao .................................................................................................... 139
3.5 Segurana fsica e do ambiente............................................................................... 148
3.5.1 Segurana em equipamentos............................................................................... 155
3.5.2 Suprimento de energia eltrica............................................................................ 158
3.5.3 Manuteno dos equipamentos ........................................................................... 161
3.5.4 Diretrizes de proteo......................................................................................... 164
3.5.5 Situao atual do Data Center em relao Segurana Fsica............................. 165
3.5.6 Recomendaes de Segurana Fsica do Data Center ......................................... 177
3.5.6.1 Recomendaes especficas da ELECTRA .......................................................... 177
3.5.6.2 Recomendaes especficas do Data Center ....................................................... 179
3.5.7 Plano de Ao .................................................................................................... 191
3.6 Conformidade ........................................................................................................ 214
3.6.1 Preservao dos registros da ELECTRA ............................................................. 216
3.6.2 Situao atual em relao Conformidade.......................................................... 220
3.6.3 Recomendaes sobre a conformidade................................................................ 223
3.6.4 Plano de Ao .................................................................................................... 224
3.7 Plano de Ao Geral (Todos os Mdulos Analisados)............................................. 226
4 ANLISE DE RESULTADOS .................................................................................. 229
5 CONCLUSO ........................................................................................................... 230
6 REFERNCIAS BIBLIOGRFICAS ........................................................................ 232
APNDICE A ................................................................................................................... 234
APNDICE B.................................................................................................................... 239
APNDICE C.................................................................................................................... 251
APNDICE D ................................................................................................................... 307
ANEXO A ......................................................................................................................... 312
ANEXO B ......................................................................................................................... 322
GLOSSRIO..................................................................................................................... 323
LISTA DE FIGURAS
Figura 1 - Evoluo da Norma BS 17799 ............................................................................. 12
Figura 2 - Principais ameaas segurana da informao..................................................... 14
Figura 3 - Principais pontos de invaso ................................................................................ 15
Figura 4 - Principais medidas de segurana j implementadas .............................................. 15
Figura 5 - Organograma Geral da ELECTRA....................................................................... 22
Figura 6 - Ciclo da Segurana da Informao ....................................................................... 39
Figura 7 - Layout atual do piso da garagem ........................................................................ 235
Figura 8 - Layout atual do piso do Data Center.................................................................. 235
Figura 9 - Layout atual do pavimento trreo ....................................................................... 236
Figura 10 - Layout atual do pavimento tipo ........................................................................ 236
Figura 11`- Sugesto de layout para o 2o. Sub-solo - Garagem........................................... 237
Figura 12 - Sugesto de layout para o 1o. Sub-solo ............................................................ 237
Figura 13 - Sugesto de layout para o pavimento Trreo .................................................... 238
Figura 14 - Sugesto de layout para o pavimento Tipo ....................................................... 238
LISTA DE TABELAS
seu estado. O produto segurana difcil de ser obtido quando se fala em segurana de
objetivo maior. Entretanto, implica em controlar todas as variveis que integram esse
Este documento deu origem BS 7799-1995, que foi instituda no Brasil pela ABNT -
The product Security is much harder to obtain when it comes to Information. In this
case, there is a huge variety of products which comes in a diversity of forms: Physical
security (paper), electronic security (data transmissions and storage) and even people
security. To seek absolute security is a major goal, but it implies in controlling each
and every variable that integrate this universe; something practically impossible to
accomplish. The paths that make this major goal possible to achieve are a result of
joint efforts, both public and private throughout the world, which established a
Normas Tcnicas through the ISO/IES 17799-2000. The safety of the information is
structured by several components. One of them, physical security, aids specifically the
information security aspect. Without it, efforts to stabelish a safe data environment
would be worthless.
1 INTRODUO
provendo maior qualidade aos clientes e vantagens em relao aos seus competidores
impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes,
falada, rdio, TV etc. Seja qual for sua forma de existncia ou modo pelo qual
mesmo privadas, preocupadas com esta questo da segurana, iniciou, ainda de forma
isolada, propostas para tratar o assunto, principalmente nos 12 ltimos anos com a
2 em 1999, que passou a ser padro mundial seguido pelas empresas e governos.
Surgiu ento a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro
energia;
de desenvolvimento;
alternativa, cofres;
Confidencialidade;
Integridade;
Disponibilidade.
informao, sem a qual todo o esforo despendido na proteo lgica torna-se ineficaz,
citados acima.
14
Alm desses pode-se citar a Legalidade como outro componente que visa o
Estatsticas
abaixo:
As Falhas na Segurana Fsica foram apontadas por 37% dos entrevistados como
uma das principais ameaas, mostrando que atualmente a Segurana Fsica faz parte
na Sala de Servidores ganhe mais posies neste ranking nos prximos anos.
Definio
Delimitao
Este projeto tem como objetivo abordar um estudo e uma anlise de Segurana
geral, conceitos necessrios para que uma empresa consiga alcanar o mais alto nvel
de Segurana Fsica, atendendo a situaes dos mais diversos gneros com polticas
Esclarecimentos
direo para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Espera-se que este trabalho possa contribuir como fonte de consulta e discusses
estudos isolados, com o foco em um ou outro tpico, no mantendo uma relao direta
encontrados.
1.1 Justificativa
O principal motivo deste trabalho sugerir solues de segurana fsica para que
delicada.
Relevncia
o estudo de alternativas para proteo fsica dos principais ativos como informaes,
nvel alto de proteo pode consumir grandes somas financeiras. Dessa forma,
disponvel..
1.2 Objetivos
Objetivo Geral
identificados1.
Objetivos Especficos
dependncias da ELECTRA;
reas restritas;
1
Esta anlise no tem como objetivo certificar a ELECTRA em relao norma BS 7799.
21
segurana fsica;
etc.
22
Estrutura organizacional
Presidente
So escopo deste trabalho todas as reas que de alguma forma contribuem para o
situado no subsolo;
Pavimento da cobertura;
infra-estrutura;
administrao;
pavimentos;
inflamveis;
Modelo de Negcio
direo para preservar sua integridade e imagem junto a seus clientes e fornecedores.
nacional.
administrao empresarial.
cerca de 20 anos e por isso no plenamente seguida, pois no retrata mais a situao
atual. Isto se deve evoluo tecnolgica ocorrida neste perodo. Hoje, esto a
tecnologia e confiabilidade. Outro fator que contribuiu fortemente para esta situao
negcio.
Estrutura de Tecnologia
Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb.
Existem sete filiais, cada uma com sua estrutura prpria de rede, mas
convergindo suas conexes para a matriz, acessando o CPD central. Existe um backup
site fora de uso, conectado ao CPD central. O nmero de estaes existentes nas filiais
Instalaes
Uma sala com dois computadores e uma impressora em rede com comunicao
Softwares necessrios
Recursos humanos
Um engenheiro civil;
SEGURANA FSICA.
1.7 METODOLOGIA
Questionrio (APNDICE C)
anlise:
Poltica de segurana
Segurana organizacional
Segurana em pessoas
Cada item avaliado recebe uma ponderao que foi acordada juntamente
A situao atual de cada item classificada conforme o critrio abaixo, que foi
No atende
Sim atende
O clculo feito item a item atravs do produto do peso do item por sua
pontuao de presena. Os totais dos itens so somados para compor subtotal do ponto
mdulo analisado.
Metodologia da anlise
Anlise on-site:
interesse da anlise.
informaes relevantes.
ISO/IEC 17799).
