Escolar Documentos
Profissional Documentos
Cultura Documentos
05 de dezembro de 2022
Controladoria-Geral da União (CGU)
Secretaria Federal de Controle Interno (SFC)
RELATÓRIO DE CONSULTORIA
Órgão: Ministério da Economia – ME
Unidade: Secretaria de Governo Digital – SGD
Município/UF: Brasília/DF
Relatório de Consultoria: 1168823
Missão
Elevar a credibilidade do Estado por meio da participação social, do controle
interno governamental e do combate à corrupção em defesa da sociedade.
Consultoria
O serviço de consultoria é uma atividade de auditoria interna governamental que
consiste em assessoramento, aconselhamento e outros serviços relacionados
fornecidos à alta administração com a finalidade de respaldar as operações da
unidade. Tem como finalidade agregar valor à organização e melhorar os seus
processos de governança, de gestão de riscos e de controles internos, de forma
condizente com seus valores, estratégias e objetivos, sem que o auditor interno
governamental assuma qualquer responsabilidade que seja da administração.
POR QUE A CGU REALIZOU ESSE
QUAL FOI O TRABALHO?
TRABALHO Enquanto Órgão Central do Sistema de
REALIZADO Administração dos Recursos de Tecnologia da
Informação – SISP, a SGD edita normas e
PELA CGU? orientações relacionadas à tecnologia da
informação, incluindo a segurança. Neste
O presente relatório
sentido, a Coordenação-Geral de Auditoria de
apresenta os resultados da
Tecnologia da Informação –
consultoria de
CGATI/DG/SFC/CGU tem trabalhado junto
assessoramento realizada
àquela Secretaria, com a finalidade de
para elaboração dos modelos
contribuir no processo normativo com a
referentes às Políticas de
experiência do controle interno.
Controle de Acesso, de
Gestão de Ativos, de Backup,
de Gerenciamento de
QUAIS AS CONCLUSÕES
Vulnerabilidades e de Gestão ALCANÇADAS PELA CGU? QUAIS
de Registros (Logs) de AS RECOMENDAÇÕES QUE
Auditoria, no escopo do
Programa de Privacidade e
FORAM EMITIDAS?
Segurança da informação – Foram identificados pontos de melhoria em
PPSI, junto à Secretaria de diversas partes dos modelos, a exemplo dos
Governo Digital do Ministério tópicos que abordam: Acesso Lógico;
da Economia – SGD/ME, no Bloqueio, desbloqueio e cancelamento da
âmbito de suas competências conta de acesso; Inventário de ativos;
normativas e orientativas, Responsabilidade pelos Ativos; Salvaguarda
como Órgão Central do dos dados; Dos testes de backup;
Sistema de Administração dos Procedimento de restauração de backup;
Recursos de Tecnologia da Priorização e correção de vulnerabilidades; e
Informação – SISP. Gestão de registros de auditoria.
Para melhoria dos pontos identificados foram
emitidas sugestões ou recomendações, que
incluíram a substituição de termos por outros
mais adequados ao tema, a exclusão de temas
que seriam melhor tratados em outros
documentos, a inserção de diretrizes
importantes, a revisão acerca do nível de
detalhamento do modelo, a definição clara de
tópicos que podem gerar dúvidas, a
atualização de norma referenciada, o
alinhamento à legislação de Segurança da
Informação, a referência a outros normativos,
o acréscimo de comandos normativos
importantes, o reposicionamento de
instruções para tópicos mais adequados e a
padronização dos modelos nos itens comuns.
LISTA DE SIGLAS E ABREVIATURAS
APF Administração Pública Federal
Art. Artigo
CIS Center for Internet Security
CGATI Coordenação-Geral de Auditoria de Tecnologia da Informação
CGU Controladoria-Geral da União
COBIT Control Objectives for Information and Related Technologies
CPF Cadastro de Pessoa Física
CVE Common Vulnerabilities and Exposures
CVSS Common Vulnerability Scoring System
DG Diretoria de Gestão
DTI Diretoria de Tecnologia da Informação
DSIC Departamento de Segurança da Informação
GSIPR Gabinete de Segurança Institucional da Presidência da República
IN Instrução Normativa
Inc. Inciso
LAI Lei de Acesso à Informação
LGPD Lei Geral de Proteção de Dados Pessoais
ME Ministério da Economia
NIST National Institute of Standards and Technology
NTP Network Time Protocol
PenTest Teste de penetração
PGRA Política de Gestão de Registros (Logs) de Auditoria
PGVP Processo de gerenciamento de vulnerabilidades e patches
PoSIN Política de Segurança da Informação
PPSI Programa de Privacidade e Segurança da informação
RFB Receita Federal do Brasil
RPO Recovery Point Objective
RTO Recovery Time Objective
SEI Sistema Eletrônico de Informação
SFC Secretaria Federal de Controle Interno
SGD Secretaria de Governo Digital
SIC Segurança da Informação e Comunicação
SIEM Security Information and Event Management
SISP Sistema de Administração dos Recursos de Tecnologia da Informação
SLA Service Level Agreement
TI Tecnologia da Informação
SUMÁRIO
INTRODUÇÃO 6
CONSIDERAÇÕES INICIAIS 7
RECOMENDAÇÕES 35
CONCLUSÃO 35
ANEXOS 38
I. Manifestação da Unidade 38
INTRODUÇÃO
O presente relatório apresenta os resultados da consultoria de assessoramento realizada para
elaboração dos modelos referentes às Políticas de Controle de Acesso, de Gestão de Ativos,
de Backup, de Gerenciamento de Vulnerabilidades e de Gestão de Registros (Logs) de
Auditoria, no escopo do Programa de Privacidade e Segurança da informação – PPSI, junto à
Secretaria de Governo Digital do Ministério da Economia – SGD/ME, no âmbito de suas
competências normativas e orientativas, como Órgão Central do Sistema de Administração
dos Recursos de Tecnologia da Informação – SISP.
O PPSI tem como objetivo cumprir as atribuições da Secretaria de Governo Digital em matéria
de segurança da informação, privacidade e proteção de dados, na forma do Decreto nº 9.745,
de 8 de abril de 2019, e do Decreto nº 10.332, de 28 de abril de 2020. Em um primeiro
momento, o programa tem priorizado e fomentado, dentre outras iniciativas, o
desenvolvimento de ações que garantam a observância de cinco medidas emergenciais
referentes à área, que incluem o Inventário de Ativos, a Política de Backup, a Gestão de
Controle de Acessos, a Gestão de Vulnerabilidades e a Auditoria.
Consultoria
6
CONSIDERAÇÕES INICIAIS
Sobre o Modelo de Política de Controle de Acesso
7
Restauração de Dados Digitais se estabelece o modo e a periodicidade de cópia dos dados
armazenados pelos sistemas computacionais.
Neste sentido, o modelo serve para definir os princípios de atuação da auditoria interna nos
processos de TI do órgão e as diretrizes para a administração e gerenciamento de registros de
logs gerados pelos ativos de informação.
8
RESULTADOS DOS EXAMES
1. Modelo de Política de Controle de Acesso
tem por finalidade prover diretrizes para o controle de acesso.
