INSTRUÇÃO DE SEGURANÇA DAS INFORMAÇÕES E COMUNICAÇÃO

ORDEM INTERNA Nº xx

Assunto: Instrução de Segurança da Informação e Comunicações (ISIC)

Referências:
a) ????
b) ????; e
c) ????.

Anexos:

A) Termo de Responsabilidade Individual;

B) Termo de Recebimento de Estação de Trabalho;
C) Relação dos Perímetros de Segurança;
D) Política de Backup da Empresa; e
E ) Modelo de Incidentes na Rede Local.

1 - PROPÓSITO

Estabelecer normas e procedimentos que visem garantir o sigilo, a autenticidade, a integridade e a

disponibilidade das informações, requisitos básicos para a Segurança da Informação e das
Comunicações (SIC) da Rede Local da Empresa.

2 - CONCEITO

A Segurança da Informação e das Comunicações consiste na proteção dos sistemas computacionais

contra a negação do serviço a usuários autorizados, assim como contra a intrusão e a modificação
desautorizada de dados ou informações digitais armazenadas, em processamento ou tramitando em meio
eletrônico. Portanto, a SIC deve prevenir, detectar, deter e documentar eventuais ameaças ou ataques.

3 -APLICABILIDADE DAS INSTRUÇÕES DE SIC

As Instruções para a SIC visam garantir um nível aceitável de segurança em termos do risco calculado,
aplicando-se a:
a) todas as atividades que envolvam algum trâmite, processamento ou arquivamento de informação em
meio eletrônico nas redes locais da Empresa.
b) todos os recursos de Tecnologia da Informação (TI) e os respectivos sistemas de informações digitais;
c) todo usuário dos serviços disponibilizados pela rede local; e
d) contratos efetuados pela Empresa com empresas privadas, cujo escopo envolva algum tratamento de
informações em meio eletrônico ou integradas por meio de uma rede local.
4 - DEVERES E RESPONSABILIDADES

4.1 - Oficial de Segurança da Informação e das Comunicações (Analista de Segurança das

Informações)