30
Observaes:
Segurana da informao
desta obra.
informao frente aos diversos tipos de ameaas. Para tanto, necessrio que sejam
qualidade do produto ou servio ofertado dentro dos prazos acordados com seus
clientes.
captulos abaixo:
3. Poltica de Segurana;
4. Segurana Organizacional;
6. Segurana em pessoas;
9. Controle de acesso;
12. Conformidade.
3. Poltica de Segurana;
4. Segurana Organizacional
6. Segurana em pessoas;
12. Conformidade
que deve ser feito, se vivel, para solucionar esses problemas. Desta forma deve ser
importante lembrar que cada empresa tem suas especificidades e por isso as medidas
Pilares da segurana
Para que uma informao esteja segura devem ser observados os fatores que
Integridade: uma informao tem que ser oferecida ao seu usurio de forma
ntegra, ou seja, que no tenha sido modificada por qualquer pessoa ou processo no
autorizado.
A Constituio a lei maior de uma nao que dita as principais regras que
todas as situaes. preciso que seja complementada com leis ordinrias e especficas
e suas competncias. Dessa forma, cada competncia pode ser tangida por leis
especficas.
As leis atuam nos mbitos federal, estadual, municipal ou mesmo organizacional. Esta
segurana.
Dessa forma podemos destacar algumas normas, leis e decretos que esto
regulamentaes vigentes;
existentes.
Riscos
Um ativo algo que tem valor para a empresa, e portanto precisa ser
protegido. Os ativos podem ser fsicos (computadores, equipamentos, infra-
estruturas de transmisso de dados, prdios, etc), softwares, informaes
(documentos, bancos de dados, etc), processos, pessoas, e at mesmo
intangveis (por exemplo, a imagem da empresa). muito importante avaliar
periodicamente o grau de risco dos ativos, porque eles so o suporte de
negcios da empresa.
J que os ativos possuem valor para a empresa, este valor precisa ser
avaliado de alguma forma. Esta avaliao pode ser quantitativa, quando
existem dados disponveis, ou qualitativa, onde feita uma estimativa da
relevncia do ativo para os componentes ou processos do negcio que ele
suporta.
baseado
NEGCIO INFORMAO
sujeita
protegem
contm contm
MEDIDAS VULNERABILIDADE
DE diminuem
SEGURANA aumentam
permitem
RISCOS
reduzem
aumentam aumentam
IMPACTOS AMEAAS
NO
NEGCIO
aumentam
comprometem
causam INTEGRIDADE
CONFIDENCIALIDADE
DISPONIBILIDADE
algumas variveis como componentes que atuam diretamente ao risco que so: valor
do dano.
aspectos: curto prazo e longo prazo, em funo do tempo em que o impacto, causado
os. Apenas para ilustrar, abaixo est uma classificao que pode ser utilizada em
diversas situaes.
42
0 Impacto irrelevante;
da ELECTRA;
intrinsecamente relacionados aos negcios, que devem ser definidos pelas pessoas que
divulgao contando com o seu apoio irrestrito. Sua escrita deve ser simples
apresentando os assuntos de forma clara para que seja compreendida por todos na
da ELECTRA.
Segurana, diz: Objetivo: Prover direo uma orientao e apoio para a segurana
da informao.
Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que
normas.
Segundo a norma NBR ISO/IEC 17799 (2000, p.4), a norma deve conter:
conscientizao dos funcionrios sobre seu contedo e suas obrigaes, deve ser
informao;
segurana;
segurana;
informao;
47
sejam definidas de forma clara e que cada ativo, fsico e de informao, tenha um
informao
integridade do recurso/ambiente.
mudanas direo.
considerada.
autorizadas.
eficiente.
49
Tal anlise crtica pode ser executada pela auditoria interna, por um gestor
Tipos de acesso;
a situao exija.
sub-locao de servios;
no todo ou em parte;
ELECTRA;
informaes da organizao.
efetiva e correta das protees. Assim, necessrio que a organizao seja capaz de
Para tanto, se faz necessrio estruturar e manter um inventrio dos principais ativos
Classificao da informao
sistema de classificao da informao deve ser usado com intuito de definir nveis
da informao com seus respectivos impactos nos negcios. A informao deve ser
rotulao deve ser feita de forma bem criteriosa, para evitar classificaes que no
informaes no devem possuir uma classificao fixa, pois sua sensibilidade varia
com o tempo, e que sua rotulao pode ser modificada de acordo com uma poltica
predeterminada.
Ateno especial deve ser dada interpretao dos rtulos nas informaes de
organizao.
53
transmisso a que a informao est sujeita, e ainda, como e quando dever ser
Os objetivos desta seo so: reduzir os riscos de falha humana, roubo, fraude ou
uso imprprio das instalaes; assegurar que os usurios, de acordo com seus cargos,
incidentes.
riscos de falha humana, roubo, fraude ou uso indevido das instalaes. Isso exige que
54
atividades de segurana.
Poltica de pessoal
que tm autorizao para acesso a sistemas sensveis devem passar por um perodo de
Acordos de confidencialidade
informao. Eles devem fazer parte dos termos e condies iniciais de contratao e,
alm disso, devem continuar a ter validade, mesmo aps o encerramento do contrato
semelhantes.
direitos legais do funcionrio com relao s informaes por ele criadas na execuo
de suas tarefas.
O treinamento visa garantir que os usurios estaro cientes das ameaas e das
segurana da organizao durante a execuo normal de suas tarefas. Para tanto, eles
devem ser treinados nos procedimentos de segurana e no uso correto das instalaes
de processamento da informao.
56
multiplicadores da ELECTRA.
funo monitorar tais incidentes com o intuito de minimizar os danos causados, alm e
aprender com eles. Assim, esses incidentes devem ser notificados o mais rpido
juntamente com os resultados obtidos aps o incidente ser tratado. Tais incidentes
circunstncia, eles devem tentar verificar uma falha suspeita, sob pena de que isso
sejam autorizados, pois a organizao dever possuir pessoal capacitado para tratar de
sua recuperao.
segurana.
Processo disciplinar
58
Deve ser previsto processo disciplinar formal para os funcionrios que tenham
leis vigentes.
Tempestades, furaces;
Terrorismo;
Sabotagem e vandalismo;
Exploses;
Roubos, furtos;
Desmoronamento de construes;
Materiais txicos;
Falhas em equipamentos;
Outros.
Portanto, para se obter um ambiente fsico seguro alguns pontos devem ser
observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a
serem analisados:
fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela
que estabelea uma barreira. Por exemplo, uma parede, uma porta com controle de
existir brechas onde uma invaso possa ocorrer facilmente). Convm que
fsico ao local ou prdio seja usado. Convm que o acesso aos locais ou
apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado.
permisso para ter acesso e tenham registradas data e hora de sua entrada
exemplo, cartes com PIN sejam usados para autorizar e validar qualquer
no acompanhado.
Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro
acesso pblico.
informao.
informao.
Convm que esses cuidados tambm cubram outras reas, como por
prestadores de servio.
acesso pblico.
condies de uma rea de segurana. Isso inclui controles tanto para o pessoal da
65
assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomenda-
atividades maliciosas.
autorizado.
66
sejam considerados:
e autorizado.
perigos [ver 7.2.1 d)], antes de ser transportado dessa rea para a rea na
utilizados fora das instalaes fsicas da organizao) necessria para reduzir o risco
de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que
especiais podem ser exigidos para proteo contra perigos ou acessos no autorizados
e cabeamento.
uso.
68
potenciais, incluindo:
Roubo;
Fogo;
Explosivos;
Fumaa;
Poeira;
Vibrao;
Efeitos qumicos;
Radiao eletromagntica.
processamento da informao.
69
processamento da informao.
