Escolar Documentos
Profissional Documentos
Cultura Documentos
BRASÍLIA
2004
IVAN JORGE CHUERI SALGADO
RONALDO BANDEIRA
RIVANILDO SANCHES DA SILVA
BRASÍLIA
2004
FACULDADES INTEGRADAS ICESP
CURSO DE TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO
Aprovada por:
_________________________________________
Prof. Reinaldo Mangialardo
_________________________________________
Prof.
_________________________________________
Prof.
BRASÍLIA
2004
DEDICATÓRIA
Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e
Ronaldo Bandeira:
A meus pais e minha namorada, pela paciência, dando-me todo o apoio necessário à
Dedico este trabalho aos meus pais e à minha família, que sempre me apoiaram e estiveram ao
meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver
À Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela paciência diante
das dificuldades impostas pela falta de atenção e dedicação à família, e também, ao meu
amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta
obra.
Ronaldo Bandeira:
Ao meu amigo Ivan, pela grande contribuição do seu conhecimento a esta obra, e pelo seu
empenho.
A Deus, aos nossos amigos que contribuíram para realização deste trabalho, aos professores
1 INTRODUÇÃO ........................................................................................................... 11
1.1 Justificativa .............................................................................................................. 17
1.2 Objetivos.................................................................................................................. 20
1.3 Escopo do Projeto..................................................................................................... 22
1.3.1 Descrição das áreas envolvidas ............................................................................. 22
1.4 ESTRUTURA ORGANIZACIONAL ...................................................................... 24
1.5 RECURSOS DO PROJETO ..................................................................................... 26
1.6 REFERENCIAL TEÓRICO ..................................................................................... 26
1.7 METODOLOGIA .................................................................................................... 27
2 SEGURANÇA E SEUS COMPONENTES .................................................................. 31
2.1 Política de segurança ................................................................................................ 43
2.2 Segurança organizacional ......................................................................................... 45
2.2.1 Infra-estrutura da segurança da informação........................................................... 45
2.2.2 Segurança no acesso de prestadores de serviços.................................................... 49
2.3 Classificação e controle dos ativos de informação .................................................... 51
2.4 Segurança em pessoas .............................................................................................. 53
2.5 Segurança física e do ambiente................................................................................. 58
2.5.1 Áreas de segurança ............................................................................................... 60
2.5.2 Segurança dos equipamentos ................................................................................ 67
2.5.3 Controles gerais.................................................................................................... 74
2.6 Conformidade .......................................................................................................... 76
2.6.1 Conformidade com requisitos legais ..................................................................... 76
2.7 Análise da política de segurança e da conformidade técnica ..................................... 80
2.8 Mecanismos e dispositivos de segurança .................................................................. 82
2.8.1 Infra-Estrutura do Data Center ............................................................................. 82
2.8.2 Acesso ao CPD..................................................................................................... 86
3 ESTUDO DE CASO .................................................................................................... 92
3.1 Política de segurança ................................................................................................ 92
3.1.1 Situação Atual em Relação à Política de Segurança .............................................. 92
3.1.1.1 Comitê Gestor ...................................................................................................... 92
3.1.2 Recomendações quanto à Política de Segurança.................................................... 93
3.1.3 Plano de Ação ...................................................................................................... 95
3.2 Segurança organizacional ......................................................................................... 98
3.2.1 Responsabilidades do Comitê de Segurança.......................................................... 99
3.2.2 Coordenação do Comitê de Segurança na ELECTRA ......................................... 100
3.2.3 Situação Atual em relação à Segurança Organizacional ...................................... 102
3.2.4 Recomendações quanto à Segurança Organizacional da ELECTRA ................... 104
3.2.5 Plano de Ação .................................................................................................... 106
3.3 Classificação e controle dos ativos de informação .................................................. 112
3.3.1 Classificação das informações ............................................................................ 115
3.3.2 Recomendações sobre os Ativos e Classificação das informações....................... 119
3.3.3 Plano de Ação .................................................................................................... 119
3.4 Segurança em pessoas ............................................................................................ 124
3.4.1 Terceirização...................................................................................................... 127
3.4.2 Fatores humanos................................................................................................. 129
3.4.3 Situação atual em relação à Segurança em Pessoas/Fatores Humanos ................. 135
3.4.4 Recomendações em relação à Segurança em Pessoas .......................................... 136
3.4.5 Plano de Ação .................................................................................................... 139
3.5 Segurança física e do ambiente............................................................................... 148
3.5.1 Segurança em equipamentos............................................................................... 155
3.5.2 Suprimento de energia elétrica............................................................................ 158
3.5.3 Manutenção dos equipamentos ........................................................................... 161
3.5.4 Diretrizes de proteção......................................................................................... 164
3.5.5 Situação atual do Data Center em relação à Segurança Física............................. 165
3.5.6 Recomendações de Segurança Física do Data Center ......................................... 177
3.5.6.1 Recomendações específicas da ELECTRA .......................................................... 177
3.5.6.2 Recomendações específicas do Data Center ....................................................... 179
3.5.7 Plano de Ação .................................................................................................... 191
3.6 Conformidade ........................................................................................................ 214
3.6.1 Preservação dos registros da ELECTRA ............................................................. 216
3.6.2 Situação atual em relação à Conformidade.......................................................... 220
3.6.3 Recomendações sobre a conformidade................................................................ 223
3.6.4 Plano de Ação .................................................................................................... 224
3.7 Plano de Ação Geral (Todos os Módulos Analisados)............................................. 226
4 ANÁLISE DE RESULTADOS .................................................................................. 229
5 CONCLUSÃO ........................................................................................................... 230
6 REFERÊNCIAS BIBLIOGRÁFICAS ........................................................................ 232
APÊNDICE A ................................................................................................................... 234
APÊNDICE B.................................................................................................................... 239
APÊNDICE C.................................................................................................................... 251
APÊNDICE D ................................................................................................................... 307
ANEXO A ......................................................................................................................... 312
ANEXO B ......................................................................................................................... 322
GLOSSÁRIO..................................................................................................................... 323
LISTA DE FIGURAS
Figura 1 - Evolução da Norma BS 17799 ............................................................................. 12
Figura 2 - Principais ameaças à segurança da informação..................................................... 14
Figura 3 - Principais pontos de invasão ................................................................................ 15
Figura 4 - Principais medidas de segurança já implementadas .............................................. 15
Figura 5 - Organograma Geral da ELECTRA....................................................................... 22
Figura 6 - Ciclo da Segurança da Informação ....................................................................... 39
Figura 7 - Layout atual do piso da garagem ........................................................................ 235
Figura 8 - Layout atual do piso do Data Center.................................................................. 235
Figura 9 - Layout atual do pavimento térreo ....................................................................... 236
Figura 10 - Layout atual do pavimento tipo ........................................................................ 236
Figura 11`- Sugestão de layout para o 2o. Sub-solo - Garagem........................................... 237
Figura 12 - Sugestão de layout para o 1o. Sub-solo ............................................................ 237
Figura 13 - Sugestão de layout para o pavimento Térreo .................................................... 238
Figura 14 - Sugestão de layout para o pavimento Tipo ....................................................... 238
LISTA DE TABELAS
seu estado. O produto segurança é difícil de ser obtido quando se fala em segurança de
objetivo maior. Entretanto, implica em controlar todas as variáveis que integram esse
Este documento deu origem à BS 7799-1995, que foi instituída no Brasil pela ABNT -
The product “Security” is much harder to obtain when it comes to Information. In this
case, there is a huge variety of products which comes in a diversity of forms: Physical
security (paper), electronic security (data transmissions and storage) and even people
security. To seek absolute security is a major goal, but it implies in controlling each
and every variable that integrate this universe; something practically impossible to
accomplish. The paths that make this major goal possible to achieve are a result of
joint efforts, both public and private throughout the world, which established a
Normas Técnicas through the ISO/IES 17799-2000. The safety of the information is
structured by several components. One of them, physical security, aids specifically the
information security aspect. Without it, efforts to stabelish a safe data environment
would be worthless.
