Escolar Documentos
Profissional Documentos
Cultura Documentos
ORDEM INTERNA Nº xx
Referências:
a) ????
b) ????; e
c) ????.
Anexos:
1 - PROPÓSITO
2 - CONCEITO
As Instruções para a SIC visam garantir um nível aceitável de segurança em termos do risco calculado,
aplicando-se a:
a) todas as atividades que envolvam algum trâmite, processamento ou arquivamento de informação em
meio eletrônico nas redes locais da Empresa.
b) todos os recursos de Tecnologia da Informação (TI) e os respectivos sistemas de informações digitais;
c) todo usuário dos serviços disponibilizados pela rede local; e
d) contratos efetuados pela Empresa com empresas privadas, cujo escopo envolva algum tratamento de
informações em meio eletrônico ou integradas por meio de uma rede local.
4 - DEVERES E RESPONSABILIDADES
O Analista de Segurança das Informações da Empresa deverá ser nomeado formalmente por Ordem de
Serviço do Titular da Empresa, sendo desejável possuir conhecimentos mínimos de redes locais de
computadores, sistemas operacionais de rede, protocolos de comunicação, serviços disponibilizados
pela rede (intranet, correio eletrônico e assinaturas digitais) e conhecimento em auditoria de redes.
Compete ao Analista de Segurança das Informações estabelecer procedimentos para o gerenciamento da
infraestrutura da SIC de acordo com as normas em vigor. Para isso, deve realizar, no mínimo, as
seguintes atividades:
a) estabelecer e divulgar, por meio de Ordem Interna, a Instrução de Segurança da Informação e das
Comunicações (ISIC) para a Empresa, bem como verificar sua implementação;
b) coordenar, junto aos demais setores da Empresa, o estabelecimento dos Planos de Adestramento de
SIC e zelar pelo seu cumprimento;
c) assessorar o Titular da Empresa nos assuntos de SIC;
d) alterar, propor, analisar e verificar se os requisitos de SIC estão sendo praticados em conformidade
com as normas estabelecidas;
e) identificar os recursos de TI que necessitam de proteção, de acordo com o respectivo grau de sigilo da
informação por eles processada ou armazenada. Este procedimento de identificação deve estar explícito
na ISIC da Empresa;
f) reportar prontamente os incidentes de SIC, após uma avaliação preliminar, ao Titular da Empresa;
g) supervisionar a elaboração e a manutenção do Histórico da Rede Local (HRL);
h) supervisionar a elaboração e a manutenção do Plano de Contingência (PLCONT);
i) garantir que todos estejam cientes das instruções em vigor para a segurança das informações digitais
do ambiente computacional da Empresa, por meio da assinatura do Termo de Responsabilidade
Individual (TRI), constante do Anexo A, pelos usuários que acessam a rede local;
j) garantir que todos os usuários que possuam estações de trabalho tenham assinado o Termo de
Recebimento de Estação de Trabalho (TRE), constante do Anexo B;
k) realizar auditoria interna de SIC na Empresa, emitindo Relatório de Auditoria (RAD) a ser arquivado
no HRL, utilizando-se das listas de verificações disponibilizadas pela Diretoria como modelo;
l) supervisionar o monitoramento da rede local pelo Administrador da Rede Local no intuito de coibir
tráfegos anômalos, acessos à Internet por modem, conexões 3G, 4G, WiMAX, WiFi e outras redes sem
fio não autorizadas pela Empresa;
m) supervisionar a atualização dos sistemas operacionais da Empresa e ferramentas de segurança
homologadas pela Diretoria;
n) exigir do pessoal externo à Empresa, autorizado a executar serviços na rede local, a assinatura do
TRI, constante do Anexo A e o cumprimento das regras estabelecidas no referido termo para guarda e
proteção do sigilo das informações que possa ter acesso. Além disso, deverá ser cumprido os
procedimentos sobre segurança orgânica, previstos em publicações específicas da Empresa;
o) divulgar recomendações referentes às técnicas de Engenharia Social para todo o pessoal da Empresa,
a fim de minimizar a probabilidade de estranhos à Empresa obterem sucesso na aplicação de tais
técnicas pelos meios de comunicações disponíveis; e
p) buscar a atualização técnica através de cursos, participação nos ambientes de gestão do conhecimento
providos pela Empresa, palestras, seminários e simpósios sobre SIC na Empresa.
