Escolar Documentos
Profissional Documentos
Cultura Documentos
Braslia-DF Abril/2011
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Sumrio
I. II.
2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9
2.10 Incidente ............................................................................................................... 7 2.11 Integridade ........................................................................................................... 7 2.12 Risco ..................................................................................................................... 7 2.13 Risco residual ........................................................................................................ 7 2.14 Tratamento do risco ............................................................................................. 7 2.15 Vulnerabilidade .................................................................................................... 7
III.
3.1 3.2 3.3 3.4
IV.
4.1 4.2 4.3 4.4 4.5 4.6 4.7
V. VI.
Comit de Segurana da Informao ..................................................... 22 PCN - Plano de Continuidade dos Negcios ........................................... 23
www.facsenac.edu.br Pgina 2 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
AIN - Anlise de Impacto no Negcio ................................................................. 24 Metodologia para desenvolvimento do PCN ..................................................... 24 Plano de Administrao de Crise. ....................................................................... 26 Plano de Continuidade Operacional................................................................... 27 Plano de Recuperao de Desastres. ................................................................. 27
6.5.1 Identificao e Anlise de Riscos de Desastres/Ameaas ............................. 28 6.5.2 Classificao de Riscos Baseada em pesos relativos ..................................... 29 6.5.3 Construindo a Avaliao de Risco.................................................................. 30 6.6 Fases de um Plano de Recuperao de Desastres. ............................................ 31
6.6.1 Fase de Ativao ............................................................................................ 32 6.6.2 Fase de Execuo........................................................................................... 32 6.6.3 Fase de reconstituio ................................................................................... 32 6.7 Documentao do Plano de Recuperao de Desastres. ................................... 33
6.7.1 Contedo do documento de recuperao de desastres ............................... 33 6.8 Estratgias de Contingncia ............................................................................... 35
6.8.1 In-House ........................................................................................................ 36 6.8.2 Contratos com terceiros. ............................................................................... 36 6.8.3 Cold Site ......................................................................................................... 36 6.8.4 Warm Site ...................................................................................................... 36 6.8.5 Hot Site .......................................................................................................... 36 6.8.6 Local recproco. ............................................................................................. 37
VII.
7.1 7.2
7.2.1 Gesto do projeto ou do programa de auditoria .......................................... 39 7.2.2 Deciso sobre o propsito da auditoria ........................................................ 39 7.2.3 Identificao de objetos e pontos de controle.............................................. 40 7.2.4 Definio de tcnicas para obter evidncias e procedimentos de controle . 40 7.2.5 Montagem da roteirizao de auditoria ....................................................... 40 7.2.6 Coleta e registro de evidncias em papis de trabalho ................................ 41 7.2.7 Verificao, validao e avaliao de evidncias .......................................... 41 7.2.8 Produo de pareceres e outros entregveis................................................ 41 7.2.9 Acompanhamento ps-auditoria .................................................................. 41 7.3 Classificao da Informao segundo Decreto 4.553/2002 ............................... 42
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
www.facsenac.edu.br
Pgina 4 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
vulnerabilidades de segurana ciberntica; e, f) Ambientes complexos, com mltiplos atores, diversidade de interesses, e em constantes e rpidas mudanas. Neste cenrio desafiador aprenderemos sobre comit gestor de segurana da informao, auditoria e controle, anlise de impacto no negcio, estratgias de contingncia, Compliance e polticas de segurana. E desenvolveremos plano de contingncia, plano de administrao de crise, plano de continuidade operacional e plano de Recuperao de Desastres. Esta disciplina os ajudar a atingir os propsitos do curso onde um especialista em segurana da informao deve estar apto a projetar, implantar e gerenciar solues que aumentam o sigilo, a integridade e disponibilidade das informaes, garantindo um processo contnuo de certificao da segurana s organizaes. nosso foco ainda desenvolver competncias para que vocs possam atuar como Analistas de Segurana da Informao e assim analisar riscos, elaborar polticas de segurana e planos de continuidade de negcios bem assim realizar auditorias de sistemas. Diante deste desafio preparei um material com conceitos bsicos sobre o assunto e, como no poderia deixar de ser, vamos colocar a mo na massa e elaborar vrios documentos a fim de aplicar o conhecimento obtido haja vista que Segurana da informao est em voga. Ento vamos l! Arregacem as mangas! Abram suas mentes! Vamos aprender juntos a desenvolver bons planos de segurana e assim contribuir significativamente para a rea de segurana e para nossas vidas! Contem comigo! Bons estudos! Prof. Edilberto Silva :=D
www.facsenac.edu.br
Pgina 5 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
2.2
Ameaa
Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao [ISO/IEC 13335-1:2004]
2.3
Anlise de riscos
Uso sistemtico de informaes para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005]
2.4
Avaliao de riscos
Processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco [ABNT ISO/IEC Guia 73:2005].
2.5
Ativo
2.6
Confidencialidade
Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados [ISO/IEC 13335-1:2004].
2.7
Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada [ISO/IEC 13335-1:2004].
2.8
Gesto de riscos
Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos [ABNT ISO/IEC Guia 73:2005]
www.facsenac.edu.br Pgina 6 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
2.9 Impacto
Abrangncia dos danos causados por um incidente de segurana sobre um ou mais processos de negcio.
2.10 Incidente
Fato (evento) decorrente de uma ao de uma ameaa, que explora uma ou mais vulnerabilidades, levando a perda de princpios da segurana da informao.
2.11 Integridade
Propriedade de salvaguarda da exatido e completeza de ativos [ISO/IEC 13335-1:2004].