1 INTRODUÇÃO
provendo maior qualidade aos clientes e vantagens em relação aos seus competidores
impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes,
falada, rádio, TV etc. Seja qual for sua forma de existência ou modo pelo qual é
mesmo privadas, preocupadas com esta questão da segurança, iniciou, ainda de forma
isolada, propostas para tratar o assunto, principalmente nos 12 últimos anos com a
2 em 1999, que passou a ser padrão mundial seguido pelas empresas e governos.
Surgiu então a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro
energia;
de desenvolvimento;
alternativa, cofres;
• Confidencialidade;
• Integridade;
• Disponibilidade.
informação, sem a qual todo o esforço despendido na proteção lógica torna-se ineficaz,
citados acima.
14
Além desses pode-se citar a Legalidade como outro componente que visa o
Estatísticas
abaixo:
As Falhas na Segurança Física foram apontadas por 37% dos entrevistados como
uma das principais ameaças, mostrando que atualmente a Segurança Física faz parte
que a Segurança Física é tão importante quanto a lógica, pois quando indevidamente
na Sala de Servidores ganhe mais posições neste ranking nos próximos anos.
Definição
Delimitação
Este projeto tem como objetivo abordar um estudo e uma análise de Segurança
geral, conceitos necessários para que uma empresa consiga alcançar o mais alto nível
de Segurança Física, atendendo a situações dos mais diversos gêneros com políticas
Esclarecimentos
direção para preservar sua integridade e imagem junto a seus clientes e fornecedores.
Espera-se que este trabalho possa contribuir como fonte de consulta e discussões
forma geral e ampla este tema em um único documento. São encontrados apenas
estudos isolados, com o foco em um ou outro tópico, não mantendo uma relação direta
encontrados.
1.1 Justificativa
A proteção das informações não pode se restringir apenas aos meios lógicos,
O principal motivo deste trabalho é sugerir soluções de segurança física para que
é delicada.
Relevância
o estudo de alternativas para proteção física dos principais ativos como informações,
salientar o baixo nível de tolerância a falhas, que não permite interrupções não
nível alto de proteção pode consumir grandes somas financeiras. Dessa forma, é
disponível.”.
1.2 Objetivos
Objetivo Geral
identificados1.
Objetivos Específicos
dependências da ELECTRA;
áreas restritas;
1
Esta análise não tem como objetivo certificar a ELECTRA em relação à norma BS 7799.
21
segurança física;
etc.
22
Estrutura organizacional
Presidente
São escopo deste trabalho todas as áreas que de alguma forma contribuem para o
situado no subsolo;
• Pavimento da cobertura;
infra-estrutura;
administração;
pavimentos;
inflamáveis;
Modelo de Negócio
direção para preservar sua integridade e imagem junto a seus clientes e fornecedores.
nacional.
administração empresarial.
cerca de 20 anos e por isso não é plenamente seguida, pois não retrata mais a situação
atual. Isto se deve à evolução tecnológica ocorrida neste período. Hoje, estão a
tecnologia e confiabilidade. Outro fator que contribuiu fortemente para esta situação
negócio.
Estrutura de Tecnologia
Data Center central, acessados por redes locais Ethernet 100Mb e o backbone de 1Gb.
Existem sete filiais, cada uma com sua estrutura própria de rede, mas
convergindo suas conexões para a matriz, acessando o CPD central. Existe um backup
site fora de uso, conectado ao CPD central. O número de estações existentes nas filiais
Instalações
Uma sala com dois computadores e uma impressora em rede com comunicação
Softwares necessários
Recursos humanos
• Um engenheiro civil;
SEGURANÇA FÍSICA.
1.7 METODOLOGIA
Questionário (APÊNDICE C)
análise:
• Política de segurança
• Segurança organizacional
• Segurança em pessoas
• Cada item avaliado recebe uma ponderação que foi acordada juntamente
A situação atual de cada item é classificada conforme o critério abaixo, que foi
• Não atende
• Sim atende
O cálculo é feito item a item através do produto do peso do item por sua
pontuação de presença. Os totais dos itens são somados para compor subtotal do ponto
módulo analisado.
Metodologia da análise
Análise on-site:
interesse da análise.
informações relevantes.
ISO/IEC 17799).
30
Observações:
Segurança da informação
desta obra.
informação frente aos diversos tipos de ameaças. Para tanto, é necessário que sejam
qualidade do produto ou serviço ofertado dentro dos prazos acordados com seus
clientes.
capítulos abaixo:
• 3. Política de Segurança;
• 4. Segurança Organizacional;
• 6. Segurança em pessoas;
• 9. Controle de acesso;
• 12. Conformidade.
• 3. Política de Segurança;
• 4. Segurança Organizacional
• 6. Segurança em pessoas;
• 12. Conformidade
que deve ser feito, se viável, para solucionar esses problemas. Desta forma deve ser
importante lembrar que cada empresa tem suas especificidades e por isso as medidas
Pilares da segurança
Para que uma informação esteja segura devem ser observados os fatores que
Integridade: uma informação tem que ser oferecida ao seu usuário de forma
íntegra, ou seja, que não tenha sido modificada por qualquer pessoa ou processo não
autorizado.
A Constituição é a lei maior de uma nação que dita as principais regras que
deverão ser seguidas pelos cidadãos. Apenas a Constituição não é capaz de abranger
todas as situações. É preciso que seja complementada com leis ordinárias e específicas
e suas competências. Dessa forma, cada competência pode ser tangida por leis
específicas.
As leis atuam nos âmbitos federal, estadual, municipal ou mesmo organizacional. Esta
segurança.
Dessa forma podemos destacar algumas normas, leis e decretos que estão
segurança da informação para uso por aqueles que são responsáveis pela
regulamentações vigentes;
existentes.
Riscos
Um ativo é algo que tem valor para a empresa, e portanto precisa ser
protegido. Os ativos podem ser físicos (computadores, equipamentos, infra-
estruturas de transmissão de dados, prédios, etc), softwares, informações
(documentos, bancos de dados, etc), processos, pessoas, e até mesmo
intangíveis (por exemplo, a imagem da empresa). É muito importante avaliar
periodicamente o grau de risco dos ativos, porque eles são o suporte de
negócios da empresa.
Já que os ativos possuem valor para a empresa, este valor precisa ser
avaliado de alguma forma. Esta avaliação pode ser quantitativa, quando
existem dados disponíveis, ou qualitativa, onde é feita uma estimativa da
“relevância” do ativo para os componentes ou processos do negócio que ele
suporta.
baseado
NEGÓCIO INFORMAÇÃO
sujeita
protegem
contém contém
MEDIDAS VULNERABILIDADE
DE diminuem
SEGURANÇA aumentam
permitem
RISCOS
reduzem
aumentam aumentam
IMPACTOS AMEAÇAS
NO
NEGÓCIO
aumentam
comprometem
causam INTEGRIDADE
CONFIDENCIALIDADE
DISPONIBILIDADE
Estes aspectos são tangidos por um processo de análise de risco que considera
algumas variáveis como componentes que atuam diretamente ao risco que são: valor
do dano.
Segundo Dias (2000, p.69), ”Normalmente os impactos são analisados sob dois
aspectos: curto prazo e longo prazo, em função do tempo em que o impacto, causado
Segundo o Galvão e Poggi, (2002, p.5), “Se o hacker conseguir acesso indevido
os. Apenas para ilustrar, abaixo está uma classificação que pode ser utilizada em
diversas situações.