O Analista de Segurança das Informações da Empresa deverá ser nomeado formalmente por Ordem de
Serviço do Titular da Empresa, sendo desejável possuir conhecimentos mínimos de redes locais de
computadores, sistemas operacionais de rede, protocolos de comunicação, serviços disponibilizados
pela rede (intranet, correio eletrônico e assinaturas digitais) e conhecimento em auditoria de redes.
Compete ao Analista de Segurança das Informações estabelecer procedimentos para o gerenciamento da
infraestrutura da SIC de acordo com as normas em vigor. Para isso, deve realizar, no mínimo, as
seguintes atividades:
a) estabelecer e divulgar, por meio de Ordem Interna, a Instrução de Segurança da Informação e das
Comunicações (ISIC) para a Empresa, bem como verificar sua implementação;
b) coordenar, junto aos demais setores da Empresa, o estabelecimento dos Planos de Adestramento de
SIC e zelar pelo seu cumprimento;
c) assessorar o Titular da Empresa nos assuntos de SIC;
d) alterar, propor, analisar e verificar se os requisitos de SIC estão sendo praticados em conformidade
com as normas estabelecidas;
e) identificar os recursos de TI que necessitam de proteção, de acordo com o respectivo grau de sigilo da
informação por eles processada ou armazenada. Este procedimento de identificação deve estar explícito
na ISIC da Empresa;
f) reportar prontamente os incidentes de SIC, após uma avaliação preliminar, ao Titular da Empresa;
g) supervisionar a elaboração e a manutenção do Histórico da Rede Local (HRL);
h) supervisionar a elaboração e a manutenção do Plano de Contingência (PLCONT);
i) garantir que todos estejam cientes das instruções em vigor para a segurança das informações digitais
do ambiente computacional da Empresa, por meio da assinatura do Termo de Responsabilidade
Individual (TRI), constante do Anexo A, pelos usuários que acessam a rede local;
j) garantir que todos os usuários que possuam estações de trabalho tenham assinado o Termo de
Recebimento de Estação de Trabalho (TRE), constante do Anexo B;
k) realizar auditoria interna de SIC na Empresa, emitindo Relatório de Auditoria (RAD) a ser arquivado
no HRL, utilizando-se das listas de verificações disponibilizadas pela Diretoria como modelo;
l) supervisionar o monitoramento da rede local pelo Administrador da Rede Local no intuito de coibir
tráfegos anômalos, acessos à Internet por modem, conexões 3G, 4G, WiMAX, WiFi e outras redes sem
fio não autorizadas pela Empresa;
m) supervisionar a atualização dos sistemas operacionais da Empresa e ferramentas de segurança
homologadas pela Diretoria;
n) exigir do pessoal externo à Empresa, autorizado a executar serviços na rede local, a assinatura do
TRI, constante do Anexo A e o cumprimento das regras estabelecidas no referido termo para guarda e
proteção do sigilo das informações que possa ter acesso. Além disso, deverá ser cumprido os
procedimentos sobre segurança orgânica, previstos em publicações específicas da Empresa;
o) divulgar recomendações referentes às técnicas de Engenharia Social para todo o pessoal da Empresa,
a fim de minimizar a probabilidade de estranhos à Empresa obterem sucesso na aplicação de tais
técnicas pelos meios de comunicações disponíveis; e
p) buscar a atualização técnica através de cursos, participação nos ambientes de gestão do conhecimento
providos pela Empresa, palestras, seminários e simpósios sobre SIC na Empresa.
4.2 - Usuário
O usuário de serviços e equipamentos interligados pela rede local da Empresa, seja funcionário ou
prestador de serviço, deverá estar ciente das suas responsabilidades sobre SIC. Para garantir o
atendimento desse requisito, ele estará apto a receber uma estação de trabalho somente após a assinatura
do TRE, constante do Anexo B, e ficará autorizado a acessar os sistemas da Empresa após tomar ciência
das normas de SIC e assinar o TRI, contante do Anexo A. As assinaturas e o conhecimento do TRI do
Anexo A e do TRE do Anexo B servem de registro oficial da ciência, pelo usuário, do pleno
conhecimento das normas. São consideradas basilares as seguintes normas:
a) tratar a informação digital como patrimônio da Empresa e como um recurso que deva ter seu sigilo
preservado;
b) utilizar as informações digitais disponibilizadas, os sistemas e produtos computacionais de
propriedade ou direito de uso da Empresa, exclusivamente, para o interesse do serviço;
c) preservar o conteúdo das informações sigilosas a que tiver acesso, sem divulgá-las para pessoas não
autorizadas e/ou que não tenham necessidade de conhecê-las;
d) não tentar obter acesso à informação cujo grau de sigilo não seja compatível com a sua Credencial de
Segurança (CREDSEG) ou cujo teor não tenha autorização ou necessidade de conhecer;
e) não se fazer passar por outro usuário usando a identificação de acesso (login) e senha de terceiros;
f) não alterar o endereço de rede ou qualquer outro dado de identificação de seu microcomputador;
g) utilizar em seu microcomputador somente programas homologados para uso na Empresa;
h) no caso de exoneração, demissão, licenciamento, término de prestação de serviço ou qualquer tipo de
afastamento, preservar o sigilo das informações e documentos sigilosos a que teve acesso;
i) não compartilhar, transferir, divulgar ou permitir o conhecimento das suas autenticações de acesso
(senhas) utilizadas no ambiente computacional da Empresa, por terceiros;
j) seguir as regras básicas para o uso de senhas, conforme consta no item 6.2.3 desta Instrução;
k) seguir as orientações da área de TI da Empresa relativas ao uso adequado dos equipamentos, dos
sistemas e dos programas do ambiente computacional;
l) comunicar imediatamente ao seu superior hierárquico e ao Analista de Segurança das Informações da
Empresa a ocorrência de qualquer evento que implique ameaça ou impedimento de cumprir os
procedimentos de SIC estabelecidos;
m) responder, perante a Empresa, as auditorias e o Analista de Segurança das Informações da Empresa,
por acessos, tentativas de acessos ou uso indevidos da informação digital, realizados com a sua
identificação ou autenticação;
n) não praticar quaisquer atos que possam afetar o sigilo ou a integridade da informação;
o) não transmitir, copiar ou reter arquivos contendo textos, fotos, filmes ou quaisquer outros registros
que contrariem a moral, os bons costumes e a legislação vigente;
p) não realizar nenhum tipo de acesso a redes ponto a ponto (P2P) e redes sociais, de acordo com
instruções próprias;
q) não transferir qualquer tipo de arquivo que pertença à Empresa para outro local, seja por meio
magnético ou não, exceto no interesse do serviço e mediante autorização da autoridade competente;

- 15 -
r) adotar política de mesa e tela limpa a fim de reduzir os riscos de acessos não autorizados, perda e
dano da informação durante e fora do horário normal de trabalho, conforme consta no item 6.1.8 desta
Instrução;
s) estar ciente de que o processamento, o trâmite e o armazenamento de arquivos que não sejam de
interesse do serviço são proibidos no ambiente computacional da Empresa;
t) estar ciente de que toda informação digital armazenada, processada e transmitida no ambiente
computacional da Empresa pode ser auditada; e
u) estar ciente de que o correio eletrônico é de uso exclusivo para o interesse do serviço e que qualquer
correspondência eletrônica originada ou retransmitida no ambiente computacional da FAJ deve obedecer
a este preceito.

5 - RECURSOS COMPUTACIONAIS CRÍTICOS (RCC)

