POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA OS SERVIÇOS DE INFORMÁTICA LUÍS MANUEL SILVESTRE INSTITUTO POLITÉCNICO DE BRAGANÇA

Tamanho: px
Começar a partir da página:

Download "POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA OS SERVIÇOS DE INFORMÁTICA LUÍS MANUEL SILVESTRE INSTITUTO POLITÉCNICO DE BRAGANÇA"

Transcrição

1 POLÍTIC DE SEGURNÇ D INFORMÇÃO PR OS SERVIÇOS DE INFORMÁTIC LUÍS MNUEL SILVESTRE INSTITUTO POLITÉCNICO DE BRGNÇ

2 POLÍTIC DE SEGURNÇ D INFORMÇÃO PR OS SERVIÇOS DE INFORMÁTIC LUÍS MNUEL SILVESTRE INSTITUTO POLITÉCNICO DE BRGNÇ RESUMO segurança é um processo transversal às organizações. Se é verdade que a sua base é cada vez mais tecnológica e sofisticada, não é menos verdade que só mediante a definição de políticas claras, práticas consistentes, procedimentos eficazes e a participação activa de todos e cada um dos colaboradores, é possível garantir e gerir de forma eficaz e abrangente todos os aspectos relacionados com a Segurança da Informação. O propósito deste projecto é definir a Política de Segurança Informática e Privacidade que os Serviços de Informática do Instituto Politécnico de Bragança devem observar no desenvolvimento das suas actividades, de forma a definir, aprovar e implementar um sistema adequado de controlo e monitorização, suportado por uma Organização de Segurança Informática, envolvendo todos os colaboradores e definindo medidas, regras e responsabilidades. existência de referenciais internacionalmente reconhecidos, como é o caso das normas ISO 17799:2005 e ISO 27001:2005, veio facilitar a abordagem destas matérias, oferecendo ao mercado uma linguagem comum, na qual se sistematizam as melhores práticas. política de segurança define o conjunto de normas, métodos e procedimentos utilizados para a manutenção da segurança da informação, devendo esta ser definida em documento, cujo conteúdo deverá ser do conhecimento de todos os utilizadores que fazem uso da informação. i

3 ÍNDICE Introdução ) Objectivos ) Enquadramento ) Âmbito... 2 Capítulo I - Segurança da informação ) O que é Informação ) O que é um ctivo ) O que é segurança da informação ) Por que é necessária a segurança da informação ) Como Classificar as Informações ) Factores críticos de sucesso... 5 Capítulo II - valiação dos Riscos de Segurança ) Segurança da Rede Rede do IPB valiação do Risco ) Segurança do Hardware Servidores e Equipamentos ctivos de Rede Postos de Trabalho PC s valiação do Risco ) Segurança Física do Centro de Dados ) Localização ) Área ocupada ) Controlo de cessos ) Incêndio ) Controlo térmico e condicionamento de ar ) Chão Falso ) UPS e Gerador ) Plano de Contingência para o Centro de Dados ) Segurança Lógica ) Firewall ) ntivírus ) utenticação e Controlo de cessos ) Criptografia ) Virtual Private Network - VPN ) Detecção de Intrusões ) Sistema de Backup s Capítulo III - Definição da Política ) Política de Segurança da Informação ) Política de segurança da informação ) Documentação da Política de Segurança da Informação ) Revisão da Política de Segurança da Informação ) Organização da segurança da informação ) Infra-estrutura da segurança da informação ) Comprometimento da direcção com a segurança da informação ) Coordenação da segurança da informação ) tribuição de responsabilidades para a segurança da informação ) Processo de autorização para os recursos de processamento da informação ) cordos de confidencialidade ) Partes externas ) Identificação dos riscos relacionados com partes externas ) segurança da informação orientada aos alunos e clientes ) Segurança da informação nos acordos com terceiros ) Classificação e controlo de activos ii

4 3.1) Responsabilidade pelos activos ) Inventário dos activos ) Proprietário dos activos do SIIPB ) Uso aceitável dos activos ) Segurança em recursos humanos ) ntes da Contratação ) Papéis e responsabilidades ) Selecção ) Termos e condições de contratação ) Durante o desempenho de funções ) Responsabilidades da direcção ) Consciencialização, educação e formação em segurança da informação ) Processo disciplinar ) Fim de contrato ) Encerramento de actividades ) Devolução de activos ) Retirada de direitos de acesso ) Segurança Física e mbiental ) Áreas seguras ) Perímetro de segurança ) Controlos de entrada física ) Protecção contra ameaças externas e do meio ambiente ) cesso do público, áreas de entrega e de carregamento ) Segurança de equipamentos ) Instalação e protecção do equipamento ) Segurança da cablagem ) Manutenção dos equipamentos ) Reutilização e alienação segura de equipamentos ) Gestão de Operações e Comunicações Redes e computadores ) Procedimentos e responsabilidades operacionais ) Documentação dos procedimentos de operação ) Gestão de mudanças ) Segregação de funções ) Separação dos recursos de desenvolvimento, teste e de produção ) Gestão de serviços de Outsourcing ) Entrega de serviços ) Planeamento e aceitação dos sistemas ) Gestão de capacidade ) ceitação de sistemas ) Protecção contra códigos maliciosos e códigos móveis ) Códigos maliciosos ) Códigos móveis ) Cópias de segurança ) Cópias de segurança da informação ) Gestão da segurança em redes ) Controlos de redes ) Segurança dos serviços de redes ) Tratamento e segurança de suportes da informação ) Gestão dos suportes informáticos removíveis ) Eliminação dos suportes da informação ) Transacção de informações ) Políticas e procedimentos para a troca de informações ) cordos para a troca de informações ) Serviços On-line ) Transacções on-line ) Informações publicamente disponíveis iii