42
0 – Impacto irrelevante;
da ELECTRA;
intrinsecamente relacionados aos negócios, que devem ser definidos pelas pessoas que
divulgação contando com o seu apoio irrestrito. Sua escrita deve ser simples
apresentando os assuntos de forma clara para que seja compreendida por todos na
da ELECTRA.
Segurança, diz: “Objetivo: Prover à direção uma orientação e apoio para a segurança
da informação”.
Ainda segundo a norma NRB ISO/IEC 17799 (2000, p.4), recomenda-se que
normas.
Segundo a norma NBR ISO/IEC 17799 (2000, p.4), a norma deve conter:
conscientização dos funcionários sobre seu conteúdo e suas obrigações, deve ser
informação;
segurança;
segurança;
informação;
47
sejam definidas de forma clara e que cada ativo, físico e de informação, tenha um
informação
integridade do recurso/ambiente.
mudanças à direção.
considerada.
que informações confidenciais da organização não sejam passadas para pessoas não
autorizadas.
eficiente.
49
Tal análise crítica pode ser executada pela auditoria interna, por um gestor
• Tipos de acesso;
a situação exija.
sub-locação de serviços;
no todo ou em parte;
ELECTRA;
informações da organização.
efetiva e correta das proteções. Assim, é necessário que a organização seja capaz de
Para tanto, se faz necessário estruturar e manter um inventário dos principais ativos
Classificação da informação
sistema de classificação da informação deve ser usado com intuito de definir níveis
da informação com seus respectivos impactos nos negócios. A informação deve ser
rotulação deve ser feita de forma bem criteriosa, para evitar classificações que não
informações não devem possuir uma classificação fixa, pois sua sensibilidade varia
com o tempo, e que sua rotulação pode ser modificada de acordo com uma política
predeterminada.
Atenção especial deve ser dada à interpretação dos rótulos nas informações de
organização.
53
transmissão a que a informação está sujeita, e ainda, como e quando deverá ser
Os objetivos desta seção são: reduzir os riscos de falha humana, roubo, fraude ou
uso impróprio das instalações; assegurar que os usuários, de acordo com seus cargos,
incidentes.
riscos de falha humana, roubo, fraude ou uso indevido das instalações. Isso exige que
54
atividades de segurança.
Política de pessoal
que têm autorização para acesso a sistemas sensíveis devem passar por um período de
Acordos de confidencialidade
informação. Eles devem fazer parte dos termos e condições iniciais de contratação e,
além disso, devem continuar a ter validade, mesmo após o encerramento do contrato
semelhantes.
direitos legais do funcionário com relação às informações por ele criadas na execução
de suas tarefas.
O treinamento visa garantir que os usuários estarão cientes das ameaças e das
segurança da organização durante a execução normal de suas tarefas. Para tanto, eles
devem ser treinados nos procedimentos de segurança e no uso correto das instalações
de processamento da informação.
56
multiplicadores da ELECTRA.
função monitorar tais incidentes com o intuito de minimizar os danos causados, além e
aprender com eles. Assim, esses incidentes devem ser notificados o mais rápido
juntamente com os resultados obtidos após o incidente ser tratado. Tais incidentes
circunstância, eles devem tentar verificar uma falha suspeita, sob pena de que isso
de software. Os usuários não devem tentar remover o software suspeito, a menos que
sejam autorizados, pois a organização deverá possuir pessoal capacitado para tratar de
sua recuperação.
segurança.
Processo disciplinar
58
Deve ser previsto processo disciplinar formal para os funcionários que tenham
leis vigentes.
• Tempestades, furacões;
• Terrorismo;
• Sabotagem e vandalismo;
• Explosões;
• Roubos, furtos;
• Desmoronamento de construções;
• Materiais tóxicos;
• Falhas em equipamentos;
• Outros.
Portanto, para se obter um ambiente físico seguro alguns pontos devem ser
observados. Segundo a norma NBR ISO/IEC 17799 (2000, p14), seguem os pontos a
serem analisados:
fornecida seja proporcional aos riscos identificados. Políticas de mesa limpa e tela
limpa são recomendadas para reduzir o risco de acesso não autorizado ou danos a
que estabeleça uma barreira. Por exemplo, uma parede, uma porta com controle de
existir brechas onde uma invasão possa ocorrer facilmente). Convém que
físico ao local ou prédio seja usado. Convém que o acesso aos locais ou
apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado.
permissão para ter acesso e tenham registradas data e hora de sua entrada
exemplo, cartões com PIN sejam usados para autorizar e validar qualquer
não acompanhado.
Uma área de segurança pode ser um escritório fechado ou diversas salas dentro
acesso público.
informação.
informação.
Convém que esses cuidados também cubram outras áreas, como por
prestadores de serviço.
acesso público.
condições de uma área de segurança. Isso inclui controles tanto para o pessoal da
65
assim como para atividades terceirizadas que possam ocorrer nessa área. Recomenda-
atividades maliciosas.
autorizado.
66
sejam considerados:
e autorizado.
perigos [ver 7.2.1 d)], antes de ser transportado dessa área para a área na
utilizados fora das instalações físicas da organização) é necessária para reduzir o risco
de acessos não autorizados a dados e para proteção contra perda ou dano. Convém que
especiais podem ser exigidos para proteção contra perigos ou acessos não autorizados
e cabeamento.
uso.
68
potenciais, incluindo:
• Roubo;
• Fogo;
• Explosivos;
• Fumaça;
• Poeira;
• Vibração;
• Efeitos químicos;
• Radiação eletromagnética.
processamento da informação.
69
processamento da informação.
Fornecimento de energia
incluem:
elétrico;
garantir que ele esteja com a capacidade adequada, e testado de acordo com
que filtros de proteção contra raios sejam instalados para todas as linhas de
comunicação externas.
Segurança do cabeamento
aos cabos.
considerados:
equipamentos.
72
atendidos.
seja autorizado pela direção. Convém que a segurança fornecida seja equivalente
outros, que são levados para se trabalhar em casa ou para fora do ambiente normal de
a) Convém que equipamento e mídias levados para fora das instalações não
armazenamento, como por exemplo discos rígidos, sejam checados para assegurar que
processamento da informação.
em uso.
Remoção de propriedade
devem estar cientes de que inspeções pontuais serão realizadas seguindo um plano de
auditoria.
2.6 Conformidade
requisitos de segurança.
importante lembrar que os requisitos legais variam de país para país e se aplicam
conformidade de direito autoral deve ser implementada para definir o uso legal de
se evitar perdas, destruição e falsificação dos mesmos. Além disso, alguns registros
previstos.
78
regulamentares. Deve permitir, ainda, a destruição apropriada dos registros após esses
pela proteção de dados, o qual deverá oferecer orientações para gerentes, usuários e
vigente.
79
informação
que não os do negócio, sem a devida autorização, será considerado como impróprio. E
devem ser alertados sobre tal procedimento e devem ter conhecimento do escopo exato
autorização.
computador, que o sistema ao qual ele está acessando é privado e que não são
permitidos acessos não autorizados. Assim, ao se conectar ele estará de acordo com
isto.
Consultoria jurídica deve ser obtida para garantir a conformidade desse processo
Coleta de evidências
deverão estar definidas nos procedimentos internos. Quando for de ordem externa, as
evidências necessárias devem estar de acordo com as regras estabelecidas pela lei ou
de prática publicados.
não ser óbvio que resultará num possível processo jurídico. Pode ser, também, que a
organização.
81
segurança apropriados.
conformidade técnica envolve a análise dos sistemas operacionais para garantir que
competentes e especializadas.
ferramentas de auditoria.