Fornecimento de energia
incluem:
eltrico;
garantir que ele esteja com a capacidade adequada, e testado de acordo com
que filtros de proteo contra raios sejam instalados para todas as linhas de
comunicao externas.
Segurana do cabeamento
aos cabos.
considerados:
equipamentos.
72
atendidos.
seja autorizado pela direo. Convm que a segurana fornecida seja equivalente
outros, que so levados para se trabalhar em casa ou para fora do ambiente normal de
armazenamento, como por exemplo discos rgidos, sejam checados para assegurar que
processamento da informao.
em uso.
Remoo de propriedade
devem estar cientes de que inspees pontuais sero realizadas seguindo um plano de
auditoria.
2.6 Conformidade
requisitos de segurana.
importante lembrar que os requisitos legais variam de pas para pas e se aplicam
conformidade de direito autoral deve ser implementada para definir o uso legal de
se evitar perdas, destruio e falsificao dos mesmos. Alm disso, alguns registros
previstos.
78
regulamentares. Deve permitir, ainda, a destruio apropriada dos registros aps esses
pela proteo de dados, o qual dever oferecer orientaes para gerentes, usurios e
vigente.
79
informao
devem ser alertados sobre tal procedimento e devem ter conhecimento do escopo exato
autorizao.
isto.
Consultoria jurdica deve ser obtida para garantir a conformidade desse processo
Coleta de evidncias
devero estar definidas nos procedimentos internos. Quando for de ordem externa, as
evidncias necessrias devem estar de acordo com as regras estabelecidas pela lei ou
de prtica publicados.
no ser bvio que resultar num possvel processo jurdico. Pode ser, tambm, que a
organizao.
81
segurana apropriados.
conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que
competentes e especializadas.
ferramentas de auditoria.
82
Sala-Cofre
pelos Data Centers. Ela composta por uma clula hermtica e de mltiplas camadas
A sala-cofre deve ser uma soluo sob medida, sendo a cmara externa
existentes ou pode ser composta por elementos pr-fabricados. A clula interna pr-
teto e fundo so montados dentro, mas independente da cmara externa e unidos por
pontos de solda MIG (material inerte gs). As juntas so flexveis para poder
externa, abrindo para fora e uma porta estanque integrada a clula interna, abrindo
para dentro.
necessidades:
computador;
esttica;
termoplstico);
minutos;
85
O piso deve ser projetado de forma a permitir que sua integridade seja
prprias molas.
freqncia e com total segurana. Para controle do risco de ignio dentro da clula
("fumaa") ligado ao sistema do prdio. Para combate automtico dentro da sala pode
A sala-cofre hoje usada nas reas onde os equipamentos possam trabalhar sem
dentro da sala, fechar a porta interna e, aps pequeno retardo, fechar a porta externa.
Controle de Acesso
de ronda, emisso de crachs para visitantes e integrao com CFTV (circuito fechado
87
como o caixa de banco automtico. O que o usurio possui, como o carto magntico e
o que ele sabe, como a senha de acesso. Sistemas que utilizam apenas uma das
premissas esto mais suscetveis falhas provenientes por perda, uso indevido e
do bloqueio.
determinada pessoa at que sua sada seja efetuada, assim evitando o uso
pessoa a cada acesso vlido. Podem ser usadas, por exemplo, catracas ou
estabelecendo um limite. Grades devem ter alarmes ou estar sob vigilncia de guardas,
Cancelas: Podem ser simples para locais abertos ou articuladas para locais que
senha: geralmente feita por meio da digitao da senha em um teclado junto ao ponto
perda ou furto.
Portas duplas: geralmente usadas para forar pessoas que esto tentando ter o
segunda porta ou por um sistema de televiso e udio. Pode ser aplicada em situaes
que uma pessoa persegue outra para tentar obter acesso a reas restritas.
ou sada com restries de autorizao da passagem ou ainda por horrio por meio do
coletor de dados.
remoto ou similares.
pessoais e intransferveis, ou seja, pelo que ele e no pelo que possui (cartes ou
funcionrio. A identificao pode ser feita por cdigos ou cores e o nmero de srie
(para clubes), aluno (para academias e escolas), especial (o qual pode ser
visitante pode ser feita caso seja possvel capturar a imagem e imprimir a mesma. No
por outro visitante. Caso a baixa do crach no tenha sido efetuada, deve-se verificar
se o visitante ainda est no local e se o seu nmero de crach confere com o registro,
3 ESTUDO DE CASO
apoiado pela alta direo da ELECTRA. Existe sim uma Poltica de Segurana
A Norma ABNT ISO/IEC 17799 trata desse assunto em seu item 3.1 Poltica de
Officer);
Criar fruns apropriados, com liderana da alta direo, para gerir, estabelecer e
compreensvel ao pblico-alvo.
mudanas que afetem as bases da avaliao original dos riscos, como por exemplo:
Novas vulnerabilidades.
3.1.3 Plano de Ao
Geral
atravs de:
Officer);
Segurana.
questionrio - APNDICE B)
segurana da informao;
informao;
incidentes de segurana;
APNDICE B)
A poltica deve ter um gestor que ser responsvel por sua manuteno e
OBJETIVO:
ELECTRA.
Convm que o comit gestor faa pesquisas (as quais devem ser
segurana.
Deve ser nomeado um gestor para cada ativo de informao, que passar
funes:
responsabilidades globais;
informao;
da informao.
informao;
informaes;
em toda a ELECTRA.
continua tendo a responsabilidade final pela segurana do ativo e deve ser capaz de
documentados;
documentados.
de segurana;
102
no autorizadas.
incipiente;
Atualmente, existe uma grande preocupao por parte das gerncias com a
riscos;
103
informaes;
Atualmente, existem polticas para vrios ativos como, por exemplo, utilizao
de crachs e leitoras;
ocorre esporadicamente;
segurana;
servios de telefonia;
Acesso de Terceiros
Existem terceiros que prestam servios, que no esto localizados no site, mas
de funes e atividades;
Segurana;
ISO/IEC 17799;
cada dia esse tipo de procedimento torna-se comum. conhecido como contrato
guarda-chuva;
determinado tempo, deve ser definido em contrato, como por exemplo: pessoal de
ocasionais em curto prazo e consultores. O ideal exigir que os mesmos passem por
treinamento de conformidade com a Norma ISO / IEC 17799, que trata da Gesto de
de seu fornecedor, caso ocorra algum incidente causado por algum funcionrio do
prestador de servios;
3.2.5 Plano de Ao
Geral
Negcios;
de telefonia.
APNDICE B)
gerenciais;
informao;
informao;
especficos;
de toda a organizao;
informaes;
servios;
ou processo de segurana;
utilizao;
APNDICE B)
segurana;
110
- APNDICE B)
APNDICE B)
APNDICE B)
acesso;
da organizao;
Deve existir uma poltica definida para terceiros que ficam localizados
da conexo ou do acesso;
terceiro;
das informaes.
OBJETIVO:
A responsabilizao pelos ativos contribui para garantir que seja mantida uma
proteo apropriada;
113
Os inventrios contribuem para assegurar que haja uma proteo eficaz dos
ativos e podem ser necessrios para outros fins empresariais como, por exemplo,
gerenciamento de riscos.
inventrio:
dos mesmos;
danificao.
114
Ativos de Informao
Arquivos de dados;
Material de treinamento;
Planos de continuidade;
Informaes arquivadas.
Ativos de Software
Software aplicativo;
Software de sistema;
Ativos Fsicos
modems);
115
condicionado);
Mobilirio;
Acomodaes.