2.12 Risco
Probabilidade de ameaas explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade ou disponibilidade, causando impactos nos negcios. Equao do Risco:
2.15 Vulnerabilidade
Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas.
www.facsenac.edu.br
Pgina 7 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
3.1
ISO/IEC 27001:2006
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI deve ser uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de uma organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos empregados e tamanho da estrutura organizacional. esperado que este e os sistemas de apoio mudem com o passar do tempo. esperado que a implementao de um SGSI seja escalada conforme as necessidades da organizao, por exemplo, uma situao simples requer uma soluo de um SGSI simples. Estrutura da ISO 27001:2006
0. Introduo 1. Objetivo 2. Referncia normativa 3. Termos e denies 4. Sistema de gesto de segurana da informao (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentao) 5. Responsabilidades da direo (Comprometimento da direo / Gesto de recursos) 6. Auditorias internas do SGSI 7. Anlise crtica do SGSI pela direo (Geral / Entradas para a anlise crtica / Sadas da Anlise Crtica) 8. Melhoria do SGSI (Melhoria contnua / Ao corretiva / Ao preventiva)
A 27001 adota o modelo conhecido como PDCA - Plan-Do-Check-Act (figura 1), que aplicado para estruturar todos os processos do SGSI - Sistema de Gesto de Segurana da Informao.
www.facsenac.edu.br
Pgina 8 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Do (fazer) (implementar e operar o SGSI) Check (checar) (monitorar e analisar criticamente o SGSI
3.2
ISO/IEC 27002:2005
A norma ABNT NBR ISO/IEC 27002:2005 evidencia que imprescindvel proteger a informao dos diversos tipos de ameaas existentes com o objetivo de garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio para usurios, empresas e instituies, sejam elas privadas ou pblicas. Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.
www.facsenac.edu.br Pgina 9 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Os objetivos de controle e os controles desta Norma tm como finalidade ser implementados para atender aos requisitos identificados por meio da anlise/avaliao de riscos. Esta Norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar a criar confiana nas atividades inter-organizacionais.
3.3
ISO/IEC 27005:2008
Esta norma fornece diretrizes para a segurana da informao da gesto de riscos, tendo como objetivo fornecer um guia para a implementao da abordagem de gerenciamento de riscos orientada ao processo, para auxiliar na execuo e no cumprimento satisfatrio da implementao da gesto de riscos da informao, baseado nos requisitos da norma ISO/IEC 27001. Foi elaborada para facilitar uma implementao satisfatria da segurana da informao tendo como base a gesto de riscos. Aplica-se a todos os tipos de organizao que pretendam gerir os riscos que poderiam comprometer a segurana da informao da organizao. Nesta norma encontrado um conjunto de tcnicas que so empregadas para guiar o gerenciamento dos riscos de segurana, incluindo recomendaes sobre a avaliao de riscos, tratamento, aceitao, comunicao, monitoramento e reviso dos riscos.
www.facsenac.edu.br
Pgina 10 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Da mesma forma que na ISO 27001 a 27005:2008 tambm adota o modelo PDCA. PDCA na ISO 27005
Plan (planejar) Estabelecimento do Contexto (Contextualizao) Anlise/Avaliao do Risco Desenvolvimento do Planejamento de Risco Aceitao do Risco Do (fazer) Check (checar) Act (agir) Implementao do Tratamento de Risco Monitorao e Reviso dos Riscos Manuteno e melhoria do Processo de Gerenciamento de Risco da Segurana da Informao
www.facsenac.edu.br
Pgina 12 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
3.4
Em 2008 a ISACA (COBIT) e a OGC (ITIL) publicaram um trabalho deveras importante para nossa disciplina qui para nosso papel de gestores de TI e de segurana. Trata-se do documento Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit 1 que trata sobre o alinhamento do COBIT 4.1, ITIL V3 e ISO / IEC 27002 para Benefcio Empresarial, traduzindo literalmente. O documento uma verso atualizada tratando das ltimas verses lanadas dos modelos relacionados e que trata sobre aplicao geral das melhores prticas de TI concentrando-se na Governana e Controle de TI, Gesto de Servios e Gerenciamento da Segurana da Informao. (ISACA, 2008) Sugiro uma leitura no documento oficial, pois acredito que ele uma fonte de informao extraordinria para os temas que estamos tratando aqui. Para contextualizar melhor, mas sem a pretenso de esgotar as partes mais importantes para nossa disciplina, descrevo a seguir alguns tpicos relevantes. 3.4.1 COBIT 4.1 O COBIT (Control Objectives for Information Technology) descreve um conjunto de objetivos (objetos) de controle e pontos de controle, tpico de Organizaes de Tecnologia da Informao. Ressalta-se que nem todos os objetivos declarados no COBIT 4.1 so relacionados segurana da informao. O modelo, em sua verso 4.1 (ISACA, 2002), apresenta objetivos de controle agrupados em 34 arqutipos de processos de organizao de TI. Os 34 processos organizacionais so agrupados em 4 domnios (Planejamento e Organizao, Aquisio e Implementao, Entrega e Suporte de Servios de TI, alm do Monitoramento e Avaliao). Os 318 objetivos de controle so subdivididos (implementados) com pontos de controle (chamados no COBIT de prticas de controle).