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/modelo_politica_controle_acesso.pdf
Acessado em 08/11/2022
1.1. Introdução
Sugere-se que seja substituído o termo “manual” por “modelo” na segunda coluna da terceira
linha do primeiro quadro, de modo que o texto final fique da seguinte forma:
1.2. Propósito
O termo usuário conhecido abrange apenas o usuário identificado, mas não o usuário
autorizado a acessar o sistema. Por outro lado, o usuário autorizado pressupõe a sua
identificação e autenticação.
Foram previstas diretrizes para o controle de acesso lógico. Entretanto, o presente Template
é silente quanto ao controle de acesso físico. Desta forma é recomendável inserir as diretrizes
para o controle dos acessos físicos, conforme prevê o item 7 da Norma Complementar nº
7/IN01/DSIC/GSIPR2, a qual estabelece as Diretrizes para Implementação de Controles de
Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da
Administração Pública Federal (APF), direta e indireta.
1
O termo Template é utilizado como sinônimo de Modelo.
2
https://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?data=16/07/2014&jornal=1&pagina=3&totalArquivos=84
9
Alguns itens trazem exigências em nível de detalhamento cuja definição, em princípio, caberia
à área responsável pela tecnologia da informação do órgão, como é o caso da Diretoria de
Tecnologia da Informação – DTI. Citam-se como exemplos, não exaustivos, os seguintes itens
em negrito:
Em uma Política de Segurança da Informação, enquanto documento da alta gestão, não cabe
detalhamento nesse nível, o que deveria ser abordado dentro de um procedimento da DTI.
Sugere-se, portanto, rever os itens com este nível de detalhamento e, se for o caso de mantê-
los, deixá-los em texto cinza, de modo que sejam informações personalizadas pelo órgão.
1.5. Administradores
O significado do texto do item 14, inciso VII, abaixo reproduzido, ficou confuso:
Não está claro se ele quer dizer que um mesmo usuário não pode ser administrador de mais
de uma estação de trabalho, equipamentos servidores e dispositivos de rede, ou, se de outro
modo, estações de trabalho distintas não podem ser administradas por um mesmo usuário,
equipamento servidor ou dispositivo de rede.
Se for a primeira opção, o texto seria mais claro se escrito de uma forma diferente, a exemplo
da que segue:
Se for a segunda opção, ficaria mais claro algo escrito da seguinte forma:
Seja como for, o teor dessa proibição parece engessar as atividades da área responsável pela
gestão da tecnologia da informação do órgão. Ou seja, “em nenhuma hipótese” quer dizer que
nem mesmo o servidor da DTI pode ser administrador de mais de uma máquina. Isso terá
impactos quando for necessário, por exemplo, que a equipe de suporte promova instalação
10
ou desinstalação de programa nas máquinas. Ou quando for necessário, a partir de um
servidor, instalar atualizações nas máquinas.
O inciso III do Anexo A, que trata do Modelo de Termo de Responsabilidade, faz referência à
versão revogada da Instrução Normativa GSI nº 01, de 13 de junho de 2008:
Neste sentido, é recomendável atualizar para a nova versão daquela IN, incluindo o seu
preâmbulo, conforme a seguir:
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/modelo_politica_gestao_ativos_versao_1-1_.pdf
Acessado em 08/11/2022
2.1. Introdução
Sugere-se que seja substituído o termo “manual” por “modelo” na segunda coluna da terceira
linha do primeiro quadro, de modo que o texto final fique da seguinte forma:
2.2. Propósito
11
No exemplo apresentado no presente item é descrito o objetivo da política nos seguintes
termos:
Em outra parte:
O termo mais adequado aos propósitos deste Template, de modo a se conformar à definição
do Glossário de Segurança da Informação, seria “ativos de informação”. Aprovado pela
Portaria GSI Nº 93, de 26 de setembro de 20193, o referido glossário apresenta a seguinte
distinção
No conceito de “ativo” do Glossário de SIC entraria até mesmo a “imagem” do Órgão, que é
considerado um ativo relevante, porém fora do escopo deste documento. Já o conceito de
“ativos de informação” está mais alinhado ao propósito do Template. Convém lembrar ainda
que o próprio Template, na parte de Termos e Definições, reproduz o conceito de “ativos de
informação” do Glossário de SIC. Portanto, para alinhar com a própria definição do modelo, é
importante adotar, não só neste item, mas em todo o documento, o termo na sua forma
restrita.
3
Por um lapso, utilizou-se nas Notas Técnicas 01 e 02 da Consultoria de nº 1168823, como referência ao Glossário
de SIC, a Portaria GSI/PR Nº 93, de 26 de setembro de 2019, ao invés da versão atualizada de 18 de outubro de
2021. O erro foi corrigido nas Notas Técnicas 03 e 04 da Consultoria de nº 1168823, bem como na Nota Técnica
01 da Consultoria de nº 1281193.
12
2.4. Declarações da política
Nos dois primeiros incisos do subitem “Dos princípios gerais” é utilizado o termo “Política de
Ativos”. Sugere-se que seja utilizado o mesmo termo que nomeia o Template, qual seja,
“Política de Gestão de Ativos”.
b) Sugere-se ainda, para alinhamento com os art. 5º e 6º daquela IN, avaliar a oportunidade
de acréscimo dos seguintes incisos nos princípios gerais:
13
c) Ainda quanto ao tópico “3 Os seguintes ativos devem ser considerados no processo de
inventário”, sugere-se excluir o inciso “V Informações críticas”, pois a definição de ativo de
informação não inclui a informação propriamente dita.
1. Da classificação
a) Ao definir que:
Não está claro se o termo “valor” se refere ao valor do ativo de informação em termos
financeiros (ex.: custo ou preço do ativo), ou se é referente ao potencial que este tem de
agregar valor ao negócio da organização, no caso, à prestação dos serviços públicos ou
políticas públicas geridas pela organização. Importa observar que nem todo ativo terá seu
valor quantificável numericamente, principalmente quando se tratar de ativos intangíveis.
c) No caso de ativos físicos relacionados no item “3.I” do Template, convém incluir que eles
devem ser classificados também em termos de “vida útil”.
2. Criticidade
Assim, sugere-se incluir um item sobre a identificação de quais seriam os ativos de informação
críticos da organização, tomando como base, em sua importância para a organização, seu
potencial de agregação de valor e outros critérios de risco ou fatores de criticidade.
Convém também destacar que devem estar claros na política os fatores de criticidade, ou
critérios de riscos, utilizados para classificar os ativos em críticos.
14
Tendo em vista que os ativos de informação se referem aos meios de armazenamento,
transmissão e processamento da informação, e não da informação em si, e ainda que a Lei de
Acesso à Informação – LAI regula o acesso à informação, recomenda-se a adequação do texto:
2.9. Concordância
3.1. Escopo
1. Gestão de Continuidade
No item Dos Princípios Gerais, do capítulo Declarações da Política, foi definido o seguinte
princípio:
Para fins de maior alinhamento à IN GSI nº 01/2020, mais precisamente ao Art.12, inciso IV,
item h, que trata da Gestão de Continuidade, seria recomendada a elaboração de um
Template para um plano de continuidade de negócios que conteria uma política de backup e
restauração, cujo Template está sendo aqui proposto.