Ativos de Servios
OBJETIVO:
A necessidade;
116
As prioridades;
O grau de proteo.
especial;
especiais de manuseio.
As diretrizes de classificao
informaes;
poltica pr-determinada.
Cpia;
Armazenagem;
eletrnicas;
Destruio.
b) Aplicativos/BD/SO: R$ 48.000.000,00
1.800.000,00.
ELECTRA. Eles permitem uma viso financeira dos ativos de informao e mostram
quo importantes sero os investimentos para proteger esses ativos. Portanto, pode-se
de riscos.
17799;
3.3.3 Plano de Ao
Geral
Escalas dos Graus de sigilo e o Teor Crtico das informaes da ELECTRA, de modo
Pblica
Interna
Secreta
Teor Crtico:
Pouco Crtica
Crtica
Muito Crtica
Procedimentos de Proteo:
Criao
Divulgao
Reproduo
Transporte
Armazenamento
Destruio
121
ativo.
APNDICE B)
ativos;
B)
proteo;
manuseio;
APNDICE B)
questionrio - APNDICE B)
informao.
questionrio - APNDICE B)
eletrnico;
transferncias de arquivo;
OBJETIVO:
125
crticos;
seu site, mas podem ter acesso fsico e lgico, tais como:
dados da ELECTRA.
revelao.
127
terceiros
deve ser feita uma avaliao de riscos para identificar quaisquer requisitos de controles
especficos.
ELECTRA.
3.4.1 Terceirizao
OBJETIVO:
externa.
128
empresariais da ELECTRA;
da ELECTRA;
acidente;
terceirizados;
129
O direito de auditoria.
OBJETIVO:
Reduzir os riscos de falha humana, furto, fraude e/ou uso indevido das
instalaes.
informaes.
de segurana;
atividades de segurana.
130
pessoal temporrio.
Nos casos em que terceiros so fornecidos por uma agncia, o contrato com a
Os gerentes devem se dar conta do fato de que circunstncias pessoais dos seus
subordinados podem afetar o trabalho dos mesmos e devem ficar atentos s seguintes
situaes:
Compromissos de confidencialidade
contrato de trabalho;
de informaes.
s exigncias contratuais.
As leis de copyright;
notebook).
133
ou aos servios;
processamento de informaes.
como:
sua presena;
de alto impacto.
Limitar a freqncia;
Processo disciplinar
a coleta de provas;
Foi observado que em horrio de pico pode ocorrer certa dificuldade para
lgico.
e/ou subcontratados;
terceiro;
e servios;
das Informaes.
3.4.5 Plano de Ao
Geral
autorizado;
for apropriado;
APNDICE B)
completo e correto;
empregado;
repetida periodicamente;
pessoal temporrio;
142
questionrio - APNDICE B)
processamento de informaes;
para terminar.
143
- APNDICE B)
normal;
ou aos servios;
questionrio - APNDICE B)
incidente.
questionrio - APNDICE B)
145
dos usurios, sobre o que poderia acontecer, como reagir a tais incidentes
do questionrio - APNDICE B)
a sistemas ou servios;
Deve ser avisado aos usurios que eles no devem, em hiptese alguma,
B)
funcionamento;
a coleta de provas;
persistentes.
APNDICE B)
turnos;
alternados.
APNDICE B)
APNDICE B)
segurana adotadas.
148
OBJETIVO:
Hall de elevadores;
Pavimento da cobertura;
Almoxarifados;
Arquivo;
Iluminao;
Sala de controle;
Data Center;
149
Piso elevado;
infra-estrutura.
identificados;
Terem poltica de mesa vazia e tela vazia para reduzir o risco de acesso
processamento de informaes.
150
Permetro de Segurana
situaes:
reas seguras devem ser protegidas por controles de entrada apropriados e deve-
se observar o seguinte:
seguro e remoto;
regularmente.
e/ou biomtrico;
mdias.
152
pblico;
ou o nome da instituio;
devem ficar num local apropriado dentro da rea segura para evitar
Controles
utilizados;
no site principal.
154
Atividades de terceiros
motivos de segurana;
inspecionadas periodicamente;
quando necessrio;
permetro de segurana;
local de utilizao;
OBJETIVO:
atividades da ELECTRA.
perdidos ou danificados;
cabeamento.
de trabalho;
Riscos da vizinhana
na rua.
158
OBJETIVO:
conteno;
Deve haver Gaiola de Faraday (cmara metlica com ligao a terra, que
edificaes ou das torres. Esse pra-raios oferece proteo para a edificao contida
sob o cone de proteo cujo vrtice encontra-se no topo da haste captora. O que estiver
dentro desse espao estar protegido. O ngulo de proteo variar de acordo com o
da edificao).
160
Segurana do cabeamento
seguintes aspectos:
dispositivos no autorizados.
161
pessoal autorizado;
seguros.
necessrio;
como, por exemplo, discos rgidos, devem ser verificados para garantir
dados sensveis, poder ser necessria uma avaliao dos riscos para
armazenagem removvel;
ELECTRA;
inundaes ou exploses.
Retirada de bens
sem autorizao;
Devem ser feitas inspees por amostragem para detectar a retirada no-
autorizada de bens;
vizinhana.
166
incndio, que, mesmo no atingindo a rea do Data Center, podem afetar mdias e
etc. Esses riscos so baixos, pois a vizinhana estabelecida com edifcios definitivos.
Veculos e pessoas
O prdio que abriga a ELECTRA e o seu Data Center dispe de grande rea de
estacionamento em sua rea externa, que fica totalmente ocupada durante o expediente
quantidade de vagas, grande parte delas abaixo do Data Center, representando alto
Salas de escritrios
Vizinhana
sentido, juntamente com as outras ameaas descritas, uma vizinhana de alto risco.
grande parte opina que um ambiente de processamento de dados no deve ter qualquer
controles simplificados.
As edificaes da ELECTRA
a) Estacionamentos
Externo: O prdio que abriga a ELECTRA e o seu Data Center dispe de uma
grande rea de estacionamento em sua rea externa, que fica totalmente ocupada
b) Portarias
principal. A partir dela tem-se acesso direto aos elevadores que conduzem aos andares
do prdio;
ELECTRA.
geralmente com uma recepcionista e um vigilante (no final da tarde, normalmente com
Center, mas no o de uma outra porta que tambm pode permitir o acesso (apesar de
auditrio.
c) Demais dependncias
169
gua empoada na parte central da cobertura, sobre uma sala que dispe de
compe-se de:
Data Center.
Outras salas: ainda junto rea do Data Center, porm fora da rea sensvel,
Localizao
Edificaes
Paredes externas
Paredes internas
conservao.
171
Portas
automtico;
sala do no-break;
quando necessrio;
poeira etc.
172
Divisrias internas
No so fechadas de laje a laje, o que facilita o acesso indevido sob as placas do piso
Portas internas
esto junto com as divisrias sobre todo o piso elevado necessitam que, abaixo e
A porta da entrada do Data Center, que tambm pode ser improvisada como
de emergncia.
173
Instalaes eltricas
No-break
Center;
Cabeamento Lgico
Combate a incndio
observada;
peridica;
desatualizados;
Climatizao
redundantes;
equipamentos;
Controle de Acesso
caracterizando um grande risco para a segurana, pois as reas deveriam ser protegidas
boas;
177
Portaria central
nmero do documento;
Uso de Crachs
Circuito fechado de TV
sala da segurana, bem como gravar as suas imagens em time lapse. Esse
intencionais o ou acidentais.
