NÃO CLASSIFICADO

NORMA TÉCNICA – B 02

REQUISITOS MÍNIMOS DE SEGURANÇA PARA SISTEMAS DE

INFORMAÇÃO E COMUNICAÇÃO (SIC) QUE ARMAZENEM,
PROCESSEM E TRANSMITAM INFORMAÇÃO CLASSIFICADA COM
GRAU DE SEGURANÇA RESERVADO.

Lisboa, 29 de Abril de 2016.

A Autoridade Nacional de Segurança

(José Torres Sobral)

1 - 10 ORIGINAL
NÃO CLASSIFICADO
(verso em branco)
 NT – B 02
NÃO CLASSIFICADO (29Abr201
6)

(ESTA PÁGINA FOI DEIXADA EM BRANCO INTENCIONALMENTE)

2 - 10 ORIGINAL
NÃO CLASSIFICADO
 NÃO CLASSIFICADO NT – B 02
(29Abr201
6)

1. REFERENCIAS

a) Lei Orgânica do GNS:

1) Decreto-Lei nº3/2012, de 16 de Janeiro;

2) Decreto-lei nº162/2013, de 4 de Dezembro, 1ª alteração à Lei Orgânica do GNS;

3) Decreto-lei nº69/2014, de 9 de Maio, 2ª alteração à Lei Orgânica do GNS;

b) Segurança na Organização do Tratado do Atlântico Norte (OTAN), AC/35-D/2004-REV3;

c) Decisão do Conselho, de 23 de Setembro de 2013, relativa às Regras de Segurança

aplicáveis à proteção das Informações Classificadas da EU (2013/488/UE);

d) Decisão (UE, Euratom) 2015/444 da Comissão, de 13 de Março de 2015, relativa às

regras de segurança aplicáveis à proteção das Informações Classificadas da EU;

e) ESA/REG/004 – Security Regulations of the European Space Agency;

f) Resolução do Conselho de Ministros nº 50/88, de 3 de Dezembro (SEGNAC 1);

g) Resolução do Conselho de Ministros nº 37/89, de 24 de Outubro (SEGNAC 2);

h) Resolução do Conselho de Ministros nº 16/94, de 22 de Março (SEGNAC 3);

i) Resolução do Conselho de Ministros nº 05/90, de 28 de Fevereiro (SEGNAC 4).

2. SITUAÇÃO

A salvaguarda das informações classificadas, presentes sob qualquer forma, nas atividades
levadas a cabo por empresas, organismos ou serviços, é responsabilidade das respetivas
direções. À Autoridade Nacional de Segurança (ANS) compete, através de ações de
coordenação, credenciação, inspeção e actuação técnica, garantir o funcionamento pleno de
todo o edifício protetivo correspondente (referência a.)

3 - 10 ORIGINAL
NÃO CLASSIFICADO
 NT – B 02
NÃO CLASSIFICADO (29Abr201
6)

3. OBJECTO/FINALIDADE

O presente documento tem como objectivo verter em Norma Técnica, as medidas elementares
de segurança da informação necessárias a implementar na proteção de um Sistema de
Informação e Comunicação (SIC) que processe, armazene e transmita informação classificada
de grau de segurança RESERVADO nas marcas NACIONAL, UE e NATO.

4. ÂMBITO

A presente norma destina-se a ser do conhecimento de todos os Chefes de Órgão de

Segurança, Sub-Registos e Postos de Controlo, bem como dos responsáveis pela segurança
dos serviços, órgãos ou organismos públicos ou privados, dos estabelecimentos de ensino
universitário, das Forças Armadas ou de outras entidades no âmbito da segurança industrial,
que tenham acesso a Informação Classificada, de grau de classificação igual a RESERVADO.

5. EXECUÇÃO E DESCRIÇÃO DOS REQUISITOS MINÍMOS DE

SEGURANÇA.
1. Os Sistemas de Informação e Comunicação (SIC) que processem, armazenem ou
transmitam, em rede, Informação Classificada, independentemente da marca, com
classificação de segurança de grau RESERVADO ou superior, obrigatoriamente têm de
ser acreditados pela Autoridade Nacional de Segurança (ANS).