2. Armazenamento de backup
16
Ao tratar do local de armazenamento de backup, no princípio de número 6, é recomendável
enfatizar a questão de os dados de serviços críticos serem armazenados em local remoto. Uma
sugestão pode ser algo como o seguinte complemento:
Ao tratar da salvaguarda dos dados, no item 15, foram utilizadas duas siglas, RPO e RTO, sem
definição prévia. É recomendável esclarecer os termos Recovery Point Objective – RPO e
Recovery Time Objective – RTO.
a) Quanto ao item 29, que trata dos testes de restauração de backups, sugere-se incluir a
seguinte diretriz:
17
“Os registros deverão conter, no mínimo, o tipo de sistema/serviço que teve o
seu reestabelecimento testado, a data da realização do teste, o tempo gasto
para o retorno do backup e se o procedimento foi concluído com sucesso.”
Na alínea a do item 32, que trata do tempo de restauração, sugere-se detalhar mais o acordo
de SLA de restore, como por exemplo, da seguinte forma:
1. Orientações iniciais
2. Data de revisão
No quadro introdutório, onde consta a data de revisão da política, seria interessante o modelo
sugerir, como exemplo, uma data para revisão e atualização da política. Se a SGD entender
que, por exemplo, um ano seria um período adequado para se fazer revisão da política,
poderia colocar como exemplo no quadro.
4.2. Propósito
18
Inserir no início, antes do exemplo, o texto introdutório padrão utilizado nos outros 3 modelos
que orienta a elaboração do tópico:
4.3. Escopo
1. Texto introdutório
Inserir no início, antes de qualquer texto, o texto padrão utilizado nos outros 3 modelos que
orienta a elaboração do tópico:
2. Instituição/Organização/Órgão/Entidade
Apresenta-se como sugestão, numa eventual revisão que porventura venha a ocorrer nos
modelos, procurar padronizar o termo empregado para se referir à instituição no sentido
genérico, ainda que na aplicação concreta cada instituição se identificará com seu nome.
Senão vejamos:
Não há prejuízo concreto com a utilização de termos distintos que aludem a um mesmo
sentido. A sugestão se dá em vista da padronização dos modelos. Também não é o caso de
alterá-los por tão pequena motivação isolada, mas em circunstância oportuna de revisão
ordinária que venha a ocorrer.
4. Exceções
19
Ao tratar das exceções ao escopo do gerenciamento de vulnerabilidades, situação em que
alguns ativos de informação do órgão não seriam contemplados por possíveis dificuldades
técnicas ou obrigações contratuais e normativas, mencionando a necessidade de um processo
de gerenciamento de exceções, seria importante também alertar aos órgãos que estas
exceções precisam ser tratadas no mapeamento de riscos de segurança da informação que o
órgão deve efetuar em cumprimento ao Capítulo III da Instrução Normativa GSI/PR Nº 3, de
28 de maio de 2021.
5. Público
Aqui, o modelo restringe o público ao corpo técnico, informando que a política se aplica aos
indivíduos responsáveis pela gestão de ativos, de ferramentas e processos de rede, além dos
provedores e terceirizados, como segue:
Desta forma, sugere-se harmonizar os textos para um mesmo entendimento. Além disso, é
importante avaliar se convém restringir a política de gerenciamento de vulnerabilidades às
equipes de segurança da informação ou de tecnologia do órgão. Importa refletir se o usuário
na ponta, os gestores, ou a alta administração, não tem nenhuma atribuição, ainda que
secundária, no processo.
1. AMEAÇA
Convém observar, para conhecimento, que o termo AMEAÇA teve sua definição alterada em
relação à Portaria nº 93, de 26 de setembro de 2019, que era:
2. ANÁLISE DE VULNERABILIDADES
O referido termo servirá para embasar as ideias expressas nos itens 23 e 30 do tópico
Declarações da Política.
3. TESTE DE INVASÃO
Por fim, caso entenda necessária a definição de TESTE DE INVASÃO conforme apresentada no
presente modelo, tendo em vista que é diferente o seu conteúdo, sugere-se adotá-la como
termo distinto e, portanto, não como sinônimo de teste de intrusão ou teste de penetração,
tendo em vista que estes foram definidos diversamente na Portaria do GSI.
Os acrônimos CVE e CVSS utilizados no texto não foram definidos. Recomenda-se utilizar as
definições apresentadas no Guia de Gerenciamento de Vulnerabilidades:
21
CVE (Common Vulnerabilities and Exposures):
Vulnerabilidades e Exposições Comuns
ID CVE:
Identificação para um CVE específico
NTP (Network Time Protocol): utilizado no item 38, ao tratar dos registros de logs.
Ao referenciar o NIST, a citação ao documento CSF: SP 800-40 Rev. 4, Creating a Patch and
Vulnerability Management Program, apresentou uma inconsistência. A versão 4 é outro
documento e tem outro título, qual seja: Guide to Enterprise Patch Management Planning:
Preventive Maintenance for Technology, conforme pode ser conferido no endereço:
https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final.
É recomendável que esse guia receba uma referência de destaque na política. Convém
lembrar que ele foi proposto inicialmente para ser o modelo de política de gerenciamento de
vulnerabilidades e, portanto, tem peso significativo para este modelo.
Tomando a política como documento de diretrizes que figura em nível mais estratégico, como
um elo entre a governança e a gestão da Unidade, e o guia como documento mais operacional,
próprio do dia a dia da gestão relativa ao tema, convém avaliar a conveniência em adotá-lo
como parte ou anexo desta.
22
Um tópico possível de fazer esta referência poderia ser, por exemplo, no de “Procedimentos
Relevantes”, tendo em vista que o Guia de Gerenciamento de Vulnerabilidades seria um
documento de procedimento formal que reforça e apoia as declarações da política.
1. Estrutura
A estrutura das diretrizes se assemelha, em parte, à versão 2.0 do documento CSF: SP 800-40
(Creating a Patch and Vulnerability Management Program) do NIST, disposta no seguinte
endereço:
https://csrc.nist.gov/publications/detail/sp/800-40/version-20/archive/2005-11-16
Entretanto esta versão foi publicada em novembro de 2005 e retirada em julho de 2013,
conforme alerta o primeiro parágrafo do documento e o quadro que o sucede:
3. Métricas
23
Verificar a conveniência de inserir uma diretriz relativa ao emprego das métricas, citadas nos
itens 7 e 8, na melhoria contínua do processo. Esta sugestão tem como referência o seguinte
documento do Gartner: "A Guidance Framework for Developing and Implementing
Vulnerability Management"; Fase "Improve".
4. Padronização
a) Como pode ser observado da leitura dos riscos descritos no quadro do item 32 (coluna
Descrição do Risco), que vão desde o risco de coletar informações de um host até o caso mais
crítico de obter o controle do host, a comparação de criticidade dos riscos possui variação em
relação a um host determinado, porém não considera o valor do ativo para o negócio da
organização. Como resultado, o tempo de resposta para correção de uma mesma
vulnerabilidade, isto é, com o mesmo grau de severidade, em hosts distintos, que hospedam
serviços de valores distintos para a organização, será o mesmo.