Demais dependncias
Segurana Mxima
vizinhana de alto risco, convm que todas as recomendaes expostas nesta anlise
Identificao Visual
item segurana. Quanto mais discreta for a programao visual do prdio, menos
serem tomadas, avisar sobre locais de acesso restrito e indicar as sadas de emergncia.
como um Data Center no deve ter qualquer identificao, nem mesmo das salas e
departamentos.
suporte e emergncia.
acesso;
181
das mquinas do ar-condicionado deve ser fechada por uma porta, a qual
por uma porta metlica, dotada de alarme sonoro e tranca interna, para
possvel;
na segurana para penetrao de intrusos ou para gases, fumaa, fogo, poeira, radiao
etc.
Deve ser instalada uma porta com controle de acesso na atual entrada do
Controle de Acesso
Que o contato inicial com o Data Center disponha de uma portaria mais
estreita colaborao.
Uso de Crachs
Center;
184
Guaritas de vigilncia
invasor;
Circuito Fechado de TV
eventuais intrusos;
185
intencionais o ou acidentais.
processamento de informaes
descartados;
Adotar poltica de mesa vazia e tela vazia para reduzir o risco de acesso
processamento de informaes.
Piso Elevado
Substituir todo o piso elevado da rea do Data Center em funo do piso atual
Incndio
liberado como um gs, de modo a cobrir todos os pontos da rea protegida. O FM-
200 suprime o fogo em at 10 segundos, impedindo a reao qumica que nele ocorre.
nas concentraes aprovadas pela NFPA-2001. Por ser to seguro para as pessoas, est
deteco de incndio.
187
Convm que seja adquirida uma sala de segurana (sala-cofre) que a melhor
bem como ser executado um anteprojeto das instalaes, em funo da rea da sala a
ser adquirida.
Cofres
para proteo das mdias contra fogo, poeira, gases corrosivos, campos
segurana ambiental.
188
documentos.
Videoconferncia
Riscos de incndio
cheiro de fumaa de cigarro na sua rea interna, logo que se passa pela
Substituir cestas de lixo atuais existentes nas salas do Data Center por
Orientar aos faxineiros para terem todo o cuidado com o uso de gua e
Climatizao
atualmente;
Cabeamento desorganizado;
Sem climatizao;
3.5.7 Plano de Ao
Geral
A;
192
FM 200;
reas seguras;
e interferncia;
Deve existir poltica de mesa vazia e tela vazia para reduzir o risco de
processamento de informaes.
APNDICE B)
Deve existir proteo fsica com barreiras fsicas em volta das instalaes
segurana;
fisicamente slido;
penetrao fcil;
etc;
As barreiras fsicas devem ser estendidas do piso bruto ao teto bruto, para
APNDICE B)
apropriados;
seguro;
regularmente.
195
APNDICE B)
trancveis ou cofres);
sade e segurana;
local apropriado dentro da rea segura, para evitar pedidos de acesso que
permanentemente;
APNDICE B)
Devem existir controles para o pessoal e/ou para terceiros que trabalham
mal-intencionadas.
acesso no autorizado;
o local de utilizao;
APNDICE B)
equipamentos;
questionrio - APNDICE B)
acesso no autorizado;
rua.
questionrio - APNDICE B)
sistema no-break);
do fabricante.
instrues do fabricante;
de comunicaes;
APNDICE B)
de dispositivos no autorizados.
202
questionrio - APNDICE B)
seguros.
14 do questionrio - APNDICE B)
gerncia anteriormente;
203
que devem ser transportados para fora do local normal de trabalho devem
eletromagnticos intensos);
como, por exemplo, discos rgidos, devem ser verificados para garantir
dados sensveis, deve existir uma avaliao dos riscos para determinar se
B)
informaes.
205
questionrio - APNDICE B)
organizao;
APNDICE B)
de expediente;
206
o ambiente;
voltagem;
e desratizao;
As cestas de lixo devem ser de metal com tampa com objetivo de abafar
princpios de incndio;
do questionrio - APNDICE B)
O edifcio que abriga o Data Center deveria ser construdo com material
programada;
fogo e fumaa;
visveis e destacados;
prdios;
regularmente;
qualificao pessoal;
via CFTV;
semana e feriados;
periodicamente;
condies;
sinistros;
evacuao de pessoal.
APNDICE B)
evitadas ;
oferecerem perigo;
de emergncia;
problemas de eletricidade;
APNDICE B)
ar-condicionado;
inadequados;
adequado;
renovao;
condicionado.
capacidade do reservatrio);
infiltraes);
externas;
externas;
3.6 Conformidade
OBJETIVO:
Projeto;
Operao;
Utilizao;
regulamentos ou contratos;
qualificados;
Exigncias relevantes, impostas por lei, por rgos reguladores ou por contrato:
Definidas explicitamente;
documentados.
216
OBJETIVO:
Pode ser exigido para comprovar que uma empresa opera de acordo com
criminal;
scios e auditores.
armazenagem de registros;
as recomendaes do fabricante;
registros e informaes;
Sempre que essa ao for um assunto disciplinar interno, a prova necessria ser
Nos casos em que a ao envolve a legislao civil ou penal, elas devem estar
julgado:
Admissibilidade da prova
seguintes condies:
cpia;
necessrias.
Deve ser feita regularmente uma reviso em todas as reas da ELECTRA para
incluir o seguinte:
Sistemas de informaes;
Fornecedores de sistemas;
Usurios;
Administrao.
falsificao;
pas;
de 2000;
de 2001.
17799.
224
3.6.4 Plano de Ao
Geral
questionrio - APNDICE B)
APNDICE B)
destruio e falsificao;
segura;
mudanas de tecnologia;
tribunal;
falsificao;
APNDICE B)
segurana.
Negcios;
telefonia.
informao;
FM 200;
4 ANLISE DE RESULTADOS
5 CONCLUSO
As aes sugeridas nos planos de ao, nos seus diversos mdulos, a saber: a
entre outros.
recomendaes.
(cinqenta e trs por cento) para um patamar adequado de 85% (oitenta e cinco por
6 REFERNCIAS BIBLIOGRFICAS
APNDICE A
235
APNDICE B
240
APNDICE C
252
Planilhas de avaliao
Poltica de Segurana
No Sim Valores
Item Perguntas Peso Aderncia Legenda
0 1 2 3 Referncia Apurados
0: Ausncia total
1: Presena inexpressiva
Aderncia Geral 165 0 0% 2: Presena parcial
3: Presena total
A classificao e os controles
protetores associados levam em
considerao as necessidades da
empresa de compartilhar ou restringir
5.1 informaes e os impactos 5 x 15 5 33%
empresariais associados a tais Convm que a classificao da
necessidades, como acesso no informao e seus respectivos controles
autorizado ou danos integridade das de proteo levem em considerao as
informaes? necessidades de negcios para
compartilhamento ou restrio de
A classificao atribuda constitui um informaes e os respectivos impactos
meio abreviado para determinar como nos negcios como, por exemplo, o
5.2 5 x 15 5 33%
esta informao manuseada e acesso no autorizado ou danos
protegida adequadamente? informao.
As informaes e as sadas produzidas
por sistemas que processam dados
5.3 classificados so rotulados quanto ao 5 x 15 5 33%
seu valor e grau de sensibilidade para
a organizao?
As informaes so rotuladas para
indicar at que ponto so crticas para
5.4 5 x 15 5 33%
a organizao, quanto sua
integridade e disponibilidade?
258
importante que um conjunto
apropriado de procedimentos seja
6 Alterao do nvel de Classificao 66 27 41% definido para rotular e tratar a
informao de acordo com o esquema
de classificao adotado pela
A informao pode deixar de ser organizao.
sensvel ou crtica aps um certo
tempo, por exemplo quando foi
divulgada para o pblico. So levados
6.1 5 x 15 5 33%
em conta esses aspectos, uma vez
que um excesso de sigilo pode causar
custos adicionais desnecessrios
empresa?
