Você está na página 1de 68

INSTRUES REGULADORAS SOBRE SEGURANA DA INFORMAO NAS REDES

DE COMUNICAO E DE COMPUTADORES DO EXRCITO BRASILEIRO IRESER -


(IR 13-15)

TTULO I
DAS GENERALIDADES

Art. 1 As presentes instrues, elaboradas em observncia aos artigos 17 e 20 e ao


inciso XIV do artigo 31 das Instrues Gerais de Segurana da Informao para o Exrcito
Brasileiro ( IG 20-19 ), tm por finalidade regular as condies de segurana da informao a serem
satisfeitas pelas redes de comunicao e de computadores no mbito do Exrcito Brasileiro.

Art. 2 So objetivos destas Instrues:

I - estabelecer regras gerais de segurana para os ambientes de rede do Exrcito nas


reas:

a) documentao normativa;

b) riscos;

c) mecanismos de defesa contra violaes de segurana da rede;

d) monitorao e registro de eventos referentes aos servios corporativos de rede;

e) a verificao da efetividade das aes de segurana da informao ( auditora da


segurana da informao ) relativos aos servios de rede;

f) contingncia ( continuidade de servios ) para os servios de rede corporativos;

g gesto de incidentes de rede;

h) gesto da segurana.

II - orientar as OM do Exrcito na composio de suas normas internas de segurana


de redes;

III - prover referenciais doutrinrios sobre segurana da informao no que tange


segurana de redes;

IV - Estabelecer as principais responsabilidades no processo de segurana da


informao no ambiente de redes Exrcito.

TTULO II
DEFINIES BSICAS

Art. 3 Para a aplicao destas Instrues, deve-se adotar a seguinte conceituao:

I - RECURSO DE REDE - so todos os meios tecnolgicos pelos quais possvel


processar, enviar, receber ou armazenar dados em uma rede. Exemplos: computadores e seus
perifricos, concentradores ( hubs, switches e roteadores ), modens, interfaces de rede.
II - RECURSO CRTICO - recurso de rede cuja violao fsica ou lgica implica em
uma violao de segurana com repercusses negativas, no mnimo, para a OM a que pertence o
recurso.

III - COMPROMETIMENTO DE RECURSO DE REDE - violao de segurana de


um recurso de rede que tenha como conseqncia a perda de um ou mais dos atributos de
integridade, da disponibilidade e da confidencialidade dos dados da rede;

IV - CONTINGNCIA - situao excepcional com desdobramentos danosos s


informaes de um sistema de informao;

V - CONTINUIDADE DE SERVIOS - conjunto de aes que, durante a ocorrncia


de situaes de violao da segurana, visam garantir a continuidade dos servios de uma rede e o
processo de retorno normalidade.

VI - CONTROLES - Para aplicao destas Instrues, devem ser considerados como


controles todos as formas que definam limites ou atuem como limitadores de qualquer ao que
influa na confidencialidade, na integridade ou na disponibilidade dos dados de uma rede.

VII - EFETIVIDADE DAS AES DE SEGURANA - eficcia e eficincia de


uma ao de segurana.

VIII - MECANISMO DE DEFESA - ao, automatizada ou no, capaz de prevenir,


interromper ou neutralizar um ataque rede.

IX - ARQUITETURA DO FIREWALL OU DO SISTEMA DE DETECO DE


INTRUSO - configurao da disposio fsica e lgica dos elementos que compem o firewall ou
o sistema de deteco de intruso na rede.

X - CDIGOS MALFICOS OU MALICIOSOS - programas cuja finalidade


violar a segurana de um servio, computador ou rede. Exemplos desses cdigos so os vrus de
computador, os cavalos de tria ( trojans ), os vermes ( worms ), programas espies (por exemplo,
spywares e keyloggers) etc.

XI - MONITORAO DE EVENTOS DE REDE - processo em que um sistema de


gerncia de rede acessa, acompanha a evoluo e interpreta os registros dos eventos ocorridos num
hardware ou software da rede.

XII - PONTOS DE CONTATO - elementos que devem ser acionados em caso de


comprometimento de algum recurso da rede e que sejam as pessoas mais habilitadas a lidar com a
correo do problema.

XIII - PROCESSOS DE AUTENTICAO - processo pelo qual possvel aferir se


o originador de um processo automatizado, por exemplo, o envio de uma mensagem eletrnica,
realmente quem alega ser.

XIV - REGISTRO DE EVENTOS DE REDE - conjunto de informaes que listam


as ocorrncias durante o funcionamento de um hardware ou software instalado na rede.

XV - VIOLAO DA SEGURANA DA INFORMAO - eventos que violem a


integridade, a disponibilidade e a confidencialidade da informao.
XVI - INCIDENTE DE REDE - ocorrncia de um evento de violao da segurana
da rede, seja de origem intencional ou no, que atinja recursos de infra-estrutura fsica, lgica ou de
alimentao eltrica, hardware, meios de armazenamento, protocolos, dados, servios, softwares
ou qualquer outro recurso de rede cujo o comprometimento atinja a integridade, a disponibilidade
ou a confidencialidade da informao.
XVII - GERNCIA DA REDE processo pelo qual o funcionamento da rede pode
ser monitorado, em particular nos parmetros referentes as reas de configurao, falhas,
performance, contabilizao e segurana, com a possibilidade de adequao dos valores desses
parmetros pela interveno do gerente da rede.

TTULO III
DAS REGRAS GERAIS DE SEGURANA

CAPTULO I
DA DOCUMENTAO NORMATIVA

Art. 4 Todas as redes de dados ou comunicao do Exrcito devem possuir


documentao normativa de segurana da informao, as quais devem definir as regras de
segurana e responsabilidades necessrias para a proteo das informaes nessas redes.

Art. 5 A documentao normativa bsica de segurana da informao de qualquer


rede do Exrcito deve seguir o modelo definido no ANEXO A.

Art. 6 A documentao normativa deve ser desdobrada em mais de uma norma, caso
a complexidade da rede seja tal que os responsveis pela elaborao dos documentos julguem esse
desdobramento recomendvel. Desta forma, pode-se ter uma norma principal de segurana da
informao para a rede e, por exemplo, outras duas normas especficas para o servio de correio
eletrnico e outra para o firewall.

Art. 7 As normas de redes devem abordar os temas que sejam de relevncia para a
OM onde a rede est implementada, porm nessas normas devero constar regras de segurana nas
seguintes reas bsicas:

I - REGRAS GERAIS - regras de segurana de carter geral e voltadas para medidas


de segurana dos dados, informaes e conhecimentos armazenados, processados ou disseminados
nos enlaces ou equipamentos da rede;

II - SEGURANA DOS SERVIOS, SISTEMAS, APLICATIVOS E SISTEMAS


OPERACIONAIS DE REDE - regras de segurana referentes aos procedimentos de instalao,
configurao e uso de:
a) servios, tais como correio eletrnico ou WEB;
b) sistemas corporativos especficos do Exrcito;
c) aplicativos de uso geral, tais como sutes de escritrio;
d) sistemas operacionais de rede.

III - SEGURANA DO HARDWARE - regras de segurana referentes aos


procedimentos de instalao, configurao e uso de:
a) computadores servidores;
b) computadores de uso especfico;
c) computadores de uso geral;
d) perifricos de rede;
e) equipamentos de interligao de rede (roteadores, switches, hubs, modem,
repetidores);
f) centrais telefnicas;
g) equipamentos rdio.

IV - SEGURANA DAS INFRA-ESTRUTURA DE REDE - regras de segurana


relativas s estruturas de:
a) interligao lgica e seus elementos constituintes, tais como cabeamentos, dutos,
documentao da instalao ( descrio da rede, plantas etc ) cabeamentos, pontos de acesso de
redes sem fio etc;
b) alimentao eltrica, e seus elementos constituintes, tais como fiao eltrica,
dutos, quadros de distribuio, estabilizadores, nobreak etc.
V - SEGURANA DAS REAS E INSTALAES - regras de segurana relativas
a ao controle de acesso e a adequao das reas e instalaes onde se encontram equipamentos
crticos da rede;
VI - PLANO DE CONTINGNCIA - regras de segurana relativas s medidas de
contingncia para a rede;
VII - SEGURANA DO PESSOAL - regras de segurana relativas aos
comportamentos adotados pelo pessoal que lida com as redes, seja no nvel gerencial, de
manuteno ou usurio final;
VIII - GERENCIAMENTO DA REDE - regras de segurana relativas s aes de
gerncia da rede, ou seja, monitorao e adequao de parmetros referentes s reas de
configurao, desempenho, falhas e contabilizao;
IX - INCIDENTES DE REDES regras para procedimentos no caso de ocorrerem
incidentes de rede (violaes da segurana da rede).

Art. 8 O processo necessrio para elaborao das normas o seguinte:


I - nomeao em BI da equipe que elaborar o(s) documento(s) e o militar condutor
do processo;
II - elaborao do plano de ao necessrio para elaborar a norma, definindo
objetivos, tarefas, responsabilidades, recursos e cronograma;
III - realizao de uma anlise de riscos na rede, conforme Instrues vigentes;
IV - elaborao de uma primeira verso conforme modelo constante destas
Instrues;
V - refinamento da primeira verso por meio de discusses e sugestes apresentadas
pela equipe at que se obtenha uma verso considerada satisfatria para o grupo. Um fluxograma do
processo est representado na figura 1.

CAPTULO II
DA ANLISE DE RISCOS
Art. 9 Todas as aes que impliquem em atualizao, reconfigurao, acrscimo de
hardware ou software ou qualquer outro rearranjo na composio da rede, em particular se a
modificao for em um elemento de segurana, devem ser precedidas de uma anlise de riscos nos
moldes definidos nas Instrues do Exrcito sobre o assunto.
1 Caso no seja possvel a aplicao prvia de uma anlise de risco, deve-se
realiz-la no menor prazo possvel de modo a se aferir o grau de risco introduzido pela modificao
no ambiente da rede.

2 O nvel de detalhamento do processo da anlise de riscos a ser realizada


depender da dimenso da modificao que ocorra, mantendo-se o mecanismo bsico da anlise
previsto nas Instrues do Exrcito vigentes sobre riscos. As ameaas bsicas em um ambiente de
rede so as seguintes:
I - escuta passiva (sem atingir a integridade do dado ) ou ativa ( atingindo a
integridade do dado ) de dados em trnsito na rede;
II - acesso passivo ( sem reconfigurao ) ou ativo ( com reconfigurao ) de
programas computador da rede por outro computador da rede ou fora dela;
III - acesso passivo ( sem atingir a integridade do dado ) ou ativo ( atingindo a
integridade do dado ) de dados por outro computador da rede ou fora dela;
IV - insero de mensagens na rede, falsificando a sua autoria;
V - reuso de uma mensagem autntica j utilizada anteriormente na rede;
VI - bloqueio de trfego de uma ramificao especfica ou de toda a rede;
VII - execuo remota de programa no autorizado.
3 As modificaes no ambiente da rede e decises advindas da aplicao da
anlise de risco devem ser registradas em relatrio, conforme modelo constante do ANEXO B, que
dever ser arquivado juntamente com os demais documentos da rede e, se necessrio for, a
documentao gerada dever receber classificao sigilosa.
NOMEAO
DO PESSOAL

PLANEJAMENTO

ANLISE
DE RISCOS

ELABORAO
DA PRIMEIRA
VERSO

REFINAMENTO
DA VERSO

NO
A VERSO EST
ADEQUADA?

SIM

VERSO FINAL

Fig n 1: Processo para elaborao de normas de segurana


CAPTULO III
DAS TCNICAS E TIPOS DE PRODUTOS TECNOLGICOS

Seo I
Da Criptografia

Art. 10. A criptografia um mecanismo que deve ser utilizado na cifrao de dados a
serem transmitidos ou armazenados nas redes do Exrcito sempre que houver necessidade de
preservao do sigilo desses dados e em compatibilidade com as regras se segurana de salvaguarda
de assuntos sigilosos em vigor.

Art. 11. A adoo do uso de criptografia para proteo de sigilo de dados deve ser
precedida de uma anlise de riscos que justifique a escolha da soluo a ser usada.

Pargrafo nico. A anlise de riscos deve seguir as recomendaes contidas nas


documentaes normativas do Exrcito sobre esse tema.

Art. 12. As solues criptogrficas utilizadas na Fora devem ser ter um das
seguintes origens:

I - ser uma soluo de concepo e implementao realizados pelo DCT;

II - ser uma soluo de concepo do DCT e implementao controlada por esse


Departamento;

III - ser uma soluo de concepo de empresa privada, especialmente desenvolvida


para o Exrcito e com o processo de desenvolvimento e implementao controlados pelo DCT;

IV - ser uma soluo de concepo de empresa privada, com algoritmos


proprietrios, de concepo e desenvolvimentos no controlados pelo DCT;

V - ser uma soluo baseada em padres comerciais e notoriamente conhecidos.

Pargrafo nico. As solues enquadradas nos incisos IV e V s podero ser


adotadas para os casos em que for invivel tcnica ou administrativamente ser enquadradas em um
dos trs primeiros incisos e a anlise de riscos realizada para o caso indicar que os riscos gerados
por essa opo so tolerveis.

Art. 13. Os sistemas criptogrficos implementados nas redes do Exrcito devem


atender aos seguintes requisitos:

I - utilizar algoritmos criptogrficos comprovadamente robustos e compatveis com o


risco associado ao seu emprego;

II - devem utilizar mecanismos de gerao e gerenciamento de chaves criptogrficas


comprovadamente robustos e compatveis com o risco associado ao seu emprego;
III - utilizar chaves cujo o tamanho seja compatvel com o nvel de segurana
desejado contra ataques de fora bruta;

IV - ser, preferencialmente, de origem nacional;

V - devem ter o seu uso disciplinado por regras contidas nas normas de segurana da
rede em que for empregado.

Pargrafo nico. A robustez da soluo deve ser reconhecida e atestada pelo


Departamento de Cincia e Tecnologia, portanto, para a adoo em carter permanente de um
sistema criptogrfico, as OM do Exrcito devem consultar o DCT para obter informaes quanto
adequao da escolha.

Art. 14. As regras relativas ao uso de criptografia contidas nas normas de segurana
da rede em uma OM devem conter, no mnimo, diretivas relativas ao seguinte:

I - situaes em que devem e as que no devem ser utilizados ferramentas


criptogrficas automatizadas;

II - procedimentos para uso e gerncia das chaves criptogrficas ( gerao,


configurao, validade, armazenamento, descarte, substituio, transmisso, procedimentos em caso
de violao ou perda etc );

III - algoritmos passveis de utilizao;

IV - formas de trato ( armazenamento, classificao sigilosa, formato etc ) de


documentao gerada com o uso da criptografia ( log de eventos, relatrios, anlise de riscos para
escolha da soluo etc ).

Art. 15. As OM que fazem uso de sistemas criptogrficos em suas redes devem
notificar o DCT, em documento classificado, sobre as caractersticas e o tipo de uso desses sistemas
para fins de conhecimento e verificao da adequao do uso. Os itens a serem informados so os
seguintes:

I - finalidade do sistema;

II - tipos de criptografia possveis ( simtrica ou de chave pblica );

III - tipos de algoritmo criptogrficos usados;

IV - algoritmos de gerao das chaves criptogrficas;

V - tamanho das chaves criptogrficas que podem ser usadas;

VI - uso que est sendo feito na rede da OM (tipos de dados que esto sendo
protegidos);

VII - formas de segurana para as chaves criptogrficas;

VIII - verso do software, ou do firmware, se for o caso, que implementa a soluo;

IX - se foram ou no utilizados critrios para julgar se o algoritmo criptogrfico e o


mecanismo de gerao e gerenciamento das chaves criptogrficas robusto o suficiente para
atender o grau de risco envolvido com o uso da soluo e quais forma esses critrios.

Pargrafo nico. Caso haja dificuldade em obter as informaes listadas nesse artigo,
a OM dever encaminhar ao DCT o mximo de informaes possveis sobre a soluo para que seja
possvel aferir os parmetros de relevncia para que o Departamento possa prover a orientao
sobre a adequao da soluo.