2. Todos os sistemas de Informação e Comunicação que processem Informação Classificada

de grau RESERVADO, NATO RESTRICTED, UE RESTRICTED/ EU RESTREINT, têm de ter
uma equipa de Tecnologias de Informação (IT) responsável por esse sistema. A
responsabilidade e a descrição das funções de cada um dos elementos, deverá estar na
forma escrita. No caso da Segurança Industrial, será da responsabilidade da entidade
contratante a aplicação destas normas.

3. Os SIC que processem ou armazenem informação classificada nos graus de RESERVADO,

NATO RESTRICTED, UE RESTRICTED/ EU RESTREINT, em claro, não é permitido que
tenham acesso a redes públicas e acesso à INTERNET.

4. Durante a transmissão, a confidencialidade da Informação classificada de RESERVADO,

NATO RESTRICTED, UE RESTRICTED/ EU RESTREINT, ou superior, terá de ser efetuada e
protegida por produtos criptográficos aprovados respectivamente, pela ANS, pelo
Comité Militar da NATO (NAMILCOM) e pelo Secretariado Geral do Conselho União
Europeia. Em qualquer destas situações, caberá sempre uma aprovação final da ANS. O

4 - 10 ORIGINAL
NÃO CLASSIFICADO
 NT – B 02
NÃO CLASSIFICADO (29Abr201
6)

uso de produtos criptográficos que não sejam aprovados pela ANS constitui uma grave
quebra de segurança e viola os acordos de segurança internacionais com a NATO e UE.

5. Dentro do mesmo edifício poderá ser transmitida, em claro, informação classificada de

grau RESERVADO, NATO RESTRICTED, UE RESTRICTED/ EU RESTREINT, desde que essa
informação flua sempre entre áreas seguras e preferencialmente com cablagem em
fibra óptica com a devida proteção física.

6. Não é permitido o uso de equipamentos privados nomeadamente, computadores

pessoais, notebooks, tablets ou smartphones para processamento de informação
classificada de grau RESERVADO, NATO RESTRICTED, UE RESTRICTED/ EU RESTREINT.

7. Nas áreas onde são usados SIC para armazenar, processar ou transmitir informação
classificada de grau RESERVADO deverão existir sistemas de controlo de acessos em
conformidade com o determinado nos regulamentos para esse efeito. O acesso aos SIC
será concedido aos utilizadores devidamente habilitados e autorizados.

8. Nas áreas onde estejam instalados equipamentos diversos como servidores, sistemas de
gestão de redes, controladores de rede, routers, firewall e controladores de
comunicações para sistemas com informação classificada de grau RESERVADO, deverão
estes, estabelecer-se em áreas de segurança de classe 2. O acesso a estes SIC será
concedido aos utilizadores devidamente habilitados e autorizados. O Administrador de
Rede e o responsável pela segurança da rede, deverão estar credenciados em todas as
marcas e no grau de segurança CONFIDENCIAL ou superior.

9. Documentos que contenham endereços IP devem ser tratados como confidenciais.

10. Computadores isolados e equipamentos portáteis, tal como computadores pessoais,

notebooks, tablets ou smartphones, que detenham informação classificada de grau
RESERVADO, NATO RESTRICTED, UE RESTRICTED/ EU RESTREINT, em claro, só poderão
ser utilizados e guardados nas instalações da organização a que pertencem. Fora da
organização os dados armazenados terão de permanecer encriptados.

11. São designados por “Drives” tudo o que pode ser removido de equipamentos portáteis,
tal como discos externos, cartões de memória ou “memory stick”.

12. Os sistemas de encriptação para equipamentos portáteis ou “drives” ou “full disk

encryption” terão de ser aprovados pelo Autoridade Nacional de Segurança, pelo
Secretariado Geral do Conselho União Europeia ou pelo NAMILCOM, tendo nestes
casos a aprovação final da ANS.

5 - 10 ORIGINAL
NÃO CLASSIFICADO
 NT – B 02
NÃO CLASSIFICADO (29Abr201
6)

13. Tokens ou outro tipo de suporte de chaves criptográficas associados ao produto de

encriptação, deverão estar sempre guardados em separado do equipamento portátil,
(quando não estão a ser usados, durante o transporte ou quando desligados).