Serão considerados RCC: -Servidores deArquivos/Domínio (Produção); (RCC 1) -Servidores de
Arquivos/Domínio (Contingência); (RCC 1) -Servidor SoftExpert (Produção); (RCC 1) -Servidor
SoftExpert (Contingência); (RCC 1) -Servidor de Backup; (RCC 1) -Servidor de Aplicação Web
PHP/APACHE (Produção); (RCC 1) -Servidor de Aplicação Web PHP/APACHE (Contingência); (RCC
1) -Rack de Switches da Sala de Servidores; (RCC 1) -Rack de Switches do Setor de Revegetação;
(RCC 2) -Rack de Switches do Setor de Transportes; (RCC 2) -Rack de Switches do Setor de Vigilância;
(RCC 2) -Rack de Switches do Setor de Combate a Incêndios; (RCC 2) -Rack de Switches da Gerência
de Serviços; (RCC 2) -Rack de Switches do Almoxarifado; (RCC 2) -Rack de Switches do Setor de
Metrologia (chão de fábrica); (RCC 2) -Rack de Switches do Setor de Manutenção Industrial; (RCC 2) -
Rack de Switches do Setor de Planejamento e Controle da Produção; (RCC 2) -Rack de Switches da
Coordenadoria da Diretoria Industrial; (RCC 2) -Rack de Switches da Espoleta; (RCC 2) -Rack de
Switches do Setor de Gestão da Integrada; (RCC 2) -Rack de Switches do Setor de Carregamento e
Montagem de Munição; (RCC 2) -Rack de Switches da Gerência da ECE; (RCC 2) -Rack de Switches
do Setor de Almoxarifado (ECE); (RCC 2) -Rack de Switches do Laboratório de Estabilidade Química
(ECE); (RCC 2) -Rack de Switches do Setor de Controle de Fluxo dos Materiais (ECE); (RCC 2) -
Uplink entre FAJ e CIAMPA (Cabos de Fibra Ótica); (RCC 1) -Sistemas de No-break; (RCC 1) -
Sistemas de Ar Condicionado da Sala dos Servidores e dos respectivos Racks; (RCC 1) -Estações de
Trabalho dos usuários. (RCC 3) De acordo com a sua importância para a SIC, cada RCC ou grupo de
RCC com características semelhantes pode ser classificado nos seguintes níveis:
- NÍVEL 1: corresponde aos RCC de alta importância, isto é, aqueles que, quando atingidos,
interrompem ou degradam severamente o funcionamento da rede local da Empresa, tornam expostas
informações digitais sigilosas ou causam prejuízo a SIC por comprometimento de um dos requisitos
básicos;
- NÍVEL 2: corresponde aos RCC de média importância, isto é, aqueles que, quando atingidos,
degradam apenas superficialmente o funcionamento da rede local da Empresa, tornam expostas
informações digitais não sigilosas ou não causam prejuízo a SIC por comprometimento de um dos
requisitos básicos; e
- NÍVEL 3: corresponde aos RCC de baixa importância, isto é, aqueles que quando atingidos

- 16 -
nãocausamprejuízo direto a SIC ou ao funcionamento da rede local da Empresa ou Empresa, mas que
requerem atenção, pois podem permitir que o ataque ou ameaça escale, comprometendo outros RCC de
nível de importância superior.

Acorrespondência entre os níveis de importância e os RCC encontra-se no Anexo C. Os requisitos

mínimos de proteção aos RCC, são:
a) proteger a área dos servidores do acesso de pessoas não autorizadas com dispositivos de controle,
como fechaduras biométricas e, caso seja necessário este acesso, o mesmo deverá ser sempre
acompanhado do pessoal técnico responsável; e
b) proteger o acesso à área dos switches com dispositivos de controle, como fechaduras biométricas.
Caso o acesso por outras pessoas seja necessário deverá ser sempre acompanhado do pessoal
responsável.
6 - SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES (SIC)
A Segurança da Informação e das Comunicações é a proteção resultante de todas as medidas postas em
execução visando negar, impedir ou minimizar a possibilidade de obtenção do conhecimento de dados
que trafeguem ou sejam armazenados digitalmente nos sistemas de redes locais, compreendendo,
segundo definição estabelecida pelo Governo Federal, ações voltadas às Seguranças Física, Lógica, de
Tráfego e Criptológica das Informações Digitais. Portanto, a SIC corresponde não só ao conjunto de
procedimentos, como também aos recursos (programas e equipamentos específicos de segurança) e às
normas aplicáveis que garantirão os seus requisitos básicos.

6.1 - Segurança Física

A Segurança Física corresponde a todos os procedimentos e dispositivos utilizados para assegurar a

integridade física dos RCC. É definida como o conjunto de medidas que permitam salvaguardar pessoas,
instalações, programas e arquivos contra as consequências de incidentes (fortuitos ou intencionais),
como incêndio, alagamento, sabotagem, roubo etc. O propósito da segurança física é contribuir para a
segurança da informação, em seus quatro requisitos básicos: o sigilo, a autenticidade, a integridade e a
disponibilidade das informações. O Setor de Vigilância é o responsável pelo cumprimento dos
procedimentos adotados a seguir, objetivando a garantia da segurança física dos equipamentos de TI da
Empresa.

6.1.1 - Controle deAcesso Físico

São as atividades ligadas à permissão, ou não, de acesso dos usuários a determinadas áreas, incluindo ao
meio magnético instalado. Os servidores da rede, têm acesso físico restrito ao pessoal da TI ligado à sua
operação ou manutenção. O acesso físico à Sala dos Servidores é controlado por meio de chave. O
acesso aos microcomputadores da Empresa é permitido exclusivamente aos militares e servidores civis
autorizados, que tenham assinado o TRI e o TRE. A Gerência de TI é considerado área restrita, com o
acesso somente autorizado ao pessoal com permissão, cujo controle é feito por meio de dispositivo
eletrônico (Crachá). Visitantes e/ou outros usuários somente permanecerão no Departamento
devidamente autorizados e acompanhados.