4.2 - Usuário
O usuário de serviços e equipamentos interligados pela rede local da Empresa, seja funcionário ou
prestador de serviço, deverá estar ciente das suas responsabilidades sobre SIC. Para garantir o
atendimento desse requisito, ele estará apto a receber uma estação de trabalho somente após a assinatura
do TRE, constante do Anexo B, e ficará autorizado a acessar os sistemas da Empresa após tomar ciência
das normas de SIC e assinar o TRI, contante do Anexo A. As assinaturas e o conhecimento do TRI do
Anexo A e do TRE do Anexo B servem de registro oficial da ciência, pelo usuário, do pleno
conhecimento das normas. São consideradas basilares as seguintes normas:
a) tratar a informação digital como patrimônio da Empresa e como um recurso que deva ter seu sigilo
preservado;
b) utilizar as informações digitais disponibilizadas, os sistemas e produtos computacionais de
propriedade ou direito de uso da Empresa, exclusivamente, para o interesse do serviço;
c) preservar o conteúdo das informações sigilosas a que tiver acesso, sem divulgá-las para pessoas não
autorizadas e/ou que não tenham necessidade de conhecê-las;
d) não tentar obter acesso à informação cujo grau de sigilo não seja compatível com a sua Credencial de
Segurança (CREDSEG) ou cujo teor não tenha autorização ou necessidade de conhecer;
e) não se fazer passar por outro usuário usando a identificação de acesso (login) e senha de terceiros;
f) não alterar o endereço de rede ou qualquer outro dado de identificação de seu microcomputador;
g) utilizar em seu microcomputador somente programas homologados para uso na Empresa;
h) no caso de exoneração, demissão, licenciamento, término de prestação de serviço ou qualquer tipo de
afastamento, preservar o sigilo das informações e documentos sigilosos a que teve acesso;
i) não compartilhar, transferir, divulgar ou permitir o conhecimento das suas autenticações de acesso
(senhas) utilizadas no ambiente computacional da Empresa, por terceiros;
j) seguir as regras básicas para o uso de senhas, conforme consta no item 6.2.3 desta Instrução;
k) seguir as orientações da área de TI da Empresa relativas ao uso adequado dos equipamentos, dos
sistemas e dos programas do ambiente computacional;
l) comunicar imediatamente ao seu superior hierárquico e ao Analista de Segurança das Informações da
Empresa a ocorrência de qualquer evento que implique ameaça ou impedimento de cumprir os
procedimentos de SIC estabelecidos;
m) responder, perante a Empresa, as auditorias e o Analista de Segurança das Informações da Empresa,
por acessos, tentativas de acessos ou uso indevidos da informação digital, realizados com a sua
identificação ou autenticação;
n) não praticar quaisquer atos que possam afetar o sigilo ou a integridade da informação;
o) não transmitir, copiar ou reter arquivos contendo textos, fotos, filmes ou quaisquer outros registros
que contrariem a moral, os bons costumes e a legislação vigente;
p) não realizar nenhum tipo de acesso a redes ponto a ponto (P2P) e redes sociais, de acordo com
instruções próprias;
q) não transferir qualquer tipo de arquivo que pertença à Empresa para outro local, seja por meio
magnético ou não, exceto no interesse do serviço e mediante autorização da autoridade competente;
- 15 -
r) adotar política de mesa e tela limpa a fim de reduzir os riscos de acessos não autorizados, perda e
dano da informação durante e fora do horário normal de trabalho, conforme consta no item 6.1.8 desta
Instrução;
s) estar ciente de que o processamento, o trâmite e o armazenamento de arquivos que não sejam de
interesse do serviço são proibidos no ambiente computacional da Empresa;
t) estar ciente de que toda informação digital armazenada, processada e transmitida no ambiente
computacional da Empresa pode ser auditada; e
u) estar ciente de que o correio eletrônico é de uso exclusivo para o interesse do serviço e que qualquer
correspondência eletrônica originada ou retransmitida no ambiente computacional da FAJ deve obedecer
a este preceito.