1
Disponvel em http://www.isaca.org/KNOWLEDGE-CENTER/COBIT/Pages/Downloads.aspx
www.facsenac.edu.br
Pgina 13 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
O COBIT fornece as melhores prticas e ferramentas para monitorar e gerenciar as atividades de TI, ajudando os executivos a compreender e gerir investimentos de TI em todo seu ciclo de vida. Ele fornece um mtodo para avaliar se os servios de TI e novas iniciativas so susceptveis de oferecer os benefcios esperados. De forma resumida o COBIT inclui aspectos relacionados segurana especialmente em: Quanto aos critrios da informao: Confidencialidade, Integridade e Disponibilidade. No domnio PO Planejamento e Organizao os processos: P02 - Definir a Arquitetura da Informao, PO4 Definir os Processos, Organizao e os Relacionamentos de TI e PO9 Avaliar e Gerenciar os Riscos de TI. No domnio AI Aquisio e Implementao o processo: AI2 Adquirir e Manter Software Aplicativo. No domnio DS Entrega e Suporte os processos: DS4 Assegurar Continuidade de Servios, DS5 Assegurar a Segurana dos Servios, DS7 Educar e Treinar os Usurios, DS8 Manage Service Desk and Incidents. A ttulo exemplificativo so mostrados na figura 4 os relacionamentos entre processos, objetivos e mtricas do processo DS5 Garantir Segurana dos Servios. descrita na figura a relao entre os objetivos de negcios de TI, processos e atividades e suas diferentes mtricas, bem como os objetivos em cascata. Abaixo do objetivo est demonstrada a medida de resultados. As setas menores mostram que a mesma mtrica um indicador de performance para um objetivo de maior nvel. (ITGI, 2007)
www.facsenac.edu.br
Pgina 14 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
3.4.2 ITIL 3 Hoje, as organizaes dependem de TI para satisfazer seus objetivos corporativos, atender s necessidades de seus negcios e agregar valores aos clientes. Para que isso acontea de uma forma gerencivel, responsvel e repetitivo, as empresas devem garantir que servios de TI sejam alta qualidade e que sejam fornecidos com as seguintes caractersticas: Projetados para acompanhar as necessidades do negcio e requisitos do usurio; Em conformidade com a legislao; Eficiente e eficaz na origem e entrega; Continuamente revisado e aprimorado.
www.facsenac.edu.br
Pgina 15 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
O Gerenciamento de Servios de TI est preocupado com o planejamento, projeto, implementao, operao, suporte e melhoria nos servios de TI que sejam adequados s necessidades de negcios. O Gerenciamento de Servios de TI o conjunto de capacidades organizacionais (processos e mtodos de trabalho, funes, papis e atividades) realizadas para prover valor sob a forma de servios. O Gerenciamento de Servios um conjunto de habilidades da organizao para fornecer valor para o cliente em forma de servios (ITIL V3) O ITIL V3 tem um eixo (ncleo) de conduo das atividades, o livro de Estratgia de Servio, que norteia os demais livros / processos, que so: Desenho de Servio, Transio de Servio e Operao de Servio. Circundando todos os processos est o livro de Melhoria Contnua de Servio. Todos so tidos como fases do ciclo de vida dos servios, sendo a Estratgia a fase inicial do mesmo sendo distribudos ao longo do ciclo de vida do servio de TI.
www.facsenac.edu.br
Pgina 16 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
A ITIL oferece um abrangente, consistente e coerente framework de melhores prticas para o gerenciamento de servios e processos, voltado para alcance da eficcia empresarial e eficincia na gesto de servios. Isto inclui aspectos relacionados segurana especialmente nos tpicos a seguir. No Desenho de servios: ISM Gerenciamento de Segurana da Informao e ITSCM - Gerenciamento de Continuidade dos servios de TI Na Transio de servios: Gerenciamento de Configurao e de Ativos de Servio (SACM) especificamente na validao e testes de servios. A figura 5 mostra uma parte do mapeamento em alto nvel do modelo de servios do ITIL V3, descrevendo a relao entre os servios mencionados. (ITILV3, 2007)
IV.
Martins (MARTINS, 2005) apresenta uma proposta de metodologia para a implantao de um Sistema de Gesto da Segurana da Informao (SGSI). A metodologia baseada em padres e normas de segurana tais como: TECSEC: 1985, ISO 15408:1999, ISO/IEC TR 13335:1998, ISO/IEC 17799:2001 e IEC 61508:1998. O estudo apresenta uma metodologia em alto nvel com intuito de se tornar uma referncia para implantao e acompanhamento de Sistemas de Gesto da Segurana da Informao em organizaes. As etapas e normas a elas associadas desta metodologia, bem como os resultados produzidos em cada etapa apresentada na figura 6
www.facsenac.edu.br
Pgina 17 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
www.facsenac.edu.br
Pgina 18 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
www.facsenac.edu.br
Pgina 19 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
www.facsenac.edu.br
Pgina 21 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
www.facsenac.edu.br
Pgina 22 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
VI.
Segundo Smola (2003) o PCN - Plano de Continuidade de Negcios ou em ingls BCP Business Continuity Planning envolve a anlise de Impacto de negcios e os planos de contingncia, composto dos planos: de Administrao de Crises (PAC), de Recuperao de Desastres (PRD) e de Continuidade Operacional (PCO). O objetivo principal do Plano de Continuidade de Negcios garantir a continuidade de processos e informaes vitais sobrevivncia da empresa, no menor espao de tempo possvel, com o objetivo de minimizar os impactos do desastre, como mostrado na figura 7.