6.1.2 - Perímetro de Segurança

Um perímetro de segurança é uma separação física que estabelece uma barreira de proteção (como por
exemplo: paredes, salas, cofres, salas-cofre etc), cujas vias de acesso possuam controle eletrônico ou
sejam vigiadas por pessoal de serviço (ou ambos), dependendo do resultado da análise de risco
elaborada. Cada uma destas barreiras representa um perímetro ou camada física de segurança que
melhora a proteção total. Os perímetros de segurança, relativos à proteção física dos RCC da Empresa, a
serem estabelecidos e controlados, estão relacionados no Anexo C e devem ser periodicamente
atualizados pelo Analista de Segurança das Informações.
O acesso físico aos RCC1 existentes na Empresa necessita ser controlado, identificando-se todo
visitante, com registro de data, hora e razão da visita. Caso haja necessidade de um visitante acessar
qualquer perímetro de segurança, este deverá estar sempre acompanhado por

- 17 -
uma pessoa autorizada, de acordo com as respectivas CREDSEG. Deve-se restringir ao máximo o
acesso de pessoal aos perímetros de segurança que contenham RCC1. A entrada ou saída do perímetro
de segurança de qualquer dispositivo que armazene informações digitais deve ser coibida e exceções
devem ser de prévio conhecimento e autorização do Analista de Segurança das Informações, além de
controladas e registradas. Os servidores estão em uma sala de acesso controlado por meio de chave. Os
switches dos setores estão acomodados em rack devidamente trancado.

6.1.3 - Prevenção contra Incêndio

Os meios de combate a incêndio da Empresa são baseados em extintores nos compartimentos dos
setores.

6.1.4 - Climatização

A temperatura da Sala dos Servidores deve permanecer em torno dos 20ºC, em virtude da dissipação de
calor dos equipamentos. Para tanto, nesta sala deverá haver um sistema redundante de climatização,
para assegurar a manutenção e o controle dos níveis ideais de umidade e temperatura.

6.1.5 -Aterramento Elétrico

O aterramento elétrico tem como propósito evitar acidentes pessoais e diminuir descargas estáticas,
estas potencialmente danosas aos equipamentos da Empresa.

6.1.6 - Energia Estabilizada

Todos os equipamentos de TI instalados na Empresa devem ser alimentados por energia estabilizada,
que deve estar disponível em todos os ambientes da Empresa.

6.1.7-Alimentação Elétrica em Emergência

Os servidores da Empresa deverão ter recursos de alimentação em emergência, capazes de prover a

operação dos equipamentos, no caso de falta de energia elétrica, por um breve período de tempo,
suficiente para a execução de procedimentos de parada controlada.

6.1.8 - Política de mesa e tela limpa

Adotar política de mesa e tela limpa a fim de reduzir os riscos de acessos não autorizados, perda e dano
da informação durante e fora do horário normal de trabalho. Tal política deve levar em consideração
que:
a) informações sensíveis ou críticas, por exemplo, em papel ou mídia de armazenamento eletrônico,
sejam guardadas em lugar seguro (idealmente em cofre, armário ou outras formas de mobília de
segurança) quando não em uso, especialmente quando a sala está desocupada;
b) computadores e terminais sejam mantidos desligados ou protegidos com mecanismos de travamento
de tela, com senha, ou mecanismos de autenticação similar quando sem monitoração ou não usados; e
c) documentos que contém informação sensível ou classificada sejam removidos de impressoras
imediatamente.

6.2 - Segurança Lógica da Informação e das Comunicações

Por corresponder ao tipo de equipamento em maior quantidade no conjunto de RCC existentes na