5 6.10) Monitorização ) Registros de auditoria ) Monitorização de uso do sistema ) Gestão de cessos ) Controlo de acessos ) Política de controlo de acessos; ) Gestão de cessos dos utilizadores ) Registo de utilizadores ) Gestão de privilégios ) Gestão da senha ) nálise crítica dos direitos de acesso de utilizadores ) Responsabilidade dos utilizadores ) Uso de senhas ) Equipamento sem monitorização ) Política de mesa limpa ) Controlo de acessos à rede ) Política de uso dos serviços de rede ) utenticação para conexão externa ) Segregação de redes ) Controlo de conexão e de encaminhamento de redes ) Controlo de acessos ao sistema operativo ) Procedimentos de segurança para a entrada no sistema (log-on) ) Identificação e autenticação ) Gestão de senhas ) Duração da Sessão (time-out) ) Controlo de acesso à aplicação e à informação ) Restrição de acesso à informação ) Isolamento de sistemas sensíveis ) Computação móvel e trabalho remoto ) Computação e comunicação móvel ) Trabalho remoto ) Requisitos de segurança de sistemas de informação ) nálise e especificação dos requisitos de segurança ) Processamento correcto nas aplicações ) Controlos criptográficos ) Política para o uso de controlos criptográficos ) Segurança dos ficheiros do sistema ) Controlo do sistema operativo ) Protecção dos dados para teste de sistema; ) Controlo de acesso ao código-fonte de programa; ) Segurança em processos de desenvolvimento e de suporte ) Procedimentos para controlo de mudanças ) nálise crítica técnica das aplicações após mudanças de sistema operativo ) Gestão de Incidentes de Segurança ) Notificação de fragilidades e eventos de segurança da informação ) Gestão de incidentes de segurança da informação e melhorias ) Gestão da Continuidade de Negócio ) spectos da gestão da continuidade do negócio, relativos à segurança da informação ) segurança da informação no processo de gestão da continuidade de negócio ) Continuidade de negócios e a avaliação de riscos ) Desenvolvimento e implantação de planos de continuidade relativos à segurança da Informação ) Estrutura do plano de continuidade do negócio ) Testes, manutenção e reavaliação dos planos de continuidade do negócio ) Conformidade - Regulamentação e Legislação aplicável ) Conformidade com requisitos legais iv

6 11.1.1) Identificação da legislação vigente ) Direitos de propriedade intelectual; ) Protecção de registos organizacionais; ) Protecção de dados pessoais ) Conformidade com normas e políticas e conformidade Técnica ) Conformidade com as políticas e normas de segurança da informação ) Verificação da conformidade técnica ) uditoria de sistemas de informação ) Controlos de auditoria de sistemas de informação ) Ferramentas de auditoria de sistemas de informação Conclusões Bibliografia Normas Sites Internet nexo I nexo II nexo III nexo IV nexov v

7 INTRODUÇÃO O Instituto Politécnico de Bragança, adiante designado por IPB, é uma pessoa colectiva de direito público, inserida na rede nacional de ensino superior público, dotada de autonomia estatutária, administrativa, financeira, disciplinar e patrimonial. O IPB foi criado em 1979 e integra actualmente cinco escolas, 4 na cidade de Bragança: Escola Superior de Educação, Escola Superior grária, Escola Superior de Tecnologia e de Gestão e Escola Superior de Saúde; e uma na cidade de Mirandela: Escola Superior de Tecnologia e Gestão de Mirandela. o nível das TIC s o IPB possui uma infra-estrutura de comunicações (baseada no meio físico em Fibra Óptica, Cabo de Cobre, Feixes Ópticos laser e WiFi), que suporta as suas redes académicas e administrativas (as primeiras permitem o acesso à Internet e serviços associados por parte de toda a comunidade do IPB, as segundas permitem o acesso à Internet e às aplicações de suporte à actividade operacional do IPB) e desenvolveu um Sistema de Informação de Gestão de Processos dministrativos e poio á Decisão, constituído por aplicações de BackOffice (aplicações administrativas, financeiras e académicas), aplicações de FrontOffice (portal institucional e serviços on-line) e aplicações de Business Intelligence (nexo I). O alto nível de informatização dos serviços e a consequente dependência das TIC s apresentam riscos e vulnerabilidades de segurança que nunca foram abordados de uma forma sistemática, que permitisse definir políticas na área da Segurança da Informação e da Privacidade. Importa identificar, listar e caracterizar as medidas de Política de Segurança Informática que o Serviços de Informática do IPB, adiante designados por SIIPB, devem observar no tratamento da informação, na gestão e utilização dos seus recursos, com especial atenção nas especificações da norma ISO 17799: ) OBJECTIVOS valiar os riscos de segurança informática nos SIIPB e proporcionar directivas de gestão e de suporte para garantir a segurança dos sistemas e tecnologias da informação em termos de integridade, confidencialidade, disponibilidade, autenticidade, não repúdio, auditabilidade e privacidade da informação sob a responsabilidade do SIIIPB. Trata-se de uma abordagem sistematizada para definição de uma política, tendo como objectivo: Enunciar medidas de política de Segurança Informática Definir uma Organização de Segurança Informática. 1

8 Envolver os responsáveis das diversas Unidades Orgânicas do IPB na elaboração de propostas e comentários a esta Política. Identificar e atribuir responsabilidades em termos de gestão da informação Clarificar o papel e função dos diversos intervenientes. Definir políticas de utilização dos meios tecnológicos e informacionais que o SIIPB coloca à disposição dos seus colaboradores (internos e externos). Implementar medidas e acções de monitorização, de controlo e avaliação das políticas de Segurança Informática. 2) ENQUDRMENTO s recomendações constantes deste documento seguem de perto as especificações da norma ISO 17799:2005, que estabelece diversos níveis de análise na definição e implementação de uma Política de Segurança Informática: Política de Segurança Organização da Segurança da Informação Gestão de ctivos Segurança dos Recursos Humanos Segurança Física e mbiental Gestão de Comunicações e Operações Controlo de cessos quisição, Desenvolvimento e Manutenção de Sistemas de Informação Gestão de Incidentes de Segurança da Informação Gestão da Continuidade de Negócio Conformidade 3) ÂMBITO s políticas de Segurança Informática e Privacidade dos SIIPB aplicam-se a todas as unidades orgânicas do IPB. Todos os colaboradores internos (efectivos e não efectivos) e externos, todos os parceiros externos (organismos/empresas ou indivíduos) que necessitem de utilizar a infra-estrutura informática, as instalações ou a informação da responsabilidade do SIIPB ou que este alberga, independentemente do suporte ou formato, encontram-se vinculados e poderão ser responsabilizados pelo não cumprimento das Políticas de Segurança Informática e Privacidade do SIIPB. 2

9 CPÍTULO I - SEGURNÇ D INFORMÇÃO 1) O QUE É INFORMÇÃO Informação é um conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos. informação pode estar presente ou ser manipulada por inúmeros elementos deste processo, chamados activos, os quais são alvos de protecção da segurança da informação. 2) O QUE É UM CTIVO Um activo é todo elemento que compõe os processos, incluindo o próprio processo, que manipulam e processam a informação, a contar com a própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e eliminada. O termo activo possui esta denominação, oriunda da área financeira, por ser considerado um elemento de valor para o individuo ou organização, e que, por esse motivo, necessita de protecção adequada. Existem muitas formas de dividir e agrupar os activos para facilitar o seu tratamento: equipamentos, aplicações, utilizadores, ambiente, informações e processos. Desta forma, torna-se possível identificar melhor as fronteiras de cada grupo, tratando-os com especificidade e aumentar qualitativamente as actividades de segurança. 3) O QUE É SEGURNÇ D INFORMÇÃO informação é um activo, entre outros activos de extrema importância na vida das organizações. informação deve ser protegida de maneira que não ocorra a possibilidade de acessos não autorizados, alterações indevidas ou a sua indisponibilidade. Segurança da Informação precisa de considerar o processo de protecção das ameaças à confidencialidade, integridade e disponibilidade da informação: Confidencialidade Toda a informação deve ser protegida de acordo com o grau de sigilo do seu conteúdo, visando à limitação do seu acesso e uso apenas às pessoas para quem ela é destinada. 3