24
b) De forma complementar, considerar a possibilidade de adicionar o tratamento de
vulnerabilidade (remediação) emergencial sobre sistemas críticos, ou seja, de alto valor para
o negócio, em períodos menores. Exemplo: 24 a 48 horas da ciência da vulnerabilidade.
A sugestão apresentada tem como referência o seguinte documento do Gartner: "A Guidance
Framework for Developing and Implementing Vulnerability Management"; Fase "Act"; Passo
"Remediate".
Ainda com referência ao documento do Gartner "A Guidance Framework for Developing and
Implementing Vulnerability Management", em sua fase "Act", passo "Accept Risk", verificar a
conveniência da inserção de uma diretriz que alerte sobre a necessidade de revisão periódica
das condições de exceção.
https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/modelo_politica_logs_auditoria.pdf
Acessado em 08/11/2022
5.1. Esclarecimentos
a) O último parágrafo do tópico relativo aos esclarecimentos traz uma definição para o termo
Log, acrescida de explicações complementares relativas ao tema.
b) O restante do parágrafo está mais alinhado com o último parágrafo da Introdução do que
com o texto de Esclarecimentos. Sugere-se, portanto, compor aquele parágrafo com estas
informações explicativas acerca dos Logs.
25
5.2. Política de Gestão de Registro de Auditoria – PGRA
1. Orientações iniciais
2. Data de revisão
No quadro introdutório, onde consta a data de revisão da política, seria interessante o modelo
sugerir, como exemplo, uma data para revisão e atualização da política. Se a SGD entender
que, por exemplo, um ano seria um período adequado para se fazer revisão da política,
poderia colocar como exemplo no quadro. Caso entenda pertinente, para fins de
padronização, pode ser copiado o texto colocado no último modelo publicado, Modelo de
Política de Gerenciamento de Vulnerabilidades:
5.3. Propósito
É recomendável inserir no início, antes do exemplo, o texto introdutório padrão, utilizado nos
outros 4 modelos, que orienta a elaboração do tópico:
5.4. Escopo
1. Texto introdutório
Inserir no início, antes de qualquer texto, o texto padrão utilizado nos outros 4 modelos que
orienta a elaboração do tópico:
2. Serviços de TI críticos
26
Reavaliar a pertinência de trazer o estabelecimento de serviços de TI críticos dentro do tópico
Escopo de cada modelo de Política. Este mesmo conteúdo foi colocado nos modelos de política
de Gerenciamento de Vulnerabilidades e de Backup. Ao se definir uma relação de serviços
críticos em cada modelo corre-se o risco de não serem iguais, sobretudo quando as políticas
passarem por revisões em tempos distintos no órgão.
Ademais, a seleção de sistemas críticos não deveria constar no escopo da política de logs, uma
vez que este escopo não se restringe a sistemas críticos, o que pode confundir o usuário da
norma.
3. Exceções
Ao tratar das exceções ao escopo da gestão de registros de auditoria, situação em que alguns
ativos de informação do órgão não seriam contemplados por possíveis dificuldades técnicas
ou obrigações contratuais e normativas, mencionando a necessidade de um processo de
gerenciamento de exceções, seria importante também alertar aos órgãos que estas exceções
precisam ser tratadas no mapeamento de riscos de segurança da informação que o órgão deve
efetuar em cumprimento ao Capítulo III da Instrução Normativa GSI/PR Nº 3, de 28 de maio
de 2021.
4. Público
Aqui, o modelo restringe o público ao corpo técnico, informando que a política se aplica aos
indivíduos responsáveis pela gestão de ativos, de ferramentas e processos de rede, além dos
provedores e terceirizados, como segue:
Convém observar, quanto ao corpo técnico, que a política de logs não deve estar restrita a
equipes de redes, pois as equipes que desenvolvem sistemas têm papel bastante relevante na
elaboração dos artefatos e envio dos registros/logs transacionais dos sistemas. É importante
citar ainda que, em especial nos sistemas transacionais da APF, pode haver necessidade de se
evidenciar o crime tipificado no Código Penal, em seu art. 313-A:
Por fim, ao tratar dos provedores e empresas terceirizadas, o texto não considerou as
especificidades contratuais:
O provedor não é obrigado a cumprir cláusulas que não estejam em contrato. Assim,
requisitos envolvendo os eventos (seleção, tempo de guarda/volume, uso de ferramentas
como SIEMs (Security Information and Event Management), sistemas de armazenamento,
entre outros recursos) devem ser descritos na especificação do objeto e as regras para o seu
cumprimento estabelecidas em contrato. Logs podem ter custos elevados de
armazenamento, bem como demandar sistemas específicos para ingestão e coleta,
tratamento, indexação. Portanto, é recomendável deixar uma ressalva de que a aplicação da
política para os contratados está restrita aos limites estabelecidos contratualmente, a
exemplo do seguinte texto:
1. ATIVOS DE INFORMAÇÃO
O conceito aqui apresentado para o termo ATIVOS DE INFORMAÇÃO tem como referência o
Glossário de Segurança da Informação – SIC, publicado por meio da Portaria GSI/PR Nº 93 de
26 de setembro de 2019, revogada pela Portaria GSI/PR Nº 93 de 18 de outubro de 2021. A
versão atualizada traz o seguinte conceito:
28
ATIVOS DE INFORMAÇÃO - meios de armazenamento, transmissão e
processamento da informação, equipamentos necessários a isso, sistemas
utilizados para tal, locais onde se encontram esses meios, recursos humanos
que a eles têm acesso e conhecimento ou dado que tem valor para um indivíduo
ou organização;
2. INCIDENTE CIBERNÉTICO
O texto referente ao termo INCIDENTE CIBERNÉTICO não foi copiado da Portaria GSI/PR Nº
93/2021 na sua integralidade. Faltaram os tipos de incidentes apresentados naquela norma:
3. LOG
É recomendável inserir, antes dos termos LOG DE AUDITORIA e LOG DE SISTEMA, o termo
LOG, conforme consta na Portaria GSI/PR nº 93/2021:
4. TRILHA DE AUDITORIA
29
O termo TRILHA DE AUDITORIA não está alinhado ao apresentado na Portaria GSI/PR nº
93/2021. Recomenda-se, portanto, copiar a definição do Glossário de SIC:
1. NC nº 21/IN01/DSIC/GSIPR
Além disso, outros itens do CIS têm relação indireta com a gestão de registros de auditoria:
30
plataforma de análise de log configurada com alertas de correlação relevantes
para a segurança também atende a esta medida de segurança.
Assim, sugere-se criar um subtópico dentro de Declarações da política para registrar as fases
da gestão de registros de auditoria, iniciado com essa introdução e seguido com as fases
propriamente ditas, de modo que a estrutura forme um bloco coeso da seguinte forma:
31
Requisitos do plano de registros de auditoria
Fases da gestão de registros de auditoria
Coleta
Armazenamento
Uso
Exclusão
Recomendações técnicas
Do modo como está, as fases estão soltas no meio das diretrizes do tópico Declarações da
política, entre a parte de Requisitos do plano de registros de auditoria e a parte de
Recomendações técnicas.