Art. 16. Para a escolha de um sistema de criptografia a ser empregado em redes da


Fora e nos casos em que houver a impossibilidade de satisfazer na ntegra o uso de solues
nacionais, deve-se buscar compor a soluo de tal modo que seus elementos constituintes possam
ser substitudos por solues nacionais, quando estas estiverem disponveis e tecnologicamente
confiveis, desde que tais substituies no comprometam a robustez da soluo global.

Art. 17. Todo parmetro crtico, como chaves criptogrficas, cuja exposio indevida
comprometa a segurana do sistema criptogrfico usado na rede da OM, deve ser armazenado em
forma cifrada, sendo essa cifrao realizada com chaves armazenadas em mdias removveis.

Art. 18. A manipulao das chaves criptogrficas utilizadas nos sistemas


criptogrficos da das redes do Exrcito dever ser restrita a um nmero mnimo e essencial de
pessoas assim como deve estar submetida a mecanismos de controle estipulados nas normas de
segurana e monitorados pela gerncia da rede.

Art. 19. O processo de remessa de chaves criptogrficas e demais parmetros do


sistema de criptografia deve assegurar o sigilo desses parmetros por meio de canais seguros.

Art. 20. O uso de criptografia s deve ser utilizado em mensagens de servio e que
devidamente enquadradas nas normas internas da OM e do Exrcito sobre a matria.

Seo II
Do Acesso Remoto Seguro ( Redes Privadas Virtuais - RPV )

Art. 21. As OM que no tenham acesso rede EBNet, mas possuam Internet devem
fazer uso do acesso remoto seguro para efetivar esse acesso. Para obter o acesso seguro, a seguinte
sistemtica deve ser realizada:

I - A OM dever encaminhar solicitao ao CITEx, de acordo com o modelo


representado no ANEXO C, justificando a necessidade do acesso remoto via Internet e declarando
no possuir acesso EBNet, seja por meio da prestadora de servio ou da Rede Metropolitana.

II - O documento dever conter uma lista de usurios por OM, devidamente


autorizados a receber o acesso remoto, por intermdio da Internet.

III - Para cada usurio dever ser fornecido:


a) o nome completo;
b) posto ou graduao;
c) nmero da identidade;
d) telefone de contato; e
e) se for o caso, a solicitao de uma senha (para o caso de usurios no cadastrado
para acesso ao Correio Eletrnico Corporativo ).

IV - Aps o cadastramento, o CITEx dever notificar OM as senhas temporrias, o


endereo do stio da Internet e instrues para obter o software necessrio ao acesso remoto e as
orientaes de instalao.

Seo III
Do Firewall e dos Sistemas de Deteco de Intruso

Art. 22. As OM que tiverem suas redes conectadas EBNet e que estiverem
conectadas Internet ou a outras redes inseguras devem fazer uso de firewall para proteger essa
conexo.

Pargrafo nico. As regras de filtragem implementadas no firewall da OM devero


ser compatveis com as regras configuradas no firewall do CITEx.

Art. 23. As ferramentas de firewall e de deteco de intruso devem ser adquiridas


prevendo-se, no processo de compra, a incluso de treinamento para uso do produto e com a
contratao de servio ps-venda, no qual o fabricante ou seu representante legalmente reconhecido
esteja formalmente comprometido em prover suporte tcnico e a atualizao do produto.

Art. 24. As OM que fizerem uso de ferramentas de firewall ou sistemas de deteco


de intruso devem incluir em seus planejamentos financeiros a previso de recursos para
atualizao tcnica do pessoal que operava as ferramentas.

Art. 25. As redes onde dados corporativos so armazenados em servidores


especficos devem utilizar mecanismos de deteco de intruso nesses servidores.

Art. 26. Os firewalls e sistemas de deteco de intruso devem estar em


funcionamento e regidos por normas de segurana, cujo modelo esteja de acordo com o ANEXO D,
que definam:

I - seu uso (que sistemas protegem );

II - configurao lgica ( servios permitidos e proibidos; usurios ou grupos e seus


privilgios de acesso; tipos de trfego, servio, protocolo ou usurios permitidos ou proibidos;
configurao do registro de logs; relaes de confiana com outras redes; servios de criptografia e
antivrus, se for o caso; etc );

III - configurao da instalao fsica ( arquitetura do firewall ou do sistema de


deteco de intruso );

IV - manuteno ( atualizao e verificao da normalidade de operao );

V - aes de contingncias ( firewall "backup", procedimentos em caso de violao


e restaurao de servios );

VI - cpias de segurana (configurao e registros de eventos - logs);


VII - tipo de controle de acesso;

VIII - tipo de processo de autenticao que necessrio, assim como outras regras
que estejam de acordo com as peculiaridades da rede.

IX - pessoal autorizado a acessar e configurar os softwares;

X - periodicidade de reviso da norma.

Pargrafo nico. As normas que especifiquem a configurao dos firewalls ou


sistemas de deteco de intruso devem ter classificao sigilosa e ser mantidas conforme as
Instrues que trata de salvaguarda de assuntos sigilosos em vigor no Exrcito.

Art. 27. Os sistemas de firewalls, os sistemas de deteco de intruso e outros


mecanismos de segurana considerados crticos devem ser instalados em equipamentos
exclusivamente dedicados ao seu uso, ou seja, no se deve utilizar o mesmo equipamento para
instalar servios de segurana e outros servios como, por exemplo, correio eletrnico ou servio
para acesso a Internet.

Pargrafo nico. Nos casos em que forem utilizadas aplicaes de segurana cuja
finalidade monitorar uma ou mais aplicaes, como no caso dos Host Intrusion Detection
Systems (HIDS) admissvel e necessrio a convivncia do servio de segurana com outros
servios no mesmo computador.

Art. 28. Servios e funcionalidades adicionais que no sejam necessrias para


proteo da rede ou que permitam privilgios de gerncia e acesso que no sejam previstos nas
regras de segurana no devem ser instalados ou ativados tanto nas ferramentas quanto nos sistemas
operacionais que as sustentam.

Art. 29. Tanto as ferramentas de segurana utilizadas quanto os sistemas


operacionais que as sustentam devem ser mantidos atualizados com as correes e atualizaes de
segurana conforme esses mdulos forem disponibilizados pelo fabricante.

Art. 30. Para efeito de verificao da conformidade entre a norma de segurana do


firewall ou do sistema de deteco de intruso, devem ser utilizadas ao menos duas tcnicas
bsicas:

I - comparao das regras que esto configuradas no firewall ou no sistema de


deteco de intruso com as regras previstas nas normas;

II - teste de violao das regras configuradas por meio da tentativas de se efetuar


aes que, a princpio, se espera que sejam impedidas pela segurana do sistema.

Art. 31. A gerncia remota de um sistema de firewall de nvel de aplicao ou


sistemas de deteco de intruso pode ser realizada desde que os dados sejam cifrados por mtodo
criptogrfico recomendado pelo DCT e com processo de autenticao baseado em certificao
digital.

Art. 32. Qualquer ocorrncia de tentativa ou violao de segurana ocorrida no


firewall ou no sistema de deteco de intruso dever ser imediatamente notificada Seo de
Tratamento de Incidentes de Redes, no CITEx ou CT/CTA correspondente Regio Militar a que a
OM onde ocorreu o fato est vinculada.

Art. 33. O DCT manter, por meio da pgina eletrnica do CITEx, informaes sobre
sugestes de configuraes lgicas e fsicas dos diversos tipos de firewall e sistemas de deteco de
intruso, assim como o nvel de segurana que, em princpio, cada um proporciona.

Seo IV
Da Segurana Contra Cdigos Malficos

Art. 34. O uso de software em qualquer computador do Exrcito deve estar em


conformidade com as suas licenas de uso.

Art. 35. Todo computador conectado EBNet deve executar diariamente um


software, preferencialmente homologado pelo DCT, para verificao de contaminao por vrus ou
outro cdigo malfico.

Art. 36. A base de dados do software antivrus deve ser mantida atualizada de modo
que sejam minimizadas as possibilidades de um cdigo malfico ser instalado e executado no
computador que o antivrus protege.

Art. 37. Todos os computadores servidores devem estar protegidos por softwares,
devidamente atualizados, de antivrus e demais cdigos maliciosos. Particular ateno deve ser dada
aos servidores de dados corporativos e os de correio eletrnico.

Art. 38. Os softwares antivrus e cdigos malficos devem ser adquiridos mediante a
garantia de atualizao contnua da base de dados sobre vrus de computador, assim como de outros
cdigos maliciosos.

Art. 39. As aplicaes de proteo contra cdigos malficos antivrus devero estar
configuradas de tal modo a registrar, por meio da funo de log, qualquer ocorrncia desses
cdigos.

Pargrafo nico. Os relatrios fornecidos pela prpria aplicao devero ser


remetidos ao CITEx para fins de anlise. A periodicidade desse envio ser estabelecida conforme a
capacidade de acompanhamento do CITEx e ser notificada na pgina eletrnica do CITEx.

Art. 40. O uso de softwares contra cdigos malficos deve ser regido por regras de
segurana, as quais devem figurar nas normas de segurana da rede do OM, cujo modelo encontra-
se no ANEXO A.

Pargrafo nico. As regras relativas proteo contra cdigos malficos variaro


conforme a realidade tecnolgica corrente, assim como do tipo de demanda de proteo que o
ambiente exigir, no entanto, devem-se adotar as seguintes regras como ponto de partida para um
conjunto de regras a ser aplicado a ambientes especficos:

I - quaisquer arquivos ou macros anexados a uma mensagem eletrnica proveniente


de uma fonte desconhecida, suspeita ou no confivel nunca devem ser abertos e sim totalmente
apagados;

II - arquivos ou macros anexados a uma mensagem eletrnica proveniente de fonte


conhecida s devem ser abertos aps a verificao de sua integridade;
III - mensagens de spam, cadeias e outras mensagens coletivas devem ser excludas
sem realizar o encaminhamento ( forwarding );

IV - arquivos de fontes desconhecidas ou suspeitas nunca devem ser transferidos


para o computador por qualquer que seja o servio de acesso a esses arquivos (WWW, FTP, chat
etc);

V - o compartilhamento do disco da mquina local com acesso de leitura e escrita


deve ser evitado, a menos que haja a necessidade absoluta do servio para faz-lo e, neste caso, a
permisso de acesso deve ser concedida apenas queles que necessitam da informao e deve ser
mantida apenas pelo tempo necessrio para que o dado seja acessado;

VI - antes da utilizao de informaes em mdias removveis, tais como disquetes,


CD, flash cards, pendrives, discos zip etc, sempre se deve realizar verificao da integridade dos
arquivos para se ter certeza de que no esto contaminados por vrus ou outro cdigo malfico.

VII - caso haja necessidade de temporariamente desativar o software de proteo


para fins de testes, manutenes especiais, incompatibilidades especficas ou outra razo inevitvel,
necessrio adotar o seguinte procedimento:

a) deve-se executar o software de proteo para assegurar que o computador esteja


isento de vrus ou outros tipos de infeces;

b) desabilitar o software de proteo;

c) realizar apenas o procedimento que se fez necessrio e nunca acionar outros


servios notoriamente conhecidos pela sua capacidade de propagao de cdigos malficos, tais
como o correio eletrnico.

VIII - o computador para o qual seja constatada a contaminao de um ou mais de


seus arquivos por vrus ou outro cdigo malfico dever ser imediatamente desconectado da rede
at a remoo do cdigo;

IX - a utilizao de softwares aplicativos, utilitrios ou sistemas operacionais s


poder ser realizada com o conhecimento do responsvel pela gerncia da rede e se o software for
de origem conhecida e legal.

Seo V
Dos Mecanismos de Autenticao e Controle de Acesso

Art. 41. O acesso aos dados e servios corporativos de rede no Exrcito, seja em
conexes locais ou remotas, s pode ser concedido mediante a verificao da autenticidade da
identificao do usurio por meio de tcnicas de autenticao de rede.

Art. 42. Dentre as regras de segurana que compem a norma de segurana de rede,
cujo modelo encontra-se no ANEXO A, devero estar includas regras sobre as formas de
autenticao e de controle de acesso peculiares rede para qual a norma ser elaborada.
1 Dentre os aspectos bsicos de autenticao a serem considerados para constar da
norma de segurana da rede devem figurar regras sobre:

I - poltica de senha ( regras que definem os caracteres utilizveis, tamanho, tempo


de validade, nmero de tentativas de conexo, senhas "fracas" a serem evitadas, periodicidade
admissvel para troca, caracterticas de salvaguarda e procedimentos em caso de violao );

II - conexo ( logon ) rede;

III - conexo ( logon ) a servios locais ou remotos especficos;

IV - uso para certificados digitais;

V - assinatura digital;

VI - uso de smart cards e tokens;

VII - uso de mecanismos biomtricos;

VIII - demais mecanismos de autenticao no especificados.

2 Dentre os aspectos bsicos de controle de acesso a serem considerados para


constar da norma de segurana da rede devem figurar regras sobre:

I - privilgios de grupos de usurios ou usurios individuais;

II - definio de privilgio, se for o caso, que pode ser concedido a elementos


externos, tais como servios terceirizados ou de manuteno;

III - definio de privilgios especiais para usurios internos, tais como o gerente da
rede ou o pessoal que realiza a manuteno dos equipamentos;

IV - retirada de privilgio para pessoal desligado ou transferido;

V - uso de termo de compromisso e manuteno de sigilo.


Art. 43. O controle de acesso aos equipamentos de interconexo (roteadores,
switches, hubs e demais equipamentos de interligao de computadores) deve ser disciplinado por
regras contidas na norma de segurana da rede e deve contemplar os seguintes aspectos:
I - identificao e autenticao de acesso;
II - configuraes para roteamentos especficos, segmentao fsica e lgica devido a
requisitos de segurana do ambiente (pode implicar em classificao da norma);
III - desconexo por inatividade;
IV - condies para configurao remota.

Art. 44. Os servios de certificao digital usados nas redes do Exrcito devem estar
de acordo com as orientaes e regras vigentes da Infra-Estrutura de Chaves Pblicas do Brasil
(ICP-Brasil).

Art. 45. Nas redes em que for utilizada certificao digital, a salvaguarda do
certificado de responsabilidade nica e exclusiva do seu possuidor.
Art. 46. O servio de assinatura digital deve ser implementado por meio do uso de
certificados digitais.

Art. 47. recomendvel que os computadores servidores que armazenem dados


corporativos, provejam servios de sistemas corporativos ou, ainda, provejam servios de segurana
tais como firewall e sistema de deteco de intruso, devem contar com mecanismos fortes de
autenticao, associados s tradicionais tcnicas baseadas em senha, para identificar aqueles que
acessem esses recursos.

Pargrafo nico. Os mecanismos fortes devem estar baseados em tcnicas de


autenticao reconhecidamente robustas tais como: certificao digital, reconhecimento biomtrico,
utilizao de smartcards ou dispositivos similares ( tokens ) ou combinao dessas tcnicas.

Seo VI
Da Monitorao e Registro dos Eventos

Art. 48. As normas de segurana da informao internas s OM devem conter regras


relativas ao modo de monitorao e registro de eventos de rede considerados crticos.

Art. 49. Todos os computadores servidores e equipamentos de rede que contenham


dados ou executem servios identificados pela anlise de risco como sendo elementos que
necessitem proteo especfica devem manter o seu servio de registro ( logs ) de eventos ativado.

Pargrafo nico. Considerando o fato de que, em geral, ativar o servio de registro


de eventos em sua plenitude pode incorrer no armazenamento de dados desnecessrios, deve-se, a
princpio, configurar a monitorao apenas dos eventos considerados essenciais e, medida que a
experincia e a necessidade demonstrarem, outros eventos devero ser acompanhados.