Assim, todos os planos que compem o PCN tm o intuito de formalizar aes a serem tomadas para que, em momentos de crise, a recuperao, a continuidade e a retomada possam ser efetivas, evitando que os processos crticos de negcio da organizao sejam afetados, o que pode acarretar em perdas financeiras. O PCN composto por fases como referenciado pela norma BS 25999 e ilustrado na figura 8. A BS 25999 uma Norma Britnica para GCN - Gesto da Continuidade do Negcio que apresenta um conjunto detalhado de controles baseados nas melhores prticas da GCN, englobando todo seu ciclo de vida. Define a potencialidade estratgica e ttica da organizao para planejar e responder aos incidentes e s rupturas do negcio, a fim de dar continuidade s suas operaes num nvel predefinido como aceitvel. A norma genrica e orienta as organizaes para operacionalizarem os seus sistemas de GCN. Uma organizao pode preparar-se para as piores etapas e melhorar a sua resistncia s ameaas. (Silva, 2010)
www.facsenac.edu.br Pgina 23 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Business Continuity Institute (BCI), United Kingdom Business Continuity Institute (BCI), Reino Unido Alguns pases como a Austrlia j possuem normas para continuidade de negcios como, por exemplo, a OB7AS/NZS, 2000 36. A figura 9 mostra uma viso geral desta metodologia. Embora distintas, as metodologias tm contedo semelhantes, que pode ser resumido em 7 fases: 1 Iniciao do projeto (objetivos e pressupostos); 2 Requisitos funcionais (obteno e anlise dos fatos, as alternativas e as decises de gesto) 3 Concepo e desenvolvimento (elaborao do plano) 4 Implantao (criao do plano) 5 Testes e exerccios (ps-implantao reviso do plano) 6 Manuteno e atualizao (atualizao do plano) 7 Execuo (declarar desastre e executar as operaes de recuperao)
Com este propsito e formado pelas etapas de Anlise de Impactos de Negcios, Estratgias de Contingncia em trs planos de contingncia propriamente ditos (Plano de Administrao de Crises, Plano de Continuidade Operacional e Plano de Recuperao de Desastres) o Plano de Continuidade de Negcios deve ser elaborado com o claro objetivo de contingenciar situaes e incidentes de segurana que no puderam ser evitados. A seguir so apresentados os planos de contingncia: de Crise, de Continuidade Operacional e de Recuperao de Desastres, que por serem de vital importncia, na gesto corporativa da segurana da informao, precisam ser exaustivamente testados e aprovados. A homologao de todos os planos cogente para garantir eficincia e permitir ajustes diante de mudanas fsicas, tecnolgicas e humanas comuns em um ambiente corporativo. (SEMOLA, 2003)
www.facsenac.edu.br
Pgina 25 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Um plano de recuperao de desastres eficiente desempenha o seu papel em todas as fases das operaes como descrito acima, e continuamente melhorado por exerccios de recuperao de desastres e processos de captura de feedback. (FAGUNDES, 2011)
www.facsenac.edu.br
Pgina 27 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Em resumo, o plano de recuperao de desastres (1) Identifica e classifica as ameaas/riscos que podem levar a desastres; (2) define os recursos e processos que assegurem a continuidade dos negcios durante o desastre e; (3) define o mecanismo para obter a reconstituio o negcio de volta ao normal a partir do estado de recuperao de desastre, aps os efeitos do desastre so mitigados. Estas etapas so descritas, resumidamente, a seguir: 6.5.1 Identificao e Anlise de Riscos de Desastres/Ameaas O primeiro passo no planejamento de recuperao de desastres inesperados identificar as ameaas ou riscos que podem provocar desastres fazendo uma anlise dos riscos que abranja as ameaas continuidade do negcio. A anlise de risco envolve a avaliao existente segurana fsica e ambiental e sistemas de controle e avaliao da sua adequao com relao s ameaas potenciais. O processo de anlise de risco comea com uma lista das funes essenciais do negcio. Esta lista ir definir as prioridades para enfrentar os riscos onde as funes essenciais so
www.facsenac.edu.br Pgina 28 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
aqueles cuja interrupo seria consideravelmente prejudicar as operaes do negcio e pode resultar em perda financeira. Estas funes essenciais devem ser priorizadas com base em sua importncia relativa a operaes comerciais. Por exemplo, no caso de um prestador de servios de telecomunicaes, embora as operaes de faturamento e operaes de CRM / helpdesk so funes essenciais. 6.5.2 Classificao de Riscos Baseada em pesos relativos Ao avaliar os riscos, recomenda-se a classific-los em diferentes classes de preciso prioriz-los. Em geral, os riscos podem ser classificados em cinco categorias.
Riscos externos
Riscos externos so aqueles que no podem ser associados com uma falha dentro da empresa. Eles so muito importantes na medida em que no esto diretamente sob o controle da organizao que enfrenta os danos. Estes riscos podem ser divididos em quatro subcategorias: Natural: Esses desastres esto no topo da lista em qualquer plano de
recuperao de desastres. Normalmente para mitigar o risco de interrupo das operaes de negcios, uma soluo de recuperao dever envolver instalaes de recuperao de desastres em um local longe da rea afetada. As oportunidades para mitigar os efeitos de algumas catstrofes naturais so considerveis atualmente. Humana: Estes desastres incluem atos de terrorismo, sabotagem, ataques de
vrus, erros de operaes, crimes, e assim por diante. Estes podem ser causados tanto por pessoas internas quanto por pessoas externas organizao. Civil: Estes riscos geralmente esto relacionados com a localizao das
unidades de negcio como, por exemplo, greves, tumultos, a instabilidade poltica local, e assim por diante. Fornecedor: Esses riscos esto vinculados capacidade dos fornecedores para manter seu nvel de servios em um desastre.
www.facsenac.edu.br
Pgina 29 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Facilidades so riscos que afetam as instalaes locais. Ao avaliar esses riscos, precisam ser considerados: eletricidade, telefones, gua, controle climtico, estruturas de construo e segurana fsica.