1. Premissas e responsabilidades
Há uma premissa de que existe uma equipe de auditoria central que seria responsável pelos
logs, porém nos órgãos esta responsabilidade pode ser compartilhada com gestores de
sistemas, área de tecnologia e prestadores de serviço.
a) No texto explicativo que antecede às diretrizes para a fase de coleta de logs é abordada a
coleta de logs de forma detalhada, nos seguintes termos:
Sugere-se que sejam incluídos os dados mencionados no CIS 8.5, a exemplo de: endereços de
origem, endereços de destino e outros elementos úteis que podem ajudar em uma investigação
forense.
4. Armazenamento
Neste caso, convém especificar que a transferência seja realizada por meio de comunicação
segura, isto é, criptografada.
b) Ao tratar do período de guarda dos logs, recomenda-se, como sugestão, referenciar a tabela
de temporalidade dos ativos de informação do órgão. O CIS menciona 90 dias, o que
certamente é insuficiente para a maioria dos sistemas transacionais públicos (Ex: A RFB guarda
alguns eventos por 8 anos). Em nuvem alguns sistemas têm log nativo inferior a 30 dias (Ex:
Azure AD), alguns SIEMs de nuvem têm cobrança diferenciada para períodos superiores a 90
dias. Uma boa prática seria o órgão adotar um artefato por sistema inventariado em que se
33
analisa, com base em riscos e custos, quais eventos devem ser guardados e por quais
intervalos de tempo.
Quanto a retenção dos registros, é importante observar, sobre o mesmo item, que os prazos
administrativos e judiciais são muito superiores a tempos de guarda previstos em soluções
analíticas. Desta forma pode ser conveniente elencar eventos que deverão ser guardados no
longo prazo, para permitir apurações, pesando o risco e os custos. Pode ser necessário
executar esse processo para cada sistema. Considerar a obrigatoriedade de
Apagamento/Esquecimento previsto na LGPD, Art. 16.
5. Uso
b) De forma similar, o item 46 parece trazer tema mais adequado à política de tratamento e
resposta a incidentes e pode, portanto, ser estranho a essa política de logs:
46. A rede deve ser monitorada para detectar possíveis eventos de segurança
cibernética.
c) Por fim, a diretriz do item 52 pode ser de difícil implementação, a depender do caso:
52. O acesso a sistemas críticos por terceiros deve ser monitorado quanto a
atividades não autorizadas ou incomuns.
O cadastro CPF, por exemplo, é acessado por mais de 800 órgãos e não há como diferenciar
terceiros. O sistema não tem como definir sozinho o que é uma atividade incomum, e para
esses casos pode ser necessário o uso de sistemas auxiliares. Neste sentido, é recomendável
inserir a expressão quando possível ou suportado na referida diretriz.
34
RECOMENDAÇÕES
As recomendações, sugestões, reflexões e riscos apresentados sobre o teor dos modelos,
consignadas nos itens 1, 2, 3, 4 e 5 dos resultados dos exames do presente relatório, foram
objeto de consideração por parte da equipe da Secretaria de Governo Digital – SGD, cabendo
a esta a adoção das recomendações e sugestões que entenderam pertinentes. Em síntese, a
Unidade incorporou aos respectivos modelos as alterações propostas nos seguintes itens:
Tabela 1: Alterações incorporadas pela SGD
Alterações Não
Política Nota Técnica Alterações incorporadas *
incorporadas
Como pode ser observado, a adesão da Unidade atingiu 85 das 88 sugestões apresentadas
nas Notas Técnicas, aproximadamente 96%, o que demonstra grande contribuição da
consultoria ao Programa de Privacidade e Segurança da informação – PPSI.
O detalhamento das medidas adotadas pela SGD, bem como as justificativas relacionadas aos
itens não incorporados, encontram-se no Anexo I. Manifestação da Unidade.
CONCLUSÃO
A parceria entre a CGU, órgão de controle do Governo, cujas competências incluem a auditoria
e a fiscalização da execução orçamentária e financeira, e a SGD, posicionada no planejamento
do Governo e cujas competências incluem as atribuições de orientar e normatizar, trouxe
resultados importantes para a Administração Pública Federal nos últimos anos, no tocante à
gestão dos recursos de tecnologia da informação. A consultoria tem sido esse canal, por meio
35
do qual este órgão de controle participa no assessoramento ou aconselhamento daquela
Secretaria.
Neste sentido, o benefício esperado da citada consultoria, qual seja, a aplicação da experiência
do controle interno na etapa de normatização, foi alcançado, tendo sido identificados pontos
de melhoria em diversas partes dos modelos, a saber:
Para melhoria dos pontos identificados foram emitidas sugestões ou recomendações, que
incluíram a substituição de termos por outros mais adequados ao tema, a exclusão de temas
que seriam melhor tratados em outros documentos, a inserção de diretrizes importantes, a
revisão acerca do nível de detalhamento do modelo, a definição clara de tópicos que podem
gerar dúvidas, a atualização de norma referenciada, o alinhamento à legislação de Segurança
da Informação, a referência a outros normativos, o acréscimo de comandos normativos
importantes, o reposicionamento de instruções para tópicos mais adequados, a
reestruturação de tópicos, a ênfase em pontos específicos, a revisão textual de pontos
relevantes, a padronização dos modelos nos itens comuns, a importância do mapeamento de
riscos paras as exceções e a indicação de prazos para revisão dos modelos.
36
Pode-se observar, portanto, conforme conclusões da própria SGD registradas nas
manifestações em anexo, que as contribuições da presente consultoria foram fundamentais
para melhoria e aderência dos modelos de políticas propostos pela SGD às melhores práticas
e ao arcabouço normativo existente sobre o tema em questão. Merecem destaque os
modelos referentes às políticas de Gestão de Ativos e Gerenciamento de Vulnerabilidades,
para os quais todas as sugestões feitas pela equipe da CGU foram aceitas e incorporadas à
minuta da política. Quanto aos outros três, apenas uma contribuição em cada, de modo
excepcional, não pode ser aproveitada. No total, foram elaboradas 88 sugestões, das quais a
Unidade aderiu a 96% aproximadamente, demonstrando a grande contribuição da consultoria
ao PPSI.
37
ANEXOS
I. Manifestação da Unidade
I.I. Quanto aos Modelos de Política de Controle de Acesso, de Gestão de Ativos
e de Backup e Restauração de Dados Digitais:
A Secretaria de Governo Digital apresentou, por meio da Nota Técnica SEI nº 18581/2022/ME,
de 05 de maio de 2022, a seguinte manifestação:
“SUMÁRIO EXECUTIVO
1. A presente Nota Técnica apresenta análise e comentários sobre as contribuições da
Controladoria-Geral da União (SEI-ME nº 23792121) a respeito da elaboração dos Modelos
de Política de Backup e Restauração de Dados Digitais, Controle de Acessos e Gestão de
Ativos, inseridos no Programa de Privacidade e Segurança da informação (PPSI).
