Você está na página 1de 6

Parte II – RECIM e Internet

Capítulo 5 – Internet
• Medidas de segurança:
- Instalação de mecanismos de controle para os acessos
- Proibido acesso não autorizado de público externo à Intranet da MB;
- Acesso à Internet a partir da RECIM condicionado a usuários autorizados.
• Portal de serviços da MB:
Aplicação que permite aos militares e civis da MB, acesso a alguns recursos da RECIM, mediante emprego de sistema de autenticação
administrado pelo CTIM.
• Quantidade de usuários com direito de acesso:
- Oficiais/Servidores Civis assemelhados à não há restrição
- Praças/Servidores Civis assemelhados à OM dirigidas por Almirantes, OM de ensino e pesquisa e OM com função de CLTI não possuem
restrições. Demais OM 15 usuários.

Parte III – Segurança da Informação e Comunicações


Capítulo 7 – Considerações Iniciais

Termos e definições:
- Código malicioso ou “Malware” à todos os tipos de programas especificamente desenvolvidos para executar ações maliciosas em um
computador;
- Área digital sensível à área vital para o funcionamento da OM em função do material digital existente na mesma.
- Área digital sigilosa à áreas sensíveis que abrigam material sigiloso.
- Rede segregada Fisicamente à rede que possui um perímetro de segurança claro e que nenhuma informação sai do perímetro por nenhum meio
ou dispositivo digital, impresso ou físico.
- Rede segregada logicamente à rede que se utiliza de diversos mecanismos computacionais para garantir a segurança e o controle da informação
em todos seus estágios.

Parte III – Segurança da Informação e Comunicações


Capítulo 8 – Responsabilidades e atribuições

• EMA – doutrina básica da SIC na MB.


• DGMM – diretrizes da SIC na MB.
• DCTIM – normas gerais da SIC na MB.
• CLTI – manter contingente mínimo de auditores de SIC.
• Equipe de Auditoria – auditorias de SIC.
• Titular da OM – zelar pela SIC da OM.
• OSIC – gerenciar a SIC da OM.
• ADMIN – gerenciar a rede local da OM.
• Usuário – assinar o Termo de Recebimento de Estação de Trabalho, Termo de Responsabilidade Individual e cumprir as normas em
vigor.

Parte III – Segurança da Informação e Comunicações


Capítulo 8 – Responsabilidades e atribuições

Do Usuário:

a) tratar a informação digital como patrimônio da MB e como um recurso que deva ter seu sigilo preservado;
b) utilizar as informações digitais disponibilizadas e os sistemas e produtos computacionais de propriedade ou direito de uso da MB
exclusivamente para o interesse do serviço;
c) preservar o conteúdo das informações sigilosas a que tiver acesso, sem divulgá-las para pessoas não autorizadas e/ou que não tenham
necessidade de conhecê-las;
d) não tentar obter acesso à informação cujo grau de sigilo não seja compatível com sua Credencial de Segurança ou cujo teor não tenha
autorização ou necessidade de conhecer;
e) não se fazer passar por outro usuário usando a identificação de acesso (“login”) e senha de terceiros;
f) não alterar o endereço de rede ou qualquer outro dado de identificação de seu microcomputador;
g) utilizar em seu microcomputador somente programas homologados para uso na MB;
h) no caso de exoneração, demissão, licenciamento, término de prestação de serviço ou qualquer tipo de afastamento, preservar o sigilo das
informações e documentos sigilosos a que teve acesso;
i) não compartilhar, transferir, divulgar ou permitir o conhecimento das suas autenticações de acesso (senhas) utilizadas no ambiente
computacional da OM, por terceiros;
j) seguir as regras básicas para o uso de senhas;

A política de mesa e tela limpa deve levar em consideração que:

1. informações sensíveis ou críticas, por exemplo, em papel ou mídia de armazenamento eletrônico, sejam guardadas em lugar seguro
(idealmente em cofre, armário ou outras formas de mobília de segurança) quando não em uso, especialmente quando a sala está desocupada;
2. computadores e terminais sejam mantidos desligados ou protegidos com mecanismos de travamento de tela, com senha, ou mecanismos de
autenticação similar quando sem monitoração ou não usados; e
3. documentos que contém informação sensível ou classificada sejam removidos de impressoras rapidamente.
Capítulo 9 – Segurança da Informação e Comunicações (SIC)
Requisitos básicos de SIC:

sigilo: capacidade da informação digital somente será acessada por alguém autorizado;
autenticidade: capacidade da origem da informação ser aquela identificada;
integridade: capacidade da informação digital somente ser modificada por alguém autorizado; e
disponibilidade: capacidade da informação digital estar disponível para alguém autorizado a acessá-la no momento próprio.