Riscos de Sistemas de Dados
Riscos dos sistemas de dados so aqueles relacionados ao uso de infra-estrutura compartilhada, como redes, servidores de arquivos e aplicaes de software que poderiam afetar vrios departamentos. Um dos objetivos fundamentais na anlise desses riscos identificar todos os pontos nicos de falha na arquitetura de sistemas de dados. Riscos dos sistemas de dados podem ser avaliados dentro das seguintes subcategorias: rede de comunicao de dados, sistemas de Telecomunicaes e da rede, servidores compartilhados, vrus, backup de dados / sistemas de armazenagem, patchs de software e bugs.
Riscos Departamentais
So falhas dentro de departamentos especficos. Estes seriam os eventos, como um incndio num espao onde so armazenados lquidos inflamveis, ou a falta de uma chave que impede uma operao especfica. Uma avaliao eficaz dos riscos de departamento necessita considerar todas as funes crticas dentro do departamento de equipamentos operacionais, chave e registros vitais, cuja ausncia ou perda ir comprometer as operaes. Indisponibilidade de pessoal qualificado tambm pode ser um risco.
Riscos sobre Desktop
So todos os riscos que podem acontecer para reduzir ou interromper o trabalho do diaa-dia pessoal de cada empregado. Cada processo e ferramenta utilizados no trabalho pessoal devem ser cuidadosamente examinados e contabilizados como essenciais. 6.5.3 Construindo a Avaliao de Risco Aps a avaliao das categorias de maior risco concluda, hora de pontuao e classificao de todos eles, categoria por categoria, em termos de probabilidade e impacto. O
www.facsenac.edu.br
Pgina 30 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
processo de pontuao pode ser abordado atravs da preparao de uma folha de pontuao, conforme exemplo mostrado na figura 11, que tem os seguintes parmetros: Grupos: Riscos: Impacto: so as subcategorias da categoria principal risco. riscos individuais em cada grupo que pode afetar os negcios. impacto que ameaa a existncia da empresa
Riscos e Impactos so estimados em uma escala de 0 a 10, sendo 0 (no provvel) a 10 (altamente provvel). Tempo de Restaurao estimada em uma escala de 1-10. Um valor maior significa maior tempo de recuperao, portanto, a prioridade de ter um mecanismo de recuperao de desastres para este risco maior.
www.facsenac.edu.br
Pgina 31 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
6.6.1 Fase de Ativao A ruptura ou emergncia pode acontecer com ou sem aviso prvio. Deste modo a deteco de um evento de catstrofe deve ser rpida e precisa. E necessrio possuir tambm um plano de comunicao apropriado. Estes passos so chave para reduzir os efeitos da entrada em emergncia, e assim permitir que o pessoal responsvel trabalhe melhor, reduzindo assim o impacto do desastre. O Comit de Recuperao de Desastre responsvel pelo lanamento da fase de ativao, que envolve: Os procedimentos de notificao; A avaliao de danos; Ativao do Plano de recuperao; 6.6.2 Fase de Execuo A fase de Execuo somente pode comear aps a ativao do plano de recuperao de desastres e quando a equipe de operaes apropriada for notificada e mobilizada. As atividades desta fase tm como objetivo principal em realizar de fato os passos previstos no plano de recuperao de desastres. Dependendo das estratgias de recuperao definido no plano, essas funes podem incluir tratamento manual temporrio, recuperao e operao de um sistema alternativo, ou transio para um site alternativo2. Para evitar confuso em uma situao de emergncia, os procedimentos de recuperao devem ser documentados em um formato passo a passo simples, sem assumir ou omitir quaisquer etapas processuais. 6.6.3 Fase de reconstituio Na fase de reconstituio, as operaes so transferidas de volta para a instalao original, uma vez que os problemas que deram causa ao desastre foram sanados. Se o sistema
2
www.facsenac.edu.br
Pgina 32 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
original ou facilidade irrecupervel, esta fase tambm envolve sua reconstruo. A equipe de execuo continua em operao at que a restaurao e testes esto completos. As principais tarefas que ocorrem nesta fase so: Monitorar continuamente o site ou adequao de instalaes para reocupao; Ratificar se o ambiente est livre de seqelas da catstrofe e que no existem mais ameaas; Assegurar que todos os servios de infra-estrutura necessria, como energia, gua, telecomunicaes, segurana, controle ambiental, equipamentos de escritrio e suprimentos, esto operacionais; Instalao de sistemas de hardware, software e firmware; Estabelecer conectividade entre sistemas internos e externos; Realizao de testes para garantir a funcionalidade completa; Desligar sistema de emergncia; Encerrar operaes de contingncia; Organizar a equipe de operaes de retorno instalao original
www.facsenac.edu.br
Pgina 33 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Informaes bsicas
O documento deve incluir informaes como os autores / proprietrios com os seus contactos, histrico de reviso e outros detalhes do documento (nome, localizao, verso), referncias, e as audincias do documento. No histrico de reviso do documento, bom ter uma breve descrio das mudanas feitas em cada verso. Uma tabela de contedos uma obrigao para referncia rpida, e altamente recomendvel que as sees numeradas para o nvel mais baixo possvel para fins de referncia fcil. Como este documento contm informaes sensveis aconselhvel classificlo com confidencial.
Objetivo
O objetivo do documento deve ser claramente indicado na introduo contendo, a definio dos objetivos e o que o plano pretende atingir.
Escopo
O escopo do plano define as circunstncias em que o plano chamado e o perodo de tempo para execuo dos procedimentos definidos no documento. As diferentes condies de falha que levam a invocar o plano devem ser claramente indicadas.
