Escolar Documentos
Profissional Documentos
Cultura Documentos
Capítulo 5 – Internet
• Medidas de segurança:
- Instalação de mecanismos de controle para os acessos
- Proibido acesso não autorizado de público externo à Intranet da MB;
- Acesso à Internet a partir da RECIM condicionado a usuários autorizados.
• Portal de serviços da MB:
Aplicação que permite aos militares e civis da MB, acesso a alguns recursos da RECIM, mediante emprego de sistema de autenticação
administrado pelo CTIM.
• Quantidade de usuários com direito de acesso:
- Oficiais/Servidores Civis assemelhados à não há restrição
- Praças/Servidores Civis assemelhados à OM dirigidas por Almirantes, OM de ensino e pesquisa e OM com função de CLTI não possuem
restrições. Demais OM 15 usuários.
Termos e definições:
- Código malicioso ou “Malware” à todos os tipos de programas especificamente desenvolvidos para executar ações maliciosas em um
computador;
- Área digital sensível à área vital para o funcionamento da OM em função do material digital existente na mesma.
- Área digital sigilosa à áreas sensíveis que abrigam material sigiloso.
- Rede segregada Fisicamente à rede que possui um perímetro de segurança claro e que nenhuma informação sai do perímetro por nenhum meio
ou dispositivo digital, impresso ou físico.
- Rede segregada logicamente à rede que se utiliza de diversos mecanismos computacionais para garantir a segurança e o controle da informação
em todos seus estágios.
Do Usuário:
a) tratar a informação digital como patrimônio da MB e como um recurso que deva ter seu sigilo preservado;
b) utilizar as informações digitais disponibilizadas e os sistemas e produtos computacionais de propriedade ou direito de uso da MB
exclusivamente para o interesse do serviço;
c) preservar o conteúdo das informações sigilosas a que tiver acesso, sem divulgá-las para pessoas não autorizadas e/ou que não tenham
necessidade de conhecê-las;
d) não tentar obter acesso à informação cujo grau de sigilo não seja compatível com sua Credencial de Segurança ou cujo teor não tenha
autorização ou necessidade de conhecer;
e) não se fazer passar por outro usuário usando a identificação de acesso (“login”) e senha de terceiros;
f) não alterar o endereço de rede ou qualquer outro dado de identificação de seu microcomputador;
g) utilizar em seu microcomputador somente programas homologados para uso na MB;
h) no caso de exoneração, demissão, licenciamento, término de prestação de serviço ou qualquer tipo de afastamento, preservar o sigilo das
informações e documentos sigilosos a que teve acesso;
i) não compartilhar, transferir, divulgar ou permitir o conhecimento das suas autenticações de acesso (senhas) utilizadas no ambiente
computacional da OM, por terceiros;
j) seguir as regras básicas para o uso de senhas;
1. informações sensíveis ou críticas, por exemplo, em papel ou mídia de armazenamento eletrônico, sejam guardadas em lugar seguro
(idealmente em cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando a sala está desocupada;
2. computadores e terminais sejam mantidos desligados ou protegidos com mecanismos de travamento de tela, com senha, ou mecanismos de
autenticação similar quando sem monitoração ou não usados; e
3. documentos que contém informação sensível ou classificada sejam removidos de impressoras rapidamente.
Capítulo 9 – Segurança da Informação e Comunicações (SIC)
Requisitos básicos de SIC:
sigilo: capacidade da informação digital somente será acessada por alguém autorizado;
autenticidade: capacidade da origem da informação ser aquela identificada;
integridade: capacidade da informação digital somente ser modificada por alguém autorizado; e
disponibilidade: capacidade da informação digital estar disponível para alguém autorizado a acessá-la no momento próprio.
a) ameaça de interrupção: possibilidade de não se resistir a um ataque que impeça o acesso, pelo usuário, à informação digital desejada,
afetando o requisito de disponibilidade;
b) ameaça de interceptação: possibilidade de não se resistir a um ataque que permita o acesso à informação digital por alguém não
autorizado para tal, afetando o requisito de sigilo;
c) ameaça de modificação: possibilidade de não se resistir a um ataque que permita a alteração do conteúdo da informação digital por
alguém não autorizado, afetando o requisito de integridade; e
d) ameaça de fabricação: possibilidade de não se resistir a um ataque que permita a geração, por alguém não autorizado, de informações
digitais falsas ou em nome de outrem, afetando o requisito de autenticidade.
Recursos ou equipamentos considerados críticos em relação aos riscos de segurança proporcionados, pois suas vulnerabilidades afetarão
diretamente os requisitos básicos de SIC (Segurança da Informação e Comunicações).