- 16 -
nãocausamprejuízo direto a SIC ou ao funcionamento da rede local da Empresa ou Empresa, mas que
requerem atenção, pois podem permitir que o ataque ou ameaça escale, comprometendo outros RCC de
nível de importância superior.
São as atividades ligadas à permissão, ou não, de acesso dos usuários a determinadas áreas, incluindo ao
meio magnético instalado. Os servidores da rede, têm acesso físico restrito ao pessoal da TI ligado à sua
operação ou manutenção. O acesso físico à Sala dos Servidores é controlado por meio de chave. O
acesso aos microcomputadores da Empresa é permitido exclusivamente aos militares e servidores civis
autorizados, que tenham assinado o TRI e o TRE. A Gerência de TI é considerado área restrita, com o
acesso somente autorizado ao pessoal com permissão, cujo controle é feito por meio de dispositivo
eletrônico (Crachá). Visitantes e/ou outros usuários somente permanecerão no Departamento
devidamente autorizados e acompanhados.
Um perímetro de segurança é uma separação física que estabelece uma barreira de proteção (como por
exemplo: paredes, salas, cofres, salas-cofre etc), cujas vias de acesso possuam controle eletrônico ou
sejam vigiadas por pessoal de serviço (ou ambos), dependendo do resultado da análise de risco
elaborada. Cada uma destas barreiras representa um perímetro ou camada física de segurança que
melhora a proteção total. Os perímetros de segurança, relativos à proteção física dos RCC da Empresa, a
serem estabelecidos e controlados, estão relacionados no Anexo C e devem ser periodicamente
atualizados pelo Analista de Segurança das Informações.
O acesso físico aos RCC1 existentes na Empresa necessita ser controlado, identificando-se todo
visitante, com registro de data, hora e razão da visita. Caso haja necessidade de um visitante acessar
qualquer perímetro de segurança, este deverá estar sempre acompanhado por
- 17 -
uma pessoa autorizada, de acordo com as respectivas CREDSEG. Deve-se restringir ao máximo o
acesso de pessoal aos perímetros de segurança que contenham RCC1. A entrada ou saída do perímetro
de segurança de qualquer dispositivo que armazene informações digitais deve ser coibida e exceções
devem ser de prévio conhecimento e autorização do Analista de Segurança das Informações, além de
controladas e registradas. Os servidores estão em uma sala de acesso controlado por meio de chave. Os
switches dos setores estão acomodados em rack devidamente trancado.
Os meios de combate a incêndio da Empresa são baseados em extintores nos compartimentos dos
setores.
6.1.4 - Climatização
A temperatura da Sala dos Servidores deve permanecer em torno dos 20ºC, em virtude da dissipação de
calor dos equipamentos. Para tanto, nesta sala deverá haver um sistema redundante de climatização,
para assegurar a manutenção e o controle dos níveis ideais de umidade e temperatura.
O aterramento elétrico tem como propósito evitar acidentes pessoais e diminuir descargas estáticas,
estas potencialmente danosas aos equipamentos da Empresa.
Todos os equipamentos de TI instalados na Empresa devem ser alimentados por energia estabilizada,
que deve estar disponível em todos os ambientes da Empresa.
Adotar política de mesa e tela limpa a fim de reduzir os riscos de acessos não autorizados, perda e dano
da informação durante e fora do horário normal de trabalho. Tal política deve levar em consideração
que:
a) informações sensíveis ou críticas, por exemplo, em papel ou mídia de armazenamento eletrônico,
sejam guardadas em lugar seguro (idealmente em cofre, armário ou outras formas de mobília de
segurança) quando não em uso, especialmente quando a sala está desocupada;
b) computadores e terminais sejam mantidos desligados ou protegidos com mecanismos de travamento
de tela, com senha, ou mecanismos de autenticação similar quando sem monitoração ou não usados; e
c) documentos que contém informação sensível ou classificada sejam removidos de impressoras
imediatamente.