14. Discos amovíveis que detenham informação classificada não encriptada, devem estar
etiquetados com a respectiva classificação de segurança. Deverão ser aplicadas a esses
discos, medidas adicionais de segurança, de modo a que pessoas não autorizadas não
possam ter acesso à informação.

15. Todos os SIC deverão comtemplar uma lista de pessoas autorizadas a aceder ao
sistema, bem como deverá estar implementado um procedimento de autenticação do
utilizador para cada sessão.

16. Deverão ser implementadas regras para a gestão e tratamento das palavras-passe. As
palavras-passe deverão ter no mínimo 12 caracteres de comprimento e deverão conter
caracteres numéricos, alfanuméricos e especiais. Os utilizadores não poderão utilizar
palavras-passe antigas e estas deverão ser alteradas após 90 dias de utilização ou
sempre que houver suspeita de comprometimento ou seu conhecimento por pessoas não
autorizadas.

17. Todos os SIC terão de ter controlos internos para prevenir utilizadores não autorizados
de aceder ou modificar dados.

18. Os utilizadores deverão ficar automaticamente “logged off” do sistema se os seus

terminais ficarem inativos por um período predeterminado de tempo, ou se ativos
deverá cair o “screen saver” protegido até 15 minutos de inatividade.

19. Todo o SIC em rede deverá ser automaticamente bloqueado após 3 tentativas
incorrectas.

20. Os eventos (Logs) registados obrigatoriamente são:

a) Todas as tentativas de login;
b) Log off (inclui data/hora);
c) Criação, alteração ou extinção de privilégios ou direitos de acesso;
d) Criação, alteração ou extinção de palavras-chave.

21. Para cada um dos eventos listados no ponto anterior, deverá ficar registada a seguinte
informação:
a) Tipo de evento;
b) User ID;
c) Data & hora;
d) ID do dispositivo;

6 - 10 ORIGINAL
NÃO CLASSIFICADO
 NT – B 02
NÃO CLASSIFICADO (29Abr201
6)

22. Os registos dos eventos (Logs) deverão poder ser gravados num CD/DVD de modo a
que o responsável pelo sistema possa ter uma cópia da actividade selecionada.

23. Os eventos (Logs) deverão ser verificados regularmente de modo a identificar

potenciais incidentes de segurança.

24. Os eventos (Logs) têm de estar protegidos de modificação e de destruição não

autorizada.

25. Terá de ser implementado software para deteção de malware ou antivírus.

26. Tecnologias Wireless (rede sem fios) não poderão ser empregues para transmissão de
informação classificada.

27. Todos o hardware de rede, incluindo impressoras e terminais deverão ter todos os
dispositivos Wireless e Bluetooth removidos.

28. Dispositivos de protecção de fronteira para Computadores ou dispositivos móveis,

englobam sempre os seguintes componentes de hardware e software:

a) Software antivírus;
b) Firewall;
c) Ferramentas de prevenção e deteção de intrusão;
d) Equipamentos de cifra aprovados para transmissão eletrónica de dados;
e) Encriptação de disco de dispositivos móveis.

29. Todos os ativos de rede a instalar numa arquitetura da rede que processe informação
classificada, deverão ser fabricados em Países da NATO ou da União Europeia.

30. Os dispositivos de armazenamento de dados, que armazenem informação classificada

de RESERVADO, NATO RESTRICTED, UE RESTRICTED/ EU RESTREINT, em fim de ciclo de
vida ou quando sejam apagados dados, deverão verificar-se os seguintes
procedimentos:

a) Ficheiros armazenados em discos rígidos, USB memory sticks vulgarmente chamadas

de “pens” ou SD cards, devem ser apagados utilizando software especificamente
aprovado pelo responsável da segurança da rede.

b) Discos rígidos, USB memory sticks, SD cards e outros cartões de memória, no final de
vida, deverão ser desmagnetizados em equipamentos aprovados pela ANS ou
destruídos fisicamente.

c) CDs , DVDs e outros discos ópticos deverão ser destruídos e desintegrados por
equipamentos de trituração que obedeçam aos requisitos de segurança indicados
para o efeito.