Empresa, as estações de trabalho, portáteis ou não, requerem maior atenção em relação à SIC. A estação
de trabalho não pode disponibilizar nenhum serviço, nem acesso remoto, pois não é um equipamento do
tipo servidor, sendo, desta forma, apenas um meio para acessar os serviços e programas disponibilizados
e homologados pela Empresa. Desta forma, para se mitigar os efeitos da ação maliciosa, intencional ou
não, dos usuários e proteger a Empresa, as seguintes configurações mínimas devem ser implementadas
nas estações de trabalho:
a) utilização dos programas de proteção de estação de trabalho, com gerenciamento centralizado pela
Empresa, contra atividades e programas maliciosos e homologados pela Empresa, tais como antivírus e
anti-spyware;
b) atualização dos sistemas operacionais através dos serviços disponibilizados pelo Empresa;
c) orientação da sua configuração segundo o princípio do privilégio mínimo;
d) ter todos os programas não homologados desinstalados e todas as portas e serviços desnecessários
desabilitados;
e) retirar do usuário o poder de administrador das estações de trabalho. Nas estações com sistema
operacional Windows, o usuário é configurado, por padrão de instalação, como administrador da estação
de trabalho. Esta configuração padrão potencializa a propagação de atividades maliciosas, uma vez que
o vírus, worm ou qualquer outro programa nefasto, assume os privilégios do usuário;
f) desabilitar ou desinstalar, sem prejuízo das funções inerentes ao usuário, qualquer dispositivo de
entrada e saída de dados, tais como gravadores de CD/DVD, portas USB e impressoras locais;
g) submeter as estações de trabalho a um domínio LDAP (Lightweight Directory Access Protocol),
gerenciado pelo Administrador da Rede da rede local e não permitir acesso aos serviços disponibilizados
pela Empresa sem o registro de acesso do usuário neste domínio;
h) cada máquina deverá ter uma senha de configuração (setup), de conhecimento exclusivo doADMIN,
a fim de evitar que o próprio usuário ou qualquer pessoa não autorizada altere a configuração da
máquina; esta senha, portanto, não poderá ser de conhecimento do usuário da máquina ou de qualquer
outra pessoa além doADMIN;
i) cada estação de trabalho deverá ter uma senha de inicialização (boot), de conhecimento exclusivo do
usuário da máquina, a fim de evitar que outras pessoas acessem o disco rígido dessa máquina;
j) é vedada a configuração e a disponibilização de discos, diretórios ou arquivos compartilhados nas
estações de trabalho, mesmo que se configure seu acesso por senha, em virtude da vulnerabilidade
desses compartilhamentos e do comprometimento que isso pode proporcionar à segurança da Empresa;
k) ao se afastar momentaneamente da estação de trabalho, o usuário deverá utilizar descanso de tela
(screen saver) ou bloqueio de tela protegido por senha, a fim de evitar que alguém possa acessar as
informações que estejam disponíveis na tela do computador, certificar-se de que a sessão aberta no
ambiente computacional com sua identificação foi fechada e as informações que exigem sigilo foram
adequadamente salvaguardadas;
l) deverá ser registrado em documento próprio, ostensivo, a entrada na Empresa de qualquer dispositivo
que possa armazenar informações digitais, tais como: microcomputadores (de mesa ou portáteis), discos
rígidos, pendrives, celulares, CD_ROM, DVD ou qualquer outro dispositivo que possa armazenar
informações digitais. Para cada ocorrência de entrada de visitantes na Empresa, devem ser registrados:
identificação do visitante, data, hora, destino, identificação do acompanhante, tipo de dispositivo e
autorização. Caso não seja autorizada a entrada do dispositivo na Empresa, o mesmo deve ser recolhido
e guardado no armário da portaria principal para posteriormente, ser devolvido ao visitante;
m) a realização de cópia de segurança das informações digitais armazenadas na estação de trabalho deve
ser feita de forma periódica pelo usuário, cabendo ao Administrador da Rede orientá-lo sobre a melhor
forma para execução desta tarefa;
n) as informações digitais sigilosas, que necessitarem ser mantidas em disco rígido ou em outro
dispositivo de armazenamento local, deverão estar criptografadas por meio dos recursos criptológicos
definidos e gerenciados pela Empresa. Quando o microcomputador necessitar de manutenção fora da
Empresa, o seu disco rígido deverá ser retirado e entregue ao usuário responsável. Na impossibilidade
de retirar o disco rígido para instalação de Sistema Operacional, a manutenção somente poderá ser feita
após autorização formal do Analista de Segurança das Informações que definirá onde as informações
serão armazenadas temporariamente; e
o) é vedada a instalação de qualquer programa, equipamento ou dispositivo para uso em rede ou na
estação de trabalho, sem análise e autorização prévias do Analista de Segurança das Informações e da
Coordenadoria.
6.2.1 - Segurança Lógica dos Equipamentos Servidores

As vulnerabilidades lógicas normalmente encontradas nos equipamentos servidores são inerentes aos
protocolos utilizados e à configuração implementada. Em acréscimo a este fato, diversas falhas de
segurança são decorrentes da falta de atualização dos programas ou pela não instalação das correções,
disponibilizadas pelos fabricantes ou distribuidores dos sistemas operacionais e dos aplicativos em uso.
De modo a minimizar as consequências danosas resultantes dessas vulnerabilidades
lógicas, devem ser observadas as seguintes diretrizes pelo Administrador da Rede:

a) instalar sempre as versões mais atualizadas dos programas existentes nos servidores;
b) instalar todas as correções disponibilizadas pelos respectivos fabricantes e distribuidores (patches de
atualização);
c) desabilitar todos os serviços não necessários, observando o princípio do menor privilégio;
d) desinstalar todos os programas e aplicativos desnecessários; e
e) fechar todas as portas lógicas que não estiverem efetivamente em uso.

O Administrador da Rede deve acompanhar continuamente as Listas de Verificação de SIC,

disponibilizadas pela Empresa, providenciar o seu cumprimento e observar o previsto na referência b.
Os terminais de acesso remoto aos servidores da rede permitem aos administradores configurá-los
remotamente, sem o acesso físico à máquina. Por segurança, esses terminais de acesso remoto devem
permanecer sempre desabilitados, de modo que ninguém externo à Empresa possa ter a possibilidade de
acesso remoto aos RCC nível 1 da Empresa sem prévia autorização da Empresa, em virtude do
comprometimento que isso pode proporcionar à Empresa. No caso da eventual necessidade de se utilizar
os terminais de acesso remoto externamente, deverá ser solicitada a devida autorização. Os terminais de
acesso remoto deverão ser habilitados somente no período em que efetivamente necessário, com a
utilização de senha de acesso e protocolos seguros, baseados em criptografia, se disponíveis na
máquina, e mediante a supervisão contínua do Administrador da Rede do servidor avariado. Devem ser
efetuados, também, os devidos registros na parte de Incidentes do HRL, conforme previsto no item 9.5.2
da referência a, descrevendo o quê, como, onde, quando e porquê foi feito, quem fez, quem acompanhou
e outras informações pertinentes ao caso.