Hipteses
As condies do plano devem ser claramente indicadas. Isso pode envolver a listagem das dependncias do plano. Por exemplo, a definio de um nmero mnimo de pessoal especializado que deve estar disponvel no ambiente da recuperao de desastres. Sempre que possvel essas dependncias devem ser acompanhadas com os contatos adequados.
Excluses
Todas as atividades relacionadas com desastres que o plano no cobre devem ser indicadas. Essa informao ser til durante a recuperao de desastres.
Descrio do sistema
A descrio do sistema de recuperao de desastres deve ser simples de entender com nmeros adequados, grficos de fluxo de trabalho, e assim por diante. Se necessrio, as descries podem conter apndices de referncia com maiores detalhes.
www.facsenac.edu.br
Pgina 34 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Papis e Responsabilidades
As funes do pessoal gerencial e tcnico e as suas responsabilidades durante a ativao, execuo, e as fases de reconstituio, devem ser claramente indicadas. Sugere-se a disponibilizao de diagramas com a estrutura da entidade mostrando as relaes de hierarquia bem como os papis atribudos a cada ator no processo.
Detalhes de contato
Informaes de contato atualizadas devem ser includas para todos os funcionrios administrativos e tcnicos envolvidos no planejamento, ativao, execuo, e as fases de reconstituio. Os contatos tanto em situaes normais e situaes de emergncia devem ser mencionados. Esta informao recomendada para ser adicionado como um anexo do documento do plano de recuperao de desastres.
Ativao de Procedimentos
Os procedimentos de notificao, avaliao de danos, e planejamento de ativao devem ser alinhados com coeso lgica e simplicidade.
Execuo de Procedimentos
O procedimento de recuperao para cada um dos componentes do plano deve ser explicado passo a passo em detalhes. Sugere-se que os passos sejam mostrados na forma de fluxograma a fim de facilitar a visualizao as dependncias e seqenciamento das tarefas. Os critrios de sucesso e fracasso de cada procedimento tambm devem ser mencionados, assim como instrues sobre novas aes em caso de sucesso e fracasso.
Reconstituio dos Procedimentos
A simulao com a execuo de procedimentos semelhantes para a reconstituio dos componentes devem ser explicados e executados em detalhe. Os critrios de sucesso e fracasso e as instrues para novas aes, dificuldades e correes nos procedimentos em caso de sucesso e fracasso tambm deve ser inseridos no documento.
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
6.8.1 In-House Nas In-House (Instalaes do cliente) tem-se instalaes nos moldes da principal, que podem ser ocupadas em caso de emergncia, uma opo cara, mas que rapidamente deixar o ambiente disponvel para a empresa. 6.8.2 Contratos com terceiros. Envolve o uso temporrio das instalaes de outra empresa. 6.8.3 Cold Site Local vazio ou Cold Site um plano que requer apenas uma sala vazia sem equipamentos de computador ou conexes para realizar o trabalho. Tudo dever ser levado posteriormente e dever haver no plano, um tempo calculado para restaurar o ambiente. O Cold Site do tipo Fixed Center um local vazio para que, em uma situao de desastre, uma organizao possa instalar seus prprios computadores. Lembrando que este local j deve estar equipado com energia eltrica, infra-estrutura de cabos de rede e telefonia em um ambiente controlado. J o tipo Mobile Center segue a mesma definio, porm montado em outro local mvel (porttil) que pode ser at mesmo prximo das instalaes atuais. 6.8.4 Warm Site O Warm Site um local parcialmente vazio uma sala com o mnimo de equipamento, mesas, cadeiras e telefones, mas sem todos os computadores, software e dados necessrios para a realizao do trabalho. Ou seja, uma localidade com alguns equipamentos e computadores prontos para recuperar algum servio indisponvel. No Warm site do tipo Mobile Center onde h oferecimento de equipamentos e computadores prontos para recuperarem os servios de forma mvel dentro de certo tempo, geralmente definido entre 24 horas. 6.8.5 Hot Site O hot site um local equipado, uma instalao substituta com especificaes que atendam a demanda da empresa, alimentada 24 horas por dia, 7 dias da semana, com sistemas,
www.facsenac.edu.br Pgina 36 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
aplicativos e dados necessrios realizao do trabalho. Indicado para empresas com grande volume de dados. O Hot Site do tipo Fixed Center detm equipamentos dedicados para espelhar os sistemas crticos de um ambiente empresarial, pronto para assumir imediatamente as operaes sem perda de dados. 6.8.6 Local recproco. Este plano requer um contrato assinado com outra filial da mesma empresa ou com outra empresa, para compartilhar o espao do escritrio e recursos em uma emergncia.
7.1
De acordo como dicionrio Aurlio controle significa: "s.m. Verificao administrativa; superintendncia; fiscalizao financeira; o fato de ter sob o seu domnio e fiscalizao.". Ou seja, representa todo e qualquer meio que possa submeter um ente a determinado comportamento, atitude ou funcionamento, com o objetivo de gerenciar. Desta forma, como exemplo de controle tem-se: normas, polticas, procedimentos, prticas, mtricas, e mecanismos automatizados.
www.facsenac.edu.br Pgina 37 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Os OA - Objetos de Auditoria ou OC - Objetivos de Controle, bem como seus respectivos pontos de controle, esto elencados, de forma genrica, no Plano de Auditoria e dependem do tipo de auditoria a ser realizada: Auditoria da Gesto em Segurana da Informao; Auditoria de Desempenho Operacional de Segurana da Informao; e Auditoria de Conformidade. Os Objetivos de Controle pode englobar computadores, criptografia wireless. Cada tipo de auditoria possui uma gama diferente de Objetos e PC - Pontos de Controle a serem auditados. Portanto, os objetos e pontos de controle dizem respeito ao Plano de Auditoria, o que implica dizer que tais elementos, longe de serem todos utilizados, devem ter sua aplicabilidade analisada diante do contexto a ser empregado. O mundo real pode requerer novos objetos e pontos de controle associados, no listados no Plano de Auditoria original.