82
Sala-Cofre
pelos Data Centers. Ela é composta por uma célula hermética e de múltiplas camadas
câmara externa refratária (a prova de temperaturas até 1000º C) e uma célula interna
A sala-cofre deve ser uma solução sob medida, sendo a câmara externa
existentes ou pode ser composta por elementos pré-fabricados. A célula interna é pré-
teto e fundo são montados dentro, mas independente da câmara externa e unidos por
pontos de solda MIG (material inerte à gás). As juntas são flexíveis para poder
externa, abrindo para fora e uma porta estanque integrada a célula interna, abrindo
para dentro.
necessidades:
computador;
estática;
termoplástico);
minutos;
85
• O piso deve ser projetado de forma a permitir que sua integridade seja
próprias molas.
Não há custo para acioná-la e não oferece risco para funcionários. Portanto, não
freqüência e com total segurança. Para controle do risco de ignição dentro da célula
("fumaça") ligado ao sistema do prédio. Para combate automático dentro da sala pode
A sala-cofre hoje é usada nas áreas onde os equipamentos possam trabalhar sem
dentro da sala, fechar a porta interna e, após pequeno retardo, fechar a porta externa.
Controle de Acesso
de ronda, emissão de crachás para visitantes e integração com CFTV (circuito fechado
87
como o caixa de banco automático. O que o usuário possui, como o cartão magnético e
o que ele sabe, como a senha de acesso. Sistemas que utilizam apenas uma das
premissas estão mais suscetíveis à falhas provenientes por perda, uso indevido e
do bloqueio.
determinada pessoa até que sua saída seja efetuada, assim evitando o uso
pessoa a cada acesso válido. Podem ser usadas, por exemplo, catracas ou
estabelecendo um limite. Grades devem ter alarmes ou estar sob vigilância de guardas,
Cancelas: Podem ser simples para locais abertos ou articuladas para locais que
senha: geralmente feita por meio da digitação da senha em um teclado junto ao ponto
perda ou furto.
Portas duplas: geralmente usadas para forçar pessoas que estão tentando ter o
segunda porta ou por um sistema de televisão e áudio. Pode ser aplicada em situações
que uma pessoa persegue outra para tentar obter acesso a áreas restritas.
ou saída com restrições de autorização da passagem ou ainda por horário por meio do
coletor de dados.
remoto ou similares.
assinatura, palma da mão e outras técnicas. A biometria tem vantagens no seu uso
Senhas podem ser observadas, compartilhadas ou esquecidas, o que não acontece com
pessoais e intransferíveis, ou seja, pelo que ele é e não pelo que possui (cartões ou
funcionário. A identificação pode ser feita por códigos ou cores e o número de série
(para clubes), aluno (para academias e escolas), especial (o qual pode ser
visitante pode ser feita caso seja possível capturar a imagem e imprimir a mesma. No
por outro visitante. Caso a baixa do crachá não tenha sido efetuada, deve-se verificar
se o visitante ainda está no local e se o seu número de crachá confere com o registro,
3 ESTUDO DE CASO
apoiado pela alta direção da ELECTRA. Existe sim uma Política de Segurança
desatualizada (criada há cerca de 20 anos) e que por isso não é plenamente seguida,
A Norma ABNT ISO/IEC 17799 trata desse assunto em seu item 3.1 Política de
Officer);
Criar fóruns apropriados, com liderança da alta direção, para gerir, estabelecer e
compreensível ao público-alvo.
mudanças que afetem as bases da avaliação original dos riscos, como por exemplo:
• Novas vulnerabilidades.
Geral
através de:
Officer);
Segurança.
questionário - APÊNDICE B)
segurança da informação;
informação;
incidentes de segurança;
APÊNDICE B)
• A política deve ter um gestor que será responsável por sua manutenção e
OBJETIVO:
ELECTRA.
• Convém que o comitê gestor faça pesquisas (as quais devem ser
segurança.
• Deve ser nomeado um gestor para cada ativo de informação, que passará
funções:
responsabilidades globais;
informação;
da informação.
informação;
informações;
em toda a ELECTRA.
continua tendo a responsabilidade final pela segurança do ativo e deve ser capaz de
documentados;
documentados.
de segurança;
102
não autorizadas.
incipiente;
Atualmente, existe uma grande preocupação por parte das gerências com a
Ainda não existe uma gerência responsável por todas as atividades relacionadas
riscos;
103
informações;
Atualmente, existem políticas para vários ativos como, por exemplo, utilização
de crachás e leitoras;
ocorre esporadicamente;
segurança;
Não existe uma contingência no caso do contrato com a organização que oferece
serviços de telefonia;
Acesso de Terceiros
Existem terceiros que prestam serviços, que não estão localizados no site, mas
de funções e atividades;
Segurança;
ISO/IEC 17799;
cada dia esse tipo de procedimento torna-se comum. É conhecido como “contrato
guarda-chuva”;
determinado tempo, deve ser definido em contrato, como por exemplo: pessoal de
ocasionais em curto prazo e consultores. O ideal é exigir que os mesmos passem por
treinamento de conformidade com a Norma ISO / IEC 17799, que trata da Gestão de
de seu fornecedor, caso ocorra algum incidente causado por algum funcionário do
prestador de serviços;
Geral
Negócios;
de telefonia.
APÊNDICE B)
gerenciais;
informação;
informação;
específicos;
de toda a organização;
informações;
serviços;
ou processo de segurança;
utilização;
APÊNDICE B)
segurança;
110
- APÊNDICE B)
APÊNDICE B)
APÊNDICE B)
acesso;
da organização;
• Deve existir uma política definida para terceiros que ficam localizados
da conexão ou do acesso;
terceiro;
das informações.
OBJETIVO:
A responsabilização pelos ativos contribui para garantir que seja mantida uma
proteção apropriada;
113
Os inventários contribuem para assegurar que haja uma proteção eficaz dos
ativos e podem ser necessários para outros fins empresariais como, por exemplo,
gerenciamento de riscos.
inventário:
dos mesmos;
danificação.
114
Ativos de Informação
• Arquivos de dados;
• Material de treinamento;
• Planos de continuidade;
• Informações arquivadas.
Ativos de Software
• Software aplicativo;
• Software de sistema;
Ativos Físicos
modems);
115
condicionado);
• Mobiliário;
• Acomodações.
Ativos de Serviços
OBJETIVO:
• A necessidade;
116
• As prioridades;
• O grau de proteção.
especial;
especiais de manuseio.
As diretrizes de classificação
informações;
política pré-determinada.
• Cópia;
• Armazenagem;
eletrônicas;
• Destruição.
b) Aplicativos/BD/SO: R$ 48.000.000,00
1.800.000,00.
ELECTRA. Eles permitem uma visão financeira dos ativos de informação e mostram
quão importantes serão os investimentos para proteger esses ativos. Portanto, pode-se
de riscos.
17799;
Geral
Escalas dos Graus de sigilo e o Teor Crítico das informações da ELECTRA, de modo
• Pública
• Interna
• Secreta
Teor Crítico:
• Pouco Crítica
• Crítica
• Muito Crítica
Procedimentos de Proteção:
• Criação
• Divulgação
• Reprodução
• Transporte
• Armazenamento
• Destruição
121
ativo.
APÊNDICE B)
ativos;
B)
proteção;
manuseio;
APÊNDICE B)
• As informações devem ser rotuladas para indicar até que ponto são
questionário - APÊNDICE B)
informação.
questionário - APÊNDICE B)
eletrônico;
transferências de arquivo;
OBJETIVO:
125
críticos;
seu site, mas podem ter acesso físico e lógico, tais como:
dados da ELECTRA.
revelação.
127
terceiros
deve ser feita uma avaliação de riscos para identificar quaisquer requisitos de controles
específicos.
ELECTRA.
3.4.1 Terceirização
OBJETIVO:
externa.
128
empresariais da ELECTRA;
da ELECTRA;
acidente;
terceirizados;
129
• O direito de auditoria.