Principais RCC
Estações de trabalho, equipamentos portáteis, servidores, roteadores, switches, bridges, hubs, modems, meios físicos de tráfego, sistemas
de armazenamento das informações digitais, equipamentos (discos rígidos e outras mídias) que armazenam informações digitais sigilosas
e os sistemas de cópias de segurança (backup), instalações elétricas e os sistemas de refrigeração, sistemas de combate a incêndio,
sistemas de controle de acesso físico e outros sistemas ou recursos das áreas que abrigam equipamentos computacionais.
• Segurança lógica das informações digitais: Regras básicas para o uso de senhas:
1- nunca compartilhá-las;
2- não utilizar sequencia fácil ou óbvia de caracteres, que facilite sua descoberta;
3- não utilizar palavras existentes em dicionários;
4- utilizar aleatoriamente letras minúsculas, maiúsculas, números e caracteres especiais;
5- não escrevê-las em lugares visíveis, de fácil acesso ou em claro;
6- proceder as devidas precauções para mantê-la em sigilo, conforme previsto no TRI; e
7- cumprir a política de tempo de validade de senhas que estiver em vigor, trocando-a regularmente.
Correio eletrônico
- o uso do correio eletrônico é restrito ao interesse do serviço;
- não é permitida a transferência de arquivo que pertença a MB por “e-mail” para caixa postal externa, exceto no interesse de serviço;
- as máquinas utilizadas como servidores de correio devem ser instaladas em compartimentos de acesso restrito e controlado;
- não devem ser executados, copiados ou retidos arquivos recebidos em anexo à mensagens de correio eletrônico sem uma prévia análise ou
varredura por programas específicos de controle e verificação de ataques, como por exemplo programas antivírus;
- se houver qualquer dúvida quanto a origem da msg recebida, esta ocorrência deve ser notificada ao ADMIN e ao OSIC, para análise, antes da
abertura da mensagem;
- é vedado o uso de correio eletrônico por meio de páginas específicas da Internet (“webmail”);
- devem ser utilizados programas certificados pela DCTIM para assinatura digital;
- é proibido o uso de programas de criptografia de arquivos e mensagens que não sejam controlados pela DCTIM; e
- conforme indicado no Termo de Responsabilidade Individual, toda informação processada, armazenada ou em trâmite no ambiente computacional
da OM pode ser auditada, incluindo o correio eletrônico.
Redes sociais É vedado o uso de redes sociais, tais como facebook, orkut, myspace, twitter, picasa e etc nas estações de trabalho da RECIM.
Mentalidade de segurança:
Engenharia social
- Conjunto de técnicas para se obter ou comprometer informações sobre uma organização ou seus sistemas computacionais, utilizando-se como
ferramenta de ataque a interação humana ou as habilidades e fragilidades sociais do ser humano. Técnica utilizada para obter informações
relevantes que comprometam o sistema alvo, como, por exemplo, nomes e senhas dos usuários de departamentos estratégicos da organização.
- Este ataque utiliza a fragilidade ou ingenuidade emocional das pessoas no intuito de alcançar o objetivo de obter informações, com ou sem
tecnologia. O Engenheiro Social consegue obter de uma pessoa algo que ela normalmente não faria para um estranho.
- É um dos ataques mais sofisticados e com maior chance de alcançar o sucesso.
Programada
Inopinada
Interna
Solicitada
O planejamento e o controle das auditorias de SIC, exceto as auditorias internas, são de responsabilidade da DCTIM.
Grau de Sigilo (mínimo) das auditorias de SIC: RESERVADO * (Lei 7724)
Após a aprovação do RAD, a DCTIM encerrará as atividades da EA e divulgará o Relatório para a OM e seu respectivo
COMIMSUP.
Todos os tipos de auditoria de SIC somente poderão ser conduzidos por pessoal autorizado pela DCTIM, exceto para o caso de
auditoria interna, na qual o pessoal será designado pelo Titular da OM.
PROPÓSITO:
Estabelecer as normas para a salvaguarda de materiais controlados, dados, informações, documentos e materiais sigilosos na Marinha do
Brasil, bem como das áreas e das intalações onde tramitam, incluindo os procedimentos das Comissões Permanentes de Avaliação de
Documentos Sigilosos, visando a sua prorrogação, renovação, reavaliação, reclassificação e autorização de acesso.
EMA-414
PRINCIPAIS MODIFICAÇÕES:
Inserção de trechos com o propósito de ampliar a clareza no que se refere às atribuições, procedimentos e medidas de segurança, em
decorrência das inovações trazidas pela Lei nº 12.527 – Lei de Acesso à Informação (18/11/2011), pelo Decreto nº 7.724 (16/05/2012), que a
regulamentou e pelo Decreto nº 7.845 (14/11/2012); alteração das regras para a classificação e tratamento dos documentos e materiais
contendo informações sigilosas; extinção do grau de sigilo CONFIDENCIAL; e formalização da decisão que classifica a informação nos graus
de sigilo ULTRASSECRETO, SECRETO e RESERVADO, por meio do Termo de Classificação da Informação (TCI) e encaminhamento, à
Comissão Mista de Reavaliação de Informação (CMRI), dos TCI referentes aos documentos ULTRASSECRETO e SECRETO.