10 Integridade Toda a Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-la contra alterações indevidas, intencionais ou acidentais. Disponibilidade Toda a informação gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos seus utilizadores, no momento em que os mesmos dela necessitem para qualquer finalidade. 4) POR QUE É NECESSÁRI SEGURNÇ D INFORMÇÃO dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais vulneráveis às ameaças de segurança. interligação de redes públicas e privadas e a partilha de recursos de informação aumentam a dificuldade de se controlar o acesso e reduz a segurança. Muitos sistemas de informação não foram projectados para garantir a segurança, já que, esses sistemas foram desenvolvidos numa época em que não existia interligação de redes de computadores. segurança que pode ser alcançada por meios técnicos é limitada e convém que seja apoiada por uma gestão e procedimentos apropriados. É necessário escolher controlos que permitam a implantação da segurança, mas para que os resultados sejam alcançados é necessária a participação de todos os funcionários da organização, sem excluir a participação dos fornecedores e clientes. 5) COMO CLSSIFICR S INFORMÇÕES Diferentes tipos de informações devem ser protegidas de formas distintas. Para que isto seja possível a informação precisa de ser classificada. classificação é um dos primeiros passos para a implementação de uma política de segurança da informação. o classificar a informação a política pode definir como tratá-la de acordo com a sua classe, escolhendo os mecanismos de segurança mais adequados. informação de uma organização pode ser classificada nos níveis descritos a seguir: a) Informações públicas: estas informações podem ser divulgadas a qualquer pessoa sem que a organização seja prejudicada; b) Informações internas: são informações que não devem sair da organização, mas se isso acontecer não terá consequências danosas para a organização; 4

11 c) Informações confidenciais: o acesso a estas informações é realizado conforme a sua necessidade, só sendo permitido o acesso se as informações forem fundamentais para o desempenho satisfatório do trabalho. d) Informações secretas: para este tipo de informação o controlo sobre o uso das informações é total, o acesso não autorizado é crítico para a organização; e) Informações ultra-secretas: neste tipo de informação o controlo também é total, pois o acesso não autorizado é extremamente crítico para a organização. Estas classificações são dinâmicas, atendendo que as informações consideradas sigilosas em determinada época podem ser de domínio público futuramente. 6) FCTORES CRÍTICOS DE SUCESSO experiência tem mostrado que os seguintes factores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização: a) Uma Política de segurança cujos objectivos e actividades reflictam os objectivos do negócio; b) Uma implementação da segurança consistente com a cultura organizacional; c) Comprometimento e apoio visível da direcção; d) Um bom entendimento dos requisitos de segurança, avaliação de risco e gestão de risco; e) Uma divulgação eficiente da segurança para todos os gestores e funcionários; f) Uma distribuição das directrizes sobre as normas e política de segurança da informação para todos os funcionários e fornecedores; 5

12 CPÍTULO II - VLIÇÃO DOS RISCOS DE SEGURNÇ Os requisitos de segurança são identificados através de uma avaliação sistemática dos riscos. s técnicas de avaliação de riscos podem ser aplicadas em toda a organização ou apenas em parte dela, que para neste caso, o foco da avaliação será apenas aos SIIPB. O risco é a probabilidade das ameaças explorarem as vulnerabilidades, provocando perdas de confidencialidade, causando possivelmente, impactos negativos na organização. Com os resultados obtidos na avaliação de risco é possível direccionar e determinar as acções e prioridades mais adequadas para a gestão dos riscos da segurança e seleccionar os controlos a serem implementados para a protecção desses riscos. É importante que as análises críticas sejam executadas em diferentes níveis de profundidade, dependendo dos resultados obtidos nas avaliações de riscos. Para uma sequência correcta de verificação das vulnerabilidades, deve-se em primeiro lugar, avaliar os riscos a um nível mais geral, dando ênfase a áreas com maior risco, e seguida, avaliar os riscos a um nível mais detalhado, com o objectivo de identificar e solucionar riscos mais específicos. Nesse sentido, foi realizado um inquérito/diagnostico preliminar da Segurança nos Sistemas de Informação do IPB aos 3 responsáveis pelos 3 centros dos SIIIPB, que resultou no inquérito que consta no nexo II. pós a analise do inquérito/diagnostico, decidiu-se efectuar uma análise mais profunda as questões de: segurança da rede (arquitectura), segurança do hardware, segurança física do centro de dados e a segurança lógica; seguindo o seguinte critério de classificação de risco: Risco muito elevado Gera situações muito graves, de difícil recuperação, ou irrecuperáveis. Risco elevado Situações de impacto elevado na instituição, mas de efeitos recuperáveis, numa janela temporal mais ou menos dilatada. Risco pouco elevado Situações de consequências pouco elevadas e de efeitos recuperáveis num curto espaço de tempo 6

13 1) SEGURNÇ D REDE 1.1) Rede do IPB rede de dados do Instituto Politécnico de Bragança interliga actualmente todos edifícios do Campus de Sta polónia, da escola Superior de Tecnologia e de Gestão de Mirandela (ESTGM) e da Escola Superior de Saúde (ESS). O Centro de Comunicações do SIIPB é responsável por administrar, operar e desenvolver o backbone de rede do IPB e a infra-estrutura rede WIFI. Cada unidade orgânica possui redes ligadas ao Backbone do IPB, que as gerem de acordo com normas estabelecidas (mais ao nível de endereçamento) pelos SIIIPB. O backbone do IPB (nexo III) interliga as diferentes Unidades Orgânicas: Escola Superior grária (ES), que para além do edifício principal, utiliza um conjunto de edifícios secundários, nas proximidades do primeiro, localizados no Campus de Sta polónia, interligados por fibra óptica. penas o edifício de apoio às estufas liga-se à rede do IPB através de uma ligação sem fios ponto-a-ponto com a Escola Superior de Saúde. Escola Superior de Tecnologia e de Gestão (ESTiG), possui apenas um edifício situado no Campus de Sta polónia e está ligado à rede do campus por fibra óptica. Escola Superior de Educação (ESE), possui apenas um edifício situado no Campus de Sta polónia e está ligado à rede do campus por fibra óptica. Escola Superior de Tecnologia e Gestão de Mirandela (ESTGM), que ocupa três edifícios (edifício Principal, edifício da Central e edifício da PT), espalhados pela cidade de Mirandela. Interligados entre si, através de ligações sem fios ponto-a-ponto. No edifício principal existe um circuito dedicado para o Campus de Sta polónia, em Bragança. Escola Superior de Saúde (ESS), que se situa em Bragança, num edifício próprio, fora do Campus de Sta polónia. Uma ligação sem fios em feixe óptico recorrendo a um ponto intermédio, (silos) liga a ESS ao Campus de Sta polónia. Os Serviços de cção Social (SS), que disponibilizam três residências de estudantes aos alunos do IPB, em Bragança. Residência Verde e a Residência da Escadaria localizam-se no Campus de Sta polónia e estão ligadas à rede do campus por fibra óptica. terceira, Residência Gulbenkian, liga-se ao campus por uma ligação sem fios, ponto-a-ponto, com a Residência Verde. Os Serviços Centrais não possuem edifício, encontrando-se o grosso dos seus serviços no edifício principal da ES, nomeadamente o Centro de Informática e Centro de Informação e 7