As diretrizes de classificao prevem
e levam em conta o fato de que a
classificao de um determinado item
6.2 de informao no necessariamente 5 x 15 5 33%
imutvel no tempo e que pode mudar
de acordo com uma poltica pr-
determinada?
O nmero de categorias de
classificao e os benefcios que se
6.3 5 x 15 5 33%
obtm do seu uso so levados em
conta?
Esquemas de classificao complexos
demais podem se tornar incmodos ou
antieconmicos no uso ou ser
impraticveis. So tomados os
6.4 cuidados ao interpretar rtulos de 5 x 15 10 67%
classificao em documentos de outras
organizaes, que podero ter
diferentes significados para rtulos
iguais ou similares?
259
Os equipamentos so protegidos
8.1 fisicamente contra as ameaas sua 5 x 15 10 67%
segurana e os perigos ambientais? Prevenir perda, dano ou
comprometimento dos ativos, e a
So levados em conta localizao e
8.2 5 x 15 10 67% interrupo das atividades do negcio.
disposio dos equipamentos?
Existem controles especiais para
proteo contra perigos ou acesso no
autorizado e para preservar os
8.3 5 x 15 10 67%
equipamentos de apoio, como o
suprimento de corrente e a infra-
estrutura de cabeamento?
Convm que os equipamentos sejam
instalados ou protegidos para reduzir o
9 Localizao e proteo dos equipamentos 120 70 58% risco de ameaas ambientais, perigos e
oportunidades de acesso no autorizado.
Os equipamentos so localizados ou
protegidos de modo a reduzir o risco das
9.1 ameaas e perigos do meio-ambiente e 5 x 15 5 33%
as oportunidades de acesso no
autorizado?
Os equipamentos so localizados de
9.2 modo a minimizar o acesso 5 x 15 5 33%
desnecessrio s reas de trabalho?
Os equipamentos de processamento e
armazenagem de informaes que
manuseiam dados sensveis so
9.3 5 x 15 5 33%
posicionados de modo a minimizar o
risco de olhares indiscretos durante o
uso?
268
Os itens que requerem proteo especial
9.4 so isolados a fim de reduzir o nvel 5 x 15 5 33%
geral de proteo necessrio?
So adotados controles para minimizar o
risco de ameaas potenciais, incluindo
furto; incndio; explosivos; fumaa; gua
9.5 (ou falha no abastecimento); poeira; 5 x 15 10 67%
vibrao; efeitos qumicos; interferncia
no suprimento de fora; radiao eletro-
magntica?
A organizao estabelece uma poltica
referente aos atos de comer, beber e
9.6 5 x 15 15 100%
fumar nas instalaes de processamento
de informaes ou em sua proximidade?
So monitoradas as condies
ambientais quanto a fatores que
9.7 poderiam afetar negativamente a 5 x 15 15 100%
operao dos equipamentos de
processamento de informaes?
So levados em conta o impacto de um
acidente em instalaes prximas, como
por exemplo um incndio no prdio
9.8 5 x 15 10 67%
vizinho, vazamento de gua do telhado
ou em pavimentos do subsolo, ou uma
exploso na rua?
Convm que os equipamentos sejam
protegidos contra falhas de energia e
10 Suprimento de energia eltrica 135 85 63% outras anomalias na alimentao eltrica,
e que um fornecimento de energia
apropriado ocorra em conformidade com
Existe suprimento adequado de
as especificaes do fabricante do
eletricidade que atenda s
10.1 5 x 15 10 67% equipamento.
especificaes do fabricante dos
equipamentos?
Existem fontes alternativas de gerao
10.2 5 x 15 10 67%
de energia?
269
Existem mltiplas fontes de alimentao
10.3 para evitar que o suprimento dependa 5 x 15 10 67%
de uma nica fonte?
Existe suprimento de energia prova de
10.4 5 x 15 10 67%
interrupes (UPS = sistema no-break)?
10.5 Existe gerador de backup? 5 x 15 5 33%
Existe um suprimento prova de
interrupes (UPS/no-break) para
suportar a parada ordenada ou a
10.6 5 x 15 10 67%
continuao da operao, no caso de
equipamentos que suportam operaes
crticas para a empresa?
Existe planejamento de contingncia
10.7 indicando as providncias a tomar em 5 x 15 10 67%
caso de falha do UPS?
So realizados testes regulares dos
10.8 equipamentos para assegurar que ele 5 x 15 10 67%
tenha a capacidade adequada?
Os equipamentos so testados de
10.9 acordo com as recomendaes do 5 x 15 10 67%
fabricante?
Os equipamentos, as informaes ou o
20.1 software no podem sair do site sem 5 x 15 15 100%
autorizao. Isso verificado? Equipamentos, informaes ou software
Quando necessrio e apropriado, a no devem ser retirados da organizao
20.2 sada e a devoluo dos equipamentos 5 x 15 15 100% sem autorizao.
registrada?
So feitas inspees por amostragem
20.3 para detectar a retirada no autorizada 5 x 15 15 100%
de bens?
As pessoas so informadas da
20.4 5 x 15 15 100%
existncia de tais inspees?
EDIFICAES
Os equipamentos e os materiais de
21.1 combate so compatveis com o 5 x 15 5 33%
ambiente?
21.2 A quantidade existente suficiente? 5 x 15 15 100%
21.3 Existe contingncia ? 5 x 15 10 67%
Segurana em Pessoas
No Sim Valores
Item Perguntas Peso Aderncia Legenda
0 1 2 3 Referncia Apurados
0: Ausncia total
1: Presena inexpressiva
Aderncia Geral 195 140 72% 2: Presena parcial
3: Presena total
So verificados os antecedentes do
3.1 pessoal permanente, por ocasio do 5 x 15 5 33%
pedido de emprego?
So solicitadas referncias satisfatrias,
3.2 como por exemplo uma profissional e uma 5 x 15 5 33%
pessoal?
verificado se o currculo apresentado
3.3 5 x 15 10 67%
pelo candidato completo e correto?
So verificadas as qualificaes
3.4 acadmicas e profissionais apresentadas 5 x 15 10 67%
pelo candidato?
3.5 verificada a identidade do candidato? 5 x 15 10 67%
Quando um cargo proporcionar acesso a
equipamentos de processamento de
informaes sensveis (informaes
3.6 5 x 15 10 67%
financeiras ou informaes altamente
confidenciais) verificada a situao de
crdito do empregado?
Para o pessoal em funes com grande
3.7 autoridade, a verificao repetida 5 x 15 5 33%
periodicamente?
realizado processo de triagem similar
3.8 5 x 15 5 33%
para subcontratados e pessoal temporrio?
287
Nos casos em que terceiros so
"fornecidos" por uma agncia, o contrato
3.9 5 x 15 15 100%
com a agncia especifica claramente suas
responsabilidades especficas?
verificado se na triagem e nos
procedimentos de notificao que ela
3.10 adota se o processo foi completado ou se 5 x 15 10 67%
os seus resultados do margem a dvidas
ou a preocupao?
O trabalho de todo o pessoal sujeito a
exames peridicos e a procedimentos de
3.11 5 x 15 15 100%
aprovao por um membro mais graduado
do quadro?
Os gerentes levam em conta o fato de que
circunstncias pessoais dos seus
subordinados podem afetar o trabalho dos
mesmos, como problemas pessoais e
3.12 financeiros, mudanas de comportamento 5 x 15 5 33%
ou de estilo de vida, faltas constantes e
sinais de estresse ou depresso, que
podem levar a fraude, furto, erros ou outras
implicaes de segurana?
