Política de Segurança da Informação

Versão beta
17/09/2008

FINALIDADE
Prover a Fábrica de Software (FS) do curso de Engenharia de Software, oferecido pelo Instituto de Informá-
tica da Universidade Federal de Goiás (UFG), de orientações para segurança da informação. Tais orienta-
ções observam a NBR ISO/IEC 17799 (renomeada para NBR 27002) e tem como propósito assegurar o
adequado manuseio e proteção contra indisponibilidade, divulgação, acesso e modificação não autorizados
de informações e dados. Adicionalmente, também foram consultados e empregados elementos da Portaria
No. 279, de 10 de março de 2006, aprovada pelo Ministro da Justiça, Márcio Thomaz Bastos. Esta portaria
apresenta a Política de Segurança da Informação do Ministério da Justiça.

Informações e dados são ativos da Fábrica de Software (FS). Tais ativos podem ser de propriedade da FS
ou apenas estão sob a guarda temporária ou não da FS. Tais ativos também podem ser consultados tempo-
rariamente ou não pela FS, devidamente autorizada pela respectiva autoridade. A disponibilidade de tais
ativos para acesso por pessoa autorizada (quando houver restrição) e a proteção deles (acesso não autori-
zado ou alteração indevida) devem ser perseguidos para proteger os interesses da FS, de seus cliente e de
seus colaboradores. Estes interesses incluem a continuidade do funcionamento da FS, a conformidade com
a legislação vigente e as restrições de clientes da FS.

FREQÜÊNCIA DE REVISÃO (E REGISTRO DE MUDANÇAS)

Os instrumentos normativos gerados a partir da presente política devem ser revisados sempre na ocorrên-
cia de evento relevante para segurança e não exceder o período máximo de 12 (doze) meses.

TERMOS E DEFINIÇÕES

Cliente. Pessoa física ou jurídica que estabelece relação com a Fábrica de Software e da qual espera al-
gum resultado, na forma de produto devidamente caracterizado.

Colaboradores. Todos os servidores (professores e funcionários), corpo discente (estudantes do curso),

estagiários, consultores e prestadores de serviço que exerçam atividades no âmbito da FS são coletiva-
mente denominados de colaboradores da FS.

Fábrica de Software (FS). Inclui infra-estrutura física do ambiente de desenvolvimento, ambiente de plane-
jamento e quaisquer outros que sejam empregadas para as atividades fim do que é definido como “fábrica
de software” no Projeto Pedagógico do Curso de Engenharia de Software do Instituto de Informática (UFG).
Ainda inclui recursos humanos que direta ou indiretamente desenvolvem atividades na Fábrica de Software,
bem como softwares em geral empregados na Fábrica de Software.

ABRANGÊNCIA
Todos os colaborados (recursos humanos) e outros elementos como software (programas empregados na
FS) e hardware também devem ser observados da perspectiva de segurança e também estão sujeitos às
orientações aqui fornecidas.

PRINCÍPIOS
Os seguintes princípios devem ser observados:

Responsabilidade. As responsabilidades iniciais e finais pela proteção de cada ativo e pelo cumprimento
de processos de segurança devem ser claramente definidos.

Conhecimento. Todos os colaboradores devem ter ciência de normas, procedimentos, orientações e outras
informações relevantes acerca de segurança que permitam a execução de suas atribuições sem compro-
meter a segurança.

Ética. Todos os direitos e interesses legítimos de clientes e colaboradores devem ser respeitados.

Página 1
Legalidade. Além de observar os interesses da FS, leis, normas, padrões e procedimentos aplicáveis, bem
como contratos com terceiros, também devem ser considerados. Adicional atenção deve ser prestada à
propriedade da informação e direitos de uso (direitos autorais, patentes e outros).

Menor privilégio. Onde não explicitamente indicado (autorizado), toda informação deve ser tratada como
sigilosa e cujo acesso e divulgação só são permitidos àqueles autorizados. Adicionalmente, apenas aqueles
que precisam saber de um determinado fato ou informação devem saber que estes existem.

Realidade. Todos os controles de segurança definidos devem ser compatíveis com o ambiente acadêmico,
no qual está inserido a FS e com a maior parte dos usuários desta fábrica, os estudantes do curso de En-
genharia de Software. O nível, a complexidade e os custos dos controles de segurança devem ser apropri-
ados e proporcionais ao ambiente acadêmico.

GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO

O gerenciamento da segurança da informação da FS envolve:

• Conselho Diretor (CD) do Instituto de Informática

• Escritório de Projetos (EP) da Fábrica de Software (FS)

• Gerente de Segurança (GS)

• Cliente (ou representante)

Conselho diretor do instituto de informática

1. Aprova a Política de Segurança da Informação da FS.

2. Abre, conduz e decide acerca de processos disciplinares (juntamente com o escritório de projetos
e o gerente de segurança).

Escritório de projetos (EP) da Fábrica de software (FS)

1. Apresenta requisitos de segurança de projetos ao gerente de segurança para a devida avaliação.

2. Aprova ou não planos de segurança propostos pelo gerente de segurança. A aprovação ou não
pode envolver o cliente (ou representante deste).

3. Oferece suporte à execução das ações previstas em planos de segurança aprovados.

4. Mantém em conjunto com o gerente de segurança a política de segurança da FS.

Gerente de segurança

1. Define, implementa, executa, monitora e propõe melhorias para controles de segurança.

2. Propõe, elabora, defende e executa planos de segurança da FS em conformidade com a presente

política de segurança e requisitos de projetos.

3. Executa suas ações em conformidade com os planos de segurança aprovados.

4. Avalia requisitos de segurança apresentados pelo escritório de projetos e auxilia na tomada de

decisão sobre segurança da informação.

5. Difunde e zela pelo cumprimento da presente política de segurança e dos planos de segurança em
execução.

6. Possui autoridade para que suas determinações sejam acatadas em toda a FS.

7. Mantém o registro de incidentes atualizado.

8. Elabora e mantém atualizados os planos de continuidade.

9. Reporta-se ao Escritório de Projetos da FS.

Página 2
 10. Estabelece requisitos para a instalação de novos recursos computacionais, bem como aprova a
instalação.

11. É da responsabilidade do gerente de segurança oferecer os recursos necessários (inclusive trei-

namentos) para garantir que todos os colaboradores estejam devidamente equipados para execu-
tar suas atividades em conformidade com a presente política de segurança e outras orientações
aplicáveis.

12. Aprova ou não o uso de recursos de processamento pessoais no ambiente da FS, quando os re-
cursos em questão fazem uso ou interagem com outros recursos da FS.

Cliente

1. Auxilia na elaboração do plano de segurança para projeto de seu interesse.

2. Aprova ou não, quando for o caso, o plano de segurança proposto para projeto de seu interesse. A
aprovação deve ser formalmente registrada.

Colaboradores da Fábrica de software (FS)

1. Imediatamente notificar o gerente de segurança ou escritório de projeto acerca de qualquer fragili-

dade, risco, ameaça ou quebra de segurança detectada ou suspeita. Em nenhuma circunstância o
colaborador deve investigar a notificação.

2. Imediatamente notificar o gerente de segurança ou escritório de projeto o uso impróprio dos recur-
sos da FS tendo em vista os fins a que se destinam.

3. Não fazer uso de recursos de processamento pessoais no ambiente da FS exceto quando devi-
damente autorizado.

4. Não instalar software de qualquer natureza sem que o software esteja devidamente autorizado e
que a instalação seja fruto de atividade devidamente atribuída.

Atribuição das responsabilidades

A responsabilidade pela proteção de cada ativo e pelo cumprimento dos processos de segurança devem
ser claramente definidos pelo Plano de Segurança da FS e eventualmente no Plano de Segurança específi-
co para um dado projeto, quando se fizer necessário.

Processo de autorização

Novos recursos para processamento de informação só podem ser instalados após aprovação do gerente de
segurança. O uso de recursos pessoais de processamento de informação quando não explicitamente apro-
vados pelo gerente de segurança é proibido.

Cooperação com terceiros (colaboradores, prestadores de serviços e outros)

As trocas de informações de segurança com terceiros devem ser restritas e monitoradas de tal forma que
contratos com clientes, legislação em vigor e a presente política de segurança não sejam comprometidos.
Onde tal interação for freqüente deve ser investigada a adequação de contrato com o propósito de identifi-
car legalmente responsabilidades que satisfaçam os interesses da FS.