6.2.2 - Segurança Lógica dos Dispositivos de Conectividade

Todos os dispositivos de conectividade, tais como roteadores e switches, antes de serem instalados,
deverão ter suas configurações alteradas para uma versão segura, diferente da original de fábrica, de
modo a aumentar o nível de segurança lógica desses equipamentos. As senhas dos equipamentos de
conectividade deverão ser alteradas periodicamente, utilizando-se, pelo menos, doze caracteres,
combinando letras minúsculas e maiúsculas, números e caracteres especiais. O Administrador da Rede
deve manter um controle das senhas dos dispositivos de conectividade que permitirem acesso remoto.
Não deve ser mantida cópia digital não cifrada desse arquivo.

6.2.3 - Regras básicas para o uso de senhas

Todos os usuários deverão possuir senhas individuais para acessar os dados armazenados e devem
observar os seguintes requisitos para uso de senhas:
a) nunca compartilhá-las;
b) não utilizar sequência fácil ou óbvia de caracteres, que facilite a sua descoberta;
c) não utilizar palavras existentes em dicionários;
d) utilizar aleatoriamente letras minúsculas, letras maiúsculas, números e caracteres especiais,
cumprindo a política de configuração e de tamanho de senhas que estiver em vigor;
e) não anotá-las em lugares visíveis, de fácil acesso ou em claro;
f) proceder as devidas precauções para mantê-las em sigilo, conforme previsto, também, no TRI do
Anexo A; e
g) cumprir a política de tempo de validade de senhas que estiver em vigor, trocando-as regularmente.

6.2.4 - Realização de Serviços na Rede e/ou em estações de trabalho

A execução de quaisquer serviços (implementações, instalações, configurações, correções, verificações,

medições, substituições, interligações, elaborações de projetos, suporte técnico, manutenções etc) nas
redes locais por pessoal externo a Empresa, principalmente em RCC nível 1, pode afetar os requisitos de
SIC da Empresa. Assim, tais serviços não devem ser efetuados sem análise e autorização prévias da TI,
que poderá efetuar consulta à Empresa. Quanto ao pessoal externo envolvido na realização desses
serviços, a Empresa deverá, além de exigir a assinatura do TRI, cumprir o previsto no PSO da Empresa,
sobre a Segurança do Pessoal. Não será permitido o acesso de funcionários de outras Empresas à rede de
dados da Empresa, através de estações de trabalho, sem a autorização do Analista de Segurança das
Informações. Quando autorizado pelo Analista de Segurança das Informações, deverão ser configurados
direitos e senhas que impeçam o acesso a informações sensíveis armazenadas na rede e nos
computadores, restringindo os serviços a serem disponibilizados para uso por estes usuários externos
àqueles estritamente necessários.

6.2.5 -Acesso à Rede Local por Estrangeiros

O controle do uso de recursos computacionais e de acesso à rede local por estrangeiros eventualmente
embarcados, destacados, cursando, participando de exercícios, visitando ou efetuando qualquer
atividade na Empresa é regulamentado na referência a. O princípio do privilégio mínimo deve ser
observado e o estrangeiro só poderá ter acesso aos recursos necessários à realização das suas funções
e/ou de acordo com a sua missão no Brasil. Este tipo de controle é importante, uma vez que esses
estrangeiros, ao ter acesso aos recursos computacionais da Empresa, podem ter acesso também à rede
local.

6.2.6 - Normas Gerais de Segurança para a Empresa

As seguintes normas básicas devem ser aplicadas para garantir a integridade física dos computadores da
Diretoria e da rede de dados:
a) é vedada a existência de fax-modem nos computadores ligados à rede de dados;
b) é vedada a conexão à rede de dados da Empresa de computadores particulares trazidos para bordo
para evitar a cópia de informações sigilosas e a sua saída da Empresa;
c) somente o EGPN-F352 poderá efetuar e controlar a manutenção de hardware dos computadores e
periféricos pertencentes à Empresa ou autorizar a sua saída para empresas particulares para esta
finalidade;
d) em situações excepcionais, o Analista de Segurança das Informações poderá autorizar a entrada e
permanência a bordo de computadores particulares;
e) todos os microcomputadores da Empresa possuirão identificação no Sistema de Inventário de
Computadores da Gerência de TI e um número patrimonial distinto para o gabinete e para o monitor;
f) é de responsabilidade exclusiva do Administrador da Rede a especificação e a instalação de
equipamentos de conectividade para a rede de dados e o planejamento do cabeamento da rede de dados;
g) todo material de TI a ser adquirido para uso na Empresa deverá ser especificado pelo Administrador
da Rede; e
h) somente o Analista de Segurança das Informações poderá autorizar a saída das dependências da
Empresa de qualquer computador, dispositivo ou meio de armazenamento (pendrives, discos rígidos,
CD, DVD etc.). As informações contidas nesses dispositivos deverão ser removidas previamente, caso o
equipamento destine-se a manuseio por terceiros.