Art. 50. A concluso de que eventos devam ser registrados devem resultar,
preferencialmente, de anlises de risco. Como eventos relevantes a serem considerados, sugere-se a
seguinte lista:
I - identificao dos usurios;
II - data e hora de entrada e sada no sistema;
III - nmero de tentativas de conexo;
IV - origem ou localizao do equipamento est requisitando a conexo;
V - concesses e cancelamentos de privilgios de usurios;
VI - concesses e cancelamentos de conta e senha para acesso rede local;
VII - concesses e cancelamentos de acesso s redes externas via rede local;
VIII - endereos externos acessados por meio da rede local;
IX - acessos aos servidores;
X - desconexo ou conexo de estaes e servidores;
XI - modificaes nas configuraes das barreiras de proteo externa ( firewall ) e
de cada computador ( firewall de estao ou de servidor);
XII - modificaes na configurao de sistemas de deteco de intruso ou de
prevenso de intruso ( intrusion detection systems - IDS / intrusion prevention systems IPS /
host intrusion detection systems - HIDS);
XIII - modificaes nas configuraes de roteadores, switches ou outros
equipamentos de redes passveis de serem configurados remotamente;
XIV - acesso a informaes sobre o volume de trfego de informaes que circulam
internamente na rede local; e
XV - acesso a informaes sobre o volume de trfego de informaes que so
trocadas com redes externas.
Art. 51. Os computadores de uma rede devem ter seus relgios sincronizados para
que os registros de eventos mantenham sua credibilidade, logo, as estaes devem ser sincronizadas
com o servidor da rede, que, por sua vez, deve estar ajustado com um padro local de tempo.
Art. 52. Os registros de eventos devem ser periodicamente auditados para fins de
verificao do correto funcionamento do equipamento ou software.

Pargrafo nico. O perodo de auditagem deve ser estipulado conforme a categoria


da rede e critrios adicionais de cada OM.

Art. 53. Os arquivos contendo a informao sobre os eventos devem ser


periodicamente gravados sobre algum tipo de suporte de backup e armazenados de acordo com as
normas para salvaguarda de documentao sigilosa previstas na legislao.

Seo VII
Das Cpias de Segurana ( Backup )

Art. 54. Toda rede do Exrcito deve normatizar e aplicar procedimentos para
execuo peridica de cpias de segurana para salvaguardar os dados da Unidade, assim como
viabilizar a recuperao desses dados em situaes de violao dos originais.

Art. 55. As cpias de segurana devem ser armazenadas em locais fisicamente


distantes de onde foram gerados de modo a no haver a possibilidade de que danos instalao
principal possa destruir os dados e suas cpias. Entenda-se por "distante" uma instalao fsica que,
no mnimo, esteja em uma edificao diferente de onde esto os arquivos originais.

Art. 56. As condies ambientais de armazenamento, assim como a periodicidade de


renovao e descarte das mdias, devem obedecer s recomendaes do fabricante do material, de
modo a minimizar o risco da perda dos dados da cpia de segurana por deteriorao da mdia
utilizada.

Art. 57. As cpias de segurana devem ser preservadas por mais de uma gerao,
sendo o nmero mnimo de duas verses.
Art. 58. A recuperao dos dados deve ser testada periodicamente para que se tenha a
certeza da sua disponibilidade e integridade.

Art. 59. As normas de segurana de rede de cada OM devem conter regras que
disciplinem os procedimentos de produo, armazenamento, preservao, teste, atualizao e
descarte das cpias de segurana.

Art. 60. Alm das regras relativas aos procedimentos de gerenciamento das cpias de
segurana, devem ser elaboradas duas outras documentaes: procedimentos operacionais padro
(POP) relativos aos procedimentos de backup e relatrios que informem os eventos associados a
cada procedimento do processo ( data-hora, arquivos copiados, operador, tipo de cpia realizada
etc).

Seo VIII
Das Comunicaes e da Telefonia

Art. 61. Dentre as regras de segurana que compem a norma de segurana de rede,
cujo modelo encontra-se no ANEXO A, devero estar includas regras sobre a utilizao das redes
de comunicao e de telefonia, levando-se em considerao, os aspectos das instalaes fsicas onde
se encontram, a manuteno dos equipamentos, os protocolos e servios utilizados e prerrogativas
de uso e manuteno.

Art. 62. Os procedimentos de segurana nas comunicaes rdio devero estar de


acordo com a doutrina de segurana das comunicaes vigentes no Exrcito.

Subseo I
Das Redes Rdio

Art. 63. Em aplicaes de operao real, as operaes rdio, seja da rede estratgica
ou de uma rede ttica, devero realizar as comunicaes de forma controlada pelos instrumentos
normativos adequados como as Instrues Padro de Comunicaes ( IPCOM ) e as Instrues de
Emprego das Comunicaes ( IECom ).

Art. 64. Nos processos de aquisio de material de comunicaes para as redes rdio
do Exrcito, deve-se buscar as implementaes com possibilidade de uso de criptografia aprovada
pelo Exrcito, em particular aquelas de desenvolvimento prprio, sendo que, na impossibilidade,
deve-se buscar produtos para os quais seja vivel realizar as adaptaes de hardware e software
necessrias desde que tais adaptaes no comprometam a funcionalidade do produto.

Art. 65. Nos casos em no seja possvel utilizar solues de criptografia aprovadas
no Exrcito nos rdios j em emprego, deve-se realizar anlises de risco para avaliar que tipo de
configuraes so admissveis e em que tipo de operao pode ser empregado, sendo que o
resultado dessas anlises deve ser refletidos nas normas que disciplinem o uso dos rdios
envolvidos.
Subseo II
Das Redes de Telefonia

Art. 66. As comunicaes telefnicas que necessitem ser tratadas com preservao de
sigilo do seu teor ( telefone seguro ) devem ser efetuadas apenas pelo equipamentos destinados para
este fim e obedecendo-se as orientaes da seo de inteligncia da OM previstas pela para seu uso
e manuteno.

Art. 67. A infra-estrutura de cabeamento telefnico seja para transmisso de dados


ou uso de voz deve estar instalada de acordo com as normas sobre cabeamento estruturado
utilizadas em projetos de obras militares executadas ou fiscalizadas pelas Comisses Regionais de
Obras, assim como a documentao tcnica, incluindo as plantas das instalaes devem estar
atualizadas e disponveis para consulta do pessoal credenciado.

Subseo III
Das Redes Sem Fio

Art. 68. As redes sem fio so categorizadas conforme a abrangncia da rea de


cobertura, cada qual com requisitos de segurana prprios, desta forma todas as solues a serem
adotadas para uso na Fora devem ser previamente preparadas de tal modo que as configuraes de
segurana sejam adequadamente ajustadas, em particular, os aspectos de identificao e
autenticao do usurio e da criptografia dos dados.

Art. 69. As OM usurias de redes sem fio, ainda que em termos experimentais,
devem averiguar quais dados esto acessveis pela rede e adequar as configuraes segurana dos
dispositivos, conforme as funcionalidades que o equipamento e o padro de rede sem fio
implementado, uma vez que possvel que elementos estranhos ao servio monitorem e at
acessem os dados dos equipamentos da rede a partir de pontos localizados de algumas dezenas at
algumas centenas de metros, dependendo do padro de rede utilizado.

Art. 70. Nos dispositivos baseados no padro IEEE 802.15 ou equivalente devem ser
utilizados apenas no manuseio de dados de natureza ostensiva, ainda assim, para garantia de
condies mnimas de integridade da informao e autenticidade de usurio, os devidos ajustes das
configuraes dos parmetros criptogrficos, tais como extenso da chave, o algoritmo escolhido,
identificadores no bvios e o tempo de uso, devem ser previamente ajustados.

Art. 71. Nos dispositivos baseados no padro IEEE 802.11 ou equivalentes, os de


tipos vulnerabilidades so semelhantes ao padro IEEE 802.15, ou seja, as maiores preocupaes
esto voltadas para o problema da autenticao e do sigilo, assim, tanto nas normas da rede quanto
nas implementaes propriamente ditas, deve-se atentar para os seguintes aspectos:

I - habilitao do protocolo de segurana e efetuar a mudana de seus parmetros


com freqncia;

II - efetuar freqentemente a mudana dos parmetros de identificao da rede para


fins de autenticao de usurio;

III - evitar o uso da rede no padro de autenticao aberta;


IV - desabilitar broadcasting de parmetros de autenticao;

V - modificar a senha padro do administrador;

VI - no permitir pontos de acesso rede indiscriminadamente e sim com rgido


controle;

VII - no fazer uso de conexes de equipamentos ligados redes sem fio a redes
corporativas;

VIII - fazer uso, caso a funcionalidade esteja disponvel, filtragem baseada em


endereos fsicos;

IX - desligar pontos de acesso em horrios fora do expediente;

X - realizar auditorias e anlises de risco com freqncia nas redes sem fio;

XI - explorar as funcionalidades de segurana adicionais que existam no produto, em


especial s relacionadas aos padres de segurana IEEE 802.11i IEEE 802.11x, respeitados os
demais requisitos do sistema;

XII - realizao de testes de vazamento de sinal.

Seo IX
Da Infra-estrutura de Alimentao Eltrica

Art. 72. O sistema de alimentao eltrica que as redes das OM fazem uso devem
estar de acordo com as recomendaes e normas utilizados no Exrcito pelas Comisses Regionais
de Obras (CRO).

Art. 73. Os computadores servidores que armazenem dados corporativos, provejam


servios de sistemas corporativos e para os quais seja considerada crtica a sua indisponibilidade
devem contar com proteo para interrupo de fornecimento de alimentao eltrica (
nobreak ).

Art. 74. Os computadores nos quais estejam instalados os softwares que


implementam servios de segurana para a rede, tais como firewall e sistema de deteco de
intruso devem contar com proteo para interrupo de fornecimento de alimentao eltrica (
nobreak ).

Art. 75. Na norma de segurana de redes de uma OM devero constar procedimentos


peridicos de verificao das:

I - condies de estabilidade;

II - identificao de pontos de alimentao;

III - quadro de distribuio;

IV - aterramento;

V - estado das baterias dos sistemas para proteo contra interrupo de energia (
nobreak );
VI - estado dos estabilizadores de energia, assim como outros equipamentos
existentes na rede e com funo no sistema de alimentao eltrica.

Seo X
Da Configurao da Rede

Art. 76. Os ambientes de redes do Exrcito devem fazer uso de produtos


tecnolgicos, tcnicas de gerncia e metodologias de segurana de forma combinada para assegurar
a proteo dos dados armazenados, em trnsito ou em processamento na rede.

Art. 77. A combinao dos elementos de segurana para proteo das redes
especfica para cada caso, porm como requisitos bsicos, tanto para as redes de computadores
quanto as redes de comunicaes e telefonia, seguintes recomendaes devem ser adotadas:

a) adoo das regras de segurana dispostas nestas Instrues que sejam compatveis
com o ambiente da rede da OM;

b) adoo das solues de segurana conforme os requisitos de segurana do


ambiente da rede da OM;

c) documentao descritiva da rede contendo como informaes bsicas: o mapa


lgico e fsico da rede ( indicao de tipos de equipamento e segmentaes ); o inventrio da rede (
hardware e software );

d) definir a estrutura de gesto da segurana tomando por base os seguintes


elementos:
- normas de segurana que definam as regras de segurana gerais;
- o processo de gerenciamento de riscos ( que pode ser a aplicao das normas
vigentes no Exrcito sobre esse tema ou uma personalizao delas para o ambiente da rede e, alm
disso, deve ser definido em documento, podendo estar no corpo da norma ou em documento
separado );
- a estruturao lgica e fsica dos equipamentos e softwares de segurana ou que
possuam funcionalidades de segurana ( pode requerer um documento com classificao sigilosa ) e
respectivas regras de segurana e POP - procedimentos operacionais padro - para manter, adequar,
monitorar e aplicar contingncia a essa estrutura;
- o plano de contingncia da rede;
- documentao da segurana orgnica da OM.

e) POP sobre os processos de monitorao das falhas, da performance, da


configurao, da segurana e, se for o caso, da contabilizao ( taxao do uso de recursos da rede )
;

f) histrico das violaes de segurana da rede ( documento de classificao sigilosa


).
CAPTULO IV
DOS SERVIOS, SISTEMAS OPERACIONAIS E APLICATIVOS DE REDE

Seo I
Dos Servios de Rede

Art. 78. Os servios de rede oferecidos nas redes locais ou na rede corporativa do
Exrcito devem ser regulados por normas especficas ou em captulos prprios de normas
elaboradas para cada ambiente de rede em particular. As regras de segurana bsicas para os esses
servios devem considerar, no mnimo, os seguintes aspectos:

I - configurao do servio;

II - controle de acesso para administrao do servio;

III - entrada no sistema (log on);

IV - configurao do servidor onde o servio est instalado;

V - configurao do sistema operacional sobre o qual o servio est instalado;

VI - procedimentos preventivos contra ameaas advindas de vrus de computador e


demais cdigos maliciosos;

VII - procedimentos em caso de deteco de violao da segurana do servio

VIII - procedimentos em caso de corrompimento ou interrupo do funcionamento


de um servio de rede em funo de uma violao de segurana;

IX - procedimentos para backup de informaes do servio;

X - procedimentos para backup dos log de eventos;

XI - deteco de violaes no servio;

XII - deteco da ao de cdigos malficos;

XIII - integridade dos dados gerados, processados ou enviados;

XIV - procedimentos de atualizao e correo do servio para fins de segurana.

Pargrafo nico. Nas situaes em que a descrio das configuraes do servio ou


das demais caractersticas listadas neste artigo contenham informaes cuja exposio possa
comprometer a segurana da rede, a norma de ver ser convertida em um documento classificado.

Art. 79. Os servios de rede cujos dados processados contenham informaes cujo
teor seja considerado "sensvel" devem ser executados em segmentos isolados da rede, sendo que o
isolamento pode ser fsico ou lgico conforme o grau do risco envolvido. Considere-se informao
sensvel aquela que, ainda que no seja classificada, no convm que trafegue na mesma rede
juntamente com dados administrativos.
Art. 80. O planejamento de servios ou sistemas corporativos para uso em redes deve
prever, dentre os requisitos do sistema, a incluso de controles que permitam testes de auditoria
para verificao da efetividade das funcionalidades do servio ou sistema, assim como o registro de
eventos ocorridos.

Seo II
Dos Sistemas Operacionais de Rede

Art. 81. Os sistemas operacionais de rede devem ser instalados, configurados e


administrados de modo a permitir apenas os privilgios mnimos necessrios para atender aos
requisitos da rede.

Art. 82. Os sistemas operacionais de rede devem funcionar de forma atualizada, com
as ltimas correes de segurana fornecidas pelo seu fabricante. O DCT, por meio de publicao
em pgina eletrnica do Centro Integrado de Telemtica do Exrcito, disponibilizar informaes
sobre as atualizaes necessrias.

Art. 83. As regras administrativas relativas aos sistemas operacionais de rede em uso
no Exrcito devem considerar os seguintes aspectos:

I - identificao de usurio e autenticao desta identificao;


II - controle de acesso;
III - compartimentalizao de privilgios de controle de acesso para administrao do
sistema;
IV - proteo contra reuso de objetos relacionados segurana, tais como senhas,
informaes de histrico de operaes de configurao etc.
V - contabilizao do uso dos recursos do sistema;
VI - armazenamento de informaes de histrico sobre os eventos ocorridos no
sistema;
VII - comunicao remota (para fins de administrao) segura (conexo e enlace );
VIII - deteco de intruso
IX - registro de eventos do sistema.

Seo III
Dos Aplicativos de Rede

Art. 84. Aplicativos de rede que contenham funcionalidades de segurana devem


fazer uso dessas funcionalidades, exceto nos casos em outras protees especficas de segurana
sejam utilizadas e tornem desnecessrias ou contraproducentes as medidas adicionais do aplicativo.