• Ameaças às Informações Digitais:

a) ameaça de interrupção: possibilidade de não se resistir a um ataque que impeça o acesso, pelo usuário, à informação digital desejada,
afetando o requisito de disponibilidade;
b) ameaça de interceptação: possibilidade de não se resistir a um ataque que permita o acesso à informação digital por alguém não
autorizado para tal, afetando o requisito de sigilo;
c) ameaça de modificação: possibilidade de não se resistir a um ataque que permita a alteração do conteúdo da informação digital por
alguém não autorizado, afetando o requisito de integridade; e
d) ameaça de fabricação: possibilidade de não se resistir a um ataque que permita a geração, por alguém não autorizado, de informações
digitais falsas ou em nome de outrem, afetando o requisito de autenticidade.

 Recursos ou equipamentos considerados críticos em relação aos riscos de segurança proporcionados, pois suas vulnerabilidades afetarão
diretamente os requisitos básicos de SIC (Segurança da Informação e Comunicações).

Principais RCC
Estações de trabalho, equipamentos portáteis, servidores, roteadores, switches, bridges, hubs, modems, meios físicos de tráfego, sistemas
de armazenamento das informações digitais, equipamentos (discos rígidos e outras mídias) que armazenam informações digitais sigilosas
e os sistemas de cópias de segurança (backup), instalações elétricas e os sistemas de refrigeração, sistemas de combate a incêndio,
sistemas de controle de acesso físico e outros sistemas ou recursos das áreas que abrigam equipamentos computacionais.

• Segurança lógica das informações digitais: Regras básicas para o uso de senhas:

1- nunca compartilhá-las;
2- não utilizar sequencia fácil ou óbvia de caracteres, que facilite sua descoberta;
3- não utilizar palavras existentes em dicionários;
4- utilizar aleatoriamente letras minúsculas, maiúsculas, números e caracteres especiais;
5- não escrevê-las em lugares visíveis, de fácil acesso ou em claro;
6- proceder as devidas precauções para mantê-la em sigilo, conforme previsto no TRI; e
7- cumprir a política de tempo de validade de senhas que estiver em vigor, trocando-a regularmente.

• Segurança lógica das informações digitais

Uso do antivírus e outros programas de proteção individual:


As configurações de uso e de atualização dos programas de proteção individuais devem ter seu gerenciamento centralizados pelo CTIM.
Uso de modem em estações de trabalho e equipamentos servidores:
Não é permitida a instalação de modem de nenhuma espécie, inclusive os 3G/4G, em equipamento interligado à rede local da OM. Em caso de
necessidade de se utilizar modem 3G/4G o projeto deverá ser apreciado pela DCTIM.

Cópias de segurança (backup)


- O backup dos servidores é responsabilidade do ADMIN;
- O backup das estações de trabalho é de responsabilidade do usuário;
- As copias de segurança devem ser guardadas em local determinado pelo OSIC e controlado pelo ADMIN;
- O local de guarda deverá estar situado, sempre que possível, em prédio distinto ao do equipamento servidor do qual foi feita a respectiva cópia; -
As cópias de segurança têm o mesmo grau de sigilo das informações que armazenam e deve ser protegidas pelas medidas de segurança
correspondentes.