14 Desenvolvimentos dos SIIPB. O Centro de Comunicações dos SIIIPB encontra-se no edifício da ESTiG valiação do Risco Para alem das ameaças inerentes aos equipamentos activos de rede observados no ponto 5.3, da análise da topologia de rede, verifica-se a inexistência de circuitos redundantes entre os edifícios e de uma linha de backup de ligação ao exterior (Internet). ameaça de avaria de um equipamento de rede ou de corte de FO ou de problemas na conectividade com o fornecedor de ISP, torna a rede vulnerável a existência a falhas de serviços de comunicações. Risco Elevado. 2) SEGURNÇ DO HRDWRE 2.1. Servidores e Equipamentos ctivos de Rede O Centro de Comunicações dos SIIPB é responsável pela gestão e manutenção dos equipamentos activos de rede do Backbone (nexo III) e pelos Servidores plicacionais do IPB (nexo IV). Os equipamentos de rede dão resposta às necessidades actuais de comunicações (Gigabit ethernet) ao nível da qualidade de serviço e prioritização de tráfego. Relativamente aos servidores, existe sobrecarga no de correio electrónico de alunos e de funcionários. Esta situação é causada principalmente pelo grande volume de mensagens trocadas com anexos de ficheiros multimédia. Os demais servidores satisfazem cabalmente as necessidades Postos de Trabalho PC s Os postos de trabalho dos Serviços Centrais são administrados pelo Centro de Informática do IPB. São PC s com processadores Pentiun III e Pentiun IV, e com sistemas operativos Windows 2002 e Windows P respectivamente. Como medida de segurança, as contas têm perfil de utilizador restrito. O que não permite a instalação de qualquer programa sem o prévio consentimento do Centro de Informática. Os colaboradores dos SIIIP são responsáveis pela administração dos seus próprios PC s valiação do Risco Nos postos de trabalho, o risco é mínimo. Para a avaliação de risco dos servidores e dos equipamentos activos de rede, foi elaborado um mapa (nexo V) que identifica as ameaças e vulnerabilidades do hardware do centro de comunicações SIIPB. Da análise verifica-se que as principais ameaças relacionam-se com problemas de segurança física do Centro de Dados com as consequentes vulnerabilidades, cujo risco é analisado posteriormente, mas que poderia ser minorado com a extensão da apólice de seguros a todos os equipamentos e, se possível, a realização de contratos de manutenção. Neste sentido, o risco é muito elevado, relativamente às ameaças e vulnerabilidades identificadas. 8

15 3.) SEGURNÇ FÍSIC DO CENTRO DE DDOS 3.1) Localização O Centro de Dados do IPB situa-se no Centro de Comunicações dos SIIIBP, numa área adoptada para o efeito, no piso 1, do edifício da Escola Superior de Tecnologia e Gestão, em Bragança. 3.2) Área ocupada Relativamente à área ocupada verifica-se claramente diminuta para o volume de equipamentos instalados, e, insuficiente para o crescimento previsto para os próximos anos. 3.3) Controlo de cessos Relativamente ao controlo de acessos, o risco é muito elevado atendendo ao seguinte: Não existe qualquer equipamento de controlo de acesso; porta que dá acesso ao Centro de Comunicações dos SIIIPB, é frágil e dá acesso ao corredor das salas de aula; O acesso ao piso 1 pode ser feito por diversas portas durante o dia, existindo apenas segurança na porta principal; Durante a noite o acesso ao Edifício é feito pela porta principal. Depois de passar pelo segurança não existe mais nenhuma barreira, o que permite a circulação de lunos e Docentes no corredor de acesso ao CCOM. 3.4) Incêndio Neste aspecto, a área ocupada pelo centro de comunicações é completamente irregular. O risco é elevado pelas razões que a seguir se indicam: Não existe sistema de detecção de fumo e calor; Não existe um sistema automático de extinção de incêndio, apenas dois extintores nas paredes; Não existe inspecção de certificação do corpo de Bombeiros e Protecção Civil; Não existe um plano de emergência e evacuação em caso de incêndio; 3.5) Controlo térmico e condicionamento de ar O Centro de Comunicações não esta correctamente equipado. Existe um aparelho de ar condicionado, bem dimensionado e com capacidade de refrigeração adequada. Mesmo assim, esta é a questão mais critica e que apresenta neste momento o risco mais elevado, pelas razões seguintes: 9

16 Em caso de avaria do aparelho de ar condicionado, todos os servidores e componentes activos de rede devem ser desligados, até à sua reparação ou substituição; inexistência de um sistema de monitorização ambiental, significa que nenhum alerta será produzido em caso de alterações com a temperatura e humidade, resultantes da avaria do ar condicionado, originado o aquecimento excessivo dos equipamentos e na sua danificação. 3.6) Chão Falso Não existe chão falso, o que dificulta a passagem de cabos eléctricos de rede. O risco é pouco elevado. 3.7) UPS e Gerador Existe 1 UPS no Centro de Comunicações e não existe gerador de corrente para suporte prolongado de falta de corrente. O risco é elevado, não pela insistência do gerador, mas por não existir uma UPS redundante. 3.8) Plano de Contingência para o Centro de Dados Não existe um plano de contingência. O risco é elevado. 4.) SEGURNÇ LÓGIC 4.1) Firewall Todas as redes administradas pelo CCOM estão protegidas por firewall. O Risco é baixo. 4.2) ntivírus Todos os servidores com sistemas operativos vulneráveis possuem antivírus. O Risco é Baixo. 4.3) utenticação e Controlo de cessos autenticação é feita no LDP. Na maioria dos casos onde é necessário fazer autenticação o canal de comunicação com o LDP e com o cliente está protegido por um canal seguro, mas ainda existem alguns casos especialmente na comunicação com o LDP onde a comunicação passa em claro. Risco elevado. 4.4) Criptografia Existem apenas certificados para os serviços que requerem autenticação. O Risco é pouco elevado atendendo à inexistência de uma infra-estrutura de chaves públicas 4.5) Virtual Private Network - VPN 10