1 Este artigo trata de funcionalidades de segurana do aplicativo e no de


correes de segurana necessrias disponibilizadas pelo fabricante. Essas correes so de
instalao e ativao obrigatrias.
2 Nos casos em que a funcionalidade de segurana do aplicativo seja redundante
em relao a outras protees da rede, cabe ao gerente da rede a deciso sobre a necessidade ou no
da ativar a funcionalidade.

3 Nos casos em que a funcionalidade de segurana do aplicativo complemente a


proteo existente na rede ou seja a nica proteo contra riscos informao, sua ativao
obrigatria e deve ser documentada nas normas de segurana da rede.

Seo IV
Dos Bancos de Dados

Art. 85. Os dados corporativos armazenados em bando de dados devem contar com
ferramentas de segurana, sejam inerentes ao produto que implementa o banco ou implementadas
por produtos de segurana externos ao banco, que garantam a integridade, a disponibilidade e, se for
o caso, a confidencialidade dos dados, assim como controlem as formas de autenticao e os
privilgios de acesso de quem acesse o banco.

Art. 86. Os servios essenciais de segurana dos bancos de dados corporativos


devem:

I - ser ativados de modo compatvel com os riscos envolvidos;

II - estarem disciplinados em regras de segurana da norma interna de rede;

III - ter o acesso aos dados viabilizado sempre por alguma tcnica de autenticao
adequada;

IV - ter o controle de acesso ativado e configurado de tal modo a propiciar apenas os


privilgios de acesso necessrios para realizao das operaes de cada tipo de usurio;

V - ter os registros de eventos ( log de eventos ) ativados e configurados de tal modo


a registrar as ocorrncias definidas como essenciais nas regras de segurana da norma interna da
OM;

VI - garantir a disponibilidade dos dados tanto em relao ao acesso via rede ou por
meio da recuperao de cpias de segurana para os usurios com privilgio de acesso;

VII - garantir da integridade de dados pelo uso das funcionalidades de deteco e


correo de erros;
VIII - realizar cpias de segurana ( backup ) peridicas;
IX - armazenar dados sigilosos cuja classificao o permita na forma criptografada;
X - ativar e configurar de modo compatvel com a norma de segurana da rede as
funcionalidades de gerncia, se ferramenta oferecer esse recurso.
CAPTULO V
DAS INSTALAES FSICAS

Art. 87. A segurana das instalaes onde se encontram os equipamentos e as mdias


de transmisso dos dados da rede deve estar disciplinada por regras que, preferencialmente, estaro
definidas na documentao da segurana orgnica da OM, podendo, dependendo das
particularidades do ambiente fsico da rede, constar da norma de segurana de redes.

Art. 88. O acesso fsico aos equipamentos onde servios de segurana da informao
ou outros servios considerados crticos estejam instalados deve ser restrito ao mnimo necessrio
de usurios autorizados.

Art. 89. Os pontos de rede disponveis nas reas da OM devem ser ativados apenas
conforme a necessidade para prevenir tentativas de conexes no autorizadas de computadores
portteis.

Art. 90. O acesso fsico, de pessoal que no seja usurio de recursos crticos da rede,
s dependncias onde esses recursos esto instalados deve ser controlado.

CAPTULO VI
DAS CONTINGNCIAS

Art. 91. As redes do Exrcito devem contar com planos de contingncia


especificamente elaborados para seus ambientes de modo que esteja previsto como se deve agir em
situaes de perda de um ou mais dos atributos de segurana da informao, quais sejam,
integridade, disponibilidade ou confidencialidade.

Pargrafo nico. A perda de integridade, disponibilidade ou confidencialidade da


informao em uma rede, dentre outras diversas possibilidades, ocorre quando:

I - so efetivados ataques diretos aos dados em trnsito, armazenados ou em


processamento na rede;

II - so efetivados ataques diretos aos recursos de hardware, software, infra-


estruturas lgica e eltrica por meio dos quais os dados da rede so processados;

III - situaes imprevistas, resultantes de imperfeies nos processos pelos quais as


informaes crticas passam, seja atravs do hardware, do software, da infra-estrutura lgica e da
alimentao eltrica;

IV - acidentes advindos por impercia, imprudncia, negligncia ou, ainda, por m f


quem opera um recurso de software ou hardware pelo qual dados crticos passam;

V - acidentes advindos de catstrofes naturais.

Art. 92. O Plano de Contingncia da rede deve seguir o modelo descrito no ANEXO
E.

Art. 93. Dependendo da sua complexidade, o Plano de Contingncia da rede pode


compor uma parte da norma de segurana ou uma documentao parte.
Art. 94. A execuo do plano de contingncia da rede deve ser testada
periodicamente para que seja verificada a sua efetividade.

Art. 95. O perodo de que trata este artigo deve ser atribudo de acordo com as
caractersticas de cada OM e sua estipulao est a cargo do Comandante, mediante proposta a ser
apresentada pelo responsvel pela segurana da informao na OM.

Art. 96. O processo para elaborao, manuteno e atualizao do Plano de


Contingncia o seguinte:

I - identificao dos processos administrativos crticos para a misso da OM e que


dependam em algum grau de ferramentas de tecnologia da informao;

II - identificao de recursos e servios crticos que implementam a parte tecnolgica


dos processos administrativos que se refere o item anterior; como exemplos de recursos e servios
se tem:
a) computadores;
b) softwares;
c) equipamentos de rede;
d) componentes da infra-estrutura de alimentao eltrica;
e) componentes da infra-estrutura de cabeamento lgico;
f) equipamentos de comunicaes;
g) pessoal.
h) servios de rede;
i) sistemas corporativos.

III - anlise de riscos sobre os recursos e servios identificados no item anterior para
que se tenha uma medida da sua importncia, seu grau de vulnerabilidade, as chances de violao e
o impacto gerado por essa violao;

IV - identificao dos servios e recursos que necessitam de contingncias para


garantir a continuidade dos processos crticos para a OM;

V - identificao das aes necessrias para implementar a contingncia do servio


conforme o tipo de categoria de violao da informao que processada no recursos ou pelo
servio (categoria de violao: violao da confidencialidade, violao da integridade, violao da
disponibilidade )

VI - identificao dos recursos necessrios para implementar as aes identificadas;

VII - identificao do pessoal, conforme as competncias necessrias e disponveis


para implementar as aes;

VIII - estabelecimentos dos processos para lidar com cada tipo de categoria de
violao;

IX - redao do plano de contingncia conforme modelo do ANEXO E;


X - teste da efetividade do plano;

XI - aprovao por meio de publicao em BI;

XII - simulao peridica do plano para aferir sua efetividade e o adestramento do


pessoal;

XIII - elaborao de relatrio sobre os fatos observados nos testes;

XIV - reviso e atualizao do plano conforme a demanda identificada nos


relatrios.

Art. 97. O plano de contingncia deve receber classificao sigilosa e ser


adequadamente mantido em local seguro conforme legislao para tratamento de documentao
sigilosa em vigor.

Pargrafo nico. O mesmo tratamento dever ser aplicado aos arquivos eletrnicos
que originaram a documentao em pauta.

Art. 98. O Comandante, Chefe ou Diretor dever designar, por publicao em


boletim interno, militares da OM para aturem como pontos de contato nas situaes de
acionamento de contingncias.

Art. 99. Os pontos de contato devero ser de tantos tipos quanto forem necessrios ao
tratamento das possveis situaes de contingncias devendo haver, pelo menos, dois tipos:

I - gerncia da rede da OM: responsvel(is) pelas primeiras medidas para lidar com
os problemas de segurana ocorridos na rede de comunicaes ou de computadores e que tenham
reflexos no contexto da prpria rede;

II - operao tcnica: responsvel(is) pelas primeiras medidas para lidar com os


problemas de segurana ocorridos em recursos especficos da rede nos quais especialista.

Art. 100. Em casos em que as caractersticas das reas e instalaes, alm das
condies ambientais, forem tais que existam riscos para a rede da OM, a elaborao do plano de
contingncia deve levar em considerao situaes de desastre, tais como:

a) incndios na sala de servidores ou equipamentos crticos;

b) inundao;

c) infiltraes;

d) desabamento;

e) exploses.

Art. 101. O Plano de Contingncia deve ser testado periodicamente, em perodos no


superiores a seis meses. As tcnicas empregadas podem variar conforme as peculiaridades da rede e
seus servios, sendo consideradas como bsicas as seguintes:

I - testes de recuperao das cpias de segurana ( backup );

II - testes de reativao de servios crticos ( ativao de uma instalao alternativa


em outro servidor ou reinstalao e reconfigurao do servio );

III - teste da atualizao dos contatos com as pessoas envolvidas;

IV - teste da destreza e eficcia das tarefas desempenhadas pelos diversos grupos.

CAPTULO VIII
DA VERIFICAO DA EFETIVIDADE
Art. 102. As normas de segurana de rede devem conter regras relativas aos
controles necessrios para verificar a efetividade das medidas de segurana implementadas para
proteger a rede e os dados nela processados.
Art. 103. Os controles bsicos para verificao da efetividade so:

I - legislao vigente;

II - as normas de segurana da rede;

III - a documentao da segurana orgnica da OM;

IV - outras normas de segurana que tenham aplicao no ambiente de rede;


V - configuraes de segurana de hardware e software, tanto dos sistemas que
tenha funcionalidades de segurana, quanto dos sistemas especficos de segurana.

Art. 104. A verificao da efetividade um processo que pode ter carter preventivo
ou de investigao de acordo com a necessidade.

Art. 105. A verificao da efetividade com carter de investigao busca esclarecer


as razes de uma violao de segurana e a auditoria de carter preventivo verifica a conformidade
e efetividade das aes de segurana.

Art. 106. A tcnica bsica a ser empregada para a verificao a das "listas de
verificao", as quais podem ser obtidas por meio do acesso pgina eletrnica do CITEx.

1 A aplicao das listas de verificao deve obedecer ao modelo do ANEXO F.

2 A aplicao de tcnicas mais sofisticadas, em relao s listas de verificao,


passveis de serem utilizadas na rede sero usadas em auditorias externas realizadas por CT ou
CTA, podendo ser usadas pelo pessoal interno, desde de que especializado na tcnica e, se for o
caso, na ferramenta que a implementa.
Art. 107. A verificao de efetividade deve ser um processo aplicado periodicamente
no ambiente de rede da OM.

Pargrafo nico. O perodo de verificao deve ser estipulado de acordo com as


peculiaridades da rede, no entanto, esse perodo no dever exceder a seis meses.

Art. 108. Ao trmino de qualquer processo de verificao de efetividade, dever ser


gerado um relatrio conforme o modelo do ANEXO G.

Pargrafo nico. Caso haja a constatao de violaes de segurana, o relatrio


dever receber classificao sigilosa e encaminhado ao CITEx para fins de registro de histrico
sobre violaes de segurana para a equipe de pronta resposta a incidentes do Exrcito.

Art. 109. O processo bsico de verificao de efetividade deve seguintes etapas:

I - levantamento de informaes sobre a caracterizao da rede a ser verificada;

II - identificao dos pontos de controle especficos da rede (equipamentos e/ou


servios) sob auditoria;

III - escolha dos controles necessrios;

IV - avaliao dos pontos de controle selecionados por meio da aplicao da tcnica


de listas de verificao ( auditoria interna );

V - (se for o caso) avaliao dos pontos de controle selecionados por meio da
aplicao de tcnicas especficas selecionada pela equipe de auditoria ( auditoria externa -
CITEX/CTA/CT);.

VI - Preenchimento do relatrio de auditoria conforme modelos constantes das


normas de auditoria da segurana da informao vigentes no Exrcito;

VII - Encaminhamento do relatrio para os responsveis pela gerncia da rede ( nos


casos de auditoria externa );

VIII - Encaminhamento do relatrio para o CITEX para fins de estatstica e


aprimoramento das formas de respostas ao incidentes de segurana.

Art. 110. Todas as aes relativas verificao de efetividade dever estar em


conformidade com as Instrues relativas auditoria da segurana da informao.
CAPTULO IX
DO GERENCIAMENTO DA SEGURANA

Seo I
Do Processo de Gerenciamento

Art. 111. A gerncia da segurana da rede deve atuar nas seguintes reas:

I - DOCUMENTAO NORMATIVA DE SEGURANA DA INFORMAO - A


documentao normativa de segurana da informao compreende todas publicaes oficiais do
Exrcito sobre o temas "segurana da informao", salvaguarda de assuntos sigilosos e contra-
inteligncia (Instrues Gerais, Reguladoras ou Provisrias, Manuais, Normas etc) passveis de
serem aplicadas no ambiente da rede;

II - GESTO DE RISCOS - A gesto de riscos o processo que identifica que


recurso informacional est sob risco, as chances do risco se concretizar, o impacto causado por essa
concretizao e as medidas de abrandamento do risco. Esse processo est definido em Instrues
especficas do Exrcito e deve ser usado na gesto da rede para subsidiar a escolha, a aquisio, o
uso, a configurao, a expanso, a atualizao dos recursos da rede, alm outras situaes que
causem impactos nesses recursos;

III - PRODUTOS TECNOLGICOS DE SEGURANA DA INFORMAO -


Produtos tecnolgicos de segurana da informao compreendem os equipamentos e solues de
software e de infra-estrutura fsica que compem a proteo de segurana da rede;

IV - FUNCIONALIDADES DE SEGURANA DE UM PRODUTO OU SERVIO


- Mecanismos de segurana presentes em produtos no destinados prioritariamente a prover
segurana compreendem todas as funcionalidades de segurana passveis de serem configuradas
nesses produtos e que agregam proteo informao;

V - MECANISMOS DE CONTINGNCIA E CONTINUIDADE DE SERVIOS -


Mecanismos de contingncia e continuidade de servios so as normas, processos e medidas
implementadas por meio do plano de contingncia;

VI - AUDITORIA DE SEGURANA DA INFORMAO - Auditoria de segurana


da informao o processo de verificao da conformidade entre o que estabelecido para a aplicar
a segurana da informao e o que implementado de fato. Esse processo est definido em
Instrues especficas do Exrcito;

VII - RECURSOS HUMANOS - O aspecto relativo aos recursos humanos, no que


diz respeito ao seu comportamento na operao do recursos de TI, enfoca o pessoal que: gerencia os
processos de segurana, opera os produtos de segurana e o usurio final;

VIII - REAS E INSTALAES ONDE OS RECURSOS DE INFORMAO


ESTO - reas e instalaes compreendem as reas onde os recursos de informao a ser protegida
esto, ou por onde passam ou so armazenados os dados e informaes;

IX - PROCESSO DE GERENCIAMENTO DA SEGURANA DA INFORMAO


- O processo de gerenciamento da segurana da informao de redes mecanismo que define as
aes de planejamento, monitorao e adequao das medidas de segurana da informao na rede;
X - TRATAMENTO DE INCIDENTES E PRESERVAO DE EVIDNCIAS - O
tratamento de incidentes lida com a forma com a qual se deve reagir ou prevenir incidentes de
segurana, enquanto a preservao de evidncia est relacionada a salvaguarda de registros de
eventos, assim como estados de configuraes de servios e equipamentos que tenham sido
modificados de forma ilegtima e violando a segurana para fins de investigao e apurao de
responsabilidades.

112. O processo bsico de gerenciamento da segurana da informao em redes o


seguinte:

I - identificao dos processos administrativos da OM;

II - identificao dos servios de rede que automatizam ou apiam os processos


administrativos da OM;

III - estabelecimento (estrutura de rede a ser implantada) ou reconhecimento


(estrutura de rede j implantada) da finalidade da rede e seus objetivos especficos, ou seja,
estabelecimento ou reconhecimento da finalidade e os objetivos do conjunto dos servios de rede
que automatizam ou apiam os processos administrativos da OM;

IV - identificao dos requisitos que impem como deve ser conduzido o processo de
segurana na rede ( processos administrativos que a segurana deve proteger, regras estabelecidas
em normas de segurana ou de contra-inteligncia, requisitos de equipamentos ou softwares,
normas tcnicas, ordens do Comandante, obrigaes contratuais, legislao do Pas, demandas do
servio ou do usurio etc );

V - implementao das regras existentes na documentao normativa nos servios de


rede;

VI - registros das regras que no puderam ser atendidas, os motivos da


impossibilidade e a comunicao do fato ao Comandante, em documento que indique linhas de ao
para adequao da situao;

VII - anlise de riscos do ambiente da rede, de acordo com a metodologia definida


nas Instrues especficas sobre riscos;

VIII - implementao das medidas de abrandamento do risco resultantes da anlise


de risco;

IX - monitorao contnua dos resultados das medidas de segurana para aferio da


sua efetividade, sendo que, periodicamente, devem-se realizar processos de auditoria para averiguar
mais precisamente as condies de segurana;

X - adequao das medidas de segurana como resultado da monitorao, da


auditoria, das inovaes tecnolgicas, das novas orientaes normativas etc, para manter o risco de
violao da segurana em patamares aceitveis.