As vulnerabilidades lógicas normalmente encontradas nos equipamentos servidores são inerentes aos
protocolos utilizados e à configuração implementada. Em acréscimo a este fato, diversas falhas de
segurança são decorrentes da falta de atualização dos programas ou pela não instalação das correções,
disponibilizadas pelos fabricantes ou distribuidores dos sistemas operacionais e dos aplicativos em uso.
De modo a minimizar as consequências danosas resultantes dessas vulnerabilidades
lógicas, devem ser observadas as seguintes diretrizes pelo Administrador da Rede:
a) instalar sempre as versões mais atualizadas dos programas existentes nos servidores;
b) instalar todas as correções disponibilizadas pelos respectivos fabricantes e distribuidores (patches de
atualização);
c) desabilitar todos os serviços não necessários, observando o princípio do menor privilégio;
d) desinstalar todos os programas e aplicativos desnecessários; e
e) fechar todas as portas lógicas que não estiverem efetivamente em uso.
Todos os dispositivos de conectividade, tais como roteadores e switches, antes de serem instalados,
deverão ter suas configurações alteradas para uma versão segura, diferente da original de fábrica, de
modo a aumentar o nível de segurança lógica desses equipamentos. As senhas dos equipamentos de
conectividade deverão ser alteradas periodicamente, utilizando-se, pelo menos, doze caracteres,
combinando letras minúsculas e maiúsculas, números e caracteres especiais. O Administrador da Rede
deve manter um controle das senhas dos dispositivos de conectividade que permitirem acesso remoto.
Não deve ser mantida cópia digital não cifrada desse arquivo.
Todos os usuários deverão possuir senhas individuais para acessar os dados armazenados e devem
observar os seguintes requisitos para uso de senhas:
a) nunca compartilhá-las;
b) não utilizar sequência fácil ou óbvia de caracteres, que facilite a sua descoberta;
c) não utilizar palavras existentes em dicionários;
d) utilizar aleatoriamente letras minúsculas, letras maiúsculas, números e caracteres especiais,
cumprindo a política de configuração e de tamanho de senhas que estiver em vigor;
e) não anotá-las em lugares visíveis, de fácil acesso ou em claro;
f) proceder as devidas precauções para mantê-las em sigilo, conforme previsto, também, no TRI do
Anexo A; e
g) cumprir a política de tempo de validade de senhas que estiver em vigor, trocando-as regularmente.
O controle do uso de recursos computacionais e de acesso à rede local por estrangeiros eventualmente
embarcados, destacados, cursando, participando de exercícios, visitando ou efetuando qualquer
atividade na Empresa é regulamentado na referência a. O princípio do privilégio mínimo deve ser
observado e o estrangeiro só poderá ter acesso aos recursos necessários à realização das suas funções
e/ou de acordo com a sua missão no Brasil. Este tipo de controle é importante, uma vez que esses
estrangeiros, ao ter acesso aos recursos computacionais da Empresa, podem ter acesso também à rede
local.
As seguintes normas básicas devem ser aplicadas para garantir a integridade física dos computadores da
Diretoria e da rede de dados:
a) é vedada a existência de fax-modem nos computadores ligados à rede de dados;
b) é vedada a conexão à rede de dados da Empresa de computadores particulares trazidos para bordo
para evitar a cópia de informações sigilosas e a sua saída da Empresa;
c) somente o EGPN-F352 poderá efetuar e controlar a manutenção de hardware dos computadores e
periféricos pertencentes à Empresa ou autorizar a sua saída para empresas particulares para esta
finalidade;
d) em situações excepcionais, o Analista de Segurança das Informações poderá autorizar a entrada e
permanência a bordo de computadores particulares;
e) todos os microcomputadores da Empresa possuirão identificação no Sistema de Inventário de
Computadores da Gerência de TI e um número patrimonial distinto para o gabinete e para o monitor;
f) é de responsabilidade exclusiva do Administrador da Rede a especificação e a instalação de
equipamentos de conectividade para a rede de dados e o planejamento do cabeamento da rede de dados;
g) todo material de TI a ser adquirido para uso na Empresa deverá ser especificado pelo Administrador
da Rede; e
h) somente o Analista de Segurança das Informações poderá autorizar a saída das dependências da
Empresa de qualquer computador, dispositivo ou meio de armazenamento (pendrives, discos rígidos,
CD, DVD etc.). As informações contidas nesses dispositivos deverão ser removidas previamente, caso o
equipamento destine-se a manuseio por terceiros.
