Escolar Documentos
Profissional Documentos
Cultura Documentos
Versão beta
17/09/2008
FINALIDADE
Prover a Fábrica de Software (FS) do curso de Engenharia de Software, oferecido pelo Instituto de Informá-
tica da Universidade Federal de Goiás (UFG), de orientações para segurança da informação. Tais orienta-
ções observam a NBR ISO/IEC 17799 (renomeada para NBR 27002) e tem como propósito assegurar o
adequado manuseio e proteção contra indisponibilidade, divulgação, acesso e modificação não autorizados
de informações e dados. Adicionalmente, também foram consultados e empregados elementos da Portaria
No. 279, de 10 de março de 2006, aprovada pelo Ministro da Justiça, Márcio Thomaz Bastos. Esta portaria
apresenta a Política de Segurança da Informação do Ministério da Justiça.
Informações e dados são ativos da Fábrica de Software (FS). Tais ativos podem ser de propriedade da FS
ou apenas estão sob a guarda temporária ou não da FS. Tais ativos também podem ser consultados tempo-
rariamente ou não pela FS, devidamente autorizada pela respectiva autoridade. A disponibilidade de tais
ativos para acesso por pessoa autorizada (quando houver restrição) e a proteção deles (acesso não autori-
zado ou alteração indevida) devem ser perseguidos para proteger os interesses da FS, de seus cliente e de
seus colaboradores. Estes interesses incluem a continuidade do funcionamento da FS, a conformidade com
a legislação vigente e as restrições de clientes da FS.
TERMOS E DEFINIÇÕES
Cliente. Pessoa física ou jurídica que estabelece relação com a Fábrica de Software e da qual espera al-
gum resultado, na forma de produto devidamente caracterizado.
Fábrica de Software (FS). Inclui infra-estrutura física do ambiente de desenvolvimento, ambiente de plane-
jamento e quaisquer outros que sejam empregadas para as atividades fim do que é definido como “fábrica
de software” no Projeto Pedagógico do Curso de Engenharia de Software do Instituto de Informática (UFG).
Ainda inclui recursos humanos que direta ou indiretamente desenvolvem atividades na Fábrica de Software,
bem como softwares em geral empregados na Fábrica de Software.
ABRANGÊNCIA
Todos os colaborados (recursos humanos) e outros elementos como software (programas empregados na
FS) e hardware também devem ser observados da perspectiva de segurança e também estão sujeitos às
orientações aqui fornecidas.
PRINCÍPIOS
Os seguintes princípios devem ser observados:
Responsabilidade. As responsabilidades iniciais e finais pela proteção de cada ativo e pelo cumprimento
de processos de segurança devem ser claramente definidos.
Conhecimento. Todos os colaboradores devem ter ciência de normas, procedimentos, orientações e outras
informações relevantes acerca de segurança que permitam a execução de suas atribuições sem compro-
meter a segurança.
Ética. Todos os direitos e interesses legítimos de clientes e colaboradores devem ser respeitados.
Página 1
Legalidade. Além de observar os interesses da FS, leis, normas, padrões e procedimentos aplicáveis, bem
como contratos com terceiros, também devem ser considerados. Adicional atenção deve ser prestada à
propriedade da informação e direitos de uso (direitos autorais, patentes e outros).
Menor privilégio. Onde não explicitamente indicado (autorizado), toda informação deve ser tratada como
sigilosa e cujo acesso e divulgação só são permitidos àqueles autorizados. Adicionalmente, apenas aqueles
que precisam saber de um determinado fato ou informação devem saber que estes existem.
Realidade. Todos os controles de segurança definidos devem ser compatíveis com o ambiente acadêmico,
no qual está inserido a FS e com a maior parte dos usuários desta fábrica, os estudantes do curso de En-
genharia de Software. O nível, a complexidade e os custos dos controles de segurança devem ser apropri-
ados e proporcionais ao ambiente acadêmico.
2. Abre, conduz e decide acerca de processos disciplinares (juntamente com o escritório de projetos
e o gerente de segurança).
2. Aprova ou não planos de segurança propostos pelo gerente de segurança. A aprovação ou não
pode envolver o cliente (ou representante deste).
Gerente de segurança
5. Difunde e zela pelo cumprimento da presente política de segurança e dos planos de segurança em
execução.
6. Possui autoridade para que suas determinações sejam acatadas em toda a FS.
12. Aprova ou não o uso de recursos de processamento pessoais no ambiente da FS, quando os re-
cursos em questão fazem uso ou interagem com outros recursos da FS.