Correio eletrônico
- o uso do correio eletrônico é restrito ao interesse do serviço;
- não é permitida a transferência de arquivo que pertença a MB por “e-mail” para caixa postal externa, exceto no interesse de serviço;
- as máquinas utilizadas como servidores de correio devem ser instaladas em compartimentos de acesso restrito e controlado;
- não devem ser executados, copiados ou retidos arquivos recebidos em anexo à mensagens de correio eletrônico sem uma prévia análise ou
varredura por programas específicos de controle e verificação de ataques, como por exemplo programas antivírus;
- se houver qualquer dúvida quanto a origem da msg recebida, esta ocorrência deve ser notificada ao ADMIN e ao OSIC, para análise, antes da
abertura da mensagem;
- é vedado o uso de correio eletrônico por meio de páginas específicas da Internet (“webmail”);
- devem ser utilizados programas certificados pela DCTIM para assinatura digital;
- é proibido o uso de programas de criptografia de arquivos e mensagens que não sejam controlados pela DCTIM; e
- conforme indicado no Termo de Responsabilidade Individual, toda informação processada, armazenada ou em trâmite no ambiente computacional
da OM pode ser auditada, incluindo o correio eletrônico.

Uso de redes sem fio


- É vedado o uso de redes sem fio para interligação de equipamentos na rede local da OM. Nenhum dispositivo de rede sem fio deve ser
implementado sem análise e autorização prévias da DCTIM.
Uso de redes Ponto a Ponto (P2P) (do inglês peer to peer ou simplesmente ponto-a-ponto, com sigla P2P que é uma arquitetura de redes de
computadores onde cada um dos pontos ou nós da rede funciona tanto como cliente quanto como servidor, permitindo compartilhamentos de
serviços e dados sem a necessidade de um servidor central)
- É vedado o uso de redes P2P nas estações de trabalho da RECIM.

Redes sociais É vedado o uso de redes sociais, tais como facebook, orkut, myspace, twitter, picasa e etc nas estações de trabalho da RECIM.

Mentalidade de segurança:
Engenharia social

- Conjunto de técnicas para se obter ou comprometer informações sobre uma organização ou seus sistemas computacionais, utilizando-se como
ferramenta de ataque a interação humana ou as habilidades e fragilidades sociais do ser humano. Técnica utilizada para obter informações
relevantes que comprometam o sistema alvo, como, por exemplo, nomes e senhas dos usuários de departamentos estratégicos da organização.
- Este ataque utiliza a fragilidade ou ingenuidade emocional das pessoas no intuito de alcançar o objetivo de obter informações, com ou sem
tecnologia. O Engenheiro Social consegue obter de uma pessoa algo que ela normalmente não faria para um estranho.
- É um dos ataques mais sofisticados e com maior chance de alcançar o sucesso.

Capítulo 10 – Documentos de Segurança da Informação e Comunicações


Instrução de Segurança da Informação e Comunicações (ISIC)

Documento para gerenciamento de segurança da informação digital voltado às ações de planejamento.


Objetivo: definir procedimentos que garantam os requisitos básicos de SIC;
- Documento OSTENSIVO;
- Formalizado por meio de Ordem Interna; e
- O intervalo entre as revisões não deve ser superior a 1 (um) ano.

- Controle de entrada na OM de dispositivos armazenadores de informações digitais


Documento OSTENSIVO que registra a entrada na OM de qualquer dispositivo que possa armazenar informações digitais.

- Histórico de Rede Local (HRL)


- Documento voltado às ações de histórico;
- Grau de sigilo no mínimo RESERVADO * (Lei 7724)
- Composto de 3 partes:
- Descrição da rede;
- Atividades de rotina; e
- Incidentes.

- Relatório de Auditoria (RAD)


- Documento RESERVADO * (Lei 7724) voltado às ações de auditoria
- Planos de Adestramento
- Documento OSTENSIVO voltado às ações de adestramento
- Planos de Contingência (PLCONT)
- Voltado às ações de planejamento
- Grau de sigilo: no mínimo RESERVADO * (Lei 7724)

Capítulo 11 – Auditoria de Segurança da Informação e Comunicações

• Auditoria de Segurança da Informação e Comunicações


Tem por objetivo verificar o fiel comprimento das normas de SIC, bem como estabelecer possíveis ações de correção juntamente a uma contínua
divulgação da cultura de SIC.

