Política de Tratamento de Incidentes de Segurança da Informação da UFRGS

Transcrição

1 Política de Tratamento de Incidentes de Segurança da Informação da UFRGS Versão /03/ Introdução 2. Glossário 3. Objetivos 4. Escopo 5. Responsabilidades 6. Procedimentos 7. Considerações finais 1 Introdução Este documento estabelece o processo de tratamento de incidentes de segurança da informação no âmbito da Universidade, criado pelo item da Política de Uso Aceitável dos Recursos de TI da UFRGS. Esta política determina como o tratamento de incidentes de segurança da informação será executado na UFRGS, bem como a atribuição de responsabilidades aos membros da comunidade acadêmica, além de outras determinações. 2 Glossário Para efeitos desta política, entende-se por: Credenciais de autenticação: qualquer informação que é utilizada como chave ou meio de acesso a sistema ou dispositivo de TI que não é de acesso público. Dano: prejuízo, de qualquer natureza, a alguma pessoa ou organização, tenha ela relação ou não com a Universidade. DSINF: Departamento de Segurança da Informação do CPD/UFRGS, na execução das prerrogativas atribuídas pelo Art. 5º da Decisão Nº 124/2014 do Conselho Universitário. Evento suspeito: toda e qualquer situação que aparente se enquadrar na definição de incidente de segurança da informação, conforme seção 4 desta política. Fluxo de comunicação de rede: comunicação digital originada em dispositivo de TI de qualquer propriedade.

2 Fragilidade de segurança: configuração ou situação, temporária ou permanente, de processo, sistema ou dispositivo de TI, que possa ser utilizada como meio de violação de requisito de segurança da informação definido por gestor de informação. Vulnerabilidade em sistema ou dispositivo de TI. Fraude: qualquer ato de má-fé, com o intuito de lesar ou enganar outrem, de não cumprir determinado dever ou de obter vantagens indevidas. Incidente de segurança da informação: evento confirmado pelo TRI como violação de requisito de segurança da informação segundo o escopo desta política. TRI: Time de Resposta a Incidentes de Segurança da Informação, grupo instituído pelo CPD e coordenado pelo DSINF, de acordo com o item IV do Art. 5º da PSI-UFRGS. Segurança da Informação: aspectos físicos, tecnológicos e humanos da organização que têm como objetivo o estabelecimento e manutenção das propriedades de confidencialidade, disponibilidade, integridade e autenticidade atribuídas à informação da Universidade, de acordo com os princípios estabelecidos no Art. 4º da PSI-UFRGS. 3 Objetivos O processo de tratamento de incidentes de segurança da informação tem como objetivos principais: A diminuição dos danos totais causados por incidentes que não puderam ser evitados, bem como a sua reincidência; A promoção efetiva e eficaz da segurança da informação na Universidade. A diminuição do número total de incidentes de segurança da informação envolvendo a Universidade, através de prevenção sistemática dos eventos e eliminação de situações que permitem a ocorrência dos mesmos; 4 Escopo O processo de tratamento de incidentes de segurança da informação abrange todos os incidentes, confirmados ou sob suspeita, que envolvam o nome ou propriedade da Universidade Federal do Rio Grande do Sul, bem como qualquer membro da comunidade acadêmica no exercício da sua relação com a Universidade. São incidentes de segurança da informação contemplados por este processo: a. Violações da Política de Uso Aceitável dos Recursos de TI da UFRGS; b. Dispositivo de tecnologia conectado à rede da UFRGS que esteja contaminado com vírus de computador detectado por mecanismo automatizado ou pessoal qualificado; c. Violação de norma de utilização ou configuração de dispositivo de tecnologia, conectado ou não à rede da UFRGS, detectada automática ou manualmente; d. Utilização de credenciais de autenticação por indivíduo não proprietário das mesmas, incluindo número de cartão UFRGS de outrem;

3 e. Fluxo de comunicação de rede caracterizado como atividade maliciosa por detecção de padrão ou análise manual, ou envolvendo dispositivos identificados por grupos de segurança como fonte de atividades maliciosas; f. Falta da comunicação de fragilidade de segurança conhecida em processo ou sistema de TI, ou abuso da mesma; g. Violação de direito autoral ou propriedade intelectual de qualquer natureza; h. Tentativa de fraude, bem ou malsucedida, independentemente do dano causado; i. Quaisquer outros eventos que constituam violação de requisito de segurança estabelecido por gestor de informação da Universidade, tenham eles origem na própria Universidade ou em grupos externos. 5 Responsabilidades Todos os usuários internos, externos, colaboradores e discentes da UFRGS são responsáveis por garantir a segurança da informação da Universidade e reportar ao TRI qualquer incidente de segurança da informação, confirmado ou não, de que tenham conhecimento, utilizando um dos mecanismos definidos na seção 6.1 desta política. Dentre as responsabilidades específicas, compete: a. Ao TRI executar os procedimentos de tratamento de incidentes de segurança da informação definidos nesta política no surgimento de qualquer denúncia e ou detecção automatizada conforme seção 6.1, e de registrar os incidentes tratados de acordo com a seção 6.4. b. Aos envolvidos, direta ou indiretamente, em um incidente de segurança da informação sendo investigado, fornecer ao TRI toda a informação necessária para o adequado esclarecimento do incidente. c. Ao DSINF e ao Comitê de Segurança da Informação da UFRGS definir, divulgar e promover medidas, controles e sugestões de modificações em processos de trabalho que diminuam a probabilidade da ocorrência de incidentes de segurança da informação envolvendo a Universidade. As Unidades da UFRGS ficam responsáveis pela implantação das indicações do DSINF e do Comitê de Segurança de acordo com o Art. 5º Parágrafo único da PSI-UFRGS. d. Ao DSINF a avaliação periódica e análise crítica dos registros de incidentes que resultam do processo de tratamento de incidentes de segurança e a promoção de ações que evitem a reincidência de incidentes já ocorridos. e. Às Unidades da UFRGS, no desenvolvimento e operação de processos e serviços de TI, gerar e manter, por um período de 3 anos, registros de atividades e rastros de auditoria não adulteráveis que permitam a detecção e o esclarecimento de incidentes de segurança sempre que os mesmos ocorrerem, para os dados que estejam sob custódia da Unidade. f. Ao TRI publicar anualmente um relatório estatístico do número de incidentes para fins de acompanhamento pela comunidade.