Pargrafo nico. O processo de que trata este artigo est representado na figura 2.
Seo II

Das Aes Administrativas

Art. 113. As aes administrativas do gerenciamento da segurana da informao


abrangem os aspectos no eminentemente de tecnologia da informao, mas que so relevantes
para a manuteno das aes de segurana. Esto entre essas aes, as seguintes:

I - trmite de documentao contendo informao que necessita de proteo;

II - cumprimento de contratos de fornecimento, suporte ou outros servios ps-


venda;

III - gesto de licenas de uso de software;

IV - especificao de material, equipamentos e softwares para aquisio em


processos licitatrios;

V - recebimento de material, equipamentos e softwares de segurana adquiridos;

VI - manuteno de equipamentos que contenham dados sensveis;

VII - seleo, treinamento e conscientizao de pessoal para atuar com


equipamentos, softwares ou diretamente com dados que necessitam de segurana;

VIII - obteno de informaes sobre boas prticas, alertas e estado da arte sobre
segurana da informao.

Art. 114. O cumprimento de contratos, quando atingem a segurana da informao,


devem ser acompanhados pela responsvel pela segurana da informao da OM, que dever
manter o Comandante informado sobre o cumprimento ou no das clusulas contratuais que atinjam
a segurana.

Art. 115. A manuteno, realizada em instalaes externas OM, de equipamentos


onde esto instalados servios utilizados para segurana da rede deve ser precedida pela realizao
de cpias de segurana ( backup ) dos arquivos que contenham registros de eventos e outros dados
sensveis e, a seguir, os arquivos originais devem ser destrudos por meio de sucessivos processos
de sobrescrita e apagamento.

Pargrafo nico. Caso no seja possvel realizar a operao de destruio dos dados
de que trata este artigo, caber ao Comandante, assessorado pelo seu corpo tcnico, decidir se o
equipamento ou parte dele poder sofrer a manuteno fora da OM.
INCIO

IDENTIFICAO DOS
PROCESSOS ADMINISTRATIVOS

IDENTIFICAO DOS SERVIOS


DE REDE QUE APIAM OS
PROCESSOS ADMINISTRATIVOS

IDENTIFICAO DA FINALIDADE E
NO DOS OBJETIVOS DA REDE

REQUER APENAS SIM


IDENTIFICAO DOS REQUISITOS
MUDANAS NAS MEDIDAS DE
DE SEGURANA
SEGURANA?

APLICAO DAS REGRAS DE


SEGURANA

ANLISE DE RISCO DO AMBIENTE


DE REDE

IMPLEMENTAO DAS MEDIDAS DE


ABRANDAMENTO DOS RISCOS

MONITORAO DOS RESULTADOS

ADEQUAO DAS MEDIDAS DE


SEGURANA

Fig n 2: Processo de gesto de segurana de rede.


Art. 116. Toda violao da segurana da informao na rede da OM que comprometa
a sua misso dever ser notificado ao Comandante da OM que dever julgar se ou no matria
sigilosa.
1 Violaes de segurana da informao devem ser notificadas mensalmente ao
CITEx para fins de anlise e adequao de medidas de defesa contra o tipo de violaes ocorrida,
estatstica e aprimoramento da doutrina de segurana da informao. A notificao deve ser feita
pelo contato disponvel na pgina eletrnica daquele Centro.
2 Violaes consideradas graves, tais como vrus de computador que causem
perda de dados, invases feitas por hackers, sabotagem do sistema de informao da OM, fraudes
etc, devem ser imediatamente notificadas ao CITEx para fins de resposta ao incidente de segurana
surgido.
3 Dependendo das possveis repercurses da violao, a comunicao deve ser
feita por meio de documento com classificao sigilosa.
Art. 117. As OM que no possuam, no seu efetivo, militares com a capacitao
tcnica para elaborar as normas de segurana da informao devem solicitar apoio aos CT ou CTA
correspondentes a Regio Militar a que pertencem.
Art. 118. As violaes de segurana que atinjam quaisquer das redes internas da
Fora e com reflexos fora do contexto do Exrcito s podero ser comentadas para o pblico
externo e imprensa pelo CComSEx ou conforme critrio estabelecido pelo Comandante da Fora.
Art. 119. Os responsveis pela segurana da informao da rede da OM dever estar
atualizado quanto aos incidentes de segurana da informao para melhor desempenho de sua
funo. O ponto de partida para obter essa orientao acessar a informaes sobre respostas a
incidentes de segurana existentes na pgina eletrnica do CITEx.
Art. 120. As normas relativas ao gerenciamento de segurana da informao de uma
rede devem ser classificadas. O ANEXO H define o modelo a ser utilizado.
Art. 121. O uso de meios de Tecnologia da Informao por pessoal do Exrcito, seja
civil ou militar, assim como por elementos pertencentes a outras organizaes, pblicas ou privadas,
poder estar condicionado a assinatura de termo de compromisso de manuteno de sigilo de acordo
com modelo constante das Instrues Gerais para Salvaguarda de Assuntos Sigilosos, ou
instrumento legislativo que o valha.
1 O pessoal de outras organizaes que, por fora da necessidade, tiver acesso a
assuntos classificados, dever assinar termo de compromisso de manuteno de sigilo;
2 O pessoal pertencente ao Exrcito que, por fora da necessidade, tiver acesso a
assuntos classificados, poder ou no assinar termo de compromisso de manuteno de sigilo,
cabendo ao Comandante da OM definir quais os casos pertinentes.

Seo III
Dos Aspectos Tcnicos

Art. 122. Os aspectos tcnicos da gesto da segurana da informao em redes


devem abranger as aes gerenciais, seja de monitorao ou interveno direta no funcionamento de
equipamentos e softwares, que garantam a manuteno das regras de segurana estabelecidas em
normas ou planos de segurana ou que venham a adequ-las para uma efetiva proteo da rede.

Art. 123. As aes gerenciais devem surgir como resultado dos requisitos de
segurana de cada ambiente de rede, no entanto, os seguintes aspectos devem ser considerados
quando da realizao da anlise de riscos e da elaborao das normas de segurana:
I - elaborao, aplicao e atualizao das polticas;
II - direitos e privilgios no controle de acesso a dados;
III - uso de criptografia;
IV - assinatura digital;
V - certificao digital;
VI - identificao e autenticao de usurios da rede;
VII - acesso remoto;
VIII - uso de mais de servio de rede em um s computador;
IX - senhas;
X - contas de acesso rede de usurios ( particular ateno deve ser dada s contas
do pessoal em frias, transferidos, convidados e annimos );
XI - cpias de segurana ( backup );
XII - ativao e armazenamentos de log de eventos;
XIII - atualizao dos sistemas operacionais;
XIV - contedo de stios Internet das OM;
XV - configurao e uso de aplicativos ou plataformas de gerencia de rede.

Art. 124. Os sistemas operacionais dos computadores onde estiverem instalados


softwares de defesa contra ataques rede devem ter sua instalao configurada de modo a prover o
mnimo possvel de privilgios aos usurios do equipamento, assim como todos as atualizaes
disponibilizadas pelo fabricante devem ser instaladas no menor prazo possvel.

Art. 125. O POP da gerncia deve prever procedimentos para checar as atualizaes.

Art. 126. A transmisso e armazenamento de arquivos contendo documentos com


classificao sigilosa nas redes internas e para externas deve ser controlada em todas as categorias
de rede conforme o previsto nas IG 10-51.

Art. 127. Devem ser realizadas cpias de segurana ( backup ) de dados e


configuraes de sistema de uma forma regular e deve-se realizar o armazenamento dessas cpias
de segurana em local seguro e em instalaes fsicas distintas de onde os dados originais esto.

Art. 128. Ferramentas especficas para quebra de segurana no devem ser utilizadas,
exceto por pessoal autorizado e de forma controlada pelo responsvel pela administrao da rede
para fins de teste de segurana da rede.
Seo IV
Dos Aspectos do Pessoal

Art. 129. O pessoal responsvel pela operao e gesto da segurana deve estar
treinado e atualizado no manuseio e conduo do processo de gesto da segurana, logo as OM
devero incluir em seus planejamentos financeiros recursos para esse fim.
Seo V
Dos Aspectos de Tratamento de Incidentes e Preservao de Evidncias

Art. 130. A gerncia da rede dever proceder ao tratamento de incidentes de


segurana priorizando: a preservao das evidncias sobre a autoria e razes da violao de
segurana, a continuidade dos servios e o processo de recuperao da condio de normalidade.

Art. 131. Os incidentes de segurana devem ser documentados e armazenados


juntamente com os registros dos eventos que os caracterizam e a documentao resultante deve ser
remetida ao CITEx para fins de histrico e providncias cabveis no tocante a resposta ao incidente.

Pargrafo nico. A onde ocorrer o incidente OM dever notificar o CTA ou CT


estiver vinculada caso esses Centros j possuam Sees de Tratamento de Incidentes.

Art. 132. O processo de preservao de evidncias, pode demandar servios


especializados de checagem e averiguao dos recursos violados, o que poder implicar na
solicitao de apoio do CITEx ou de um CT ou CTA ao qual a OM estiver vinculada.

Art. 133. A gerncia da OM dever realizar os procedimentos relativos aos registros


de eventos e continuidade de servios contidas nestas Instrues, assim como outras providncias
dispostas nestas regras e ficar em condies de passar por processos de auditagem por parte da
estrutura do CITEx organizada para essa tarefa.

TTULO IV
DAS RESPONSABILIDADES

CAPTULO I
DO DEPARTAMENTO DE CINCIA E TECNOLOGIA

Art. 134. Compete ao Departamento de Cincia e Tecnologia:

I - propor ao EME norma de especificao, uso, manuteno de equipamentos e


softwares criptogrfico para o Exrcito;

II - propor ao EME uma estrutura funcional necessria para gerir a segurana da


informao nas redes do Exrcito;

III - estabelecer os requisitos para:


a) especificao, teste, aquisio, uso, manuteno de ferramentas de software e o
hardware para segurana da informao em redes de dados e de comunicao;
b) implementao de sistemas corporativos com mecanismos de segurana;
c) aplicao de procedimentos de auditagem das OM pelos CTA e CT;
d) planejamento, implementao e aplicao de mtodos e produtos para respostas
incidentes e preservao de evidncias em situaes de violao de segurana.
IV - definir a sistemtica de treinamento e atualizao de pessoal para manuseio
adequado das ferramentas e hardware de segurana em redes;
V - especificar o formato e a periodicidade que as informaes de eventos de
segurana registrados nos sistemas do CITEx para fins de histrico e estatsticas;
VI - estabelecer as mtricas e, em casos especficos, cotas para os indicadores de
segurana das rede corporativas;
VII - fomentar a pesquisa e o desenvolvimento e a aplicao de solues
criptogrficas;
VIII - manter a atualizada a doutrina relativa segurana da informao em ambiente
de rede definidas nestas Instrues;
IX - prever no planejamento oramentrio as necessidades de recursos destinados
segurana da informao das redes corporativas do Exrcito;
X - acompanhar o estado da arte nas reas metodolgica, de hardware e de software
para segurana da informao em redes;
XI - acompanhar o cumprimento das atribuies destas Instrues;
XII - auditar a efetividade do cumprimento destas Instrues no mbito das suas
OMDS;

XIII - realizar, por meio de suas OMDS, verificaes de rotina ou inopinadas da


eficcia das protees das redes das OM do Exrcito, visando aprimorar o processo de proteo nas
redes da Fora;

XIV - prover ao CITEx os dados necessrios para atualizar as informaes sobre


configurao de ferramentas de segurana para publicao na pgina eletrnica da EBNet daquele
Centro para orientao das OM do Exrcito;

XV - orientar o CITEx na consecuo peridica de anlise de riscos na Rede Rdio


Estratgica e, a partir do resultado da anlise, diagnosticar quais os riscos envolvidos na rede;

XVI - orientar o CITEx na consecuo de anlise de riscos para o uso de Redes


Rdios Tticas e, a partir do resultado da anlise, diagnosticar quais os riscos envolvidos nas redes;

XVII - realizar a gesto estratgica dos assuntos referentes a incidentes da rede


corporativa, tendo por rgo operacional o CITEx, por meio da Seo de Tratamento de Incidentes
de Rede, podendo:

a) notificar uma OM, a partir da qual estejam sendo originados eventos de violao
de segurana na rede corporativa, para as devidas providncias de neutralizao do problema;

b) suspender temporariamente a conexo de rede de uma OM Rede Corporativa do


Exrcito nos casos extremos em sejam identificados ataques essa rede considerados graves
(implantao de dados corporativos falsos, substituio, destruio ou reuso de dados corporativos
lcitos, falsificao de acesso de usurios com privilgios especiais, violao de chaves
criptogrficas de uso real, vazamento de informaes do Sistema de Inteligncia, alm de outros
que possam ser identificados) enquanto a ameaa perdurar.
XVIII - criar demanda, a partir das necessidades da Fora, a respeito das atividades
de pesquisa a serem desenvolvidas pelo Grupo Finalstico de Segurana da Informao.

CAPTULO II
DO CENTRO DE DESENVOLVIMENTO DE SISTEMAS

Art. 135. Compete ao Centro de Desenvolvimento de Sistemas:

I - especificar as solues de software e hardware de segurana da informao para


uso nas redes do Exrcito conforme os requisitos estabelecidos pelo DCT;

II - desenvolver sistemas corporativos com recursos de segurana da informao


conforme requisitos estabelecidos pelo DCT;

III - acompanhar, por meio de atividades de prospeco na rea de segurana, as


novidades metodolgicas e tecnolgicas relacionadas segurana da informao;

IV - pesquisar os requisitos dos servios da rede corporativa do Exrcito e propor ao


DCT as normas de segurana para esses servios;

V - realizar prospeco sobre as melhores prticas a respeito do uso de ferramentas


de segurana, tais como firewall e sistemas de deteco ou preveno de intruso;

VI - propor ao DCT, de forma peridica e em intervalos de tempo no superiores a


um ano, sugestes quanto ao aprimoramento destas Instrues com base no conhecimento advindo
do acompanhamento das novidades metodolgicas e tecnolgicas no setor.