Conceitos e definições:
• ACESSO: ato que decorre do direito de ter conhecimento ou examinar informação contida em registros ou documentos produzidos ou
acumulados pelos órgãos ou entidades do poder público.
• ALGORÍTIMO DE ESTADO: função matemática utilizada na cifração e na decifração, desenvolvida pelo Estado para uso exclusivo
em interesse do serviço de órgãos ou entidades do Poder Executivo federal.
• AUTENTICIDADE: qualidade da informação que tenha sido produzida, expedida, recebida ou modificada por determinado indivíduo,
equipamento ou sistema.
• CIFRAÇÃO: ato de cifrar mediante uso de algorítimo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de
linguagem clara por outros inintelegíveis por pessoas não autorizadas a conhecê-la.
• CLASSIFICAÇÃO: atribuição, pela autoridade competente, de grau de sigilo à informação contida em registros, documentos e
materiais.
• COMPROMETIMENTO: perda de segurança do acesso não autorizado.
• CONHECIMENTO: é a representação resultante da aplicação de uma metodologia, devidamente estabelecida, de um fato ou de uma
situação, real ou hipotética.
• CREDENCIAL DE SEGURANÇA: certificado que autoriza pessoa para o tratamento de informação classificada.
• CREDENCIAMENTO DE SEGURANÇA: processo utilizado para habilitar órgão ou entidade pública ou privada, e para credenciar
pessoa para o tratamento de informação classificada.
• CUSTÓDIA: responsabilidade pela guarda e pela segurança, física ou de conteúdo, de registro, documento ou material sigiloso.
• DADO: é a representação que não decorra do emprego de uma metodologia, devidamente estabelecida, de um fato ou de uma situação.
• DECIFRAÇÃO: ato de decifrar mediante uso de algorítimo simétrico ou assimétrico, com recurso criptográfico, para reverter processo
de cifração original.
• DISPONIBILIDADE: qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas
autorizados.
• DISPOSITIVOS MÓVEIS: equipamentos portáteis dotados de capacidade computacional ou dispositivos removíveis de memória para
armazenamento.
• DOCUMENTO: unidade de registro de informações, qualquer que seja o suporte ou formato. Os documentos de interesse da MB estão
enquadrados nos seguintes grupos: Documentos Administrativos, Documentos Operativos e Publicações.
• DOCUMENTO PÚBLICO: é aquele produzido e recebido por OM, em decorrência de suas atribuições, ou produzido e recebido por
seus titulares ou autoridades por eles, no exercício de seu cargo ou função.
• DOCUMENTO PÚBLICO SIGILOSO: é aquele que contém informação classificada como sigilosa e que diga respeito á segurança da
sociedade e do Estado, além daqueles assim classificados em virtude de outras hipóteses legais de sigilo.
• DOCUMENTO CONTROLADO: documento que contenha informação classificada em qualquer grau de sigilo e que, a critério da
autoridade classificadora, requer medidas adicionais de controle.
• GRAU DE SIGILO: classificação atribuída às informações sigilosas, constantes de registros, documentos ou materiais, em decorrência
do seu teor e em razão de sua imprescindibilidade à segurança da sociedade e do Estado.
• INFORMAÇÃO: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em
qualquer meio, suporte ou formato.
• INFORMAÇÃO DIGITAL: é a representação da informação em meio eletrônico ou digital.
• INFORMAÇÃO SIGILOSA: aquela submetida temporariamente à restrição de acesso público, em razão de sua imprescindibilidade
para a segurança da sociedade e do Estado, e as informações abrangidas pelas demais hipóteses legais de sigilo ou de segredo.
• INTEGRIDADE: qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino.
• NECESSIDADE DE CONHECER: condição segundo a qual o conhecimento da informação classificada é indispensável para o
adequado exercício de cargo, função, emprego ou atividade.
• NÍVEL DE COMPROMETIMENTO: conjunto de fatores que permite concluir sobre como o conhecimento comprometido poderá
influenciar o desempenho das tarefas da MB. Os níveis de comprometimento são: baixo, médio ou alto.
• OFICIAL RESPONSÁVEL PELA CUSTÓDIA (ORC): oficial responsável pela custódia do material sigiloso de uma OM.
• OSTENSIVO: documentou ou material sem classificação quanto ao grau de sigilo, cujo acesso pode ser franqueado.