A política de backup dos servidores seguirá a rotina estabelecida no Anexo D. O Administrador da Rede
deverá testar os backups regularmente, realizando a recuperação dos arquivos copiados. Toda cópia de
segurança deve ser mantida em local determinado pelo Analista de Segurança das Informações e
controlada pelo Administrador da Rede que, para uma maior segurança das informações digitais, deverá
estar localizado, sempre que possível, em prédio distinto ao do equipamento servidor do qual foi feita a
respectiva cópia de segurança. Na impossibilidade de se utilizar local em prédio distinto para
armazenamento das cópias de segurança, usar compartimentos afastados e com proteção contra incêndio
e alagamento. As cópias de segurança têm o mesmo grau de sigilo das informações digitais que
armazenam, devendo ser protegidas por medidas de segurança correspondentes. Todos os backups são
diários e são realizados na sala de servidores da FAJ.
- 21 -
6.4 - Propriedade de Equipamento
Todo hardware e todo software existentes na Empresa pertencem a Empresa. Equipamentos particulares
só poderão ser utilizados com a autorização expressa do Analista de Segurança das Informações. Toda
informação nele existente deverá ter caráter estritamente particular. Nenhum microcomputador
particular poderá armazenar qualquer informação pertencente ao acervo da Empresa.
O Gerente de TI deverá ter controle de todas as licenças de software em uso na Empresa, incluindo os
sistemas operacionais e os programas aplicativos. O Gerente de TI é responsável pela verificação da
existência de programas não autorizados em todos os computadores e, como tal, realizará auditorias
periódicas nos microcomputadores da Empresa e efetuará a desinstalação de programas irregulares, sem
prévio aviso.
c) informação de grau de sigilo igual ou superior a RESERVADO não poderá ser enviada pela internet;
d) não é permitido o uso da internet a bordo para atividades particulares ou pessoais. Atenção deve ser
dada à ética e ao uso dos bens públicos, não se permitindo: - fazer download de software para uso não
oficial;
- acessar sites pornográficos;
- utilizar jogos de computador ou participar de conversas particulares de qualquer espécie (os chamados
chats);
- 22 -
- divulgar cartas-corrente;
- praticar atividades comerciais de qualquer espécie;
- praticar qualquer tipo de hostilidade eletrônica; e
- acessar sites de informação geral (jornais e periódicos eletrônicos, por exemplo), entre 9h e 17h, a não
ser se respaldado pelo interesse do serviço.
e) qualquer software obtido na internet deve ser inspecionado quanto à presença de vírus.
Software obtido apenas em formato binário (programa executável) não deverá ser utilizado;
f) arquivos compactados deverão ser descompactados antes da verificação quanto à presença de vírus;
g) arquivos ou programas anexos a mensagens devem ser objeto de cuidados especiais quanto à
presença de vírus, antes de qualquer utilização; e
h) somente serão autorizados a acessar a Internet os usuários que assinarem o Termo do Anexo A
estando, desta forma, cientes de suas responsabilidades e deveres.