Assim sendo os Objetos de Controle so decompostos em Pontos de Controle para cada objeto de auditoria selecionado. Um Ponto de Controle caracteriza situaes especficas que podem estar relacionadas aos produtos, processos, procedimentos, eventos ou qualquer outro item observvel e relevante para uma auditoria de segurana, exemplificado nas figuras 12 e 13.
www.facsenac.edu.br Pgina 38 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
7.2
Segundo Fernandes e Rodrigues (2011) um modelo de processo e metodologias de auditoria de sistemas de tecnologia da informao composto por 9 passos: 7.2.1 Gesto do projeto ou do programa de auditoria Auditorias isoladas e espordicas so pouco eficazes, alm de dispendiosas. O primeiro passo numa auditoria estabelecer a gesto do projeto ou dos projetos que constituem um programa de auditoria. Auditoria , em geral, um trabalho de equipe, realizado na forma de um projeto, no qual esto envolvidas pessoas, que executaro uma srie de atividades tcnicas especializadas, produzindo um resultado demandado por um cliente, dentro de prazos, custos e qualidades esperadas. O escopo da auditoria precisa ser bem delimitado, as comunicaes entre os membros do projeto e com os clientes precisam ser bem organizadas. necessrio fazer monitoramento da ao e tomada de aes corretivas.
7.2.2 Deciso sobre o propsito da auditoria O segundo passo numa auditoria de segurana da informao decidir acerca do propsito da auditoria, que pode variar entre verificar situaes suspeitas, eventos ou ocorrncias que merecem ateno acurada e entre analisar os riscos de segurana a que a organizao pode estar exposta
www.facsenac.edu.br Pgina 39 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
7.2.3 Identificao de objetos e pontos de controle Compreende analisar o sistema de controle interno do auditado, identificando onde os elementos do controle interno se encaixam nos objetos (ou objetivos) e pontos de controle, descritos de forma genrica no plano de auditoria que foi estruturado na fase de planejamento. Junto a estes objetos e pontos se espera obter evidncias a respeito da situao atual da organizao, quanto segurana da informao. Para realizar exames aprofundados preciso definir o que ser auditado, que so os objetos de auditoria (OA). Tais objetos so elencados e selecionados de acordo com o contexto e os propsitos da auditoria. Em seguida so elencados pontos de controle (PC) para cada objeto de auditoria selecionado. 7.2.4 Definio de tcnicas para obter evidncias e procedimentos de controle Uma vez identificados objetos e pontos de controle possvel elencar as tcnicas que sero usadas para a obteno de evidncias que sejam suficientes, adequadas, relevantes e teis para a concluso dos trabalhos, bem como os procedimentos de controle (tambm chamados de testes) que sero efetuados junto aos pontos de controle, permitindo a montagem da roteirizao detalhada.
7.2.5 Montagem da roteirizao de auditoria A roteirizao detalhada de auditoria o itinerrio dos procedimentos e testes que sero ou podero ser executados pelo auditor. A roteirizao montada para que o auditor use da forma mais eficaz o tempo em que estar no ambiente do auditado, bem como para uniformizar os procedimentos de uma equipe da qual participam diversos auditores. A roteirizao descreve a sequncia de passos a seguir, e deve ser sucinta e objetiva, para facilitar a execuo pelo auditor. Para facilitar a compreenso de conceitos complexos, que muitas vezes so articulados ou referenciados numa roteirizao. A roteirizao deve fazer referncia a documentos mais detalhados e descritivos, como normas, guias e padres, por exemplo: ITGI (2007) e ITIL V3 (2007)
www.facsenac.edu.br
Pgina 40 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
7.2.6 Coleta e registro de evidncias em papis de trabalho O sexto passo numa auditoria consiste em coletar e registrar evidncias para fins de avaliao. A coleta feita no ambiente do auditado. A roteirizao detalhada orienta as aes dos auditores em campo durante a coleta e anlise de evidncias, em geral elaborada em formato de formulrios, em papel ou meio digital, que quando preenchidos auxiliam e sumarizam dados para anlise. 7.2.7 Verificao, validao e avaliao de evidncias O stimo passo numa auditoria consiste em, rigorosamente, verificar, validar e avaliar as evidncias obtidas. Muitas delas, que parecem desconectadas em um momento, devem comear a fazer sentido de acordo com os achados ou fatos constatados. Pode-se iterar e voltar a coletar e registrar novas evidncias, conforme se mostrem insuficientemente conclusivos os dados coletados. Isto ocorre, sobretudo, quando no se tem experincia com o tipo de auditoria e os objetos de controle auditados. A conexo lgica entre evidncias, achados e fatos pode ser estabelecida na roteirizao detalhada, mas no deve ser considerada como nica fonte de achados. A roteirizao serve como instrumento para guiar o julgamento do auditor. Os papis de trabalho organizados permitem a recuperao de informao. 7.2.8 Produo de pareceres e outros entregveis O passo final nesse modelo simplificado de processo de auditoria a produo de pareceres com recomendaes e concluses do Auditor. Cada passo pode liberar entregas, como mostrado na Figura 14, destacando-se como produtos da auditoria: o plano de auditoria, os relatrios situacionais de auditoria e os pareceres. O Auditor dever produzir pelo menos um plano de auditoria, um relatrio situacional e um parecer para cada engajamento de auditoria 7.2.9 Acompanhamento ps-auditoria Conforme orienta a norma ISO 19011, o acompanhamento ps-auditoria ocorre sempre no mbito de um programa de auditoria. preciso ter bem definidas as competncias e a forma de avaliao dos auditores, bem como as atividades que sero realizadas. Esse acompanhamento uma atividade de gesto, seja para garantir mudanas, seja para sustentar boas prticas que devem persistir.