OBJETIVO:
Reduzir os riscos de falha humana, furto, fraude e/ou uso indevido das
instalações.
Deve ser exigido do empregado o acordo por escrito de não divulgação das
informações.
de segurança;
atividades de segurança.
130
pessoal temporário.
Nos casos em que terceiros são fornecidos por uma agência, o contrato com a
Os gerentes devem se dar conta do fato de que circunstâncias pessoais dos seus
subordinados podem afetar o trabalho dos mesmos e devem ficar atentos às seguintes
situações:
Compromissos de confidencialidade
contrato de trabalho;
de informações.
às exigências contratuais.
• As leis de copyright;
notebook).
133
ou aos serviços;
processamento de informações.
• Convém informar aos usuários que eles não devem em hipótese alguma
como:
sua presença;
de alto impacto.
• Limitar a freqüência;
Processo disciplinar
a coleta de provas;
• Foi observado que em horário de pico pode ocorrer certa dificuldade para
ELECTRA e não estão localizados no site, mas podem ter acesso físico e
lógico.
e/ou subcontratados;
terceiro;
e serviços;
das Informações.
Geral
autorizado;
for apropriado;
APÊNDICE B)
completo e correto;
empregado;
repetida periodicamente;
pessoal temporário;
142
questionário - APÊNDICE B)
processamento de informações;
para terminar.
143
- APÊNDICE B)
normal;
ou aos serviços;
questionário - APÊNDICE B)
incidente.
questionário - APÊNDICE B)
145
dos usuários, sobre o que poderia acontecer, como reagir a tais incidentes
do questionário - APÊNDICE B)
a sistemas ou serviços;
• Deve ser avisado aos usuários que eles não devem, em hipótese alguma,
B)
funcionamento;
a coleta de provas;
persistentes.
APÊNDICE B)
turnos;
alternados.
APÊNDICE B)
APÊNDICE B)
segurança adotadas.
148
OBJETIVO:
• Hall de elevadores;
• Pavimento da cobertura;
• Almoxarifados;
• Arquivo;
• Iluminação;
• Sala de controle;
• Data Center;
149
• Piso elevado;
infra-estrutura.
identificados;
• Terem política de mesa vazia e tela vazia para reduzir o risco de acesso
processamento de informações.
150
Perímetro de Segurança
situações:
Áreas seguras devem ser protegidas por controles de entrada apropriados e deve-
se observar o seguinte:
seguro e remoto;
regularmente.
e/ou biométrico;
mídias.
152
público;
ou o nome da instituição;
devem ficar num local apropriado dentro da área segura para evitar
Controles
utilizados;
no site principal.
154
Atividades de terceiros
motivos de segurança;
inspecionadas periodicamente;
quando necessário;
perímetro de segurança;
local de utilização;
OBJETIVO:
atividades da ELECTRA.
perdidos ou danificados;
cabeamento.
de trabalho;
Riscos da vizinhança
na rua.
158
OBJETIVO:
contenção;
Deve haver Gaiola de Faraday (câmara metálica com ligação a terra, que
câmara, conforme o caso) em cujo interior não podem penetrar emissões elétricas ou
edificações ou das torres. Esse pára-raios oferece proteção para a edificação contida
sob o cone de proteção cujo vértice encontra-se no topo da haste captora. O que estiver
dentro desse espaço estará protegido. O ângulo de proteção variará de acordo com o
da edificação).
160
Segurança do cabeamento
seguintes aspectos:
pessoal autorizado;
seguros.
necessário;
como, por exemplo, discos rígidos, devem ser verificados para garantir
dados sensíveis, poderá ser necessária uma avaliação dos riscos para
armazenagem removível;
ELECTRA;
inundações ou explosões.
Retirada de bens
sem autorização;
• Devem ser feitas inspeções por amostragem para detectar a retirada não-
autorizada de bens;
vizinhança.
166
incêndio, que, mesmo não atingindo a área do Data Center, podem afetar mídias e
etc. Esses riscos são baixos, pois a vizinhança é estabelecida com edifícios definitivos.
Veículos e pessoas
O prédio que abriga a ELECTRA e o seu Data Center dispõe de grande área de
estacionamento em sua área externa, que fica totalmente ocupada durante o expediente
quantidade de vagas, grande parte delas abaixo do Data Center, representando alto
Salas de escritórios
Vizinhança
sentido, juntamente com as outras ameaças descritas, uma vizinhança de alto risco.
grande parte opina que um ambiente de processamento de dados não deve ter qualquer
controles simplificados.
As edificações da ELECTRA
a) Estacionamentos
Externo: O prédio que abriga a ELECTRA e o seu Data Center dispõe de uma
grande área de estacionamento em sua área externa, que fica totalmente ocupada
b) Portarias
principal. A partir dela tem-se acesso direto aos elevadores que conduzem aos andares
do prédio;
observações sobre o ingresso, que a partir daí é praticamente livre a todas às salas da
ELECTRA.
geralmente com uma recepcionista e um vigilante (no final da tarde, normalmente com
Center, mas não o de uma outra porta que também pode permitir o acesso (apesar de
auditório.
c) Demais dependências
169
emergência não atendem às normas de segurança e estão com os seus pilares metálicos
água empoçada na parte central da cobertura, sobre uma sala que dispõe de
compõe-se de:
microfilmagem e no-break têm acesso pelo corredor central da área não crítica do
Data Center.
Outras salas: ainda junto à área do Data Center, porém fora da área sensível,
Localização
O Data Center está localizado no subsolo do prédio, cuja edificação não foi
Edificações
Paredes externas
Paredes internas
conservação.
171
Portas
automático;
sala do no-break;
quando necessário;
poeira etc.
172
Divisórias internas
São constituídas de fórmica e vidro, que são materiais não resistentes ao fogo.
Não são fechadas de laje a laje, o que facilita o acesso indevido sob as placas do piso
Portas internas
São extensões das divisórias e, portanto, frágeis. Na área sensível, não são
estão junto com as divisórias sobre todo o piso elevado necessitam que, abaixo e
A porta da entrada do Data Center, que também pode ser improvisada como
são muito apertados, o que certamente dificultaria uma evacuação de pessoal em caso
de emergência.
173
Instalações elétricas
No-break
Center;
Cabeamento Lógico
Combate a incêndio
observada;
periódica;
desatualizados;
Climatização
redundantes;
equipamentos;
Controle de Acesso
caracterizando um grande risco para a segurança, pois as áreas deveriam ser protegidas
Não há circuito fechado de televisão (CFTV), mas existe projeto para esse
boas;
177
Portaria central
número do documento;
Uso de Crachás
• Deve ser obrigatório, não somente para se evitar o acesso indevido, mas
Circuito fechado de TV
sala da segurança, bem como gravar as suas imagens em time lapse. Esse
intencionais o ou acidentais.
Demais dependências
Segurança Máxima
abriga o Data Center não é específica para essa finalidade e principalmente pela
180
vizinhança de alto risco, convém que todas as recomendações expostas nesta análise
Identificação Visual
item segurança. Quanto mais discreta for a programação visual do prédio, menos
serem tomadas, avisar sobre locais de acesso restrito e indicar as saídas de emergência.
como um Data Center não deve ter qualquer identificação, nem mesmo das salas e
departamentos.
suporte e emergência.
acesso;
181
das máquinas do ar-condicionado deve ser fechada por uma porta, a qual
por uma porta metálica, dotada de alarme sonoro e tranca interna, para
possível;
na segurança para penetração de intrusos ou para gases, fumaça, fogo, poeira, radiação
etc.
• Deve ser instalada uma porta com controle de acesso na atual entrada do
Controle de Acesso
• Que o contato inicial com o Data Center disponha de uma portaria mais
estreita colaboração.