17 O acesso exterior a recursos normalmente disponíveis apenas dentro do Campus do IPB, é feito por VPN. O Risco é pouco elevado. 4.6) Detecção de Intrusões Existe protecção contra alguns tipos de intrusão, mas não existe nenhum sistema de detecção de intrusões. O Risco é Elevado. 4.7) Sistema de Backup s Relativamente ao sistema de backup s o risco é bastante elevado atendendo às condicionantes seguintes: s tapes das cópias totais (full Backup) e cópias incrementais (incremental Backup) ficam depositadas no Centro de Comunicações de terça-feira à terça-feira da semana seguinte. É feita uma cópia total às terças-feiras à noite e nos dias seguintes uma cópia incremental baseada na cópia total. O risco é muito, muito elevado, porque em caso de catástrofe e destruição Centro de Comunicações, perde-se toda a actividade realizada durante a semana. s tapes das cópias totais (full Backup) e incrementais (incremental Backup) da semana anterior, são depositadas às terças-feiras no Centro de Informática que se situa noutro edifício. O risco é muito elevado, uma vez que o armazenamento das tapes de backup não é efectuado em local com segurança apropriada (gaveta normal). O seu transporte sofre também de deficiências, uma vez que não é utilizado um meio adequado. rotação das tapes de Backup s é semanal, no entanto, não está estipulado um prazo máximo de utilização das tapes (para serem destruídas e substituídas por novas). O risco é mínimo atendendo a verificação diária de erros de backup s. Não existe ambiente de testes que possibilite a verificação e teste efectivo relativamente à funcionalidade dos restauros. O risco é elevado. 11

18 CPÍTULO III - DEFINIÇÃO D POLÍTIC s metodologias, políticas, responsabilidades, regras e medidas de segurança descritas nos pontos seguintes, têm como objectivo ajudar os colaboradores do SIIPB, a desenvolver e concretizar estratégias que permitam proteger e garantir a disponibilidade, integridade e confidencialidade dos dados, a utilizar e manipular os recursos que o IPB disponibiliza. Desta forma contribui-se para o fomento de uma cultura de segurança informática em que as componentes segurança, privacidade e confidencialidade dos dados e dos sistemas informáticos, bem como a segurança das pessoas e bens, se encontram protegidas e salvaguardadas. 1) POLÍTIC DE SEGURNÇ D INFORMÇÃO Objectivo: Prover uma orientação e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direcção do IPB estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda organização. 1.1) Política de segurança da informação 1.1.1) Documentação da Política de Segurança da Informação a) direcção do IPB é a entidade responsável por aprovar e publicar o documento Política de Segurança Informática e Privacidade, que contém uma definição clara da estratégia da Política de Segurança Informática e Privacidade para o SIIPB. b) Todas as políticas, processos e procedimentos, têm que ser emanados de forma eficaz a todos os colaboradores do SIIPB e do IPB, devendo para tal optar-se por meios de divulgação claramente identificados e do conhecimento de todos. c) Todas as excepções às políticas de Segurança Informática e Privacidade do SIIPB terão que ser submetidas a aprovação junto do órgão Conselho de Segurança Informática e Privacidade, devidamente formatadas e documentadas ) Revisão da Política de Segurança da Informação. O Gabinete de Segurança é responsável pela revisão do documento da Política de Segurança Informática e Privacidade. Esta revisão deve ser efectuada sempre que se justifique, com uma periodicidade, no mínimo, anual. 2) ORGNIZÇÃO D SEGURNÇ D INFORMÇÃO Objectivos: Gerir a segurança da informação na organização. Convém que uma estrutura de gestão seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da 12

19 organização. Pretende-se a criação de fóruns orientados à gestão, mediante a liderança da direcção, onde se privilegie o debate de sensibilidades por forma a estruturar a política de segurança da informação, atribuir as funções da segurança bem como coordenar e difundir a implementação da segurança através da organização. 2.1) Infra-estrutura da segurança da informação 2.1.1) Comprometimento da direcção com a segurança da informação a) De acordo com a alínea b) do artigo 1º da Resolução do Conselho de Ministros nº 5/90 de 28 de Fevereiro de 1990, cabe aos directores dos estabelecimentos, das empresas, dos organismos ou serviços, a protecção dos dados, programas, instalações, material informático, pessoal e comunicações contra quebras de segurança. b) direcção do IPB deve aprovar, publicar e difundir o documento Políticas de Segurança da Informação ) Coordenação da segurança da informação Deve ser criado o Conselho de Segurança Informática e Privacidade (CSIP) que tem como missão criar as condições para que a função Segurança Informática e Privacidade seja implementada de uma forma transversal ao IPB (horizontal e verticalmente) manifestando a sua influência em todas as actividades desenvolvidas pela globalidade das unidades orgânicas do IPB. O objectivo primeiro do CSIP é a criação e sistematização de uma hierarquia com responsabilidades na definição e avaliação do cumprimento das políticas, processos e procedimentos de segurança informática e privacidade aprovados no IPB ) tribuição de responsabilidades para a segurança da informação a) O Gabinete de Segurança Informática tem as seguintes responsabilidades: Definir, mediante estudos/diagnósticos, e propor a aprovação, as normas e procedimentos de segurança activa e passiva das instalações e equipamentos; Estudar e propor as normas e procedimentos de segurança informática; Promover o cumprimento das normas e procedimentos de segurança estabelecidos, numa perspectiva integrada; Elaborar propostas para o sistema de classificação da informação; Realizar acções de auditoria e monitorização, acompanhamento e avaliação do cumprimento das normas e procedimentos de segurança, revisão, a manutenção e publicitação do documento Política de Segurança Informática e Privacidade, junto de todos os interessados. b) Os responsáveis/gestores de Informação têm como incumbência zelar pela gestão dos activos de informação e pelo cumprimento das obrigações legais derivadas da lei n.º 67/98, de 26 de Outubro, Lei da Protecção de Dados Pessoais. 13