6.3 - Cópias de Segurança (backups)

A política de backup dos servidores seguirá a rotina estabelecida no Anexo D. O Administrador da Rede
deverá testar os backups regularmente, realizando a recuperação dos arquivos copiados. Toda cópia de
segurança deve ser mantida em local determinado pelo Analista de Segurança das Informações e
controlada pelo Administrador da Rede que, para uma maior segurança das informações digitais, deverá
estar localizado, sempre que possível, em prédio distinto ao do equipamento servidor do qual foi feita a
respectiva cópia de segurança. Na impossibilidade de se utilizar local em prédio distinto para
armazenamento das cópias de segurança, usar compartimentos afastados e com proteção contra incêndio
e alagamento. As cópias de segurança têm o mesmo grau de sigilo das informações digitais que
armazenam, devendo ser protegidas por medidas de segurança correspondentes. Todos os backups são
diários e são realizados na sala de servidores da FAJ.

- 21 -
6.4 - Propriedade de Equipamento

Todo hardware e todo software existentes na Empresa pertencem a Empresa. Equipamentos particulares
só poderão ser utilizados com a autorização expressa do Analista de Segurança das Informações. Toda
informação nele existente deverá ter caráter estritamente particular. Nenhum microcomputador
particular poderá armazenar qualquer informação pertencente ao acervo da Empresa.

6.5 - Licenças de Software

O Gerente de TI deverá ter controle de todas as licenças de software em uso na Empresa, incluindo os
sistemas operacionais e os programas aplicativos. O Gerente de TI é responsável pela verificação da
existência de programas não autorizados em todos os computadores e, como tal, realizará auditorias
periódicas nos microcomputadores da Empresa e efetuará a desinstalação de programas irregulares, sem
prévio aviso.

6.6 -Acesso à Internet

A referência c confere à Empresa a responsabilidade pela interligação da Empresa à Internet,

controlando e restringindo este acesso além de proibir às Empresa o seu uso indevido. A Política de
Controle de Acesso à Internet considera “expediente” o horário compreendido entre as 8h e 12h e de
13h até 17h, nos dias de rotina normal. Durante as rotinas de domingo, os sítios classificados como
bloqueados durante o horário de expediente (BHE) ficam liberados para acesso durante todo o dia. Para
executar o controle de acesso à Internet, os sítios são classificados de acordo com o conteúdo publicado,
os protocolos utilizados e sua reputação. O Administrador da Rede deverá manter no Histórico da Rede
Local (HRL) o registro da relação dos usuários com acesso à Internet e a qual grupo pertencem. O
Administrador da Rede deverá, também manter rígido controle de usuários que mudaram de função ou
desembarcaram da Empresa antes do término do período solicitado para acesso. Nestes casos, o
Administrador da Rede deverá tomar as devidas providências administrativas, tais como apagar o
usuário da rede da Empresa ou solicitar a troca do tipo de acesso do usuário. Conforme a referência c, o
cadastramento dos usuários para acesso à Internet será realizado pelo Administrador da Rede. Desta
forma, todo usuário autorizado pelo seu Titular a acessar a Internet, através de uma Ordem de Serviço, e
cadastrado pelo Administrador da Rede, será habilitado automaticamente com o tipo de acesso “Padrão”
podendo iniciar seus acessos. Para os usuários pertencentes a outro tipo de acesso, tais como militares
de Gabinete, Assessor Jurídico ou os ligados às atividades de Inteligência, a Empresa deverá encaminhar
uma mensagem ao Centro Local de Tecnologia da Informação (CLTI), segundo a referência c. O CLTI é
o responsável pela alteração no tipo de acesso dos usuários. Usuários “Padrão” são controlados
diretamente pela Empresa por meio do ADMIN. O Administrador da Rede, supervisionado pelo Analista
de Segurança das Informações, deverá manter acompanhamento destas solicitações e possuir cópia de
todos estes documentos de controle e Ordem de Serviço de autorização no HRL. Deve-se observar as
seguintes regras de uso da internet na Empresa:
a) o uso da internet está estritamente ligado ao interesse do serviço, relacionado apenas às atividades
profissionais, sendo vetada a sua utilização para fins particulares;
b) não há expectativa de privacidade na internet. A Empresa monitora toda informação que passe pela
sua sentinela (firewall), incluindo locais acessados e usuários;

c) informação de grau de sigilo igual ou superior a RESERVADO não poderá ser enviada pela internet;

d) não é permitido o uso da internet a bordo para atividades particulares ou pessoais. Atenção deve ser
dada à ética e ao uso dos bens públicos, não se permitindo: - fazer download de software para uso não
oficial;
- acessar sites pornográficos;
- utilizar jogos de computador ou participar de conversas particulares de qualquer espécie (os chamados
chats);

- 22 -
- divulgar cartas-corrente;
- praticar atividades comerciais de qualquer espécie;
- praticar qualquer tipo de hostilidade eletrônica; e
- acessar sites de informação geral (jornais e periódicos eletrônicos, por exemplo), entre 9h e 17h, a não
ser se respaldado pelo interesse do serviço.
e) qualquer software obtido na internet deve ser inspecionado quanto à presença de vírus.