Uso de Crachás
• Deve ser obrigatório, não somente para se evitar o acesso indevido, mas
Center;
184
Guaritas de vigilância
invasor;
Circuito Fechado de TV
eventuais intrusos;
185
intencionais o ou acidentais.
processamento de informações
descartados;
• Adotar política de mesa vazia e tela vazia para reduzir o risco de acesso
processamento de informações.
Piso Elevado
Substituir todo o piso elevado da área do Data Center em função do piso atual
Incêndio
Instalar combate automático de incêndio com Gás FM 200 (este gás é mantido
é liberado como um gás, de modo a cobrir todos os pontos da área protegida. O FM-
200 suprime o fogo em até 10 segundos, impedindo a reação química que nele ocorre.
nas concentrações aprovadas pela NFPA-2001. Por ser tão seguro para as pessoas, está
detecção de incêndio.
187
Convém que seja adquirida uma sala de segurança (sala-cofre) que é a melhor
bem como ser executado um anteprojeto das instalações, em função da área da sala a
ser adquirida.
Cofres
para proteção das mídias contra fogo, poeira, gases corrosivos, campos
segurança ambiental.
188
documentos.
Videoconferência
Riscos de incêndio
cheiro de fumaça de cigarro na sua área interna, logo que se passa pela
• Substituir cestas de lixo atuais existentes nas salas do Data Center por
• Orientar aos faxineiros para terem todo o cuidado com o uso de água e
Climatização
atualmente;
• Cabeamento desorganizado;
• Sem climatização;
Geral
A;
192
FM 200;
áreas seguras;
e interferência;
• Deve existir política de mesa vazia e tela vazia para reduzir o risco de
processamento de informações.
APÊNDICE B)
• Deve existir proteção física com barreiras físicas em volta das instalações
segurança;
fisicamente sólido;
• Não devem deve existir brechas no perímetro ou áreas que permitam uma
penetração fácil;
etc;
• As barreiras físicas devem ser estendidas do piso bruto ao teto bruto, para
APÊNDICE B)
apropriados;
seguro;
regularmente.
195
APÊNDICE B)
trancáveis ou cofres);
saúde e segurança;
local apropriado dentro da área segura, para evitar pedidos de acesso que
permanentemente;
APÊNDICE B)
• Devem existir controles para o pessoal e/ou para terceiros que trabalham
mal-intencionadas.
o local de utilização;
APÊNDICE B)
equipamentos;
questionário - APÊNDICE B)
rua.
questionário - APÊNDICE B)
sistema no-break);
do fabricante.
instruções do fabricante;
de comunicações;
APÊNDICE B)
questionário - APÊNDICE B)
seguros.
14 do questionário - APÊNDICE B)
gerência anteriormente;
203
que devem ser transportados para fora do local normal de trabalho devem
eletromagnéticos intensos);
como, por exemplo, discos rígidos, devem ser verificados para garantir
dados sensíveis, deve existir uma avaliação dos riscos para determinar se
B)
informações.
205
questionário - APÊNDICE B)
organização;
• Deve ser tomado cuidado para que informações não sejam deixadas em
APÊNDICE B)
de expediente;
206
o ambiente;
voltagem;
e desratização;
• As cestas de lixo devem ser de metal com tampa com objetivo de abafar
princípios de incêndio;
do questionário - APÊNDICE B)
• O edifício que abriga o Data Center deveria ser construído com material
programada;
fogo e fumaça;
visíveis e destacados;
prédios;
regularmente;
qualificação pessoal;
via CFTV;
semana e feriados;
periodicamente;
condições;
sinistros;
evacuação de pessoal.
APÊNDICE B)
evitadas ;
oferecerem perigo;
de emergência;
problemas de eletricidade;
APÊNDICE B)
ar-condicionado;
inadequados;
adequado;
renovação;
condicionado.
capacidade do reservatório);
infiltrações);
externas;
externas;
3.6 Conformidade
OBJETIVO:
• Projeto;
• Operação;
• Utilização;
regulamentos ou contratos;
qualificados;
Exigências relevantes, impostas por lei, por órgãos reguladores ou por contrato:
• Definidas explicitamente;
documentados.
216
OBJETIVO:
• Pode ser exigido para comprovar que uma empresa opera de acordo com
criminal;
sócios e auditores.
armazenagem de registros;
as recomendações do fabricante;
registros e informações;
Sempre que essa ação for um assunto disciplinar interno, a prova necessária será
Nos casos em que a ação envolve a legislação civil ou penal, elas devem estar
julgado:
Admissibilidade da prova
seguintes condições:
cópia;
necessárias.
Deve ser feita regularmente uma revisão em todas as áreas da ELECTRA para
incluir o seguinte:
• Sistemas de informações;
• Fornecedores de sistemas;
• Usuários;
• Administração.
falsificação;
país;
de 2000;
de 2001.
17799.
224
Geral
questionário - APÊNDICE B)
APÊNDICE B)
destruição e falsificação;
segura;
mudanças de tecnologia;
tribunal;
falsificação;
APÊNDICE B)
segurança.
Negócios;
telefonia.
informação;
FM 200;
4 ANÁLISE DE RESULTADOS
5 CONCLUSÃO
As ações sugeridas nos planos de ação, nos seus diversos módulos, a saber: a
entre outros.
É importante observar que não devam ocorrer interrupções das atividades vitais
recomendações.
(cinqüenta e três por cento) para um patamar adequado de 85% (oitenta e cinco por
6 REFERÊNCIAS BIBLIOGRÁFICAS
SANTOS, Antonio Jeová, Dano Moral na Internet, Editora Método, 1.ª edição,
2001.
APÊNDICE A
235
APÊNDICE B
240
APÊNDICE C
252
Planilhas de avaliação
Política de Segurança
Não Sim Valores
Item Perguntas Peso Aderência Legenda
0 1 2 3 Referência Apurados
0: Ausência total
1: Presença inexpressiva
Aderência Geral 165 0 0% 2: Presença parcial
3: Presença total
A classificação e os controles
protetores associados levam em
consideração as necessidades da
empresa de compartilhar ou restringir
5.1 informações e os impactos 5 x 15 5 33%
empresariais associados a tais Convém que a classificação da
necessidades, como acesso não informação e seus respectivos controles
autorizado ou danos à integridade das de proteção levem em consideração as
informações? necessidades de negócios para
compartilhamento ou restrição de
A classificação atribuída constitui um informações e os respectivos impactos
meio abreviado para determinar como nos negócios como, por exemplo, o
5.2 5 x 15 5 33%
esta informação é manuseada e acesso não autorizado ou danos à
protegida adequadamente? informação.
As informações e as saídas produzidas
por sistemas que processam dados
5.3 classificados são rotulados quanto ao 5 x 15 5 33%
seu valor e grau de sensibilidade para
a organização?
As informações são rotuladas para
indicar até que ponto são críticas para
5.4 5 x 15 5 33%
a organização, quanto à sua
integridade e disponibilidade?
258
É importante que um conjunto
apropriado de procedimentos seja
6 Alteração do nível de Classificação 66 27 41% definido para rotular e tratar a
informação de acordo com o esquema
de classificação adotado pela
A informação pode deixar de ser organização.
sensível ou crítica após um certo
tempo, por exemplo quando foi
divulgada para o público. São levados
6.1 5 x 15 5 33%
em conta esses aspectos, uma vez
que um excesso de sigilo pode causar
custos adicionais desnecessários à
empresa?
As diretrizes de classificação prevêem
e levam em conta o fato de que a
classificação de um determinado item
6.2 de informação não é necessariamente 5 x 15 5 33%
imutável no tempo e que pode mudar
de acordo com uma política pré-
determinada?
O número de categorias de
classificação e os benefícios que se
6.3 5 x 15 5 33%
obtêm do seu uso são levados em
conta?