20 2.1.4) Processo de autorização para os recursos de processamento da informação O uso de equipamento pessoal para processamento de informação no ambiente de trabalho pode trazer novas vulnerabilidades e, por esta razão, tem de ser analisado e autorizado. Excepções para determinados tipos de equipamento como, por exemplo, agendas electrónicas, têm de ser aprovadas pelo Gabinete de Segurança Informática ) cordos de confidencialidade Os acordos de confidencialidade e não-revelação endereçam o requisito de protecção da informação confidencial de modo a que a organização esteja em conformidade com os termos da lei. Os requisitos de confidencialidade e não-revelação são revistos periodicamente e quando ocorrem alterações que influenciem esses requisitos. 2.2) Partes externas 2.2.1) Identificação dos riscos relacionados com partes externas Os contratos com empresas ou particulares, que incluam acesso à Informação, à infra-estrutura e/ou às instalações do SIIPB, têm de conter cláusulas de Segurança Informática e Privacidade a serem cumpridos por todos os seus colaboradores. inda que tais cláusulas possam resultar de um conjunto tipo predefinido, os riscos têm de ser avaliados de forma a identificar possíveis cláusulas específicas ) segurança da informação orientada aos alunos e clientes s políticas de Segurança Informática e Privacidade aplicam-se a todos os alunos e clientes que necessitem de utilizar a infra-estrutura informática, as instalações ou a informação sob a responsabilidade do SIIPB ) Segurança da informação nos acordos com terceiros s políticas de Segurança Informática e Privacidade reflectem-se nos acordos com todos os parceiros externos - organismos/empresas ou indivíduos - que necessitem de utilizar a infraestrutura informática, as instalações ou a informação sob a responsabilidade do SIIPB. 3) CLSSIFICÇÃO E CONTROLO DE CTIVOS Objectivo: lcançar e manter a protecção adequada dos activos da organização. Convém que todos os principais activos de informação sejam inventariados e tenham um proprietário responsável. O inventário dos activos ajuda a assegurar que a protecção está sendo mantida de forma adequada. 3.1) Responsabilidade pelos activos 3.1.1) Inventário dos activos a) Todos os activos informáticos do IPB encontram-se inventariados. Existe um processo de gestão do inventário suportado pela aplicação de ERP GIF, devidamente documentado. 14

21 b) Todos os activos de informação, propriedade do IPB, são objecto de registo devidamente actualizado com indicação dos seus detentores, identificando as respectivas responsabilidades na sua utilização, para além da classificação, aprovação e documentação do seu nível de segurança, quando aplicável ) Proprietário dos activos do SIIPB Existe apenas um proprietário/gestor por cada activo de informação, indicado pelo responsável técnico dos SIIPB, e registado na aplicação de ERP GIF ) Uso aceitável dos activos Deve existir uma Política de Utilização ceitável para todos os activos e para todas as áreas que contenham informação crítica do IPB, actualizada periodicamente. 4) SEGURNÇ EM RECURSOS HUMNOS Objectivo: ssegurar que os funcionários, fornecedores e terceiros entendam as suas responsabilidades e estejam de acordo com os seus papéis. Reduzir os riscos de erro humano, roubo e fraude. Convém que as responsabilidades de segurança sejam atribuídas na fase de recrutamento, incluídas em contratos e monitorizadas durante a vigência de cada contrato. 4.1) ntes da Contratação 4.1.1) Papéis e responsabilidades Durante o processo de selecção deve ser bem claro para o potencial colaborador a filosofia de funcionamento dos SIIPB, quais os objectivos e responsabilidades inerentes à função, incluindo a componente de segurança ) Selecção verificação de antecedentes deverá ser cuidadosamente equilibrada com a função em causa, principalmente, se a componente de segurança constituir o ponto central das funções a desempenhar ) Termos e condições de contratação a) No acto da contratação do novo funcionário, será transmitida a Política de Segurança e Privacidade em vigor no IPB, que será lida pelo novo funcionário e assinada, assinalando deste modo, a sua aceitação. b) Os contratos com empresas ou particulares, que incluam acesso à Informação, à infra-estrutura e/ou às instalações do SIIPB, têm de conter cláusulas de Segurança Informática e Privacidade a serem cumpridas por todos os seus colaboradores. 4.2) Durante o desempenho de funções 4.2.1) Responsabilidades da direcção 15

22 direcção do IPB deve requerer aos seus funcionários, fornecedores e terceiros uma conduta de acordo com as políticas e procedimentos estabelecidos da organização ) Consciencialização, educação e formação em segurança da informação a) Todos os colaboradores dos SIIPB e utilizadores dos seus serviços são responsáveis pela segurança e privacidade da informação. b) Todos os colaboradores dos SIIPB devem receber formação em segurança informática e privacidade da informação, de forma a garantir que estão cientes dos riscos e ameaças, e que estão preparados para cumprir com as suas obrigações no decurso do seu trabalho diário. c) Os SIIPB em conjunto com a Secção de Pessoal deverão elaborar um plano de formação em segurança e privacidade da informação, compreendendo também a formação sobre a correcta utilização das Tecnologias de Informação, a todos os colaboradores operacionais do IPB ) Processo disciplinar violação das Políticas de Segurança Informática e Privacidade do SIIPB está sujeita ao levantamento de acções disciplinares, ajustadas à natureza da violação cometida. 4.3) Fim de contrato 4.3.1) Encerramento de actividades cessação da prestação de serviços de colaboradores do IPB, fornecedores ou utilizadores deve ser comunicado aos SIIPB ) Devolução de activos O colaborador dos SIIPB na cessação da prestação de serviços, deve entregar todo o equipamento que lhe foi afecto ) Retirada de direitos de acesso Na cessação da prestação de serviços de colaboradores, fornecedores ou utilizadores são removidos de todos os privilégios de acesso aos serviços disponibilizados pelos SIIPB. 5) SEGURNÇ FÍSIC E MBIENTL Objectivo: Prevenir acesso não autorizado, dano e interferência às informações e instalações físicas da organização. Convém que os recursos e instalações de processamento de informações críticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controlo de acesso. Convém que estas áreas sejam fisicamente protegidas de acesso não autorizado, dano ou interferência. 5.1) Áreas seguras 5.1.1) Perímetro de segurança 16