2. Em breve síntese, os órgãos da SGD concordam com as conclusões da Nota Técnica 01 da
Consultoria de nº 1168823, elaborada pela CGU. Constata-se que as contribuições da equipe
técnica do referido órgão de controle interno são de extrema importância para o
aprimoramento do arcabouço institucional e normativo desta Secretaria, bem como auxiliam
a promover a segurança da informação dos órgãos e das entidades da administração pública
federal direta, autárquica e fundacional.
CONTEXTUALIZAÇÃO
3. O Departamento de Privacidade e Segurança da Informação, órgão integrante da Secretaria
de Governo Digital (anteriormente designado como Departamento de Governança de Dados e
Informações), deu início ao Programa de Privacidade e Segurança da Informação (PPSI) no
mês de dezembro de 2021.
4. O PPSI tem como objetivo cumprir as atribuições da Secretaria de Governo Digital em
matéria de segurança da informação, privacidade e proteção de dados, na forma do Decreto
nº 9.745, de 8 de abril de 2019, e do Decreto nº 10.332, de 28 de abril de 2020. Note-se que o
PPSI segue em andamento e tem como objetivo elevar o grau de maturidade e resiliência em
privacidade e segurança da informação nos órgãos integrantes do Sistema de Administração
dos Recursos de Tecnologia da Informação (SISP) instituído pelo Decreto nº 7.579, de 11 de
outubro de 2011.
5. Em um primeiro momento, o programa tem priorizado e fomentado, dentre outras iniciativas,
o desenvolvimento de ações que garantam a observância de 5 (cinco) medidas emergenciais
referentes à área, que incluem a Política de Backup, a Gestão de Controle de Acessos, a Gestão
de Vulnerabilidades, o Inventário de Ativos e a Auditoria.
6. Visando a auxiliar os órgãos integrantes do SISP no desenvolvimento de estratégias para
estabelecer e aperfeiçoar processos relacionados aos 5 (cinco) controles críticos supracitados,
a Coordenação-Geral de Proteção de Dados (CGPD) do Departamento de Privacidade e
Segurança da Informação desenvolveu, até o presente momento, 3 (três) modelos (templates)
de controles essenciais. Tais modelos foram enviados para avaliação da equipe da CGU e,
após análise e incorporação das contribuições, foram publicados na página do PPSI no site
Gov.br (https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/PPSI).
ANÁLISE
38
7. A presente nota técnica abordará as sugestões efetuadas sobre os Modelos de Política de
Backup e Restauração de dados, Controle de Acessos e Gestão de Ativos, formuladas pela
equipe técnica da CGU no referido documento (SEI nº 23792121), notadamente nos itens 3.1
a 3.3. Em cada caso, serão descritas as providências adotadas pela Secretaria de Governo
Digital:
8. Modelo de Política de Controle de Acesso:
8.1. Todas as sugestões feitas pela equipe da CGU foram aceitas e incorporadas à minuta da
política, exceto a sugestão que diz respeito à inclusão de diretrizes de controle de acesso físico,
conforme prevê o item 7 da Norma Complementar nº 7/IN01/DSIC/GSIPR1. Tal decisão foi
tomada levando-se em consideração a iminente revogação da referida norma complementar e
o objetivo de, para este momento, manter o enfoque em medidas de controle de acesso lógico,
conforme previsto no Anexo III do Programa de Privacidade e Segurança da Informação
(PPSI).
9. Modelo de Política de Gestão de Ativos:
9.1. Todas as sugestões feitas pela equipe da CGU foram aceitas e incorporadas à minuta da
política.
10. Modelo de Política de Backup e Restauração de Dados Digitais:
10.1. Todas as sugestões feitas pela equipe da CGU foram aceitas e incorporadas à minuta da
política, exceto a sugestão referente à elaboração de um template para um plano de
continuidade de negócios, conforme prevê o art. 12, inciso IV da IN GSI nº 1/2020. Tal decisão
foi tomada levando-se em consideração do objetivo de, para este momento, manter o enfoque
em medidas de preservação de dados mediante uma política específica de backup e restauração
de dados digitais, conforme previsto no Anexo III do Programa de Privacidade e Segurança
da Informação (PPSI).
CONCLUSÃO
11. Observa-se que as contribuições da equipe da CGATI/CGU foram fundamentais para
melhoria e aderência dos modelos de políticas propostos pela equipe da SGD às melhores
práticas e ao arcabouço normativo existente sobre o tema em questão.
12. Portanto, a SGD anui às sugestões propostas e as incorpora na forma proposta pela nota
técnica da CGU (SEI nº 23792121), com especial observância dos itens 3.1 a 3.3, com a
ressalva de que apenas 2 (duas) contribuições específicas não puderam ser incorporadas, em
decorrência dos motivos descritos nos itens 8.1 e 10.1 da presente Nota Técnica.
13. É mister ressaltar que os modelos publicados seguem em fase de produção contínua e
passarão por revisões periódicas com o propósito de adequação e aderência às melhores
práticas e aos normativos sobre os temas abordados.
14. Está em fase final de elaboração o modelo de política de gestão de vulnerabilidades. O
documento será enviado tempestivamente para avaliação e considerações da equipe da CGU.
RECOMENDAÇÃO
15. Diante do exposto, propõe-se o encaminhamento desta Nota Técnica à apreciação do
Secretário Adjunto de Governo Digital para subscrevê-la, caso esteja de acordo. Sugere-se,
ainda, a restituição dos presentes autos eletrônicos à Secretaria Especial de
Desburocratização, Gestão e Governo Digital para encaminhamento da manifestação desta
Secretaria de Governo Digital à Controladoria-Geral da União.”
39
I.II. Quanto ao Modelo de Política de Gerenciamento de Vulnerabilidades:
A Secretaria de Governo Digital apresentou, por meio da Nota Técnica SEI nº 32039/2022/ME,
de 22 de julho de 2022, a seguinte manifestação:
“SUMÁRIO EXECUTIVO
1. A presente nota técnica aborda as contribuições da CGU no âmbito do Modelo de
Política de Gerenciamento de Vulnerabilidades, elaborado no escopo do Programa de
Privacidade e Segurança da informação (PPSI) da Secretaria de Governo Digital do
Ministério da Economia (SGD/ME). Isso ocorre no contexto das competências normativas e
orientativas da SGD como Órgão Central do Sistema de Administração dos Recursos de
Tecnologia da Informação (SISP).
2. Em 24 de junho de 2022, a SGD encaminhou à CGATI/DG/SFC/CGU o modelo em
questão para coleta de contribuições do referido órgão de controle interno. Tal órgão remeteu,
em 08 de julho de 2022, a Nota Técnica 03 (26244363) da Consultoria de nº 1168823, que
contém as contribuições aqui analisadas.
3. No segundo tópico II da seção ANÁLISE, apresenta-se a análise por tópico das
contribuições enviadas pela CGU. Para facilitar o entendimento, elas foram dispostas em
forma de tabela da seguinte forma:
• Primeira coluna: apresentam-se os respectivos tópicos da Nota Técnica 03;
• Segunda coluna: resultado da análise realizada (acatado, acatado parcialmente, não
acatado);
• Terceira coluna: conteúdo do tópico da Nota Técnica 03, com a respectiva sugestão;
• Quarta coluna: apresenta-se de que modo a contribuição foi incorporada.