Esquemas de classificação complexos
demais podem se tornar incômodos ou
antieconômicos no uso ou ser
impraticáveis. São tomados os
6.4 cuidados ao interpretar rótulos de 5 x 15 10 67%
classificação em documentos de outras
organizações, que poderão ter
diferentes significados para rótulos
iguais ou similares?
259
Os equipamentos, as informações ou o
20.1 software não podem sair do site sem 5 x 15 15 100%
autorização. Isso é verificado? Equipamentos, informações ou software
Quando necessário e apropriado, a não devem ser retirados da organização
20.2 saída e a devolução dos equipamentos é 5 x 15 15 100% sem autorização.
registrada?
São feitas inspeções por amostragem
20.3 para detectar a retirada não autorizada 5 x 15 15 100%
de bens?
As pessoas são informadas da
20.4 5 x 15 15 100%
existência de tais inspeções?
EDIFICAÇÕES
Os equipamentos e os materiais de
21.1 combate são compatíveis com o 5 x 15 5 33%
ambiente?
21.2 A quantidade existente é suficiente? 5 x 15 15 100%
21.3 Existe contingência ? 5 x 15 10 67%
Segurança em Pessoas
Não Sim Valores
Item Perguntas Peso Aderência Legenda
0 1 2 3 Referência Apurados
0: Ausência total
1: Presença inexpressiva
Aderência Geral 195 140 72% 2: Presença parcial
3: Presença total
Usam-se compromissos de
confidencialidade ou não-revelação para
4.1 5 x 15 15 100%
indicar que determinadas informações são
confidenciais ou secretas?
288
Os empregados assinam um compromisso
4.2 de confidencialidade como parte do seu 5 x 15 15 100%
contrato de trabalho inicial?
O pessoal temporário e os usuários
externos assinam compromisso de
4.3 confidencialidade antes de terem acesso a 5 x 15 10 67%
instalações de processamento de
informações?
Os compromissos de confidencialidade são
4.4 revistos quando há mudanças nas 5 x 15 10 67%
condições de emprego ou no contrato?
Os compromissos de confidencialidade são
revistos quando os empregados estão para
4.5 5 x 15 10 67%
sair da organização ou quando os
contratos estão para terminar?
Convém que os termos e condições de
trabalho determinem as
5 Termos e condições de emprego 60 20 33% responsabilidades dos funcionários pela
segurança da informação.
Os termos e condições de emprego
estipulam a responsabilidade do
5.1 5 x 15 5 33%
empregado pela segurança das
informações?
Essas responsabilidades continuam em
5.2 vigor durante um determinado período 5 x 15 5 33%
após o término da relação de emprego?
São levadas em conta as providências a
5.3 tomar se o empregado deixar de atender 5 x 15 5 33%
às exigências contratuais?
289
São incluídas nos contratos as
responsabilidades e direitos legais do
empregado, com relação às leis de
copyright ou à legislação de proteção dos
dados, a classificação e pelo tratamento
5.4 5 x 15 5 33%
dos dados sobre o empregado, as
responsabilidades que se aplicam fora das
instalações da organização e fora do
horário normal de trabalho, e fora do local
de trabalho (ex.: uso de notebook)?
PESSOAL
293
Segurança Organizacional
Não Sim Valores
Item Perguntas Peso Aderência Legenda
0 1 2 3 Referência Apurados
0: Ausência total
1: Presença inexpressiva
Aderência Geral 651 322 49% 2: Presença parcial
3: Presença total
5 Revisão da Segurança 15 0 0%
Convém que a sua implementação seja
A implementação da política de analisada criticamente, de forma
segurança deve ser revista por um independente, para fornecer garantia de
órgão independente, para dar a que as práticas da organização refletem
garantia de que as práticas apropriadamente a política, e que esta
5.1 5 x 15 0 0% é adequada e eficiente
organizacionais refletem corretamente
a política e que elas são viáveis e
eficazes. Já foi realizada alguma
revisão na política atual?
Manter a segurança dos recursos de
processamento de informação e ativos
6 Acesso de Terceiros 165 90 55% de informação organizacionais
acessados por prestadores de serviços.
O controle de acesso físico de
6.1 5 x 15 10 67%
terceiros é feito de forma correta?
Nos casos em que os negócios exigem
o acesso de terceiros, deve ser feita
uma avaliação de riscos para
6.2 5 x 15 5 33%
determinar as implicações de
segurança e os requisitos de controle.
Já foi desenvolvida essa análise ?
Os controles estão acertados e
6.3 5 x 15 10 67%
definidos em contrato com o terceiro?
301
Os contratos que concedem acesso a
terceiros incluem disposições para a
6.4 designação de outros participantes 5 x 15 5 33%
qualificados e as condições para o seu
acesso?
Existem terceiros que prestam
serviços a organização e não estão
6.5 5 x 15 5 33%
localizados no site, mas podem ter
acesso físico e lógico?
A administração da segurança está
6.6 adequada e não está sendo colocada 5 x 15 10 67%
em risco pelo acesso de terceiros?
Existe uma política definida para
terceiros que ficam localizados no site
durante um determinado tempo,
definido em contrato como: pessoal de
manutenção e suporte de hardware e
6.7 software; pessoal de limpeza, 5 x 15 10 67%
fornecimento de refeições, guardas de
segurança e outros serviços de
suporte terceirizados, estagiários e
outras nomeações ocasionais em curto
prazo e consultores?
O acesso de terceiros às instalações
de processamento de informações da
organização é baseado em contrato
formal que contenha referência a todos
6.8 5 x 15 5 33%
os requisitos de segurança para
assegurar a conformidade com as
políticas e normas de segurança da
organização?
Está especificado no contrato que a
organização receberá indenização por
6.9 parte de seu fornecedor, caso ocorra 5 x 15 10 67%
algum incidente causado por algum
funcionário do prestador de serviços?
302
Está especificado no contrato que a
organização terá direito de monitorar e
revogar as atividades de usuário, o
6.10 direito de auditar as responsabilidades 5 x 15 10 67%
contratuais ou de fazer com que tal
auditoria seja realizada por um
terceiro?
Nos casos em que a responsabilidade
pelo processamento das informações
6.11 foi confiada a uma organização 5 x 15 10 67%
externa, existe a tentativa de garantir a
segurança das informações?
303
Conformidade
Não Sim Valores
Item Perguntas Peso Aderência Legenda
0 1 2 3 Referência Apurados
0: Ausência total
1: Presença inexpressiva
Aderência Geral 285 183 64% 2: Presença parcial
3: Presença total
APÊNDICE D
308
Informática.
METODOLOGIA DO QUESTIONÁRIO:
• Política de segurança
• Segurança organizacional
• Segurança em pessoas
Peso: São dados pesos 0, 2 ou 5 conforme a relevância (pesos dados pelo cliente)
309
• Não
• 0: Ausência total
• 1: Presença inexpressiva
• Sim
• 2: Presença parcial
• 3: Presença total
Valores:
METODOLOGIA DA ANÁLISE:
Análise on-site:
310
informações relevantes.
ISO/IEC 17799).
pode ser mantido, o que pode ser aperfeiçoado e o que deve ser mudado.
Observações:
De acordo,
_______________________
Electra
312
ANEXO A
313
Presidência da República
Casa Civil
Subchefia para Assuntos Jurídicos
DECRETA:
o
Art. 1 Fica instituída a Política de Segurança da Informação nos órgãos e nas
entidades da Administração Pública Federal, que tem como pressupostos básicos:
o
Art. 2 Para efeitos da Política de Segurança da Informação, ficam
estabelecidas as seguintes conceituações:
o
Art. 3 São objetivos da Política da Informação:
o
Art. 4 Para os fins deste Decreto, cabe à Secretaria-Executiva do Conselho de
Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação de
o
que trata o art. 6 , adotar as seguintes diretrizes:
o
Art. 5 À Agência Brasileira de Inteligência - ABIN, por intermédio do Centro de
Pesquisa e Desenvolvimento para a Segurança das Comunicações - CEPESC,
competirá:
o
Art. 6 Fica instituído o Comitê Gestor da Segurança da Informação, com
atribuição de assessorar a Secretaria-Executiva do Conselho de Defesa Nacional na
consecução das diretrizes da Política de Segurança da Informação nos órgãos e nas
entidades da Administração Pública Federal, bem como na avaliação e análise de
assuntos relativos aos objetivos estabelecidos neste Decreto.