CAPTULO III
DO CENTRO INTEGRADO DE TELEMTICA DO EXRCITO

Art. 136. Compete ao Centro Integrado de Telemtica do Exrcito:

I - aplicar e gerenciar as solues de segurana da informao especificadas para uso


na rede corporativa do Exrcito;

II - informar o DCT as necessidades de especializao e tipos treinamento para o


pessoal diretamente envolvido na operao dos mecanismos de segurana da informao;

III - manter a Estrutura de Tratamento de Incidentes de Redes, tendo sua Seo de


Tratamento de Incidentes de Redes como rgo central da estrutura;

IV - registrar e manter armazenados os eventos ocorridos nos equipamentos e


sistemas que devem estar configurados para registrar essas informaes;

V - remeter ao DCT, em perodos e formatos estabelecidos por esse Departamento,


as informaes de eventos registrados;
VI - disseminar, por meio das suas OMDS e na rea de atuao de cada uma, a
doutrina contida nestas Instrues;

VII - manter atualizada e divulgar, atravs das pginas eletrnicas do Exrcito e do


CITEx, listas de verificao passveis de utilizao na elaborao de planos de contingncia nas
redes do Exrcito, assim como a periodicidade para notificao de ocorrncias de aes de cdigo
malficos;

VIII - manter em sua pgina eletrnica informaes sobre atualizaes de segurana


para os sistemas operacionais em utilizao na Fora;

IX - atualizar as listas de verificao a cada seis meses, ou a qualquer momento que a


necessidade obrigar, e informar o DCT das mudanas ocorridas;

X - publicar em sua pgina eletrnica na EBNet, a partir de orientaes do DCT, as


informaes sobre configurao de ferramentas de segurana para orientao das OM do Exrcito;

XI - executar periodicamente, conforme orientao do DCT, anlises de riscos nas


Redes Rdio Estratgica e Ttica e, a partir do resultado da anlise, diagnosticar quais os riscos
envolvidos e levantar as informaes necessrias para interpretar as evidncias de violao de
segurana;

XII - exercer a monitorao de incidentes na Rede Corporativa por meio da sua


Seo de Tratamentos de Incidentes e notificar o DCT sobre os incidentes identificados e
estabelecer uma rotina de interao com com os demais Centros de Tratamentos de Incidentes
Brasileiros e Internacionais de interesse do Exrcito;

XIII - propor ao DCT, de forma peridica e em intervalos de tempo no superiores a


um ano, sugestes quanto ao aprimoramento da doutrina de auditoria de segurana da informao
com base no conhecimento adquirido nas atividades de gerenciamento das rede de dados e
comunicaes.

CAPTULO IV
DO INSTITUTO MILITAR DE ENGENHARIA

Art. 137. Compete ao Instituto Militar de Engenharia:

I - incluir, dentre os trabalhos de tema dirigido, iniciao cientfica, projetos de fim


de curso, dissertaes de mestrado e teses de doutorado, temas relacionados segurana da
informao em redes de comunicao e de dados;

II - Disseminar aos membros do Grupo Finalstico de Segurana da Informao o


contedo dos trabalhos no artigo I;

III - propor ao DCT, de forma peridica e em intervalos de tempo no superiores a


um ano, sugestes quanto ao aprimoramento da doutrina de auditoria de segurana da informao
com base no conhecimento adquirido com os resultados dos trabalhos de graduao e ps-
graduao realizados sobre o tema.
CAPTULO V

DO DIRETORIA DE SERVIO GEOGRFICO

Art. 138. Compete Diretoria de Servio Geogrfico:

I - implementar nas informaes geogrficas sob sua gesto as protees necessrias,


conforme as anlises de riscos que forem realizadas no mbito da Diretoria;

II - propor ao DCT, de forma peridica e em intervalos de tempo no superiores a um


ano, sugestes quanto ao aprimoramento da doutrina de auditoria de segurana da informao com
base nas necessidades da rea do servio geogrfico.

CAPTULO VI

DO CENTRO INTEGRADO DE GUERRA ELETRNICA

Art. 139. Compete ao Centro Integrado de Guerra Eletrnica:

I - informar o DCT as necessidades de especializao e tipos treinamento para o


pessoal diretamente envolvido na operao de mecanismos tecnolgicos de segurana da
informao em redes das atividades de Guerra Eletrnica;

II - manter-se em condies de disseminar a doutrina de segurana da informao em


redes na rea de sua atuao a partir do apoio do DCT;

III - disseminar, por meio dos seus cursos, a doutrina contida nestas Instrues, com
as adaptaes julgadas pertinentes para a rea de Guerra Eletrnica.

CAPTULO VII

DO GRUPO FINALSTICO DE SEGURANA DA INFORMAO

Art. 140. Compete ao Grupo Finalstico de Segurana da Informao, por intermdio


do seu Chefe:

I - realizar atividades de pesquisas e desenvolvimento de segurana da informao


segundo a orientao do DCT;

II - propor ao DCT, de forma peridica e em intervalos de tempo no superiores a


dois anos, sugestes quanto ao aprimoramento da doutrina de segurana da informao em redes
com base no conhecimento adquirido com os resultados dos trabalhos de graduao e ps-
graduao realizados sobre o tema.
CAPTULO VIII
DAS OM DO EXRCITO

Art. 141. Compete s OM do Exrcito, por intermdio do seu Comandante:

I - manter inventrio dos recursos componentes do seu sistema de informao


conforme modelo constante das NARMCEI;

II - manter seus sistemas de informao em conformidade com o previstos nestas


Instrues e, assim, estar em condies adequadas para a realizao de auditorias;

III - nomear a equipe tcnica que proceder a auditoria interna da segurana da


informao;

IV - zelar para que estas Instrues sejam aplicadas no ambiente desta rede;

V - informar o CITEx sobre incidentes de rede ocorridos no seu ambiente de rede;

VI - comunicar ao DCT os casos em que forem identificadas eventuais


incompatibilidades entre a doutrina de segurana disseminada pelo DCT e a doutrina de contra-
inteligncia.

CAPTULO IX
DOS USURIOS DAS REDES

Art. 142. Compete aos usurios do Exrcito:

I - manter a confidencialidade dos dados sob sua responsabilidade, assim como sua
senha pessoal de acesso rede ou a servios especficos;

II - informar ao chefe imediato quaisquer violaes de segurana que vier a observar;

III - alterar quaisquer uma de suas senhas em caso de suspeita ou constatao de ela
foi exposta ou descoberta;

IV - encerrar sesses de trabalhado, ativar algum mecanismo de bloqueio de acesso


da conexo a rede ou a servios especficos de seu acesso sempre que se ausentar do computador
em que est operando;

V - evitar instalar qualquer programa seu sem a cincia e aprovao do responsvel


pela gerncia da rede;

VI - procurar se informar sobre as normas de segurana a que o desempenho de sua


funo est ligada;

VII - evitar editar arquivos de documentos sigilosos em computadores particulares,


em especial se conectados Internet;

VIII - ao transportar arquivos de trabalho para seu computador particular, procurar


realizar procedimento de verificao antivrus antes de reinserir o documento no computador de
trabalho;
IX - na elaborao de documentao com classificao sigilosa, ou no classificado
mas cuja publicao prematura seria inconveniente, procurar no deixar o documento exposto no
computador quando tiver de se afastar do equipamento e nem permitir que, quando da impresso do
documento em impressora que estiver numa localizao fsica distante do computador, as folhas
impressas fiquem expostas a outros usurios;

X - salvaguardar mdias de armazenamento, tais como disquetes, CD ROM,


pendrive, flash card etc, que contenham informaes que demandem cuidados de proteo
especiais, em especial as que forem de natureza sigilosa.
ANEXO A
MODELO DE NORMA DE SEGURANA PARA REDES DO EXRCITO

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM

NORMAS PARA SEGURANA DA INFORMAO DA REDE DE DA OM

1. FINALIDADE

( Deve-se transcrever a finalidade do documento, por exemplo: A finalidade desta norma


estabelecer as regras de segurana para proteo das informaes contidas na rede de
computadores e de comunicaes da OM XX. )

2. OBJETIVOS

( Deve-se transcrever os objetivos a serem atingidos pela aplicao da norma e que, em


conjunto, cumpram a finalidade estabelecida. )

3. CONCEITOS E PRESSUPOSTOS BSICOS

( Conceitos: deve-se transcrever neste item as terminologias especficas relacionadas ao uso e


gerncia da rede necessrias para facilitar o entendimento do documento. Pressupostos: item
opcional, caso se julgue necessrio estabelecer que, para aplicao das Instrues, certas
condies devem ser previamente atendidas e consideradas vigentes.)

4. REGRAS DE SEGURANA

( Deve-se transcrever todas as regras de segurana julgadas necessrias e, se a complexidade do


documento assim o exigir, separar grupos de regras em categorias, como ocorre nestas
Instrues. )

a. Regras Gerais ( regras de segurana de carter geral e voltadas para medidas de segurana dos
dados, informaes e conhecimentos armazenados, processados ou disseminados nos enlaces
ou equipamentos da rede )

b. Segurana dos Servios, Sistemas, Aplicativos e Sistemas Operacionais de Rede ( regras de


segurana referentes aos procedimentos de uso de: servios, tais como correio eletrnico ou
WEB; sistemas corporativos especficos do Exrcito; aplicativos de uso geral, tais como sutes
de escritrio; sistemas operacionais de rede ).
1) Dos Servios de Rede (subttulo referente aos servios);

2) Dos Sistemas Aplicativos (subttulo referente aos sistemas corporativos);

3) Dos Aplicativos de Rede (subttulo referente aos softwares aplicativos );

4) Dos Sistemas Operacionais de Rede (subttulo referente aos sistemas operacionais utilizados ).

c. Segurana do Hardware (regras de segurana referentes aos procedimentos de uso de


computadores servidores, computadores de uso especfico, computadores de uso geral,
perifricos de rede, equipamentos de interligao de rede - roteadores, switches, hubs, modem,
repetidores).

1) Computadores servidores;

2) Computadores de uso especfico;

3) Computadores de uso geral;

4) Perifricos de rede;

5) Equipamentos de interligao de rede;

6) Outros equipamentos.

d. Segurana das reas e Instalaes ( regras de segurana relativas ao controle de acesso e a


adequao das reas e instalaes onde se encontram equipamentos crticos da rede );

e. Cpias de Segurana ( Backup ) ( regras de sobre produo, armazenamento, teste, atualizao,


substituio e descarte de cpias de segurana no nvel de usurio final );

f. Segurana do Pessoal (regras de segurana relativas aos aspectos de sensibilizao e


treinamento do pessoal que lida com as redes no nvel de usurio final );

5. RESPONSABILIDADES

( Deve-se transcrever as obrigaes de cada seo/assessoria/funo da OM envolvida com a


aplicao das normas de segurana. )

6. PRESCRIES DIVERSAS
( Deve-se fazer uso deste item, caso existam particularidades do contexto da OM que no se
enquadrem nos itens anteriores, mas que sejam julgados importantes para a norma. )

Cidade, (DD) de (MM) de (AAAA)

-----------------------------------
Assinatura Comandante
ANEXO B
MODELO DE RELATRIO DE MUDANAS NA REDE

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM

RELATRIO DE MODIFICAES NA REDE DA OM XXXX

1. FINALIDADE
( finalidade do documento )

2. ASSUNTO
( descrio sumria da modificao em pauta )

3. DATA DA MODIFICAO
( data em que ocorreu a modificao; caso a mudana ocorra num perodo que abranja mais de
um dia, o perodo, destacando-se a data de incio e fim, deve ser explicitado )

4. DESCRIO DA MODIFICAO
( descrio detalhada da modificao necessria e do processo de como a modificao foi
feita )

5. RESPONSVEIS
( registro de quem efetuou a mudana e que acompanhou ou fiscalizou )

6. DOCUMENTAO ENQUADRANTE
( se for o caso, deve ser citada a documentao normativa ou contratual sob a qual o processo
de mudana foi realizado )

7. REGISTROS ADICIONAIS
( deve-se registrar informaes adicionais julgadas pertinentes, em particular a respeito de
anlises de risco realizadas )

Cidade, (DD) de (MM) de (AAAA)

-----------------------------------

Oficial responsvel

-----------------------------------
Assinatura Comandante
ANEXO C
MODELO DE SOLICITAO PARA ACESSO REMOTO

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO

XXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXX

Local, ___ de ________ de 200_.

Of n
Do

Ao Sr Chefe do Centro Integrado de Telemtica


do Exrcito

Assunto: Cadastro no Acesso Remoto Seguro

1. Expediente versando sobre solicitao de cadastro de usurios desta OM no


Acesso Remoto Seguro EBNet.

2. Informo a V Exa que h necessidade que esta OM acesse o sistema de Acesso


Remoto Seguro, pelos seguintes motivos:

a. ...

b. ...

3. Esta OM no possui acesso EBNet (ou somente possui acesso EBNet por
intermdio de linha discada, o que implica em alto custo para as chamadas telefnicas).

4. Em conseqncia, solicito V Exa autorizar que os seguintes militares, em ordem


de prioridade, tenham o Acesso Remoto EBNet:

PRIORI POSTO NOME COMPLETO IDENTI- DESEJA CADASTRAR TELEFON


( Negritar Nome de
DADE GRAD Guerra)
DADE NOVA SENHA E

1 Ten ................. ............... Sim (xx)............


2 Sgt ................. ............... No (xx)............
________________________
Cmt OM
ANEXO D
MODELO DE NORMA DE SEGURANA PARA FIREWALLS/IDS/IPS

CLASSIFICAO

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM

NORMAS PARA DE SEGURANA PARA FIREWALLS ...... DA OM

1. FINALIDADE
( Deve-se transcrever a finalidade do documento. )

2. OBJETIVOS
( Deve-se transcrever os objetivos a serem atingidos pela aplicao da norma e que, em
conjunto, cumpram a finalidade estabelecida. )

3. NORMAS DE REFERNCIA
( Relao de normas relacionadas e que possam complementar ou respaldar o uso da norma de
firewall. )

4. REGRAS DE SEGURANA
( Deve-se transcrever todas as regras de segurana julgadas necessrias. )

a. Regras Gerais ( regras de segurana de carter geral para o firewall. )


b. Arquitetura do Firewall/IDS ( descrio da disposio fsica e lgica que os componentes do
firewall esto - roteadores , computadores servidores e Zonas desmilitarizadas - esquemas
grficos devem ser utilizados )
c. Regras para cada componente do Firewall
1) Roteador(es) externos ( regras relativas ao (s) roteador(es) que esto como interface entre a rede
e o mundo exterior )

1.1) Regras de filtragem de pacote (tipos de filtros implementados);

1.2) Rotas especficas (rotas estabelecidas de maneira forada, por motivo de segurana )
2) Roteador(es) internos (regras relativas ao (s) roteador(es) que esto como interface entre as
redes internas ou entre segmentos da rede )

2.1) Regras de filtragem de pacote (tipos de filtros implementados);

2.2) Rotas especficas (rotas estabelecidas de maneira forada, por motivo de segurana ).
2.3) Sistemas Operacionais ( regras referentes aos sistemas operacionais utilizados nos roteadores,
se for o caso ).
2.4) Configurao para registro de eventos (logs).

CLASSIFICAO

CLASSIFICAO

3) Firewalls de Aplicao ( software e computador - regras relativas ao software de firewall


implementado em um computador dedicado - se houver mais de um desses conjuntos, cada um
ter um item na norma descrevendo suas regras )

3.1) Regras de filtragem de pacote (tipos de filtros implementados);

3.2) Rotas especficas (rotas estabelecidas de maneira forada, por motivo de segurana ).

3.3) Regras de filtragem de aplicaes e servios ( servios e aplicaes de rede permitidas, seu
sentido [dentro para fora da rede ou vice-versa], em que parte ou segmento da rede
permitido, usurios permitidos, tipo de autenticao requerida etc )

3.4) Sistemas Operacionais ( regras referentes ao(s) sistema(s) operacional(is) utilizado(s) no(s)
servidor(es) onde est(o) instalado(s) o software(s) de firewall ).

3.5) Configurao para registro de eventos (logs).

d. Contingncias ( procedimentos par o caso de indisponibilidade de um, mais de um componente


ou at todo o sistema de firewall, formas alternativas de manter o servio de firewall ou
procedimento de interrupo, se for o caso. )

e. Testes de efetividade (regras sobre os testes par a verificao da eficcia e eficincia do sistema
de firewall e sua periodicidade ).

f. Segurana das reas e Instalaes ( regras de segurana relativas ao controle de acesso e a


adequao das reas e instalaes onde se encontram os componentes do firewall );

g. Cpias de Segurana ( Backup ) ( regras de sobre produo, armazenamento, teste, atualizao,


substituio e descarte de cpias de segurana das informaes de configurao ou outros
considerados importantes );

5. RESPONSABILIDADES
( Deve-se transcrever as obrigaes de cada responsvel pela operao, gerncia e manuteno
do firewall. )

6. PRESCRIES DIVERSAS
( Deve-se fazer uso deste item, caso existam particularidades do contexto da OM que no se
enquadrem nos itens anteriores, mas que sejam julgados importantes para a norma. )

Cidade, (DD) de (MM) de (AAAA)


-----------------------------------
Assinatura Comandante

CLASSIFICAO
ANEXO E
MODELO DE PLANO DE CONTINGNCIA

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM

(Este modelo se refere ao caso genrico com vrias possibilidades para composio do Plano
de Contingncia, NO SENDO OBRIGATRIO a reproduo todos os itens. Assim,
recomendvel que sejam confeccionadas as partes realmente necessrias e que a elaborao do
documento e sua vigncia sejam feitas gradualmente, elegendo-se escopos considerados prioritrios
e para esses escopos sejam realizadas as verses correspondentes.)