Autorização para divulgação de informação

Informação só poderá ser divulgada mediante a prévia autorização do escritório de projetos da FS.

CONTROLES E CLASSIFICAÇÃO DOS ATIVOS DE INFORMAÇÃO

Inventário dos ativos. Ativos de informação de propriedade da FS ou que estejam sob a guarda ou acesso
da FS devem ser inventariados. O inventário deve conter pelo menos os seguintes itens:

(a) projeto ao qual está associada a informação;

(b) classificação da informação;

Página 3
 (c) local e meio onde se encontra;

(d) normas e procedimentos exigidos pelos clientes;

(e) contratos relacionados; e

(f) nível de segurança adotado.

Classificação da informação. Toda informação, exceto quando consideração específica for exigida por
contrato, é classificada em:

(a) Confidencial: deve ser de conhecimento e acesso restrito e cuja publicação não autorizada com-
promete os interesses da FS e/ou de seus clientes e cujas repercussões indesejáveis podem inclu-
ir responsabilidade legal;

(b) Reservada: deve ser de conhecimento restrito, embora mais amplo e com menos implicações do
que informações classificadas como confidenciais. A divulgação não autorizada compromete a
imagem da FS e/ou de seus clientes;

(c) Não classificada: a informação não é pública, não pode ser divulgada sem a devida autorização,
mas não é considerada nem reservada nem confidencial.

Níveis de proteção. Em conformidade com a classificação da informação e contratos estabelecidos com

clientes, um dos seguintes ou outro nível de proteção deve ser estabelecido:

(a) Alto. Operação da FS não pode ser interrompida. Erros devem ser detectados e corrigidos imedia-
tamente. Ações pertinentes devem ter prioridade sobre demais ações do gerente de segurança.

(b) Médio. Pequenas interrupções são admitidas, desde que não comprometam a reputação da FS.

(c) Baixo. Pequenos danos podem ocorrer sem comprometer a reputação, os interesses da FS e de
seus clientes.

Rotular e armazenar informação. Deve ser estabelecido um conjunto apropriado de procedimentos para
rotular e armazenar informações compatível com o nível de proteção e a classificação da informação em
questão.

SEGURANÇA EM PESSOAS

(a) Novos colaboradores. Responsabilidades de segurança devem ser esclarecidas, atribuídas e as-
sumidas formalmente por todos os colaboradores antes da execução de atividades na FS. Ações
punitivas devem ser esclarecidas, as atividades dos colaboradores monitoradas e, quando for o
caso, as punições devem ser aplicadas pelo escritório de projetos e implementadas e monitoradas
pelo gerente de segurança.

(b) Treinamento de usuários. Cabe ao gerente de segurança esclarecer e treinar os colaboradores

quanto à presente política de segurança, além de normas, procedimentos e padrões decorrentes.

(c) Cancelamento de acesso. O colaborador terá sua autorização cancelada para acesso aos recur-
sos da FS e, conseqüentemente às informações que possivelmente tinha acesso durante a execu-
ção normal de suas atividades, ao fim do seu contrato que estabelece o relacionamento dele com
a FS.

(d) Suspensão de privilégios. Seja para o bem do colaborador ou dos interesses da FS, privilégios
poderão ser suspensos, inclusive por conseqüência de medida disciplinar decorrente de postura
imprópria relacionada à segurança da informação.

(e) Processo disciplinar. A violação da presente política de segurança e de normas e procedimentos

decorrentes, poderão ocasionar a suspensão temporária ou permanente de privilégios de acesso
aos recursos computacionais da FS. Cabe ao escritório de projetos, juntamente com o gerente de
segurança e o Conselho Diretor do Instituto de Informática, abrir, avaliar e proceder as medidas
decorrentes de processos disciplinares e julgar casos omissos.

CONSIDERAÇÕES FINAIS

Página 4
As orientações de segurança da informação contidas na presente política de segurança são aplicáveis a
todos os colaboradores da FS e independente de informações estarem armazenadas na FS, ou em trânsito.
Também deve ser verificada a conformidade com contratos específicos, onde controles adicionais e particu-
lares devem ser implementados.

Esta Política de Segurança foi formalmente aprovada pelo Conselho Diretor do Instituto de Informática con-
forme reunião no dia xx/dd/2008 e ata correspondente.

Página 5