ANÁLISE
I. Análise geral
4. A CGU apresentou, no tópico 3.1. Política de Gerenciamento de Vulnerabilidade -
Orientações Iniciais, da Nota Técnica 03 (26244363), a seguinte observação.
“Orientações Iniciais
As orientações iniciais para utilização do modelo recomendam substituir os textos em cinza
itálico. Desta forma, recomenda-se revisar o documento colocando em itálico todos os textos
que deverão ser substituídos. No quadro introdutório, por exemplo, os textos da segunda coluna
não estão em itálico.”
CONCLUSÃO
8. A presente nota apresentou uma avaliação acerca das contribuições da CGU sobre o
Modelo de Política de Gerenciamento de Vulnerabilidades (MPGV), bem como as referidas
contribuições foram incorporadas ao documento em questão. Destacando-se que as valorosas
contribuições trazidas pela CGU foram integralmente acatadas pela SGD/ME.
RECOMENDAÇÃO
9. Sugere-se que o Departamento de Privacidade e Segurança da Informação (DPSI)
encaminhe uma resposta formal à CGU acerca das providências adotadas pela Coordenação-
Geral de Proteção de Dados (CGPD/DPSI/SGD/SEDGG/ME).”
43
• Segunda coluna: resultado da análise realizada (acatado, acatado parcialmente, não
acatado);
• Terceira coluna: conteúdo do tópico da Nota Técnica 04, com a respectiva sugestão;
• Quarta coluna: apresenta-se de que modo a contribuição foi incorporada.
ANÁLISE
I. Análise geral
4. A CGU apresentou, no tópico 3.2. Política de Gestão de Registros (Logs) de Auditoria
– PGRA, Orientações Iniciais, da Nota Técnica 04 (27489700), a seguinte observação.
“Orientações Iniciais
As orientações iniciais para utilização do modelo recomendam substituir os textos em cinza
itálico. Desta forma, recomenda-se revisar o documento colocando em itálico todos os textos
que deverão ser substituídos. No quadro introdutório, por exemplo, os textos da segunda coluna
não estão em itálico.”
5. Nesse senti do, a orientação em epígrafe, destacada no item 4 na presente nota técnica,
foi integralmente acatada pelo DPSI/SGD/ME.
6. As demais contribuições da Nota Técnica 04 foram analisadas e incorporadas ao
documento e estão dispostas em forma de tabela no tópico II (Análise por tópicos).
44
serviços de TI críticos dentro para caso o órgão já possua o mapeamento dos sistemas críticos e
do tópico “Escopo”. outra para caso o órgão não possua esse documento de mapeamento
dos sistemas críticos.
Opção 1:
Já ficam previamente estabelecidos como serviços e sistemas críticos
do [órgão ou entidade] os relacionados em [nome do documento que
possui a seleção de sistemas críticos].
Opção 2:
Já ficam previamente estabelecidos os [citar tipo ou nome dos
processos ou sistemas críticos], como serviços críticos do [órgão ou
entidade].”
Exceções: Alertar aos órgãos O seguinte texto foi inserido: “É importante salientar que tais
que exceções precisam ser exceções precisam ser tratadas no mapeamento de riscos de
3.4 Acatado tratadas no mapeamento dos segurança da informação que o órgão ou a entidade deve efetuar em
riscos de segurança da cumprimento ao Capítulo III da Instrução Normativa GSI/PRNº 3, de
informação. 28 de maio de 2021.”
Público: Harmonizar os textos Optou-se por alterar o texto do tópico “Público” para atender todas
para qual a política é aplicada as propostas, segue o novo texto: “Esta Política de Gestão de
nos tópicos “Escopo” e Registro de Auditoria – PGRA se aplica aos ativos informacionais [do
“Público”; órgão ou entidade], incluindo funcionários, gestores, prestadores de
Não restringir a política a serviços e contratados que tenham acesso e ou os utilize, com
3.4 Acatado
equipes de redes; responsabilidades específicas a indivíduos atuantes na gestão,
Ao tratar os provedores e processo e desenvolvimento em nome [do órgão ou entidade]. Além
empresas terceirizadas, o texto disso, essa política se aplica, nos limites estabelecidos
não considerou as contratualmente, a quaisquer provedores e entidades terceirizadas
especificidades contratuais. com acesso aos ativos de informação [do órgão ou entidade]. ”
Alterou-se no tópico “Termos e Definições” a definição atualizada
do termo Ativos de Informação: “meios de armazenamento,
transmissão e processamento da informação, equipamentos
Termos e Definições: Ativos de
3.5 Acatado necessários a isso, sistemas utilizados para tal, locais onde se
Informação desatualizado;
encontram esses meios, recursos humanos que a eles têm acesso e
conhecimento ou dado que tem valor para um indivíduo ou
organização.”
Alterou-se no tópico “Termos e Definições” a definição na sua
integralidade do termo Incidente Cibernético: “Ocorrência que pode
comprometer, real ou potencialmente, a disponibilidade, a
integridade, a confidencialidade ou a autenticidade de sistema de
informação ou das informações processadas, armazenadas ou
transmiti das por esse sistema. Poderá também ser caracterizada pela
tentativa de exploração de vulnerabilidade de sistema de informação
que caracterize violação de norma, política de segurança,
Termos e Definições: Incidente
procedimento de segurança ou política de uso. De maneira geral, os
Cibernético não está em sua
tipos de atividade comumente reconhecidas como incidentes
3.5 Acatado integralidade conforme
cibernéticos são: a)tentativas de obter acesso não-autorizado a um
definido pela Portaria
sistema ou a dados armazenados; b)tentativa de utilização não-
GSI/PRn°93/2021;
autorizada de sistemas para a realização de atividades de
processamento ou armazenamento de dados; c) mudanças não-
autorizadas de firmware, hardware ou software em um ambiente
computacional; d) ataques denegação de serviço (DoS); e e) demais
ações que visem afetar a disponibilidade ou integridade dos dados.
Um incidente de segurança cibernética não significa necessariamente
que as informações já estão comprometi das; significa apenas que a
informação está ameaçada;”
Termos e Definições: LOG
O termo LOG (Registro de Auditoria) foi inserido no tópico “Termos
(Registro de Auditoria), inserir
3.5 Acatado e Definições”, com a seguinte definição: “registro de eventos
o termo conforme consta na
relevantes em um dispositivo ou sistema computacional.”
Portaria GSI/PR n°93/2021;
Alterou-se a definição do termo Trilha de Auditoria, no tópico
Termos e Definições: Alterar a
“Termos e Definições” para: “registro ou conjunto de registros
definição do termo Trilha de
3.5 Acatado gravados em arquivos de log ou outro tipo de documento ou mídia,
Auditoria, conforme consta na
que possam indicar, de forma cronológica e inequívoca, o autor e a
Portaria GSI/PR n°93/2021;
ação realizada em determinada operação, procedimento ou evento.”
45
Optou-se por incluir os acrônimos e o termo conforme sugerido no
tópico “Termos e Definições”: “HOST - Um computador ou
dispositivo de TI (por exemplo, roteador, switch, gateway, firewall);”,
Termos e Definições: Inserir
“NTP (Network Time Protocol) – Protocolo de Tempo para Redes.”