1. FINALIDADE
Transcrio da finalidade do plano. (Exemplo: A finalidade deste plano descrever os
procedimentos necessrios para lidar com situaes emergenciais de indisponibilidade dos servios
de informtica e de comunicaes necessrias continuidade dos servios da OM ....)

2. OBJETIVOS
Transcrio dos objetivos necessrios para cumprir a finalidade do plano. (Exemplo: A fim de
cumprir a finalidade anunciada, os seguintes objetivos so estipulados: definio dos grupos
envolvidos na conduo do processo, assim como as respectivas responsabilidades; descrio dos
procedimentos na ativao e desenvolvimento do plano para lidar com situaes emergenciais; e
descrio dos procedimentos para propiciar a restaurao das condies operacionais normais.)

3. PERODO DE VIGNCIA
( data da ltima atualizao, perodo de vigncia do plano e periodicidade do treinamento do
plano ).

4. SERVIOS ( OU PROCESSOS ) A SEREM PRESERVADOS


Esta relao dever estar organizada conforme as convenincias do ambiente para o qual o
plano de contingncia elaborado. Algumas categorias podem se demonstrar como convenientes,
por exemplo, os servios podem estar organizados em grupos, separados por critrios: de
criticidade, ou instncias administrativas etc.
Neste item deve constar a descrio dos servios considerados crticos e, portanto, para os
quais as medidas de contingncia esto voltadas. A descrio deve ser detalhada, sendo que o grau
de detalhamento obedecer aos critrios estabelecidos pelos elaboradores do plano. O mesmo
raciocnio deve ser aplicado ao item 5 ( Recursos ).
Alguns exemplos (genricos) so os seguintes:

a. Servio 1: ( denominao e descrio sumria da finalidade do servio ).


1) Configurao do servio: ( descrio de como o servio deve estar configurado para operar ).
2) Computador onde est instalado: ( identificao do computador e configurao do hardware ).
3) O sistema operacional utilizado no computador onde o servio est instalado: ( nome do
sistema, verso, service packs ou patches instalados e configurao do sistema ).
4) Servios adicionais instalados no mesmo computador: ( identificao do(s) software(s), verso,
service packs ou patches instalados e configurao do(s) software(s) ).
5) Localizao fsica: ( local onde est instalado o computador no qual o servio est instalado).
6) Localizao fsica dos softwares necessrios (localizao e forma de aceso aos softwares
necessrios para reativar o servio ).
7) Responsveis pela manuteno e operao: (relao nominal do pessoal a ser acionado nas
situaes de crise e formas de contato).
8) POP para ativar a contingncia: ( procedimentos operacionais bsicos (POP) necessrios para
acionar os meios alternativos para manter o servio ativo, tais meios devero abranger aspectos
humanos, materiais, instrumentais, computacionais, de instalaes fsicas etc ).
9) POP para as aes que devero vigorar durante a contingncia: ( POP necessrios para manter o
servio ativo, tais meios devero abranger aspectos humanos, materiais, instrumentais,
computacionais, de instalaes fsicas etc ).
10) POP retorno normalidade ( reinstalao e reativao ): ( procedimentos operacionais bsicos
(pop) para reinstalar e configurar todo o conjunto ( hardware e software ) como se fosse a
primeira instalao )

b. Servio 2: ( idem o anterior )

RECURSOS A SEREM PRESERVADOS (recursos de equipamentos ou lgicos no


diretamente ligados aos servios - tpico anterior -, mas que tenham sido considerados
relevantes, por exemplo: computadores, roteadores, switches etc)

c. Recurso 1: ( denominao e descrio sumria da finalidade do recurso ).

1) Configurao do recurso: ( descrio de como o recurso deve estar configurado para operar).
2) Computador onde est instalado ( se for o caso ): ( identificao do computador e
configurao do hardware ).
3) O sistema operacional utilizado ( se for o caso ) no recurso: ( nome do sistema, verso, service
packs ou patches instalados e configurao do sistema ).
4) Localizao fsica: ( local onde est instalado o recurso ).
5) Localizao fsica dos softwares necessrios (localizao e forma de aceso aos softwares
necessrios para reativar o recurso ).
6) Servios adicionais instalados no mesmo recurso ( se for o caso ) : ( identificao do(s)
software(s), verso, service packs ou patches instalados e configurao do(s) software(s) ).
7) Responsveis pela manuteno e operao: ( relao nominal do pessoal a ser acionado nas
situaes de crise e formas de contato ).
8) POP para ativar a contingncia: ( procedimentos operacionais bsicos (POP) necessrios para
acionar os meios alternativos para manter o recurso utilizvel, tais meios devero abranger
aspectos humanos, materiais, instrumentais, computacionais, de instalaes fsicas etc ).
9) POP para as aes que devero vigorar durante a contingncia: ( POP necessrios para manter o
recurso utilizvel, tais meios devero abranger aspectos humanos, materiais, instrumentais,
computacionais, de instalaes fsicas etc ).
10) POP para retorno normalidade ( reinstalao e reativao ): ( procedimentos operacionais
bsicos (pop) para reinstalar e configurar todo o conjunto ( hardware e software ) que compe
o recurso como se fosse a primeira instalao ).
11) POP de reinstalao: ( procedimentos operacionais bsicos (pop) para reinstalar e configurar
todo o conjunto ( hardware e software ) como se fosse a primeira instalao ).

d. Recurso 2: ( idem o anterior )


:
:
:
:
RELAO DO PESSOAL ( relao do pessoal envolvido na aplicao do plano )
Posto /Graduao/ Formas de Contato
NOME (destaque Grupo (se Endereo Telefones:
para o nome de for o caso) comercial e Outros
Res/Trab/
guerra) Celular Pager e-mail contatos
residencial Ramal

5. ESTRUTURAO DOS GRUPOS


A seguir so apresentados os grupos responsveis pelas diversas fases e etapas do
desenvolvimento e ativao do plano de contingncia. Os grupos exemplificados buscam oferecer
variadas opes, no entanto, no se pretendeu impor uma lista mnima ou que esgotasse as opes.
O modelo adotado pela OM deve estar de acordo com as suas peculiaridades. Em
conseqncia, em algumas OM a estruturao do plano poder ser mais simples que este modelo,
podendo haver at mesmo supresso ou aglutinamento de um ou mais itens ou subitens. Por outro
lado, se necessrio for, em algumas OM, a estruturao do plano poder ser mais complexo, o que
implicar no acrscimo de itens adicionais.

a. Grupo de Coordenao
1) Exerce a coordenao geral do plano de contingncia. Composto por:
2) Comandante;
3) Subcomandante;
4) Estado-Maior;
5) Oficiais de comunicaes e de informtica;
6) Inteligncia;
7) Segurana de informaes;
8) outros (a ser definido conforme a necessidade em funo das caractersticas de cada OM).
b. Apoio Administrativo
Prov o apoio administrativo necessrio para a execuo do plano de contingncia. Composto
por:
1) Seo de Pessoal ou equivalente.

c. Servios de Rede de Comunicaes e de Computadores


Gerencia os servios de rede durante a contingncia. Composto por membros das seguintes
reas:

1) comunicaes;

2) informtica;

3) administrao de banco de dados;

4) suporte tcnico ou o que o equivalha

5) administrao da rede;

6) outros (conforme particularidades da rede da OM).

d. Hardware
Prov apoio na rea de equipamentos. Composto por membros das seguintes reas:
1) suporte tcnico ou o que o equivalha;
2) manuteno de equipamentos rdio e de informtica.

e. Software
Prov apoio na rea de software bsico (sistemas operacionais e aplicativos administrativos), de
apoio (softwares de manuteno ou diagnstico) e sistemas corporativos Composto por
membros das seguintes reas:
1) comunicaes e de informtica;
2) suporte tcnico ou o que o equivalha.

f. Comunicaes
Prov apoio na manuteno e operacionalizao da estrutura de comunicaes rdio necessria
ao plano de contingncia. Composto por membros das seguintes reas:
1) comunicaes;
2) suporte tcnico ou o que o equivalha.
3) informtica.

6. RESPONSABILIDADES DOS GRUPOS

a. Grupo de Coordenao
1) Permanentes:
1.1) identificar as funes e recursos crticos para a OM e, portanto, estabelecer o que deve constar
do plano de contingncia;
1.2) analisar e definir alternativas para o processamento das funes e recursos crticos para o caso
da sua indisponibilidade;
1.3) definir os recursos financeiros e materiais necessrios para viabilizar o plano;
1.4) coordenar as atividades dos demais grupos;
1.5) elaborar o plano de contingncia e normas correlacionadas e julgadas necessrias;
1.6) reviso peridica do plano de contingncia;
1.7) distribuio de cpias do plano e normas a todos os envolvidos;
1.8) organizar e coordenar a execuo das simulaes do plano;
1.9) dar apoio a todos os envolvidos;
1.10) resolver conflitos entre os diversos grupos;
1.11) estabelecer qual a infra-estrutura de hardware e software de comunicaes e computacional
alternativa com a qual se deve contar durante a ativao do plano de contingncia, assim como sua
localizao fsica;
1.12) informar aos demais envolvidos quanto s atualizaes sofridas pelos sistemas e recursos
crticos;
1.13) definir, com o grupo de aplicativos, as atividades envolvidas com os sistemas crticos.
1.14) definir e montar a estrutura de retorno normalidade;
1.15) manter atualizado os procedimentos para operacionalizar o plano de contingncia.
2) Na ativao do plano de contingncia:
2.1) coordenar a ativao do plano de contingncia;
2.2) coordenar as atividades dos demais grupos.
3) Durante a execuo do plano de contingncia
3.1) coordenar as atividades do plano de contingncia;
3.2) estabelecer diretrizes para situaes imprevistas.
4) Retorno normalidade:
4.1) coordenar as atividades de retorno normalidade.

b. Apoio Administrativo
1) Permanentes:
1.1) manter atualizados as listas de contatos para comunicao com os envolvidos no plano
(nmeros de telefone, fax, e-mail etc.);
1.2) divulgar aos membros do plano de contingncia as listas de contatos de todos os envolvidos;
1.3) providenciar a requisio dos recursos necessrios para operacionalizar o plano.
2.) Durante a contingncia
2.1) fornecer local apropriado para um "Centro de Operaes de Contingncia";
2.2) suprir o local com as facilidades de comunicao.
2.3) fornecer os suprimentos bsicos (lpis, papel, mesa, cadeira, armrio);
2.4) fornecer meios de transporte de pessoas e materiais.
c. Servios de Rede
1) Permanentes
1.1) desenvolver os procedimentos especficos destinadas aos servios de redes considerados
crticos;
1.2) manter atualizadas todos os procedimentos para manuteno do funcionamento dos servios
de redes;
1.3) manter atualizadas e em lugar seguro cpias da documentao dos sistemas de hardware e
software que constituem os servios de redes crticos;
1.4) prever e desenvolver procedimentos para atender a todas as condies de retorno
normalidade, para as rotinas de contingncia.
1.5) providenciar local livre de riscos e guardar as cpias de segurana dos sistemas necessrios
para a contingncia;
1.6) estabelecer procedimentos de operao em caso de emergncia;
2) Na ativao da contingncia
2.1) ativar a contingncia, conforme os servios atingidos;
3.) Durante a contingncia
3.1) solucionar problemas imprevistos relacionados aos servios de redes;
3.2 efetuar os acertos que se fizerem necessrios nos servios de rede ativados durante a
contingncia.
3.3) se for o caso, tornar acessvel o(s) local(is) alternativo(s) para operao em caso de
contingncia;
3.4) operar os sistemas que tero sua contingncia ativada em funo da emergncia que venha a
ocorrer.
3.5) gerar e manter as cpias de segurana dos dados necessrios ao retorno normalidade.
4) Retorno normalidade
4.1) Executar o processo de retorno normalidade, conforme previsto no plano de contingncia.

d. Hardware
1) Permanentes:
1.1) manter atualizada o inventrio dos equipamentos existentes e a situao de cada um;
1.2) estabelecer os requisitos sobre uma infra-estrutura de hardware alternativa com
caractersticas necessrias contingncia;
1.3) analisar e propor as melhores alternativas de contingncia para o hardware considerado com
crtico para a rede;
1.4) providenciar local livre de riscos e guardar as cpias de segurana dos sistemas necessrios
para a contingncia;
1.5) estabelecer procedimentos de operao em caso de emergncia;
1.6) se for o caso, tornar acessvel o(s) local(is) alternativo(s) para operao em caso de
contingncia.
2) Na ativao da contingncia:
2.1) comunicar aos envolvidos no plano de contingncia quaisquer avarias que possam afetar o
processamento dos servios de rede considerados crticos misso da OM, fornecendo a
previso para a correo do problema.
3) Durante a contingncia:
3.1) providenciar os reparos dos equipamentos danificados;
3.2) providenciar o equipamento alternativo e ativ-lo;
3.3) contatar os fornecedores, se for o caso, visando reposio de componentes ou dos prprios
equipamentos;
3.4) operar os sistemas que tero sua contingncia ativada em funo da emergncia que venha a
ocorrer.
3.5) gerar e manter as cpias de segurana dos dados necessrios ao retorno normalidade.
4) No retorno normalidade:
4.1) concluir as correes e comunicar a todos os envolvidos para se efetuar retorno normalidade.

e. Software
1) Permanentes:
1.1) manter atualizada o inventrio de todos os softwares e sistemas informatizados disponveis na
OM, identificando sua utilizao;
1.2) criar e manter atualizada a estrutura de cpias dos sistemas operacionais e dos aplicativos
administrativos nos equipamento alternativos;
1.3) analisar e colocar em prtica as melhores alternativas de contingncia para os diversos
softwares e sistemas usados na OM.
2) Na ativao da contingncia
2.1) ativar o sistema operacional e os softwares de contingncia na instalao alternativa.
3) Durante a contingncia e no retorno normalidade
3.1) dar apoio e resolver situaes imprevistas relacionadas com softwares;
3.2) operar os sistemas que tero sua contingncia ativada em funo da emergncia que venha a
ocorrer.
3.3) gerar e manter as cpias de segurana dos dados necessrios ao retorno normalidade.

f. Comunicao
1) Permanentes:
1.1) manter atualizada o inventrio dos recursos de hardware, software e canais que compem a
estrutura de comunicao;
1.2) analisar e viabilizar rotas alternativas para os enlaces de comunicao da OM;
1.3) providenciar local livre de riscos e guardar as cpias de segurana dos sistemas necessrios
para a contingncia;
1.4) estabelecer procedimentos de operao em caso de emergncia;
1.5) se for o caso, tornar acessvel o(s) local(is) alternativo(s) para operao em caso de
contingncia.
2) Durante a contingncia:
2.1) providenciar a instalao e reconfigurao dos enlaces de comunicao para o local onde se
processar a contingncia;
2.2) dar apoio e resolver situaes imprevistas relacionadas com a estrutura de comunicaes;
2.3) operar os sistemas que tero sua contingncia ativada em funo da emergncia que venha a
ocorrer.
2.4) gerar e manter as cpias de segurana dos dados necessrios ao retorno normalidade.

7. INFORMAES COMPLEMENTARES

a. Sobre o Plano de Contingncia

1) Quem mantm e atualiza.