As informaes so tratadas de acordo
3.13 com a legislao apropriada, vigente na 5 x 15 5 33%
jurisdio em questo?
Acordos de confidencialidade ou de no
4 Compromissos de confidencialidade 75 60 80% divulgao so usados para alertar que a
informao confidencial ou secreta.
Usam-se compromissos de
confidencialidade ou no-revelao para
4.1 5 x 15 15 100%
indicar que determinadas informaes so
confidenciais ou secretas?
288
Os empregados assinam um compromisso
4.2 de confidencialidade como parte do seu 5 x 15 15 100%
contrato de trabalho inicial?
O pessoal temporrio e os usurios
externos assinam compromisso de
4.3 confidencialidade antes de terem acesso a 5 x 15 10 67%
instalaes de processamento de
informaes?
Os compromissos de confidencialidade so
4.4 revistos quando h mudanas nas 5 x 15 10 67%
condies de emprego ou no contrato?
Os compromissos de confidencialidade so
revistos quando os empregados esto para
4.5 5 x 15 10 67%
sair da organizao ou quando os
contratos esto para terminar?
Convm que os termos e condies de
trabalho determinem as
5 Termos e condies de emprego 60 20 33% responsabilidades dos funcionrios pela
segurana da informao.
Os termos e condies de emprego
estipulam a responsabilidade do
5.1 5 x 15 5 33%
empregado pela segurana das
informaes?
Essas responsabilidades continuam em
5.2 vigor durante um determinado perodo 5 x 15 5 33%
aps o trmino da relao de emprego?
So levadas em conta as providncias a
5.3 tomar se o empregado deixar de atender 5 x 15 5 33%
s exigncias contratuais?
289
So includas nos contratos as
responsabilidades e direitos legais do
empregado, com relao s leis de
copyright ou legislao de proteo dos
dados, a classificao e pelo tratamento
5.4 5 x 15 5 33%
dos dados sobre o empregado, as
responsabilidades que se aplicam fora das
instalaes da organizao e fora do
horrio normal de trabalho, e fora do local
de trabalho (ex.: uso de notebook)?
So implementados procedimentos
adequados de feedback, para assegurar Convm que os incidentes de segurana
que as pessoas que comunicaram sejam reportados atravs dos canais
9.1 2 x 6 6 100%
incidentes sejam informadas dos apropriados da direo, o mais
resultados, depois que o incidente foi rapidamente possvel.
atendido e encerrado?
Os incidentes so utilizados no
treinamento de conscientizao dos
9.2 usurios, sobre o que poderia acontecer, 5 x 15 5 33%
como reagir a tais incidentes e como evit-
los no futuro?
PESSOAL
293
Segurana Organizacional
No Sim Valores
Item Perguntas Peso Aderncia Legenda
0 1 2 3 Referncia Apurados
0: Ausncia total
1: Presena inexpressiva
Aderncia Geral 651 322 49% 2: Presena parcial
3: Presena total
5 Reviso da Segurana 15 0 0%
Convm que a sua implementao seja
A implementao da poltica de analisada criticamente, de forma
segurana deve ser revista por um independente, para fornecer garantia de
rgo independente, para dar a que as prticas da organizao refletem
garantia de que as prticas apropriadamente a poltica, e que esta
5.1 5 x 15 0 0% adequada e eficiente
organizacionais refletem corretamente
a poltica e que elas so viveis e
eficazes. J foi realizada alguma
reviso na poltica atual?
Manter a segurana dos recursos de
processamento de informao e ativos
6 Acesso de Terceiros 165 90 55% de informao organizacionais
acessados por prestadores de servios.
O controle de acesso fsico de
6.1 5 x 15 10 67%
terceiros feito de forma correta?
Nos casos em que os negcios exigem
o acesso de terceiros, deve ser feita
uma avaliao de riscos para
6.2 5 x 15 5 33%
determinar as implicaes de
segurana e os requisitos de controle.
J foi desenvolvida essa anlise ?
Os controles esto acertados e
6.3 5 x 15 10 67%
definidos em contrato com o terceiro?
301
Os contratos que concedem acesso a
terceiros incluem disposies para a
6.4 designao de outros participantes 5 x 15 5 33%
qualificados e as condies para o seu
acesso?
Existem terceiros que prestam
servios a organizao e no esto
6.5 5 x 15 5 33%
localizados no site, mas podem ter
acesso fsico e lgico?
A administrao da segurana est
6.6 adequada e no est sendo colocada 5 x 15 10 67%
em risco pelo acesso de terceiros?
Existe uma poltica definida para
terceiros que ficam localizados no site
durante um determinado tempo,
definido em contrato como: pessoal de
manuteno e suporte de hardware e
6.7 software; pessoal de limpeza, 5 x 15 10 67%
fornecimento de refeies, guardas de
segurana e outros servios de
suporte terceirizados, estagirios e
outras nomeaes ocasionais em curto
prazo e consultores?
O acesso de terceiros s instalaes
de processamento de informaes da
organizao baseado em contrato
formal que contenha referncia a todos
6.8 5 x 15 5 33%
os requisitos de segurana para
assegurar a conformidade com as
polticas e normas de segurana da
organizao?
Est especificado no contrato que a
organizao receber indenizao por
6.9 parte de seu fornecedor, caso ocorra 5 x 15 10 67%
algum incidente causado por algum
funcionrio do prestador de servios?
302
Est especificado no contrato que a
organizao ter direito de monitorar e
revogar as atividades de usurio, o
6.10 direito de auditar as responsabilidades 5 x 15 10 67%
contratuais ou de fazer com que tal
auditoria seja realizada por um
terceiro?
Nos casos em que a responsabilidade
pelo processamento das informaes
6.11 foi confiada a uma organizao 5 x 15 10 67%
externa, existe a tentativa de garantir a
segurana das informaes?
303
Conformidade
No Sim Valores
Item Perguntas Peso Aderncia Legenda
0 1 2 3 Referncia Apurados
0: Ausncia total
1: Presena inexpressiva
Aderncia Geral 285 183 64% 2: Presena parcial
3: Presena total
Os registros da organizao so
3.1 protegidos contra perda, destruio e 5 x 15 5 33%
falsificao?
Os registros so arquivados de modo
3.2 seguro para atender a exigncias da lei 5 x 15 5 33%
ou de rgos reguladores?
Os registros que podem ser exigidos
para comprovar que a organizao
opera de acordo com as normas da lei
ou de rgos reguladores ou para
assegurar uma defesa adequada em um
3.3 5 x 15 5 33%
eventual processo civil ou criminal ou
para confirmar a situao financeira de
uma organizao para os seus
acionistas, scios e auditores, esto
protegidos de forma segura?
305
APNDICE D
308
Informtica.
METODOLOGIA DO QUESTIONRIO:
anlise, so eles:
Poltica de segurana
Segurana organizacional
Segurana em pessoas
No
0: Ausncia total
1: Presena inexpressiva
Sim
2: Presena parcial
3: Presena total
Valores:
METODOLOGIA DA ANLISE:
Anlise on-site:
310
informaes relevantes.
ISO/IEC 17799).
pode ser mantido, o que pode ser aperfeioado e o que deve ser mudado.