7 - 10 ORIGINAL
NÃO CLASSIFICADO
 NT – B 02
NÃO CLASSIFICADO (29Abr201
6)

31. Nos discos rígidos ou equipamentos informáticos, com dados referentes a informação
classificada, de graus RESERVADO, NATO RESTRICTED, UE RESTRICTED/ EU RESTREINT,
quando enviados para reparação fora da área controlada para empresas
subcontratadas, no caso da segurança industrial, deverá apagar-se previamente essa
informação, utilizando software especificamente aprovado.

32. As instalações onde serão executados os trabalhos de reparação/manutenção de

equipamentos/dispositivos que contenham informação classificada, independentemente
da marca, deverão obedecer aos requisitos de segurança de acordo com o grau de
segurança da informação detida nesses equipamentos/dispositivos. Em caso de contratos
de manutenção, estes requisitos de segurança da informação deverão estar registados
no contrato. Para informação classificada de RESERVADO, NATO RESTRICTED, UE
RESTRICTED/ EU RESTREINT, ou superior as firmas deverão estar credenciadas para o
efeito.

33. Os riscos para os SIC, resultantes de incidentes previsíveis, percalços e problemas

recorrentes, como por exemplo, falhas de energia, ou picos de tensão, deverão ser
identificados e os sistemas deverão ter equipamentos de proteção adequados a esses
fins.

34. Os SIC onde seja armazenada, processada ou transmitida Informação Classificada, na

forma digital, deverão comtemplar um plano de continuidade de negócio, que inclua
obrigatoriamente, um plano de “backups”.

35. Os detentores de Informação Classificada de RESERVADO, NATO RESTRICTED, UE

RESTRICTED/ EU RESTREINT, em SIC, deverão ter meios para auditar e verificar o
funcionamento e a conformidade dos seus sistemas de acordo com o prescrito neste
documento.

36. O comprometimento ou suspeita de comprometimento de Informação Classificada em

SIC, deverá ser reportado imediatamente para a entidade operacional, para o gestor
de IT ou para a entidade contratante. O relatório deverá mencionar a Informação
abrangida e uma descrição das circunstâncias do comprometimento. Todos os
utilizadores dos SIC, deverão saber como reportar um comprometimento para a
entidade responsável.

37. No processo de acreditação do SIC, a entidade de planeamento e de implementação

do sistema ou a entidade contratante, obrigatoriamente terá de anexar um estudo de
análise de risco do sistema.

38. É expressamente proibido a publicação de qualquer documento classificado ou NÃO

CLASSIFICADO de qualquer marca na INTERNET. Exceptuam-se os documentos não
classificados que tenham a designação “FOR PUBLIC DISCLOSURE”.

8 - 10 ORIGINAL
NÃO CLASSIFICADO
 NT – B 02
NÃO CLASSIFICADO (29Abr201
6)

39. Só os documentos NÃO CLASSIFICADO podem ser transmitidos em claro pela INTERNET.

40. Para todo os SIC, deverão existir normas e procedimentos de segurança para os
utilizadores, administradores de redes e sistemas e responsáveis pela segurança dos
sistemas de informação, elaboradas de acordo com as directivas específicas da NATO e
da UE, designadamente: SecOPs (Security Operating Procedure) e SSRS (System Specific
Security Requirement Statement).

41. O sistema operativo a instalar nos servidores e computadores pessoais ligados a infra-
estruturas de rede classificadas, deverá ser indicado pela ANS. Os sistemas operativos
descontinuados ou sem security updates e patches adequados, não poderão ser
utilizados. Recomenda-se a instalação de um sistema de patching automático. Com
regularidade mensal.

6. ACRÓNIMOS

ANS – Autoridade Nacional de Segurança

GNS – Gabinete Nacional de Segurança

NT – Norma Técnica

SIC – Sistema de Informação e Comunicação

SecOPs – Security Operating Procedures

SSRS – System Specific Security Requirement Statement

9 - 10 ORIGINAL
NÃO CLASSIFICADO
(verso em branco)
 NT – B 02
NÃO CLASSIFICADO (29Abr201
6)

(ESTA PÁGINA FOI DEIXADA EM BRANCO INTENCIONALMENTE)

10 - 10 ORIGINAL
NÃO CLASSIFICADO