4 6 Procedimentos O procedimento padronizado para o tratamento de incidentes de segurança é definido pelas seguintes etapas: 1. Recepção da denúncia ou detecção de evento suspeito 2. Classificação do evento 3. Medidas de contenção imediatas 4. Coleta e análise de evidências e registro 5. Encaminhamentos e notificação dos envolvidos Estas etapas são especificadas a seguir. 6.1 Recepção da denúncia ou detecção de evento suspeito O TRI irá receber a denúncia de eventos suspeitos através de envio de para os endereços fraudes@ufrgs.br (no caso de eventos que pareçam constituir fraudes) ou tri@ufrgs.br (demais casos), e também através de ligação telefônica para o número quando o uso do for inadequado ou inseguro. O TRI também receberá denúncias através dos endereços abuse@ufrgs.br e security@ufrgs.br determinados internacionalmente pela RFC2142 para este fim. O TRI deve instalar e manter sistemas de monitoração capazes de identificar eventos suspeitos de forma automatizada, utilizando como fontes rastros de auditoria e logs de sistemas, fluxos de comunicação de rede e outras fontes de informação disponíveis. Sempre que necessário, a detecção a partir destas fontes pode ser feita de forma manual, dando-se preferência aos métodos automatizados. Cabe ao TRI determinar e manter a execução de ações automatizadas associadas aos mecanismos de detecção que estejam alinhadas com os objetivos do processo, sempre considerando os parâmetros estabelecidos na seção 6.3 desta política. 6.2 Classificação do evento O TRI irá determinar se o evento suspeito sendo analisado constitui ou não um incidente de segurança. Caso o evento não seja classificado como incidente de segurança, o processo deve ser encerrado sem perda do registro da denúncia ou detecção. O TRI pode solicitar informações adicionais aos envolvidos no incidente antes de emitir um parecer. O TRI pode reclassificar uma denúncia ou detecção sempre que novas informações que forem disponibilizadas invalidarem uma classificação inicial. 6.3 Medidas de contenção imediatas O TRI irá determinar um conjunto de ações que devem ser tomadas de forma a conter a propagação e o dano decorridos do incidente, evitando que o dano total do mesmo seja ampliado a partir do momento da recepção. O TRI deve executar esta determinação considerando os seguintes parâmetros, com igual peso: a. O dano potencial total causado pela inação;

5 b. O dano potencial causado pelas medidas de contenção em si. O dano pela inação deve considerar: i. indivíduos, membros ou não da Universidade, ii. terceiros, envolvidos ou não no incidente, e iii. o dano à Universidade, à sua propriedade e à sua imagem. Cabe ao TRI determinar os responsáveis pela execução das ações definidas. A não execução das mesmas pelos responsáveis configurará abuso de fragilidade de segurança, o que implica novo incidente de segurança da informação. A notificação destes responsáveis será feita de forma imediata, ou tão cedo quanto possível. 6.4 Coleta e análise de evidências e registro O TRI fará a solicitação das evidências necessárias ao esclarecimento do incidente para os devidos responsáveis e procederá à sua análise. Cabe ao TRI determinar e registrar, quando aplicável, as seguintes informações: a. Identificação das pessoas e organizações envolvidas e sua relação com a Universidade; b. Descrição do incidente e motivo do mesmo (causa raiz); c. Medidas de contenção recomendadas e resultados; d. Avaliação do dano efetivamente causado e do dano potencial do incidente; e. Grupos e pessoas que devem ser notificados e respectiva informação a ser fornecida, considerando sempre aspectos de confidencialidade pertinentes; f. Medidas a serem tomadas a médio e longo prazo, de forma a evitar reincidência do incidente, e respectivos responsáveis; g. Todas as evidências coletadas durante o processo. 6.5 Encaminhamentos e notificação dos envolvidos Ao fim da análise, o TRI procederá à comunicação dos envolvidos informando: a. Os responsáveis pela execução das ações de médio e longo prazo; b. O denunciante, a respeito dos encaminhamentos feitos; c. Outros grupos de segurança ou interessados que possam fazer uso útil da informação em favor da segurança da informação da Universidade. 6.6 Encaminhamentos para Análise Forense O TRI pode decidir realizar a Análise Forense em algum caso, desde que julgar necessário e previamente encaminhado pelo diretor das unidades envolvidas e mediante abertura de processo administrativo. 7 Considerações finais Esta política será reavaliada sempre que surgirem novos requisitos corporativos segundo a Legislação vigente.

6 A implementação dessa política está sujeita a disponibilidade de recursos financeiros e humanos