• Tipos de Auditorias de SIC

Programada
Inopinada
Interna
Solicitada

Planejamento e Controle das Auditorias de SIC

O planejamento e o controle das auditorias de SIC, exceto as auditorias internas, são de responsabilidade da DCTIM.
Grau de Sigilo (mínimo) das auditorias de SIC: RESERVADO * (Lei 7724)
Após a aprovação do RAD, a DCTIM encerrará as atividades da EA e divulgará o Relatório para a OM e seu respectivo
COMIMSUP.
Todos os tipos de auditoria de SIC somente poderão ser conduzidos por pessoal autorizado pela DCTIM, exceto para o caso de
auditoria interna, na qual o pessoal será designado pelo Titular da OM.

Procedimento p/ Auditoria de SIC programada


Programadas e realizadas pela DCTIM.

Procedimento p/ Auditoria de SIC inopinada


Poderão ser realizadas remotamente ou nas próprias instalações físicas da rede local, em uma data aleatória a ser escolhida pela DCTIM.
Por se tratar de uma auditoria de SIC com finalidade específica, a EA para este tipo de auditoria será designada sigilosamente pela DCTIM e
cumprirá orientações específicas para sua execução.

Procedimento p/ Auditoria de SIC interna


Participação de pessoal de outra OM em realização de auditoria interna de SIC: “somente poderá ocorrer com autorização formal da DCTIM.”
Relembra-se que é expressamente proibida a participação de pessoal externo à MB em auditorias de SIC.

Procedimento p/ Auditoria de SIC solicitada


Este tipo de auditoria será feito a partir de uma solicitação formal de uma OM, ou seu respectivo COMIMSUP, à DCTIM.

EMA-414 (1ª Revisão)


NORMAS PARA A SALVAGUARDA DE MATERIAIS CONTROLADOS, INFORMAÇÕES, DOCUMENTOS E MATERIAIS
SIGILOSOS NA MARINHA

PROPÓSITO:
Estabelecer as normas para a salvaguarda de materiais controlados, dados, informações, documentos e materiais sigilosos na Marinha do
Brasil, bem como das áreas e das intalações onde tramitam, incluindo os procedimentos das Comissões Permanentes de Avaliação de
Documentos Sigilosos, visando a sua prorrogação, renovação, reavaliação, reclassificação e autorização de acesso.

EMA-414
PRINCIPAIS MODIFICAÇÕES:
Inserção de trechos com o propósito de ampliar a clareza no que se refere às atribuições, procedimentos e medidas de segurança, em
decorrência das inovações trazidas pela Lei nº 12.527 – Lei de Acesso à Informação (18/11/2011), pelo Decreto nº 7.724 (16/05/2012), que a
regulamentou e pelo Decreto nº 7.845 (14/11/2012); alteração das regras para a classificação e tratamento dos documentos e materiais
contendo informações sigilosas; extinção do grau de sigilo CONFIDENCIAL; e formalização da decisão que classifica a informação nos graus
de sigilo ULTRASSECRETO, SECRETO e RESERVADO, por meio do Termo de Classificação da Informação (TCI) e encaminhamento, à
Comissão Mista de Reavaliação de Informação (CMRI), dos TCI referentes aos documentos ULTRASSECRETO e SECRETO.

 Conceitos e definições:

• ACESSO: ato que decorre do direito de ter conhecimento ou examinar informação contida em registros ou documentos produzidos ou
acumulados pelos órgãos ou entidades do poder público.
• ALGORÍTIMO DE ESTADO: função matemática utilizada na cifração e na decifração, desenvolvida pelo Estado para uso exclusivo
em interesse do serviço de órgãos ou entidades do Poder Executivo federal.
• AUTENTICIDADE: qualidade da informação que tenha sido produzida, expedida, recebida ou modificada por determinado indivíduo,
equipamento ou sistema.
• CIFRAÇÃO: ato de cifrar mediante uso de algorítimo simétrico ou assimétrico, com recurso criptográfico, para substituir sinais de
linguagem clara por outros inintelegíveis por pessoas não autorizadas a conhecê-la.
• CLASSIFICAÇÃO: atribuição, pela autoridade competente, de grau de sigilo à informação contida em registros, documentos e
materiais.
• COMPROMETIMENTO: perda de segurança do acesso não autorizado.
• CONHECIMENTO: é a representação resultante da aplicação de uma metodologia, devidamente estabelecida, de um fato ou de uma
situação, real ou hipotética.
• CREDENCIAL DE SEGURANÇA: certificado que autoriza pessoa para o tratamento de informação classificada.
• CREDENCIAMENTO DE SEGURANÇA: processo utilizado para habilitar órgão ou entidade pública ou privada, e para credenciar
pessoa para o tratamento de informação classificada.
• CUSTÓDIA: responsabilidade pela guarda e pela segurança, física ou de conteúdo, de registro, documento ou material sigiloso.
• DADO: é a representação que não decorra do emprego de uma metodologia, devidamente estabelecida, de um fato ou de uma situação.
• DECIFRAÇÃO: ato de decifrar mediante uso de algorítimo simétrico ou assimétrico, com recurso criptográfico, para reverter processo
de cifração original.
• DISPONIBILIDADE: qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas
autorizados.
• DISPOSITIVOS MÓVEIS: equipamentos portáteis dotados de capacidade computacional ou dispositivos removíveis de memória para
armazenamento.
• DOCUMENTO: unidade de registro de informações, qualquer que seja o suporte ou formato. Os documentos de interesse da MB estão
enquadrados nos seguintes grupos: Documentos Administrativos, Documentos Operativos e Publicações.
• DOCUMENTO PÚBLICO: é aquele produzido e recebido por OM, em decorrência de suas atribuições, ou produzido e recebido por
seus titulares ou autoridades por eles, no exercício de seu cargo ou função.
• DOCUMENTO PÚBLICO SIGILOSO: é aquele que contém informação classificada como sigilosa e que diga respeito á segurança da
sociedade e do Estado, além daqueles assim classificados em virtude de outras hipóteses legais de sigilo.
• DOCUMENTO CONTROLADO: documento que contenha informação classificada em qualquer grau de sigilo e que, a critério da
autoridade classificadora, requer medidas adicionais de controle.
• GRAU DE SIGILO: classificação atribuída às informações sigilosas, constantes de registros, documentos ou materiais, em decorrência
do seu teor e em razão de sua imprescindibilidade à segurança da sociedade e do Estado.
• INFORMAÇÃO: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em
qualquer meio, suporte ou formato.
• INFORMAÇÃO DIGITAL: é a representação da informação em meio eletrônico ou digital.
• INFORMAÇÃO SIGILOSA: aquela submetida temporariamente à restrição de acesso público, em razão de sua imprescindibilidade
para a segurança da sociedade e do Estado, e as informações abrangidas pelas demais hipóteses legais de sigilo ou de segredo.
• INTEGRIDADE: qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino.
• NECESSIDADE DE CONHECER: condição segundo a qual o conhecimento da informação classificada é indispensável para o
adequado exercício de cargo, função, emprego ou atividade.
• NÍVEL DE COMPROMETIMENTO: conjunto de fatores que permite concluir sobre como o conhecimento comprometido poderá
influenciar o desempenho das tarefas da MB. Os níveis de comprometimento são: baixo, médio ou alto.
• OFICIAL RESPONSÁVEL PELA CUSTÓDIA (ORC): oficial responsável pela custódia do material sigiloso de uma OM.
• OSTENSIVO: documentou ou material sem classificação quanto ao grau de sigilo, cujo acesso pode ser franqueado.
• RECURSO CRIPTOGRÁFICO: sistema, programa, processo, equipamento, isolado ou em rede, que utiliza algorítimo simétrico ou
assimétrico para realizar cifração ou decifração.
• SIGILO: restrição temporária de acesso público, em razão da imprescindibilidade da informação para a segurança das sociedade e do
Estado, e a resultante de outras hipóteses legais
• SEGURANÇA ORGÂNICA: conjunto de medidas voltadas para a prevenção e a obstrução das ações ou ocorrências adversas de
qualquer natureza que comprometam a salvaguarda de itens sigilosos;
• MENTALIDADE DE SEGURANÇA: compreensão da necessidade e da importância das medidas de segurança.