Software obtido apenas em formato binário (programa executável) não deverá ser utilizado;
f) arquivos compactados deverão ser descompactados antes da verificação quanto à presença de vírus;
g) arquivos ou programas anexos a mensagens devem ser objeto de cuidados especiais quanto à
presença de vírus, antes de qualquer utilização; e
h) somente serão autorizados a acessar a Internet os usuários que assinarem o Termo do Anexo A
estando, desta forma, cientes de suas responsabilidades e deveres.

7 - HISTÓRICO DA REDE LOCAL (HRL)

O HRL tem por objetivo manter um memorial descritivo e o registro de todas as atividades e transações
normais e de rotina que podem afetar de alguma forma a SICRL tais como, todas as mudanças de
cabeamento na rede e todo incidente de SICRL ou fato ocorrido que possa sugerir uma possível quebra
de segurança. O HRL está voltado às ações de histórico, análise de incidentes, prevenção e correção,
sendo um documento imprescindível para o entendimento do funcionamento da rede da Empresa. A
elaboração, o controle e a manutenção do HRL são de responsabilidade do Administrador da Rede, sob
supervisão do Analista de Segurança das Informações. O HRL deve possuir grau de sigilo
RESERVADO e ser composto de quatro partes, conforme estabelecido na norma da referência a:
a) PARTE I: Descrição da Rede;
b) PARTE II:Atividades de Rotina;
c) PARTE III: Incidentes; e
d) PARTE IV: Vulnerabilidades e Riscos.

8 - PLANO DE CONTINGÊNCIA(PLCONT)

O PLCONT da Empresa será formalizado em um documento separado da ISIC e terá por objetivo
salvaguardar a continuidade operacional da rede local da Empresa e a plena recuperação das
informações digitais em caso de qualquer interferência (causada por acidente, desastre ou ataque),
garantindo, assim, os requisitos básicos de SIC. O restabelecimento operacional da rede local deverá ser
obtido em um tempo compatível com a missão da Empresa. As revisões do PLCONT ocorrerão com
periodicidade não superior a um ano e serão feitas pelo Administrador da Rede. O PLCONT será
ativado pelo Administrador da Rede sempre que algum fato anormal impeça ou impacte a atividade de
algum RCC ou uma sucessão de eventos coloque em risco processos ou informações digitais integradas
pela rede local da Empresa e também será ativado periodicamente pelo ADMIN, a título de
adestramento, em intervalos não superiores a um ano. A meta final das ações contidas no PLCONT será
sempre o restabelecimento dos RCC e das informações digitais, possibilitando a continuidade
operacional da rede local da Empresa e garantindo os requisitos básicos de SIC.
9 - ADESTRAMENTO
O Analista de Segurança das Informações deverá prever o contínuo adestramento da SIC e,
regularmente, elaborar palestras para o pessoal de bordo, conforme a referência a, assim como divulgar
a SICRL, inclusive por meio de notas no Plano do Dia.

10 - INCIDENTES
Os incidentes que afetem a SICRL devem ser registrados pelo Analista de Segurança das Informações,
conforme modelo constante no Anexo E. As ocorrências de incidentes que afetem RCC de nível 1
devem ser
- 23 -
participadas ao Titular da Empresa, que deverá enviar uma mensagem preferencial/reservada à Empresa,
com informação ao Diretor, indicando se algum procedimento do PLCONT foi acionado e seu
respectivo resultado.

11 - AUDITORIA INTERNA

As auditorias internas deverão ser realizadas com autorização formal do Titular da Empresa, ocorrerão
com periodicidade não superior a um ano e serão de responsabilidade do Analista de Segurança das
Informações,
conforme a alínea j, do item 8.6 da referência a, sendo conduzidas pelo Analista de Segurança das
Informações, com o objetivo precípuo de verificar o fiel cumprimento das determinações e
procedimentos contidos nesta OI e em publicações afins. As auditorias terão como alvo um ou alguns
setores da Empresa, que serão definidos na ocasião da auditoria e serão inspecionados todos os
equipamentos do setor ou setores selecionados, conectados ou não à rede de dados, devendo ser
conduzida com base nesta OI e nos procedimentos previstos no documento da referência a. Ao final das
auditorias, deverá ser apresentado um relatório contendo as discrepâncias identificadas e, quando for o
caso, suas possíveis consequências para a SICRL. O relatório deverá discriminar de forma clara todos os
equipamentos com suas eventuais discrepâncias, usuário responsável e setor a que o usuário está
subordinado. O Relatório de Auditoria de SIC (RAD), deverá ser arquivado no HRL e é parte
constituinte do Histórico da Rede Local, Parte II.

12 -ATUALIZAÇÃO

O responsável pela atualização desta Ordem Interna é o Analista de Segurança das Informações, com
periodicidade não superior a dois anos conforme o item 10.3 da referência a.

13 - VIGÊNCIA E CANCELAMENTO

Esta Ordem Interna entra em vigor na presente data.