2) Quem recebe cpias parciais/totais.

3) Periodicidade de atualizao e data da ltima atualizao.

b. Relao de fornecedores, fabricantes, representantes tcnicos etc.

Neste item deve constar a relao dos fornecedores, fabricantes, representantes tcnicos ou
qualquer outra entidade que esteja vinculada formalmente com a manuteno do funcionamento de
um recurso crtico ou de parte dele. recomendvel que, no mnimo, constem as seguintes
informaes:
1) Nome da empresa.
2) Pessoas para contato.
3) Telefones (comercial, residencial, celular).
4) Pager.
5) E-mail.

8. AES A SEREM IMPLEMENTADAS


A seguir, so apresentados os itens que devem compor o tpico de aes a serem executadas
em situaes de ativao do plano. O fato do contedo desta parte ser especfico de cada ambiente
faz com que a elaborao de cada caso possa estar aqum ou alm daqueles aqui sugeridos.
O objetivo desta parte do plano descrever o que deve ser feito, de acordo com o tipo de
violao de segurana que venha a ocorrer. As tabelas a seguir devem ser utilizadas para definir os
POP relativos s fases de ativao e vigncia da contingncia, assim como da fase de retorno
normalidade.
recomendvel que sejam listados os recursos / servios computacionais e de comunicaes,
alm de outros considerados crticos e associar a eles as aes correspondentes, com os respectivos
responsveis pela sua execuo, de acordo com violaes de segurana que atinjam a integridade, a
confidencialidade, a disponibilidade da informao ligada ao recurso considerado ou ainda a
autenticidade da pessoa que acessa ou tenta acessar a informao ligado ao recurso. Isso pode ser
feito, por exemplo, construindo-se uma ou mais tabelas como representado a seguir:
Recurso/Servio
Violaes de segurana Aes a serem tomadas Responsveis pelas aes
crtico
Violao contra a Aes relativas s violaes Responsveis pelas aes
confidencialidade da de confidencialidade relativas violao de
Recurso/Servio
Violaes de segurana Aes a serem tomadas Responsveis pelas aes
crtico
1) Na ativao da
informao processada pelo contingncia;
confidencialidade
recurso ou servio 1 2) durante a contingncia;
3) no retorno normalidade.
Aes relativas s violaes
Violao contra a de integridade:
Responsveis pelas aes
integridade da informao 1) na ativao da relativas violao de
processada pelo recurso ou contingncia;
integridade
servio 1 2) durante a contingncia;
Recurso/Servio
crtico1 3) no retorno normalidade.
Aes relativas s violaes
Violao contra a de disponibilidade:
Responsveis pelas aes
disponibilidade da 1) na ativao da relativas violao de
informao processada pelo contingncia;
disponibilidade
recurso ou servio 1 2) durante a contingncia;
3) no retorno normalidade.
Aes relativas s violaes
especficas:
Recurso/Servio Violaes especficas
crtico1 contra a informao 1) na ativao da Responsveis pelas aes
relativas violao
processada pelo recurso ou contingncia;
especficas
servio 1 2) durante a contingncia;
3) no retorno normalidade.

Recurso/Servio Violao contra a Aes relativas s violaes Responsveis pelas aes


crtico 2 confidencialidade da de confidencialidade relativas violao de
informao processada pelo confidencialidade
recurso ou servio 2 1) na ativao da
contingncia;
2) durante a contingncia;
3) no retorno normalidade.
Violao contra a Aes relativas s violaes Responsveis pelas aes
integridade da informao de integridade: relativas violao de
processada pelo recurso ou integridade
servio 2 1) na ativao da
contingncia;
2) durante a contingncia;
3) no retorno normalidade.
Violao contra a Aes relativas s violaes Responsveis pelas aes
disponibilidade da de disponibilidade: relativas violao de
informao processada pelo disponibilidade
recurso ou servio 2 1) na ativao da
contingncia;
2) durante a contingncia;
3) no retorno normalidade.

Violaes especficas Aes relativas s violaes Responsveis pelas aes


contra a informao especficas: relativas violao
processada pelo recurso ou especficas
Recurso/Servio
Violaes de segurana Aes a serem tomadas Responsveis pelas aes
crtico
1) na ativao da contingncia;
2) durante a contingncia;
servio 2
3) no retorno normalidade.

: : : :
Recurso / Servio
: : :
crtico n

Os campos a serem preenchidos so: a identificao do servio ou recurso, as aes a serem


implementadas, os responsveis e as violaes especficas. Os itens de violao de atributos
(confidencialidade, integridade e disponibilidade), na segunda coluna, no devem ser direcionados
para tipos de ataques especficos, pois, para isso, existe o item de violaes especficas. Ao
contrrio, os itens no especficos servem para referenciar simplesmente a violao do atributo. Por
exemplo, no item relativo a "Violao contra a integridade da informao processada pelo recurso
ou servio 1" se refere a perda da integridade da informao (ou conjunto de informaes )
correspondente ao item, independente de qual violao especfica a gerou.

recomendvel que as aes a serem tomadas sejam subdivididas em trs categorias: aes
que deflagram a execuo do plano, aes que perduram durante a aplicao do plano e aes para
retorno a normalidade.
ANEXO F
MODELO PARA APLICAO DE LISTA DE VERIFICAO

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM

LEVANTAMENTO DO ESTADO DA REDE BASEADO EM LISTAS DE VERIFICAO

1. FINALIDADE: ( Finalidade a que se destina o documento ).

2. OBJETIVO: ( Descrio do objetivo da aplicao da tcnica de lista de verificao, ou seja, o


que se pretende averiguar com a sua aplicao ).

3. APLICAO DA LISTA DE VERIFICAO:


( item no qual se reproduzir as listas de verificao julgadas necessrias para a verificao
demandada).
N PERGUNTA / CONTEXTO CONSIDERADO S(*) N(*) N/A OBSERVAES
Ordem (*)
1. SERVIOS DE REDE
a. Correio eletrnico ( exemplo ):
1)
2)
:
b. WEB ( exemplo ):
1)
2)
:
c. Firewall ( exemplo ):
1)
2)
:
d. Proteo contra Cdigos Malficos
( exemplo ):
1)
2)
:
2. SERVIDORES ( exemplo ):
1)
2)
:
3. INFRA-ESTRUTURA DE REDEC (exemplo)
1)
2)
:
* S: sim; N: no; N/A: no se aplica.

Cidade, (DD) de (MM) de (AAAA)


-----------------------------------
Oficial responsvel
-----------------------------------
Assinatura Comandante
ANEXO G
MODELO DE VERIFICAO DE EFETIVIDADE

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM

RELATRIO DE VERIFICAO DA EFETIVIDADE SOBRE OS SERVIOS DE REDES DA


OM XXX

1. SNTESE:
(Resumo informativo sobre o corpo do documento explicitando os seus pontos principais de
modo a esclarecer rapidamente s autoridades sobre o seu teor)

2. OBJETIVO:
(Descrio do objetivo da auditoria e, se necessrio for, de objetivos secundrios ou especficos)

3. PERODO DA VERIFICAO:
(perodo em que a auditoria foi realizada)

4. EQUIPE RESPONSVEL:
(lista do pessoal que executou a auditoria e as respectivas atribuies)

5. METODOLOGIA ADOTADA:
(Mtodo adotado para executar a verificao. O mtodo mais simples o da conferncia da
conformidade baseada em listas de verificao. Outros mtodos; tais como anlise de logs,
entrevistas, questionrios, simulaes, anlise de programa fonte etc; variaro conforme a
necessidade e a capacitao do pessoal envolvido)

6. OBJETO:
(Elemento(s) sobre o(s) qual(is) a verificao ser focada)

7. CONTEXTO:
(descrio sumria sobre o ambiente verificado, esclarecendo sobre servios, hardware,
software, infra-estruturas e pessoal relevante)

8. FATOS RELEVANTES:
(descrio detalhada dos fatos relevantes no que diz respeito conformidade entre as aes
implementadas e as recomendadas ou estabelecidas e, se necessrio for, com subdivises por
assunto; comentrios dos auditores sobre as causas e conseqncias do que foi constatado; e as
recomendaes pertinentes)

9. CONCLUSO:
(A concluso deve ser objetiva e, preferencialmente do tipo resumo, ou seja, destacando pontos
principais e as recomendaes)

Local, data
Assinatura do responsvel pela verificao
10. PARECER:
(parecer da autoridade competente aprovando o relatrio ou no e o despacho correspondente)

CLASSIFICAO

ANEXO H
MODELO DE NORMA DE GERENCIAMENTO DA SEGURANA DE REDE

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM

NORMAS PARA GERENCIAMENTO DA SEGURANA DA INFORMAO


DA REDE DE ...... DA OM

1. FINALIDADE

( Deve-se transcrever a finalidade do documento, por exemplo: A finalidade desta norma


estabelecer as regras para o gerenciamento da segurana da informao na rede de computadores
e de comunicaes da OM XX. )

2. OBJETIVOS

( Devem-se transcrever os objetivos a serem atingidos pela aplicao da norma e que, em


conjunto, cumpram a finalidade estabelecida. )

3. CONCEITOS E PRESSUPOSTOS BSICOS

( Conceitos: devem-se transcrever neste item as terminologias especficas relacionadas ao uso e


gerncia da rede para facilitar o entendimento do documento. Pressupostos: item opcional, caso
se julgue necessrio estabelecer que, para aplicao das Instrues, certas condies devem ser
previamente atendidas. )

4. REGRAS DE SEGURANA

( Devem-se transcrever todas as regras de segurana julgadas necessrias e, se a complexidade


do documento assim o exigir, separar grupos de regras em categorias, como ocorre nestas
Instrues. )

a. Regras Gerais ( regras de segurana de carter geral e voltadas para medidas de segurana dos
dados, informaes e conhecimentos armazenados, processados ou disseminados nos enlaces ou
equipamentos da rede );

b. Gerenciamento da Rede ( regras de segurana relativas s aes de gerncia da rede, ou seja,


monitorao e adequao de parmetros referentes s reas de configurao, desempenho, falhas e
contabilizao; considerando que pode haver casos em que estas regras devam ser tratadas como
informao classificadas, possvel que este item gere um documento a parte ).

CLASSIFICAO

CLASSIFICAO

1) Configurao dos Privilgios para administrao da rede


1.1) Contas ( regras relativas concesso, configurao, suspenso e verificao de segurana de
senhas de acesso rede );

1.2) Senhas ( regras relativas s configuraes para escolha, periodicidade e expirao de senhas);

1.3) Configurao de privilgios ( regras relativas s configuraes dos privilgios de usurios e


grupos e o controle de acesso );

1.4) Inventrio da rede ( regras relativas ao controle do inventrio do software e hardware da rede
);

1.5) Registro de operaes ( regras relativas aos registros das operaes ocorridas nos sistemas da
rede )

1.6) Registros de violaes (regras relativas ao registro das violaes de segurana ocorridas na
rede );

1.7) Acesso Remoto para Administrao (regras relativas configurao do servio de conexo
remota para fins administrao da rede );

2) Servios, Sistemas, Aplicativos especficos de segurana (regras relativas aos servios,


sistemas e aplicativos especficos de segurana, por exemplo firewall, antivrus etc;)

2.1) Firewall ( subttulo referente s regras de segurana do firewall ) ;

2.2) Sistema de Deteco a Intruso ( subttulo referente s regras de segurana do sistema de


deteco de intruso);

2.3) Aplicaes de Criptografia ( subttulo referente s regras de segurana de aplicaes de


criptografia );

2.4) Uso de Certificados Digitais ( subttulo referente s regras de para a gesto de certificados
digitais );

3) Cdigos maliciosos ( subttulo referente s regras de segurana de uso e configurao do


servio de deteco de cdigos maliciosos );

4) Documentao de Sistemas ( regras de segurana relativas guarda e proteo das


documentaes dos sistemas em funcionamento na rede ).

c. Segurana dos Servios, Sistemas, Aplicativos e Sistemas Operacionais de Rede ( regras de


segurana referentes aos procedimentos de instalao, configurao e uso de: servios, tais
como correio eletrnico ou WEB; sistemas corporativos especficos do Exrcito; aplicativos
de uso geral, tais como sutes de escritrio; sistemas operacionais de rede ).

1) Dos Servios de Rede (subttulo referente aos servios);

2) Dos Sistemas Aplicativos (subttulo referente aos sistemas corporativos);

3) Dos Aplicativos de Rede (subttulo referente aos softwares aplicativos );

4) Dos Sistemas Operacionais de Rede (subttulo referente aos sistemas operacionais utilizados ).

CLASSIFICAO

CLASSIFICAO

d. Segurana do Hardware (regras de segurana referentes aos procedimentos de instalao,


configurao e uso de computadores servidores, computadores de uso especfico, computadores
de uso geral, perifricos de rede, equipamentos de interligao de rede (roteadores, switches,
hubs, modem, repetidores).
1) Computadores servidores;
2) Computadores de uso especfico;
3) Computadores de uso geral;
4) Perifricos de rede;
5) Equipamentos de interligao de rede;
6) Outros equipamentos.

e. Segurana da Infra-estrutura de Rede ( regras de segurana relativas s estruturas de:


interligao lgica e seus elementos constituintes, tais como cabeamentos, dutos, documentao
da instalao ( descrio da rede, plantas etc ) cabeamentos; e alimentao eltrica, e seus
elementos constituintes, tais como fiao eltrica, dutos, quadros de distribuio,
estabilizadores, nobreak etc )
1) Infra-estruturas lgicas;
2) Infra-estrutura de alimentao eltrica.
f. Segurana das reas e Instalaes ( regras de segurana relativas ao controle de acesso e a
adequao das reas e instalaes onde se encontram equipamentos crticos da rede );
g. Contingncia ( regras de segurana relativas s medidas de contingncia para a rede );
1) Backup ( regras de sobre produo, armazenamento, teste, atualizao, substituio e descarte
de cpias de segurana no nvel gerencial);
2) Plano de Contingncia ( descrio do plano de contingncia da rede - pode requerer um
documento separado ).
h. Segurana do Pessoal (regras de segurana relativas aos aspectos de sensibilizao e treinamento
do pessoal que lida com as redes nos nveis gerencial e de manuteno).
i. Documentao de Sistemas ( regras de segurana relativas guarda e proteo das
documentaes dos sistemas em funcionamento na rede ).
5. RESPONSABILIDADES
( Devem-se transcrever as obrigaes de cada seo/assessoria/funo da OM envolvida com a
aplicao das normas de segurana. )

6. PRESCRIES DIVERSAS
( Deve-se fazer uso deste item, caso existam particularidades do contexto da OM que no se
enquadrem nos itens anteriores, mas que sejam julgados importantes para a norma. )

Cidade, (DD) de (MM) de (AAAA)

-----------------------------------
Assinatura Comandante

CLASSIFICAO

PORTARIA N 005-DCT, DE 21 DE FEVEREIRO DE 2007.


Aprova o Guia de Avaliao de Software no
Exrcito Brasileiro.

O CHEFE DO DEPARTAMENTO DE CINCIA E TECNOLOGIA, no uso das


atribuies que lhe conferem o art. 14, incisos I, II, e alnea b) do inciso VI, do Regulamento do
Departamento de Cincia e Tecnologia (R-55), aprovado pela Portaria do Comandante do Exrcito
n 370, de 30 de maio de 2005, combinado com o disposto no art. 112 das Instrues Gerais para a
Correspondncia, as Publicaes e os Atos Administrativos no mbito do Exrcito (IG 10-42),
aprovadas pela Portaria do Comandante do Exrcito n 041, de 18 de fevereiro de 2002, resolve:

Art. 1 Aprovar o Guia de Avaliao de Software no Exrcito Brasileiro.

Art. 2 Determinar que esta Portaria entre em vigor na data de sua publicao.

Nota: O Guia de avaliao de Software no Exrcito Brasileiro encontra-se disponvel no Portal do


Exrcito, endereo - http://ebnet.eb.mil.br/portal/.