ASPECTOS BÁSICOS NO TRATO DE MATERIAL SIGILOSO:

a) o acesso a informações, documentos e materiais sigilosos deverá ser viabilizado, uma vez atendidos os requisitos necessários
previstos na legislação em vigor, assim como às áreas e instalações onde trânsito é restrito e condicionado à necessidade de conhecer;
b) no tratamento da informação classificada, as atividades de produção, recepção, classificação, utilização, acesso, reprodução,
transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação, manuseio, consulta e guarda de
documentos e materiais sigilosos observarão medidas especiais de segurança;
c) toda autoridade responsável pelo trato de informações, documentos, materiais, áreas, instalações ou sistemas de informação digital
sigilosos providenciará para que o pessoal sob suas ordens conheça integralmente as medidas de segurança estabelecidas, zelando pelo
seu fiel cumprimento; e
d) toda e qualquer pessoa que tome conhecimento de informações constantes de documentos, materiais, áreas, instalações ou sistemas de
informação digital de natureza sigilosa fica, automaticamente, responsável pela preservação do seu sigilo, mediante a assinatura do Termo
de Compromisso de Manutenção de Sigilo (TCMS).

• CLASSIFICAÇÃO SEGUNDO O GRAU DE SIGILO

Classificação como Ultrassecreto (U)


São passíveis de classificação como ultrassecretos, dentre outros, informações ou documentos referentes à soberania e à integridade
territorial nacionais, a planos e operações militares, às relações internacionais do País, a projetos de pesquisa e desenvolvimento científico
e tecnológico de interesse da defesa nacional e a programas econômicos, cujo conhecimentos não autorizado possa acarretar dano grave à
segurança da sociedade, do Estado ou da MB.

• Classificação como Secreto (S)


São passíveis de classificação como secretos, dentre outros, informações ou documentos referentes a sistemas, instalações, programas,
projetos, planos ou operações de interesse da defesa nacional, a assuntos diplomáticos e de inteligência e a planos ou detalhes, programas
ou instalações estratégicos, cujo conhecimento não autorizado possa acarretar dano grave à segurança da sociedade, do Estado ou da MB.

• Classificação como Reservado (R)


São passíveis de classificação como reservadas informações cuja revelação não autorizada possa prejudicar ou causar riscos a planos,
operações ou objetivos afetos às atividades da MB.

COMPETÊNCIA PARA CLASSIFICAÇÃO DO GRAU DE SIGILO

Ultrassecreto: A classificação no grau de sigilo ultrassecreto é de competência das seguintes autoridades:


a) Presidente da República;
b) Vice-Presidente da República;
c) Ministros de Estado e autoridades com as mesmas prerrogativas;
d) Comandantes da Marinha, do Exército e da Aeronáutica; e
e) Chefes de Missões Diplomáticas e Consulares permanentes no exterior.

• É vedada a delegação de competência para a classificação no grau de sigilo ultrassecreto. A classificação de informação no grau de sigilo
ultrassecreto, pelo Comandante da Marinha, deverá ser ratificada pelo Ministro da Defesa, no prazo de 30 (trinta) dias. Enquanto não
ratificada, a classificação considera-se válida para todos os efeitos legais.

COMPETÊNCIA PARA CLASSIFICAÇÃO DO GRAU DE SIGILO

• Secreto: A classificação no grau de sigilo secreto é de competência, além das autoridades mencionadas para o grau de sigilo
ultrassecreto, dos titulares de autarquias, fundações, empresas públicas e sociedades de economia mista, vedada a delegação.
• Reservado: A classificação no grau de sigilo reservado é de competência, além das autoridades citadas para os sigilos ultrassecreto e
secreto, dos dirigentes máximos dos órgãos colegiados, de direção geral, de direção setorial, de assessoramento superior e de assistência
direta e imediata ao Comandante da Marinha e, por delegação de competência, dos oficiais e servidores civis que exercem função de
direção, comando e chefia, no âmbito dos respectivos setores, ou seus equivalentes, sendo vedada a subdelegação
Os agentes detentores da delegação de competência deverão dar ciência do ato de classificação à autoridade delegante, no prazo de (90)
dias.