O HRL tem por objetivo manter um memorial descritivo e o registro de todas as atividades e transações
normais e de rotina que podem afetar de alguma forma a SICRL tais como, todas as mudanças de
cabeamento na rede e todo incidente de SICRL ou fato ocorrido que possa sugerir uma possível quebra
de segurança. O HRL está voltado às ações de histórico, análise de incidentes, prevenção e correção,
sendo um documento imprescindível para o entendimento do funcionamento da rede da Empresa. A
elaboração, o controle e a manutenção do HRL são de responsabilidade do Administrador da Rede, sob
supervisão do Analista de Segurança das Informações. O HRL deve possuir grau de sigilo
RESERVADO e ser composto de quatro partes, conforme estabelecido na norma da referência a:
a) PARTE I: Descrição da Rede;
b) PARTE II:Atividades de Rotina;
c) PARTE III: Incidentes; e
d) PARTE IV: Vulnerabilidades e Riscos.
8 - PLANO DE CONTINGÊNCIA(PLCONT)
O PLCONT da Empresa será formalizado em um documento separado da ISIC e terá por objetivo
salvaguardar a continuidade operacional da rede local da Empresa e a plena recuperação das
informações digitais em caso de qualquer interferência (causada por acidente, desastre ou ataque),
garantindo, assim, os requisitos básicos de SIC. O restabelecimento operacional da rede local deverá ser
obtido em um tempo compatível com a missão da Empresa. As revisões do PLCONT ocorrerão com
periodicidade não superior a um ano e serão feitas pelo Administrador da Rede. O PLCONT será
ativado pelo Administrador da Rede sempre que algum fato anormal impeça ou impacte a atividade de
algum RCC ou uma sucessão de eventos coloque em risco processos ou informações digitais integradas
pela rede local da Empresa e também será ativado periodicamente pelo ADMIN, a título de
adestramento, em intervalos não superiores a um ano. A meta final das ações contidas no PLCONT será
sempre o restabelecimento dos RCC e das informações digitais, possibilitando a continuidade
operacional da rede local da Empresa e garantindo os requisitos básicos de SIC.
9 - ADESTRAMENTO
O Analista de Segurança das Informações deverá prever o contínuo adestramento da SIC e,
regularmente, elaborar palestras para o pessoal de bordo, conforme a referência a, assim como divulgar
a SICRL, inclusive por meio de notas no Plano do Dia.
10 - INCIDENTES
Os incidentes que afetem a SICRL devem ser registrados pelo Analista de Segurança das Informações,
conforme modelo constante no Anexo E. As ocorrências de incidentes que afetem RCC de nível 1
devem ser
- 23 -
participadas ao Titular da Empresa, que deverá enviar uma mensagem preferencial/reservada à Empresa,
com informação ao Diretor, indicando se algum procedimento do PLCONT foi acionado e seu
respectivo resultado.
11 - AUDITORIA INTERNA
As auditorias internas deverão ser realizadas com autorização formal do Titular da Empresa, ocorrerão
com periodicidade não superior a um ano e serão de responsabilidade do Analista de Segurança das
Informações,
conforme a alínea j, do item 8.6 da referência a, sendo conduzidas pelo Analista de Segurança das
Informações, com o objetivo precípuo de verificar o fiel cumprimento das determinações e
procedimentos contidos nesta OI e em publicações afins. As auditorias terão como alvo um ou alguns
setores da Empresa, que serão definidos na ocasião da auditoria e serão inspecionados todos os
equipamentos do setor ou setores selecionados, conectados ou não à rede de dados, devendo ser
conduzida com base nesta OI e nos procedimentos previstos no documento da referência a. Ao final das
auditorias, deverá ser apresentado um relatório contendo as discrepâncias identificadas e, quando for o
caso, suas possíveis consequências para a SICRL. O relatório deverá discriminar de forma clara todos os
equipamentos com suas eventuais discrepâncias, usuário responsável e setor a que o usuário está
subordinado. O Relatório de Auditoria de SIC (RAD), deverá ser arquivado no HRL e é parte
constituinte do Histórico da Rede Local, Parte II.
12 -ATUALIZAÇÃO
O responsável pela atualização desta Ordem Interna é o Analista de Segurança das Informações, com
periodicidade não superior a dois anos conforme o item 10.3 da referência a.
13 - VIGÊNCIA E CANCELAMENTO