• RECURSO CRIPTOGRÁFICO: sistema, programa, processo, equipamento, isolado ou em rede, que utiliza algorítimo simétrico ou
assimétrico para realizar cifração ou decifração.
• SIGILO: restrição temporária de acesso público, em razão da imprescindibilidade da informação para a segurança das sociedade e do
Estado, e a resultante de outras hipóteses legais
• SEGURANÇA ORGÂNICA: conjunto de medidas voltadas para a prevenção e a obstrução das ações ou ocorrências adversas de
qualquer natureza que comprometam a salvaguarda de itens sigilosos;
• MENTALIDADE DE SEGURANÇA: compreensão da necessidade e da importância das medidas de segurança.
a) o acesso a informações, documentos e materiais sigilosos deverá ser viabilizado, uma vez atendidos os requisitos necessários
previstos na legislação em vigor, assim como às áreas e instalações onde trânsito é restrito e condicionado à necessidade de conhecer;
b) no tratamento da informação classificada, as atividades de produção, recepção, classificação, utilização, acesso, reprodução,
transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação, manuseio, consulta e guarda de
documentos e materiais sigilosos observarão medidas especiais de segurança;
c) toda autoridade responsável pelo trato de informações, documentos, materiais, áreas, instalações ou sistemas de informação digital
sigilosos providenciará para que o pessoal sob suas ordens conheça integralmente as medidas de segurança estabelecidas, zelando pelo
seu fiel cumprimento; e
d) toda e qualquer pessoa que tome conhecimento de informações constantes de documentos, materiais, áreas, instalações ou sistemas de
informação digital de natureza sigilosa fica, automaticamente, responsável pela preservação do seu sigilo, mediante a assinatura do Termo
de Compromisso de Manutenção de Sigilo (TCMS).
• É vedada a delegação de competência para a classificação no grau de sigilo ultrassecreto. A classificação de informação no grau de sigilo
ultrassecreto, pelo Comandante da Marinha, deverá ser ratificada pelo Ministro da Defesa, no prazo de 30 (trinta) dias. Enquanto não
ratificada, a classificação considera-se válida para todos os efeitos legais.
• Secreto: A classificação no grau de sigilo secreto é de competência, além das autoridades mencionadas para o grau de sigilo
ultrassecreto, dos titulares de autarquias, fundações, empresas públicas e sociedades de economia mista, vedada a delegação.
• Reservado: A classificação no grau de sigilo reservado é de competência, além das autoridades citadas para os sigilos ultrassecreto e
secreto, dos dirigentes máximos dos órgãos colegiados, de direção geral, de direção setorial, de assessoramento superior e de assistência
direta e imediata ao Comandante da Marinha e, por delegação de competência, dos oficiais e servidores civis que exercem função de
direção, comando e chefia, no âmbito dos respectivos setores, ou seus equivalentes, sendo vedada a subdelegação
Os agentes detentores da delegação de competência deverão dar ciência do ato de classificação à autoridade delegante, no prazo de (90)
dias.
Qualquer pessoa que tenha conhecimento sobre extravio de material sigiloso ou controlado deverá participar imediatamente ao seu
superior.
AVALIAÇÃO DO NÍVEL DE COMPROMETIMENTO Caberá à OM onde ocorreu o compromentimento. Após solução de Sindicância pode
ter o nível reduzido, mantido ou aumentado.
APURAÇÃO DE RESPONSABILIDADES Uma cópia da sindicância (ou IPM) e de sua solução serão encaminhadas ao EMA e,
adicionalmente, à OMA, no caso de comprometimento de publicação sigilosa, ou à DCTIM, no caso de comprometimento de recurso criptológico
ou de sistema de informação digital.
CRIPTOGRAFIA ASSIMÉTRICA
• Também conhecida como criptografia por chave pública, é a técnica que emprega um par de chaves: uma pública e uma
privada. O processo de criptografia é feito com a chave pública enquanto que a decriptografia com a chave privada.
CHAVE PÚBLICA E CHAVE PRIVADA
Para enviar uma mensagem confidencial, o autor criptografa a mensagem com a
chave pública do destinatário. Uma vez criptografada, a mensagem só poderá ser descriptografada com a chave privativa do
destinatário.
CHAVEIROS é o nome atribuído ao arquivo que contém chaves criptográficas. Podem ser de dois tipos: chaveiro privado e
chaveiro público.
Chaveiro Privado ARQUIVO PESSOAL, CONFIDENCIAL e INTRANSFERÍVEL de determinado usuário, onde são
armazenadas as chaves públicas que podem ser usadas para criptografar, além da chave secreta, também denominada privada,
empregada na decriptografia e assinatura.
Chaveiro Público Arquivo público, normalmente criado e mantido pela OM (CTIM), que contém chaves públicas para serem
empregadas na criptografia e verificação de assinaturas.