www.facsenac.edu.br Pgina 41 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
7.3
A classificao da informao vital em relao do aspecto de conformidade na auditoria. Neste sentido o Decreto 4.553/2002 (BRASIL, Decreto 4553) dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, auxiliando os gestores na definio de critrios de classificao de dados nas organizaes pblicas O decreto cria classificaes de documentos onde o grau de sigilo dado conforme gradao atribuda a dados, informaes, rea ou instalao considerados sigilosos em decorrncia de sua natureza ou contedo. A nomenclatura e os prazos de durao da classificao a que se refere este decreto vigoram a partir da data de produo do dado ou informao, da seguinte forma:
www.facsenac.edu.br Pgina 42 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
Tipo Ostensivos
Descrio Sem classificao, cujo acesso pode ser franqueado a qualquer interessado; Dados ou informaes cuja revelao no autorizada possa comprometer planos, operaes ou objetivos neles previstos ou referidos.
Durao
Reservados
Mximo de
cinco anos.
Dados ou informaes que, no interesse do Poder Executivo e das partes, devam ser de conhecimento Confidenciais restrito e cuja revelao no autorizada possa frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado. Dentre outros, dados ou informaes referentes a sistemas, instalaes, programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estratgicos, cujo conhecimento no autorizado possa acarretar dano grave segurana da sociedade e do Estado. Dentre outros, dados ou informaes referentes soberania e integridade territorial nacionais, a planos e operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e tecnolgico de interesse da defesa nacional e a programas econmicos, cujo conhecimento no autorizado possa acarretar dano excepcionalmente grave segurana da sociedade e do Estado.
Mximo de
dez anos.
Secretos
UltraSecretos
www.facsenac.edu.br
Pgina 43 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
VIII.
Referncias:
ALVES, Sandra. Plano de Continuidade de Negcio: critrios e parmetros para a realizao do BIA (Business Impact Analysis) http://www.brasiliano.com.br/blog/?p=2209 (06/03/11) BS25999.com, Business Continuity Management http://www.bs25999.com (16/02/11) CISCO. Disaster Recovery: Best Practices http://www.cisco.com/en/ US/ technologies/ collateral/tk869/tk769/white_paper_c11-453495.html, 2008 (26/02/11) BRASIL, Decreto 4553 de 27/12/2002 - Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias.. http://www.planalto.gov.br/ccivil_03/decreto/2002/D4553.htm (27/02/11) DIAS, Cludia. Segurana e Auditoria da Tecnologia da Informao. Axcel Books do Brasil, Rio de Janeiro, 2000. DRS Pty - Disaster Recovery Services Pty 2011, Disaster Management - Business Continuity Plan Template & Disaster Recovery Plan Template. http://www.expressbcp.co.uk/ (15/02/11) FAGUNDES, Eduardo M. Disaster Recovery Plan (DRP). http://www.efagundes.com /artigos/Disaster_Recovery_Plan.htm (06/03/11) INTERNACIONAL ORGANIZATION FOR STANDARDIZATION. Norma ISO/IEC 17799:2005. Estados Unidos, 2005. ISACA. Business Continuity: A Business Survival Strategy, Ken Doughty, CISA, CBCP, 2002 http://www.isaca.org/Journal/Past-Issues/2002/Volume-1/Pages/BusinessContinuity-A-Business-Survival-Strategy.aspx (15/02/11) _____. Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit. 2008 http://www.isaca.org/Knowledge-Center/Research/Documents/AligningCOBIT,ITILV3,ISO27002-Bus-Benefit-12Nov08-Research.pdf (12/03/11) ITILV3. An Introductory Overview of ITIL V3, The IT Service Management Forum itSMF Ltd, 2007 ITGI. COBIT 4.1. IT Governance Institute, 2007. MARTINS, Alade Barbosa. SANTOS, Celso Alberto Saibel. Uma metodologia para implantao de um sistema de gesto de segurana da informao Revista de Gesto da Tecnologia e Sistemas de Informao, Vol. 2, No. 2, 2005 ( pp. 121-136)
www.facsenac.edu.br
Pgina 44 de 45
Faculdade de Tecnologia Senac DF Ps-Graduao Lato Sensu em Segurana da Informao Polticas de Segurana e Planos de Continuidade de Negcios Professor: Edilberto Silva http://edilms.eti.br
PELLICIOTTI, Mauro R. Plano de Recuperao de Desastre, 2008. http://www.linhadecodigo.com.br /artigo/1684/Plano-deRecupera%C3%A7%C3%A3o-de-Desastre.aspx RODRIGUES, Roberto W S. Fernandes, Jorge H C. Auditoria e Conformidade de Segurana da Informao, CEGSIC 2009-2011, 2011 SILVA, Aldo. Gesto de Continuidade de Negcios. 28/07/2010. http://securityofficer. wordpress.com /2010/07/28/gestao-de-continuidade-de-negocios (13/02/11) SEMOLA, M. Gesto da segurana da informao. So Paulo: Campus, 2003. _________. Qual o papel do Gestor de Segurana? Coluna Firewall IDGNow, Junho de 2003a
www.facsenac.edu.br
Pgina 45 de 45