Escolar Documentos
Profissional Documentos
Cultura Documentos
Sumrio
1 INTRODUO ........................................................ 2 2 REGRAS BSICAS DE SEGURANA COMPUTACIONAL AOS CMT OM ............................... 3 3 COMPUTADORES DA OM ....................................... 5 4 REDE DA OM ......................................................... 7 5 PGINA DE INTERNET DA OM ............................... 9 6 INCIDENTES DE SEGURANA ............................... 9 7 TELEFONIA e VIDEO-CONFERNCIA NA OM ........ 10 8 PROTEO CONTRA SPAM .................................. 11 9 LEGISLAO DE REFERNCIA .............................13
1.4 !As aes contidas neste documento baseiam-se na experincia dos profissionais responsveis pelos Sistemas de Telemtica do Exrcito, ao longo dos ltimos anos, e nos ensinamentos obtidos junto aos mais importantes rgos de Segurana de Informao, constituindo-se em uma coletnea das melhores prticas. 1.5 !Por fim, ressalta-se que alm de preservao dos Sistemas de TIC, as medidas de segurana contribuem para resguardar a imagem da Instituio, dificultando a violao desses sistemas e a obteno de informaes sensveis por intermdio de aes criminosas. 2 ! REGRAS BSICAS DE SEGURANA COMPUTACIONAL AOS CMT OM 2.1 !Cada OM dever organizar, publicando em Boletim Interno, um Comit permanente de auditoria interna das medidas de segurana preconizadas na regulamentao vigente, constantes ao final desta Cartilha e parcialmente abordadas no texto, cabendo ao DCT a realizao de verificaes externas de carter programado ou inopinado, como autoridade validadora dos nveis de segurana dos sistemas sustentados pela TI do Exrcito Brasileiro.
14
2.2 ! Controlar o acesso Internet na OM, restringindo-o, apenas, s estaes de trabalho que efetivamente necessitarem de tal acesso. Ainda assim, devem ser bloqueados os stios que reduzam a produtividade, ou que sejam incompatveis com a seriedade e a responsabilidade esperada no ambiente de trabalho. 2.3 ! Estabelecer uma rotina de permanente conscientizao dos integrantes da organizao quanto ao emprego adequado dos recursos de Tecnologia da Informao e Comunicaes (TIC) disposio da OM. 2.4 ! Solicitar o apoio tcnico OM de Telemtica do Exrcito (CTA ou CT) que atende OM considerada, sempre que houver dvidas. 2.5 ! Proibir a utilizao de dispositivos mveis de armazenamento (pendrives, HD externos ou cartes de memria), particularmente em ambientes onde operam mquinas com dados sensveis. Quando absolutamente necessrio, liberar o acesso de tais dispositivos, sob superviso, somente nas mquinas com antivrus configurado para verificar, automaticamente, qualquer dispositivo removvel conectado ao computador.
9 ! LEGISLAO DE REFERNCIA Abaixo, segue a legislao que regula a atividade de TIC no EB. Consult-la sempre que necessrio. Em caso de dvidas, consultar o CTA/CT de sua rea. ! Instrues Gerais de Segurana da Informao para o Exrcito Brasileiro (IG-20-19);
! Instrues Gerais para Salvaguarda de Assuntos Sigilosos (IG-
10-51);
! Normas para o Controle da Utilizao dos Meios de Tecnologia
13
12
3.2.1! Antivrus: para evitar a propagao de vrus de computador; 3.2.2 !Antispyware: para manter a mquina protegida de programas espies; 3.2.3 !Antispam: para evitar o trfego de mensagens de correio eletrnico indesejadas; e 3.2.4 !Firewall pessoal: para proteger a mquina de acessos remotos ao seu equipamento e furto de dados. 3.3 !Manter permanentemente atualizados e com as mais recentes correes de segurana, todos os programas instalados. Os atos hostis exploram as vulnerabilidades conhecidas que, normalmente, so corrigidas nas verses mais recentes. Recomenda-se a adoo de ferramentas como CACIC ou OCS Inventory para gerenciamento de atualizaes.