3.5 Acatado itens utilizados no texto, como
e “RISCO – No sentido amplo, trata-se da possibilidade de
HOST, NTP e RISCO;
ocorrência de um evento que pode impactar o cumprimento dos
objetivos. Pode ser mensurado em termos de impacto e de
probabilidade.”
Referência legal e de boas
práticas: Incluir a referência
3.6 Acatado NC n°21/IN01/DSIC/GSIPR, Inseriu-se a referência de acordo com o sugerido.
no tópico “Referência legal e
de boas práticas.”
Referenciar controles03, 13 e
3.6 Acatado 17 do framework de segurança Realizou-se a adequação da referência de acordo com o sugerido.
cibernética CIS 8
Processo de gestão de registros
Não há referência que indique a ordem das fases definidas (Coleta,
de auditoria: Inserir referência
Armazenamento, Uso e Exclusão). A equipe técnica de elaboração do
apresentado no tópico
3.6 Não Acatado documento, após algumas reuniões, decidiu-se por organizar a
“Declarações da Política”, o
Gestão de registros de auditoria na ordem apresentada, pois
qual foi apresentado em quatro
entendeu que ficaria mais didático e compreensível para o leitor.
fases.
Criou-se o subtópico “Fases da gestão de registro de auditoria”
Gestão de registros de dentro do tópico “Declarações da política”, além disso, a formatação
auditoria: Criar um subtópico do Sumário foi reescrita de forma com que o leitor tenha ciência que
dentro de “Declarações da “Fases da gestão de registro de auditoria”, “Coleta”,
3.7 Acatado
política”, para registraras “Armazenamento”, “Uso” e “Exclusão” são subtópicos de
fases da gestão de registros de “Declarações da política”. Optou-se também por diminuir o tamanho
auditoria; da fonte de “Fases da gestão de registro” e Coleta”,
“Armazenamento”, “Uso” e “Exclusão” no modelo.
Declarações da política:
Premissas e responsabilidades
Inserir na primeira diretriz
como responsáveis pela
3.8 Acatado Optou-se por seguir o proposto e a diretriz foi retirada do documento.
atividade de auditoria,
gestores de sistemas, área de
tecnologia e prestadores de
serviços.
Inseriu-se as três diretrizes conforme sugerido: “Os eventos de log
devem ser gerados, selecionados e armazenados para todos os
Declarações da política:
ativos.”
Premissas e responsabilidades.
3.8 Acatado “A [equipe responsável] deve selecionar os eventos e os respectivos
Acrescentar três novas
tempos de guarda, bem como as demais características de uso dos
diretrizes;
eventos.”
“As exceções deverão ser documentadas. ”
Declarações da política:
Requisitos do plano de
registros de auditoria. Utilizar
Adicionou-se a seguinte premissa: “Uti lizar o horário de Greenwich
o horário de Greenwichem
3.8 Acatado em sistemas hospedados em provedores de nuvem onde o fuso local
sistemas hospedados em
pode ser diferente do fuso do provedor.”
provedores de nuvem, onde o
fuso local pode ser diferente do
fuso do provedor.
Adequou-se o texto conforme sugerido: “Para melhorar o nível de
maturidade desta atividade, é importante que o órgão ou entidade
Declarações da política:
consiga coletar os logs de auditoria de forma detalhada, e tais logs
Coleta. Incluir dados
3.8 Acatado tenham dados importantes como data, hora de criação, atualização,
mencionados no CIS controle
permissões, nome do usuário, origem do evento, endereços de origem,
8.5
endereços de destino e outros elementos úteis que podem ajudar em
uma investigação forense.”
Declarações da política: Adicionou-se o seguinte texto conforme sugerido: “A não
Coleta. Incluir sanções observância da conformidade do item 21, pode acarretar prejuízos
3.8 Acatado
administrativas conforme Art. financeiros e reputacionais, além das sanções administrativas
52 da LGPD. relacionadas no art 52 da LGPD. ”
46
Adequou-se o texto: “A transferência de logs, também conhecida
como off -loading, é um processo comum em sistemas com capacidade
limitada de armazenamento de logs e, portanto, oferece suporte à
disponibilidade dos logs. O armazenamento de log inicial é usado
Declarações da política: apenas de forma transitória até que o sistema possa se comunicar
Armazenamento Especificar como sistema secundário ou alternativo alocado para
3.8 Acatado que a transferência de logs seja armazenamento de log, momento em que os logs são transferidos. A
realizada por meio de transferência de logs para armazenamento alternativo, deve ser feita
comunicação segura. para um ativo de informação que esteja em uma rede lógica, ou física
diferente, com o propósito de proteger a confidencialidade e
integridade dos registros de auditoria, para isso, tal transferência
convém ser realizada por meio de comunicação segura
(criptografada).”
Adicionou-se no texto explicativo do tópico “Armazenamento” o
seguinte texto e link para tabela do CONARQ: “Esteja ciente de que
a alocação de capacidade de armazenamento de log sufi ciente reduz
a probabilidade de tal capacidade ser excedida e resultar na perda
ou redução potencial da capacidade de log.
Importante ressaltar que no momento de definir o período de retenção
Declarações da política:
dos logs é indicado verificar:
Armazenamento Referenciar
· A existência de definição legal de tempo de
tabela de temporalidade de
3.8 Acatado retenção/guarda/arquivamento de documentos e/ou dos dados
guarda para ativos de
tratados pelo órgão e/ou entidade para os quais os logs foram
informação do órgão;
gerados; e.
Referenciar a LGPD, Art. 16;
· Tabela de temporalidade do CONARQ1.”
Adicionou-se a seguinte diretriz para fazer referência ao Art. 16 da
LGPD conforme sugerido: “No caso de os logs armazenados
contiverem dados pessoais, deve-se observar o previsto pelo art. 16
da LGPD a fim de avaliar se os logs devem ser eliminados ou
conservados após o término do tratamento dos dados pessoais.”
Declarações da política: Uso:
3.8 Acatado Retirou-se do documento as diretrizes conforme sugerido.
Suprimir os itens 39 e 46;
Declarações da política: Uso: Adequou-se a diretriz conforme sugerido: “Quando suportado,
3.8 Acatado Inserir expressão “quando convém que o acesso a sistemas críticos por terceiros seja monitorado
suportado” na diretriz52. quanto a atividades não autorizadas ou incomuns.”
CONCLUSÃO
7. A presente nota apresentou uma avaliação acerca das contribuições da CGU sobre o Modelo
de Política de Gestão de Registros (Logs) de Auditoria, bem como as referidas contribuições
foram incorporadas ao documento em questão, à exceção da sugestão proposta para o
Processo de Gestão de registros de auditoria mencionado pelo tópico 3.6, a qual não foi
acatada.
RECOMENDAÇÃO
8. Sugere-se que o Departamento de Privacidade e Segurança da Informação (DPSI)
encaminhe uma resposta formal à CGU acerca das providências adotadas pela Coordenação-
Geral de Proteção de Dados (CGPD/DPSI/SGD/SEDGG/ME).
47