GUARDA E ARMAZENAMENTO DE DOCUMENTOS SIGILOSOS EM MEIO ELETRÔNICO OU DIGITAL:


a) Uso obrigatório de recursos criptológicos - todos os documentos sigilosos, para serem armazenados em meio eletrônico ou digital,
devem ser, obrigatoriamente, criptografados;
b) Meio eletrônico ou digital para documentos ultrassecretos - deve ser, preferencialmente, removível, e não magnético, como os
discos ópticos, observando-se o uso de criptografia. No caso do armazenamento desses documentos diretamente em microcomputadores,
deverão estar:
- isolados de qualquer rede;
- localizados em compartimento fechado e de acesso restrito; e
- protegidos pelas medidas de segurança física e lógica previstas nas normas.
c) Meio eletrônico ou digital para documentos secretos e reservados - deve ser, preferencialmente, removível, observando-se o uso da
criptografia No caso do armazenamento desses documentos diretamentes em microcomputadores, deverão estar:
- localizados em compartimento fechado e de acesso restrito; e
- protegidos pelas medidas de segurança física e lógica previstas nas normas.

• COMUNICAÇÃO SOBRE O COMPROMENTIMENTO:

Qualquer pessoa que tenha conhecimento sobre extravio de material sigiloso ou controlado deverá participar imediatamente ao seu
superior.

• AÇÕES IMEDIATAS DO TITULAR DA OM:

a) comunicação da ocorrência ao EMA, ao COMIMSUP, à OMA/OME* e, se o comprometimento for de recurso criptológico ou


envolver sistemas de informação digital, à Diretoria de Comunicações e Tecnologia da Informação da Marinha (DCTIM);
b) verificação do nível de comprometimento;
c) correção de eventuais vulnerabilidades de segurança descobertas;
d) apuração de responsabilidades; e
e) encaminhamento de informe ao Centro de Inteligência da Marinha (CIM).

• COMUNICAÇÃO DA OCORRÊNCIA AO EMA, COMIMSUP E À OM CLASSIFICADORA


Esta comunicação, no grau de sigilo adequado, deverá ser feita de forma oficial com as seguintes informações:
a) natureza do comprometimento;
b) avaliação inicial do nível de comprometimento;
c) localização ou posição geográfica, profundidade local e a condição de acondicionamento do material, quando aplicável;
d) a data e as circunstâncias em que o material foi visto pela última vez, quando aplicável; e
e) se foram esgotadas todas as medidas destinadas a recuperar o material, citando essas medidas.

• VERIFICAÇÃO DO NÍVEL DE COMPROMETIMENTO: Baixo, médio ou alto

AVALIAÇÃO DO NÍVEL DE COMPROMETIMENTO Caberá à OM onde ocorreu o compromentimento. Após solução de Sindicância pode
ter o nível reduzido, mantido ou aumentado.

• CORREÇÃO DE EVENTUAIS VULNERABILIDADES DE SEGURANÇA DESCOBERTA

Devem ser tomadas providências para:


a) Corrigir as vulnerabilidades de segurança descobertas; e
b) Minimizar a possibilidade de repetição das ocorrências.

APURAÇÃO DE RESPONSABILIDADES Uma cópia da sindicância (ou IPM) e de sua solução serão encaminhadas ao EMA e,
adicionalmente, à OMA, no caso de comprometimento de publicação sigilosa, ou à DCTIM, no caso de comprometimento de recurso criptológico
ou de sistema de informação digital.

ORION: Introdução à criptografia

CRIPTOGRAFIA ASSIMÉTRICA
• Também conhecida como criptografia por chave pública, é a técnica que emprega um par de chaves: uma pública e uma
privada. O processo de criptografia é feito com a chave pública enquanto que a decriptografia com a chave privada.

CHAVE PÚBLICA E CHAVE PRIVADA
  Para enviar uma mensagem confidencial, o autor criptografa a mensagem com a
chave pública do destinatário. Uma vez criptografada, a mensagem só poderá ser descriptografada com a chave privativa do
destinatário.

CHAVEIROS  é o nome atribuído ao arquivo que contém chaves criptográficas. Podem ser de dois tipos: chaveiro privado e
chaveiro público.

Chaveiro Privado ARQUIVO PESSOAL, CONFIDENCIAL e INTRANSFERÍVEL de determinado usuário, onde são
armazenadas as chaves públicas que podem ser usadas para criptografar, além da chave secreta, também denominada privada,
empregada na decriptografia e assinatura.

Chaveiro Público Arquivo público, normalmente criado e mantido pela OM (CTIM), que contém chaves públicas para serem
empregadas na criptografia e verificação de assinaturas.