23 a) s áreas onde se situam os equipamentos e a informação mais crítica do IPB estão identificadas, de forma a se implementar barreiras e controlos de segurança mais rígidos e inibir o acesso de pessoal não autorizado às zonas mais sensíveis. b) Toda a informação confidencial utilizada em equipamentos de suporte (impressoras, fotocopiadoras e faxes) é alvo de especiais medidas de segurança, podendo ser equacionada a necessidade de colocar esses equipamentos em locais seguros de acesso restrito e controlado ) Controlos de entrada física a) É proibido o acesso de pessoal não autorizado pelos SIIPB ao Data Center situado no CCOM, área onde estão colocados os servidores e os equipamentos relativos às comunicações internas e externas. Quando autorizados, o acesso só e só pode ser feito com o acompanhamento permanente de pelo menos um colaborador do CCOM. b) área ocupada pelos SIIPB é considerada reservada e deverá manter-se fechada fora das horas de serviço. O seu acesso só pode ser feito com conhecimento prévio dos SIIPB, com a excepção do pessoal de vigilância e limpeza. c) Deverá ser implementado um sistema de controlo de acessos, por perfis e com registos de entradas e saídas ) Protecção contra ameaças externas e do meio ambiente protecção física contra desastres naturais, como fogo, inundação e explosão, entre outros, tem de ser desenhada e implementada ) cesso do público, áreas de entrega e de carregamento s áreas de cargas e descargas são controladas e isoladas das instalações de processamento da informação, com o objectivo de evitar acessos não autorizados. Os requisitos de segurança são determinados a partir de uma análise de risco. 5.2) Segurança de equipamentos 5.2.1) Instalação e protecção do equipamento a) Nenhum equipamento, informação de acesso reservado, software ou media, pode ser retirado das instalações do SIIPB sem que para tal exista uma autorização por escrito. Esta medida pretende assegurar que o equipamento, o software e a informação, registada em qualquer tipo de media, que são propriedade do IPB, ou estão à sua guarda, desapareçam ou sejam utilizados para fins não autorizados. b) Todos os equipamentos, designadamente servidores e equipamentos activos de rede deverão estar ligados a uma unidade de alimentação ininterrupta (UPS), que garanta o seu funcionamento, em caso de falha de energia eléctrica, durante o tempo suficiente para efectuar o shutdown dos sistemas ) Segurança da cablagem 17

24 a) Deve ser mantido actualizado o plano da rede de cabos. Deste plano deve constar todas as ligações, local dos bastidores, das tomadas, dos locais de passagem dos cabos e tipo de cablagem. b) instalação eléctrica deverá ser feita de modo a estar em conformidade com as especificações do fabricante, prevenir danos aos equipamentos e garantir um fornecimento seguro de energia. instalação eléctrica tem de estar em conformidade com as normas e legislação vigentes em Portugal ) Manutenção dos equipamentos Tem de ser efectuada uma manutenção correcta dos equipamentos, de forma a garantir a disponibilidade e integridade contínua dos mesmos ) Reutilização e alienação segura de equipamentos Toda a informação não pública ou software licenciado é definitivamente apagado dos suportes de armazenamento reutilizáveis antes de estes serem entregues para destruição, retoma ou substituição. 6) GESTÃO DE OPERÇÕES E COMUNICÇÕES REDES E COMPUTDORES Objectivo: Garantir a operação segura e correcta dos recursos de processamento da informação. Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes. 6.1) Procedimentos e responsabilidades operacionais 6.1.1) Documentação dos procedimentos de operação Os documentos e os sistemas de documentação têm de ser mantidos em local seguro, com acesso reduzido ao mínimo e sempre autorizado pelo proprietário da aplicação. Caso este sistema se encontre ou interaja com uma rede pública tem de ser protegido adequadamente ) Gestão de mudanças organização deve verificar a implementação dos acordos, monitorizar a sua conformidade e gerir as alterações de modo a garantir que os serviços entregues estão em conformidade com todos os requisitos acordados com o terceiro ) Segregação de funções s responsabilidades têm de ser apropriadamente distribuídas de forma a eliminar as oportunidades de modificações não autorizadas. É importante que a auditoria da segurança permaneça como uma actividade independente. entidade que organiza um processo de negócios deve ser separada da entidade que o executa. 18

25 6.1.4) Separação dos recursos de desenvolvimento, teste e de produção Tem de existir uma clara separação entre os ambientes/sistemas utilizados para Desenvolvimento, para Testes (funcionais e de pré-produção) e para Produção contribuindo para manter a integridade de todos os ficheiros aplicacionais de dados e de sistemas, durante as diferentes fases do ciclo de vida. 6.2) Gestão de serviços de Outsourcing 6.2.1) Entrega de serviços Devem ser estabelecidos critérios de aceitação para os novos sistemas e aplicações de TIC, actualizações e novas versões. Devem ser efectuados testes apropriados aos sistemas antes da sua aceitação ) Monitorização, análise e gestão de mudanças para serviços de Outsourcing Devem ser implementados mecanismos para garantir o nível adequado de segurança da informação e serviço prestado. Estes mecanismos têm de estar em linha com os acordos existentes de prestação de serviços de terceiros. organização deve verificar a implementação dos acordos, monitorizar a sua conformidade e gerir as alterações de modo a garantir que os serviços entregues estão em conformidade com todos os requisitos acordados com o terceiro. 6.3) Planeamento e aceitação dos sistemas 6.3.1) Gestão de capacidade Deve-se minimizar o risco de falhas dos sistemas informáticos através de um correcto dimensionamento da infra-estrutura disponível ) ceitação de sistemas Devem ser estabelecidos critérios de aceitação para os novos sistemas e aplicações de TIC, actualizações e novas versões. Devem ser efectuados testes apropriados aos sistemas antes da sua aceitação. 6.4) Protecção contra códigos maliciosos e códigos móveis 6.4.1) Códigos maliciosos Têm de ser implementados controlos para a detecção e prevenção de programas maliciosos, assim como os procedimentos para a devida consciencialização dos utilizadores. protecção contra programas maliciosos deve ser baseada na consciencialização de segurança, no controlo de acessos adequado e nos mecanismos de gestão de alterações ) Códigos móveis Todos os códigos móveis devem ser devidamente testados do ponto de vista da segurança, e sempre que possível executados em máquinas virtuais ou em ambientes seguros, por forma a garantir que este tipo de código não possa copiar, apagar ou alterar dados não autorizados de um computador ou sistema. 19