Cliente
2. Aprova ou não, quando for o caso, o plano de segurança proposto para projeto de seu interesse. A
aprovação deve ser formalmente registrada.
2. Imediatamente notificar o gerente de segurança ou escritório de projeto o uso impróprio dos recur-
sos da FS tendo em vista os fins a que se destinam.
3. Não fazer uso de recursos de processamento pessoais no ambiente da FS exceto quando devi-
damente autorizado.
4. Não instalar software de qualquer natureza sem que o software esteja devidamente autorizado e
que a instalação seja fruto de atividade devidamente atribuída.
A responsabilidade pela proteção de cada ativo e pelo cumprimento dos processos de segurança devem
ser claramente definidos pelo Plano de Segurança da FS e eventualmente no Plano de Segurança específi-
co para um dado projeto, quando se fizer necessário.
Processo de autorização
Novos recursos para processamento de informação só podem ser instalados após aprovação do gerente de
segurança. O uso de recursos pessoais de processamento de informação quando não explicitamente apro-
vados pelo gerente de segurança é proibido.
As trocas de informações de segurança com terceiros devem ser restritas e monitoradas de tal forma que
contratos com clientes, legislação em vigor e a presente política de segurança não sejam comprometidos.
Onde tal interação for freqüente deve ser investigada a adequação de contrato com o propósito de identifi-
car legalmente responsabilidades que satisfaçam os interesses da FS.
Informação só poderá ser divulgada mediante a prévia autorização do escritório de projetos da FS.
Inventário dos ativos. Ativos de informação de propriedade da FS ou que estejam sob a guarda ou acesso
da FS devem ser inventariados. O inventário deve conter pelo menos os seguintes itens:
Página 3
(c) local e meio onde se encontra;
Classificação da informação. Toda informação, exceto quando consideração específica for exigida por
contrato, é classificada em:
(a) Confidencial: deve ser de conhecimento e acesso restrito e cuja publicação não autorizada com-
promete os interesses da FS e/ou de seus clientes e cujas repercussões indesejáveis podem inclu-
ir responsabilidade legal;
(b) Reservada: deve ser de conhecimento restrito, embora mais amplo e com menos implicações do
que informações classificadas como confidenciais. A divulgação não autorizada compromete a
imagem da FS e/ou de seus clientes;
(c) Não classificada: a informação não é pública, não pode ser divulgada sem a devida autorização,
mas não é considerada nem reservada nem confidencial.
(a) Alto. Operação da FS não pode ser interrompida. Erros devem ser detectados e corrigidos imedia-
tamente. Ações pertinentes devem ter prioridade sobre demais ações do gerente de segurança.
(b) Médio. Pequenas interrupções são admitidas, desde que não comprometam a reputação da FS.
(c) Baixo. Pequenos danos podem ocorrer sem comprometer a reputação, os interesses da FS e de
seus clientes.
Rotular e armazenar informação. Deve ser estabelecido um conjunto apropriado de procedimentos para
rotular e armazenar informações compatível com o nível de proteção e a classificação da informação em
questão.
SEGURANÇA EM PESSOAS
(a) Novos colaboradores. Responsabilidades de segurança devem ser esclarecidas, atribuídas e as-
sumidas formalmente por todos os colaboradores antes da execução de atividades na FS. Ações
punitivas devem ser esclarecidas, as atividades dos colaboradores monitoradas e, quando for o
caso, as punições devem ser aplicadas pelo escritório de projetos e implementadas e monitoradas
pelo gerente de segurança.
(c) Cancelamento de acesso. O colaborador terá sua autorização cancelada para acesso aos recur-
sos da FS e, conseqüentemente às informações que possivelmente tinha acesso durante a execu-
ção normal de suas atividades, ao fim do seu contrato que estabelece o relacionamento dele com
a FS.
(d) Suspensão de privilégios. Seja para o bem do colaborador ou dos interesses da FS, privilégios
poderão ser suspensos, inclusive por conseqüência de medida disciplinar decorrente de postura
imprópria relacionada à segurança da informação.
CONSIDERAÇÕES FINAIS
Página 4
As orientações de segurança da informação contidas na presente política de segurança são aplicáveis a
todos os colaboradores da FS e independente de informações estarem armazenadas na FS, ou em trânsito.
Também deve ser verificada a conformidade com contratos específicos, onde controles adicionais e particu-
lares devem ser implementados.
Esta Política de Segurança foi formalmente aprovada pelo Conselho Diretor do Instituto de Informática con-
forme reunião no dia xx/dd/2008 e ata correspondente.
Página 5