Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURANÇA DA INFORMAÇÃO EM TI
Certificação de Conhecimentos
Material de Apoio
Março/2017
#interna
Conteúdo Programático
2
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
#interna
A Instrução Normativa – IN 422 define os aspectos de segurança da informação que devem ser
aplicados nos sistemas e aplicativos corporativos para a proteção das informações corporativas,
em conformidade com a Política Específica de Segurança da Informação, aprovada pelo
Conselho de Administração do Banco do Brasil S.A. e publicada na IN 606. Esta Política passa
por revisão, no mínimo, anualmente.
Acesso lógico: acesso realizado por um usuário, com a finalidade de executar transações,
atualizar e consultar dados e informações em um sistema computacional.
Administrador de acesso: aquele que gerencia o direito de acesso às informações em meio
eletrônico na dependência.
Ativos de informação: são os meios de armazenamento, transmissão e processamento da
informação, os sistemas de informação, bem como os locais onde se encontram esses meios e
as pessoas que a eles têm acesso.
Autenticidade: possibilidade de se atestar, de forma inequívoca, a origem e o destino da
informação e garantir o não repúdio, ou seja, impossibilitar a negação de autoria e acesso.
Ciclo de vida da informação: são as fases da produção e recepção, registro e armazenamento,
uso e disseminação e destinação da informação.
Computação em Nuvem: modelo computacional que permite acesso por demanda, e
independente da localização, a um conjunto compartilhado de recursos configuráveis de
computação (rede de computadores, servidores, armazenamento, aplicativos e serviços),
provisionados com esforços mínimos de gestão ou interação com o provedor de serviços.
Confidencialidade: propriedade de estar disponível ou ser revelada somente a indivíduos,
entidades ou processos autorizados.
Conformidade: consonância a dispositivos legais, normas, regulamentos e contratos.
Custodiante da informação: aquele que tem a posse da informação corporativa.
Direito de Acesso: é o privilégio associado a um cargo, função, pessoa ou processo para ter
acesso à informação.
Disponibilidade: é a garantia de que usuários autorizados têm acesso às informações sempre
que necessário.
Dispositivos móveis: notebooks, smartphones, tablets e similares.
Gestor da Informação: dependência/área ou funcionário do Banco do Brasil ou do
Conglomerado BB responsável pela gestão da informação (em suas diversas formas - impressa,
escrita, em meio eletrônico etc), durante todo o ciclo de vida, dentro do escopo de suas
atribuições/responsabilidades funcionais.
Informação: dados, processados ou não, que podem ser utilizados para produção e transmissão
de conhecimento, contidos em qualquer meio, suporte ou formato.
Informação Corporativa: é todo conhecimento obtido por intermédio de uma mensagem ou
registro de dados gerados ou utilizados pelo Banco em seus processos. A informação pode estar
impressa, manuscrita, gravada em meios magnéticos/óticos ou ser de conhecimento dos
funcionários.
Integridade: garantia de que a informação não sofra alterações indevidas, não autorizadas ou
acidentais, mantendo sua completeza.
Log: conjunto de informações dos eventos relevantes de um sistema computacional, destinado
à coleta e retenção de evidências de uso e ao diagnóstico de fragilidades.
3
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
#interna
Malware, código malicioso, programa malicioso ou software malicioso: são expressões que
se referem a um programa que é inserido em um sistema, normalmente de forma encoberta, com
a intenção de comprometer a confidencialidade, a integridade ou a disponibilidade da
informação, aplicativos ou do próprio sistema operacional.
Mesa Limpa: não deixar documentos contendo informações corporativas expostos sobre as
mesas, armários, estações de trabalho, salas e qualquer outro ambiente interno ou externo da
dependência.
Mídias de armazenamento: suporte para o registro de informações digitais, como discos
magnéticos e óticos, fitas, pendrives, cartuchos e etc.
Princípio do Privilégio Mínimo: define que o usuário da informação do Banco deve ter acesso
apenas aos recursos necessários ao exercício das atividades que desempenha e somente no
período de sua execução.
Ransoware: é um tipo de malware que restringe o acesso ao sistema infectado e cobra um valor
de "resgate" para que o acesso possa ser reestabelecido.
Recurso Criptográfico: sistema, programa, processo, equipamento isolado ou em rede que
utiliza algoritmo simétrico ou assimétrico para realizar cifração ou decifração.
SaaS - Software as a Service ou Software como Serviço: uso de um software em regime de
utilização web.
Tela Limpa: caracteriza-se pela prática de bloquear a tela do computador, na ausência do
funcionário ou na presença de terceiros.
Terceiro: aquele não pertencente ao quadro funcional ativo do Banco que, por interesse do
serviço e previsão contratual ou imposição legal, estabeleça relacionamento com o BB (Ex.:
funcionários de empresas contratadas, consultores, adolescentes trabalhadores, estagiários
etc).
Tratamento da Informação: conjunto de ações e controles que, aplicados, têm o objetivo de
proteger as informações durante todo o seu ciclo de vida independentemente do meio em que
se encontra (físico ou lógico).
Usuário da Informação: aquele que tem acesso à informação corporativa.