Observaes:
De acordo,
_______________________
Electra
312
ANEXO A
313
Presidncia da Repblica
Casa Civil
Subchefia para Assuntos Jurdicos
DECRETA:
o
Art. 1 Fica instituda a Poltica de Segurana da Informao nos rgos e nas
entidades da Administrao Pblica Federal, que tem como pressupostos bsicos:
o
Art. 2 Para efeitos da Poltica de Segurana da Informao, ficam
estabelecidas as seguintes conceituaes:
o
Art. 3 So objetivos da Poltica da Informao:
o
Art. 4 Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de
Defesa Nacional, assessorada pelo Comit Gestor da Segurana da Informao de
o
que trata o art. 6 , adotar as seguintes diretrizes:
o
Art. 5 Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de
Pesquisa e Desenvolvimento para a Segurana das Comunicaes - CEPESC,
competir:
o
Art. 6 Fica institudo o Comit Gestor da Segurana da Informao, com
atribuio de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na
consecuo das diretrizes da Poltica de Segurana da Informao nos rgos e nas
entidades da Administrao Pblica Federal, bem como na avaliao e anlise de
assuntos relativos aos objetivos estabelecidos neste Decreto.
316
o
Art. 7 O Comit ser integrado por um representante de cada Ministrio e
rgos a seguir indicados:
I - Ministrio da Justia;
II - Ministrio da Defesa;
IV - Ministrio da Fazenda;
VI - Ministrio da Sade;
o
1 Os membros do Comit Gestor sero designados pelo Chefe do Gabinete
de Segurana Institucional da Presidncia da Repblica, mediante indicao dos
titulares dos Ministrios e rgos representados.
o
2 Os membros do Comit Gestor no podero participar de processos
similares de iniciativa do setor privado, exceto nos casos por ele julgados
imprescindveis para atender aos interesses da defesa nacional e aps aprovao
pelo Gabinete de Segurana Institucional da Presidncia da Repblica.
o
3 A participao no Comit no enseja remunerao de qualquer espcie,
sendo considerada servio pblico relevante.
o
4 A organizao e o funcionamento do Comit sero dispostos em regimento
interno por ele aprovado.
o
5 Caso necessrio, o Comit Gestor poder propor a alterao de sua
composio.
o
Art. 8 Este Decreto entra em vigor na data de sua publicao.
o o
Braslia, 13 de junho de 2000; 179 da Independncia e 112 da Repblica.
Jos Serra
Alcides Lopes Tpias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
Lei 2.572
CAPTULO I
DOS PRINCPIOS QUE REGULAM AS CONDIES DE SEGURANA DA
TECNOLOGIA DA INFORMAO E DE INFORMAO COMO FONTE DE
DADOS
Art. 1 As entidades pblicas do Distrito Federal devem promover a segurana da
informao, mediante a garantia da disponibilidade, integridade, confiabilidade e
legalidade das informaes que suportam os seus processos operacionais.
Art. 2 A garantia da disponibilidade deve ser de forma preventiva e abranger os
aspectos fsicos, lgicos e tcnicos.
CAPTULO II
DOS PRINCPIOS DA PROTEO PREVENTIVA DA INFORMAO
Seo I
Da Segurana Fsica
Art. 3 A proteo fsica dos equipamentos, servidores de rede, telecomunicao e
outros deve ser garantida mediante o acondicionamento em ambientes ou
compartimentos e controle de acesso adequados. Pargrafo nico. Entende-se por
ambiente adequado aquele que proteja os equipamentos crticos de informtica e
informaes vitais segundo exigncias mnimas de temperatura e umidade, ou seja,
20C e 85% de umidade relativa do ar.
Seo II
Da Segurana Lgica
Art. 4 A proteo lgica dos sistemas deve ser garantida mediante a definio dos
papis dos usurios e das regras de acesso informao, respeitados os critrios de
garantia dos direitos individuais e coletivos de privacidade e segurana de pessoas
fsicas e jurdicas.
Seo III
Da Proteo de Dados e Programas
319
CAPTULO III
DOS ASPECTOS DE RECUPERAO DA INFORMAO
Art. 7 O gerenciador e administrador de ambientes informatizados deve
providenciar anlise de risco fsico e lgico, abrangendo padres definidos para
acondicionamento de equipamentos de processamento de dados e mdias
magnticas, e identificando possveis prejuzos. Art. 8 O administrador dos
ambientes de tecnologia da informao dever desenvolver plano de contingncia.
Pargrafo nico. Os planos de contingncia devem conter as alternativas para os
processos e as fases de pr-interrupo, interrupo e ps-interrupo.
CAPTULO IV
DOS COMPORTAMENTOS IRREGULARES
Seo I
Disposies Preliminares
Art. 9 Os comportamentos discriminados nos arts. 10 a 16 desta Lei sero
apurados na forma estabelecida na Lei n 8.112, de 11 de dezembro de 1990,
quando praticados na forma abaixo: I _ com considervel prejuzo para a entidade;
II _ com intuito de lucro ou vantagem de qualquer espcie, prprio ou de terceiros;
III _ com abuso de confiana;
IV _ por motivo ftil;
V _ com o uso indevido de senha ou processo de identificao de terceiros;
VI _ com a utilizao de qualquer outro meio fraudulento.
Pargrafo nico. Aplicar-se- o disposto no caput quando os comportamentos se
verificarem em rgos ou entidades da administrao direta ou indireta da Unio,
dos Estados e do Distrito Federal, empresas concessionrias de servios pblicos,
fundaes institudas ou mantidas pelo Poder Pblico, empresas de servios sociais
autnomos, instituies financeiras ou empresas que explorem ramo de atividade
controlada pelo Poder Pblico, localizados no Distrito Federal.
320
Seo II
Da Negligncia ou Omisso de Informaes
Art. 10. Negligenciar ou omitir informaes no tratamento, guarda e manuseio dos
sistemas e redes de computadores e dados.
Seo III
Da Alterao de Dados ou Programas de Computador
Art. 11. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou
parcialmente, dados ou programas de computador, de forma indevida ou no
autorizada.
Seo IV
Do Acesso ou da Obteno Indevidos ou No Autorizados de Dados ou Instruo
de Computador
Art. 12. Obter acesso, manter ou fornecer a terceiro, dados, instruo ou qualquer
meio de identificao ou acesso a computador ou a rede de computadores, de forma
indevida ou no autorizada.
Seo V
Da Alterao de Senha ou Mecanismo de Acesso a Programa de Computador ou
Dados
Art. 13. Apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou no autorizada.
Seo VI
Da Violao de Segredos Armazenados em Computador, Meio Eletrnico de
Natureza Magntica, ptica ou Similar
Art. 14. Obter segredos das entidades de que trata esta Lei, da indstria ou do
comrcio, ou informaes pessoais armazenadas em computador, rede de
computadores, meio eletrnico de natureza magntica, ptica ou similar, de forma
indevida ou no autorizada.
Seo VII
Da Criao, do Desenvolvimento e da Insero em Computador de Dados ou
Programa de Computador com Fins Nocivos
Art. 15. Criar, desenvolver ou inserir dados ou programa em computador ou rede
de computadores, de forma indevida ou no autorizada, com a finalidade de apagar,
destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer
forma dificultar ou impossibilitar, total ou parcialmente, a utilizao de computador
ou rede de computadores.
Seo VIII
Da Veiculao de Pornografia por Meio de Rede de Computadores
Art. 16. Disseminar servio ou informao de carter pornogrfico em rede de
computadores, sem exibir previamente, de forma facilmente visvel e destacada,
aviso sobre a sua natureza, indicando o seu contedo.
CAPTULO V
DISPOSIES FINAIS
321
ANEXO B
323
GLOSSRIO
(http://www.reffibra.com.br/Firevent.htm, 2004).
(http://www.priberam.pt/dlpo/definir_resultados.aspx).