8 ! PROTEO CONTRA SPAM 8.1 ! No utilizar a conta de correio corporativo funcional em cadastros de stios na Internet. Se necessrio, manter uma conta em provedor pblico (Gmail, Yahoo, Hotmail, etc) para esta finalidade. 8.2 ! DISPOSITIVOS DE ARMAZENAMENTO REMOVVEIS 8.2.1 ! Configurar o antivrus para verificar automaticamente
todos os dispositivos de armazenamento removveis (CD, DVD, pendrive, carto de memria, HD externo etc.) conectados ao computador. 8.2.2 ! Desabilitar a execuo automtica de quaisquer No permitir o uso descontrolado de qualquer tipo dispositivos mveis. 8.2.3 ! trabalho. 8.3 ! PROTEO CONTRA FRAUDES VIA INTERNET 8.3.1 ! No clicar em links ou abrir arquivos recebidos por ede dispositivo de armazenamento removvel no ambiente de
mail, a menos que se tenha absoluta certeza da origem e integridade do mesmo. Ter em mente que um arquivo enviado por uma pessoa de confiana pode no ter sido realmente enviado por ela;
11
6.2 Retirar os equipamentos comprometidos da rede, mas preservar as evidncias para posterior anlise forense por pessoal especializado, mantendo-o, inclusive, ligado. 7 ! TELEFONIA e VIDEO-CONFERNCIA NA OM 7.1 ! As comunicaes telefnicas e por videoconferncia devem tratar somente de assuntos ostensivos. 7.2 ! So vedadas teleconferncias, ainda que de assuntos ostensivos, utilizando-se de servios no homologados pelo Exrcito, por intermdio do DCT.
4 ! REDE DA OM 4.1 ! Quando a OM possuir acesso Internet disponibilizado pelo CITEx ou pelo CTA/CT da sua rea, no deve haver contratao de outros acessos junto s empresas provedoras do servio. O DCT est atualizando e ampliando o provimento de servios necessrios s atividades institucionais. 4.2 ! Na imperiosa necessidade de contratao de acesso Internet, no permitir que as estaes conectadas rede mundial estejam, simultaneamente, conectadas tambm EBNet. 4.3 ! Utilizar exclusivamente o correio eletrnico corporativo para troca de mensagens relativas ao servio. 4.4 ! Os servidores e os sistemas que armazenam dados corporativos devem conter mecanismos fortes de autenticao, conforme prev o Art. 47 das IR 13-15. 4.5 ! Utilizar servios criptogrficos para o intercmbio de informaes (correio eletrnico corporativo, transferncia de arquivos, etc.). 4.6 ! Proteger os ativos de rede para evitar o furto de equipamentos que armazenem informaes ou a interceptao do trfego da rede (sniffers). Mesmo equipamentos obsoletos e descarregados podem
10
5 ! PGINA DE INTERNET DA OM 5.1 ! Priorizar a segurana da pgina: elaborar pginas simples, utilizando componentes de origem confivel, homologados pelo Departamento de Cincia e Tecnologia, observando o previsto nas IR 20-26. 5.2 ! Observar as normas de contra-inteligncia: no divulgar dados pessoais ou informaes sobre a rotina da OM. 5.3 ! Hospedar a pgina exclusivamente nos servidores do CITEx ou do CTA/CT que apoia a OM. 6 ! INCIDENTES DE SEGURANA 6.1 ! Na ocorrncia de qualquer violao de segurana aos recursos de TIC da OM, o fato dever ser imediatamente comunicado, pelo meio mais rpido, Seo de Tratamento de Incidentes de Rede (STIR) do CTA/CT de sua rea, que determinar as medidas exigidas para cada caso. A OM atingida, obrigatoriamente, ser objeto de uma auditoria tcnica por parte da STIR correspondente. O Relatrio decorrente dever ser encaminhado ao CITEx e DCT pelo CT/CTA para anlise e para que sejam tomadas as medidas complementares, inclusive em relao s responsabilidades da OM.