4
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
#interna
Descarte
O descarte de informações impressas ou em meio eletrônico é de responsabilidade do usuário
ou dependência custodiante e deve ser feito de forma a não permitir sua recuperação.
Controles de Acesso
5
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
#interna
Administrador de Acesso
Os acessos a endereços que expõem o Banco a riscos não são permitidos. São considerados
de risco os acessos a sítios, páginas ou programas que, por exemplo:
Caso o usuário identifique alguma categorização de sites, que julgue equivocada, deve informar
o fato à Ditec para análise e recategorização.
LOG
8
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
#interna
Browser (Navegador)
Habilitar os avisos de segurança;
9
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
#interna
As estações de trabalho e os sistemas de informação devem ser protegidos contra malware com
a implementação de medidas de prevenção, detecção e correção para proteger as estações de
trabalho e os sistemas de informação contra malware, assegurado que:
A instalação e atualização dos softwares de proteção ocorram regularmente;
A instalação e atualização (patch) nas estações de trabalho devem ocorrer de forma
automática;
Os softwares de proteção devem ser persistentes (enforced client), restabelecendo as
funcionalidades automaticamente, caso sejam desabilitadas.
As estações de trabalho estejam protegidas contra instalação e execução de
arquivos/programas maliciosos;
Realizar verificação, para detecção de malware em:
Arquivos recebidos pela rede corporativa (inclusive download e correio eletrônico) ou por
mídias de armazenamento, antes da gravação;
Arquivos ou programas, em memória, antes de serem executados;
No disco rígido da estação de trabalho, periodicamente.
Haja detecção e bloqueio de sites maliciosos ou suspeitos.
O usuário é responsável pela estação de trabalho com o seu login, devendo:
Instalar apenas softwares disponibilizados ou autorizados pelo Banco;
Manter as configurações de hardware e de software da estação de trabalho definidas
pela Diretoria de Tecnologia;
Não explorar falhas ou vulnerabilidades, porventura existentes, nos sistemas utilizados;
Ao detectar alguma falha ou vulnerabilidade comunicar, imediatamente, ao gestor do
sistema.
Cumprir e zelar pelas normas de segurança da informação;
Atentar para os alertas emitidos pelos softwares de segurança.
10
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
#interna
11
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti
ANEXO 1
CRITÉRIOS DE TRATAMENTO DA INFORMAÇÃO
CLASSIFICAÇÃO #UltraConfidencial #Confidencial #Interna #Pública
INFORMAÇÃO EM MOVIMENTO
Utilizar canais que
No transporte e transmissão utilizar canais com solução de
Utilizar canais que impossibilitem a interceptação das informações e manter registro preservem a
Ambiente eletrônico criptografia, controle de acesso ao canal com restrição de
das atividades. integridade da
usuário e manter registro das atividades.
informação.
Não é permitido. Em casos extremos, com a anuência expressa
Utilizar Correio Sisbb via Mensagem para Exclusivamente com uso dos
E-mail corporativo/correio Sisbb do Dirigente Estatutário, deve-se utilizar solução de criptografia Sem precauções
Administradores, Nota Técnica Pessoal ou e-mail veículos de comunicação
(destinatário interno) disponibilizada pela Ditec e acionar “Manter particular” na adicionais.
corporativo com criptografia. administrativa (IN 513-1: 6)
ferramenta.
Uso desaconselhado. Caso necessário, somente
Usar apenas quando houver
com a anuência prévia do gestor da informação.
E-mail corporativo interesse negocial, desde que Sem precauções
Não é permitido. Utilizar solução de criptografia disponibilizada pela
(destinatário externo) autorizado pelo gestor da adicionais.
Ditec.
informação.
INFORMAÇÃO EM USO
Estabelecer controle de acesso com restrição de usuário, Utilizar controle de versionamento e senhas
Utilizar controle de versionamento
controle de versionamento e senhas disponíveis nas disponíveis nas ferramentas tecnológicas. Utilizar Sem precauções
Estações de trabalho disponíveis nas ferramentas
ferramentas tecnológicas. Utilizar solução de criptografia solução de criptografia corporativa disponibilizada adicionais.
tecnológicas.
corporativa, em todo(s) o(s) disco(s), disponibilizada pela Ditec. pela Ditec.
INFORMAÇÃO EM DESCANSO
Informações eletrônicas Armazenamento em rede corporativa e controle de acessos Armazenamento em rede corporativa e controle de acessos compatíveis com a Sem precauções
(para todas as unidades) compatíveis com a confidencialidade da informação. criticidade e confidencialidade da informação. adicionais.
DESCARTE/DESTRUIÇÃO
Disquetes, CD’s e DVD’s. Pen drive, HD
Formatar a mídia com a utilização de ferramenta corporativa específica, fornecida pela Sem precauções
externo, Fita DAT, dispositivos móveis Vedado o uso.
Ditec e fragmentar, perfurar, picotar ou destruir, de forma a não permitir recuperação. adicionais.
(notebooks e celulares).
REUTILIZAÇÃO
13
_____________________________________________________________________________
Diretoria de Segurança Institucional – Disin
Gerência de Prevenção a Ilícitos Financeiros e Cambiais e Segurança da Informação – Gefic
Divisão Gestão da Segurança da Informação em TI – Dsiti