316
o
Art. 7 O Comitê será integrado por um representante de cada Ministério e
órgãos a seguir indicados:
I - Ministério da Justiça;
II - Ministério da Defesa;
IV - Ministério da Fazenda;
VI - Ministério da Saúde;
o
§ 1 Os membros do Comitê Gestor serão designados pelo Chefe do Gabinete
de Segurança Institucional da Presidência da República, mediante indicação dos
titulares dos Ministérios e órgãos representados.
o
§ 2 Os membros do Comitê Gestor não poderão participar de processos
similares de iniciativa do setor privado, exceto nos casos por ele julgados
imprescindíveis para atender aos interesses da defesa nacional e após aprovação
pelo Gabinete de Segurança Institucional da Presidência da República.
o
§ 3 A participação no Comitê não enseja remuneração de qualquer espécie,
sendo considerada serviço público relevante.
o
§ 4 A organização e o funcionamento do Comitê serão dispostos em regimento
interno por ele aprovado.
o
§ 5 Caso necessário, o Comitê Gestor poderá propor a alteração de sua
composição.
o
Art. 8 Este Decreto entra em vigor na data de sua publicação.
o o
Brasília, 13 de junho de 2000; 179 da Independência e 112 da República.
José Serra
Alcides Lopes Tápias
Martus Tavares
Pimenta da Veiga
Ronaldo Mota Sardenberg
Pedro Parente
Alberto Mendes Cardoso
Lei 2.572
CAPÍTULO I
DOS PRINCÍPIOS QUE REGULAM AS CONDIÇÕES DE SEGURANÇA DA
TECNOLOGIA DA INFORMAÇÃO E DE INFORMAÇÃO COMO FONTE DE
DADOS
Art. 1° As entidades públicas do Distrito Federal devem promover a segurança da
informação, mediante a garantia da disponibilidade, integridade, confiabilidade e
legalidade das informações que suportam os seus processos operacionais.
Art. 2° A garantia da disponibilidade deve ser de forma preventiva e abranger os
aspectos físicos, lógicos e técnicos.
CAPÍTULO II
DOS PRINCÍPIOS DA PROTEÇÃO PREVENTIVA DA INFORMAÇÃO
Seção I
Da Segurança Física
Art. 3° A proteção física dos equipamentos, servidores de rede, telecomunicação e
outros deve ser garantida mediante o acondicionamento em ambientes ou
compartimentos e controle de acesso adequados. Parágrafo único. Entende-se por
ambiente adequado aquele que proteja os equipamentos críticos de informática e
informações vitais segundo exigências mínimas de temperatura e umidade, ou seja,
20°C e 85% de umidade relativa do ar.
Seção II
Da Segurança Lógica
Art. 4° A proteção lógica dos sistemas deve ser garantida mediante a definição dos
papéis dos usuários e das regras de acesso à informação, respeitados os critérios de
garantia dos direitos individuais e coletivos de privacidade e segurança de pessoas
físicas e jurídicas.
Seção III
Da Proteção de Dados e Programas
319
CAPÍTULO III
DOS ASPECTOS DE RECUPERAÇÃO DA INFORMAÇÃO
Art. 7° O gerenciador e administrador de ambientes informatizados deve
providenciar análise de risco físico e lógico, abrangendo padrões definidos para
acondicionamento de equipamentos de processamento de dados e mídias
magnéticas, e identificando possíveis prejuízos. Art. 8° O administrador dos
ambientes de tecnologia da informação deverá desenvolver plano de contingência.
Parágrafo único. Os planos de contingência devem conter as alternativas para os
processos e as fases de pré-interrupção, interrupção e pós-interrupção.
CAPÍTULO IV
DOS COMPORTAMENTOS IRREGULARES
Seção I
Disposições Preliminares
Art. 9° Os comportamentos discriminados nos arts. 10 a 16 desta Lei serão
apurados na forma estabelecida na Lei n° 8.112, de 11 de dezembro de 1990,
quando praticados na forma abaixo: I _ com considerável prejuízo para a entidade;
II _ com intuito de lucro ou vantagem de qualquer espécie, próprio ou de terceiros;
III _ com abuso de confiança;
IV _ por motivo fútil;
V _ com o uso indevido de senha ou processo de identificação de terceiros;
VI _ com a utilização de qualquer outro meio fraudulento.
Parágrafo único. Aplicar-se-á o disposto no caput quando os comportamentos se
verificarem em órgãos ou entidades da administração direta ou indireta da União,
dos Estados e do Distrito Federal, empresas concessionárias de serviços públicos,
fundações instituídas ou mantidas pelo Poder Público, empresas de serviços sociais
autônomos, instituições financeiras ou empresas que explorem ramo de atividade
controlada pelo Poder Público, localizados no Distrito Federal.
320
Seção II
Da Negligência ou Omissão de Informações
Art. 10. Negligenciar ou omitir informações no tratamento, guarda e manuseio dos
sistemas e redes de computadores e dados.
Seção III
Da Alteração de Dados ou Programas de Computador
Art. 11. Apagar, destruir, modificar ou de qualquer forma inutilizar, total ou
parcialmente, dados ou programas de computador, de forma indevida ou não
autorizada.
Seção IV
Do Acesso ou da Obtenção Indevidos ou Não Autorizados de Dados ou Instrução
de Computador
Art. 12. Obter acesso, manter ou fornecer a terceiro, dados, instrução ou qualquer
meio de identificação ou acesso a computador ou a rede de computadores, de forma
indevida ou não autorizada.
Seção V
Da Alteração de Senha ou Mecanismo de Acesso a Programa de Computador ou
Dados
Art. 13. Apagar, destruir, alterar ou de qualquer forma inutilizar senha ou qualquer
outro mecanismo de acesso a computador, programa de computador ou dados, de
forma indevida ou não autorizada.
Seção VI
Da Violação de Segredos Armazenados em Computador, Meio Eletrônico de
Natureza Magnética, Óptica ou Similar
Art. 14. Obter segredos das entidades de que trata esta Lei, da indústria ou do
comércio, ou informações pessoais armazenadas em computador, rede de
computadores, meio eletrônico de natureza magnética, óptica ou similar, de forma
indevida ou não autorizada.
Seção VII
Da Criação, do Desenvolvimento e da Inserção em Computador de Dados ou
Programa de Computador com Fins Nocivos
Art. 15. Criar, desenvolver ou inserir dados ou programa em computador ou rede
de computadores, de forma indevida ou não autorizada, com a finalidade de apagar,
destruir, inutilizar ou modificar dados ou programa de computador, ou de qualquer
forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador
ou rede de computadores.
Seção VIII
Da Veiculação de Pornografia por Meio de Rede de Computadores
Art. 16. Disseminar serviço ou informação de caráter pornográfico em rede de
computadores, sem exibir previamente, de forma facilmente visível e destacada,
aviso sobre a sua natureza, indicando o seu conteúdo.
CAPÍTULO V
DISPOSIÇÕES FINAIS
321
ANEXO B
323
GLOSSÁRIO
Damper: “São usados para proteção interna dos dutos de ventilação, impedindo
(http://www.reffibra.com.br/Firevent.htm, 2004).
(http://www.priberam.pt/dlpo/definir_resultados.aspx).