26 6.5) Cópias de segurança 6.5.1) Cópias de segurança da informação a) Os suportes magnéticos que contenham cópias (salvaguardas) de informação considerada crítica estão devidamente identificados com informação do conteúdo e nível de segurança e guardados em cofres anti-fogo e anti-magnéticos, suficientemente distantes do CPD ou dos servidores que lhes deram origem. b) Todas as cópias de segurança dever ser realizadas de acordo com o definido no plano de copias de segurança. c) Todos os procedimentos de cópia e restauro devem estar devidamente documentadas. d) Deve-se validar regularmente as cópias de segurança e testar o seu restauro. 6.6) Gestão da segurança em redes 6.6.1) Controlos de redes a) Cada administrador deve ser responsável pelas redes sob sua administração. b) gestão dos equipamentos de rede que constituem o Backbone do IPB á da responsabilidade do Centro de Comunicações dos SIIPB. c) Devem ser implementados mecanismos de salvaguarda da integridade e confidencialidade nas redes públicas e redes wifi usando Firewall s e Vlan s 6.6.2) Segurança dos serviços de redes a) rede do IPB é segmentada em diferentes redes virtuais (VLN s). s condições de acesso do exterior de cada uma destas redes varia de acordo com a criticidade da informação/serviço a aceder. b) É proibido o uso de modems ou equipamentos equivalentes para ligação de computadores da rede do IPB a redes externas, com excepção das situações devidamente autorizadas pelo responsável do pelouro de Segurança Informática e Privacidade. c) Só é permitido o acesso à Rede Wi-Fi do IPB com equipamentos (placas de rede) certificados e aprovados de acordo com a legislação em vigor. d) Não é permitida a instalação de Pontos de cesso Wi-Fi nas Instalações do IPB (Campus de Sta polónia, Escola Superior de Saúde e Escola Superior de Tecnologia e Gestão de Mirandela) sem conhecimento prévio e autorização expressa do CCOM. e) utilização de outros equipamentos que operem na banda dos 2.4 GHz nas Instalações do IPB deve ser precedida de comunicação ao CCOM, para prévia verificação de possíveis interferências com a Rede Wi-Fi do IPB. 6.7) Tratamento e segurança de suportes da informação 6.7.1) Gestão dos suportes informáticos removíveis 20

27 Dependendo da classificação da informação que albergam, todos os meios de armazenamento têm de estar sujeitos a procedimentos de segurança durante o seu transporte, armazenamento, etiquetagem, distribuição, manuseamento e destruição ) Eliminação dos suportes da informação Devem ser definidos procedimentos para a eliminação dos meios de armazenamento da informação por tipo de suporte, de forma a garantir a impossibilidade de recuperação de informação. 6.8) Transacção de informações 6.8.1) Políticas e procedimentos para a troca de informações informação considerada confidencial, quando em trânsito entre sistemas situados em locais diferentes ou que se encontre armazenada em computadores portáteis deverá ser protegida através de sistemas de criptografia. Quando se encontra em forma escrita deverá ser protegida através de protecções físicas adequadas ) cordos para a troca de informações troca de informação em suporte físico ou lógico com outras entidades externas só será feita após a definição de um protocolo ou política sobre os termos da comunicação e sobre as restrições à utilização dessa informação ) Segurança no correio electrónico a) O acesso ao correio electrónico é autenticado com base nas credenciais dos utilizadores armazenadas no directório central de autenticação (LDP) e todo o processo de autenticação é protegido por um túnel SSL. b) O envio deverá ser autenticado pelas credenciais do utilizador e todo o processo de autenticação é protegido por um túnel SSL. 6.9) Serviços On-line 6.9.1) Transacções on-line necessidade de garantir a confidencialidade e a integridade de determinadas mensagens aconselha a implementação de mecanismos de cifragem\decifragem e de assinaturas digitais ) Informações publicamente disponíveis Toda a informação disponibilizada nos sistemas de acesso público (Web Servers) tem de ser sujeita a um processo de aprovação junto do seu proprietário/gestor. 6.10) Monitorização ) Registros de auditoria 21

28 Os sistemas têm de ser monitorizados para detectar desvios face à política de controlo de acessos e gravar eventos monitorizáveis para fornecer evidência no caso de existirem incidentes de segurança ) Monitorização de uso do sistema utilização de ferramentas de captura de tráfego para monitorização só pode ser efectuada por colaboradores do SIIPB devidamente autorizados pelo membro da direcção do IPB, responsável pelo pelouro de Segurança Informática e Privacidade ) Protecção das informações dos registos (log); Os registos são guardados por máquina e num repositório central, a que apenas os administradores dos sistemas têm acesso ) Registos (log) de administrador e operador; a) Os registos de administrador são apenas acedidos pelo administrador dos sistemas e são auditados regularmente ou no caso de detecção de uma anomalia. b) Os registos do operador devem estar protegidos contra modificações pelo operador. Devem ser auditados regularmente ou no caso de detecção de uma anomalia pelo administrador de sistemas ) Registos (log) de falhas; Registos de falhas são apenas acedidos pelo administrador dos sistemas e são auditados regularmente ou caso de detecção de uma anomalia ) Sincronização dos relógios a) É importante a correcta configuração dos relógios dos computadores para assegurar a precisão dos registos de ocorrência (hora e data) que podem ser necessários para investigações. b) Os relógios devem ser sincronizados com o servidor NTP do IPB que por sua vez está sincronizado com o servidor de NTP da FCCN. 7) GESTÃO DE CESSOS Objectivo: Controlar o acesso à informação. O acesso às infra-estruturas e às aplicações é feito através do fornecimento de credenciais que autentica o utilizador e delimita o acesso. 7.1) Controlo de acessos 7.1.1) Política de controlo de acessos; a) s necessidades do controlo de acessos têm de ser definidas, documentadas e publicadas. s regras e direitos do controlo de acessos para cada utilizador ou grupo de utilizadores têm de estar descritas de um modo claro na declaração das políticas de acesso. 22

29 b) Têm de ser implementados mecanismos de controlo de acesso lógico às redes, sistemas, aplicações e dados de acordo com a criticidade dos mesmos e o risco associado à perda, divulgação, corrupção ou apropriação da mesma. 7.2) Gestão de cessos dos utilizadores 7.2.1) Registo de utilizadores a) Todas as contas de funcionários e colaboradores só poderão ser criadas no LDP após confirmação da secção de pessoal do IPB. b) Todas as contas de alunos são criadas no LDP no acto da 1ª matrícula, através de um processo automático que interage com os serviços académicos. c) Todos os serviços electrónicos do IPB devem possuir mecanismos de registo de utilizadores que utilizem o sistema de autenticação no LDP. d) Todas as contas de funcionário ou colaborador têm de ser imediatamente desactivadas após terminar ou ser suspendido o vínculo contratual ou de colaboração com IPB. e) s contas de antigos alunos deverão apenas continuar activas para alguns serviços que constem de regulamento próprio e desactivados todos os restantes ) Gestão de privilégios a) Os privilégios apenas podem ser concedidos à medida das reais necessidades dos utilizadores. Devem ser definidos os requisitos mínimos para os utilizadores e atribuir privilégios adicionais apenas quando necessário. b) Tem de ser mantido um registo de todos os privilégios concedidos e do processo de autorização ) Gestão da senha a) Todos alunos e funcionários têm um identificador, pessoal e intransmissível e uma senha confidencial, que os identificará univocamente. b) Todos os alunos deverão activar a senha através de um código utilizador (login) e referência atribuída pelos serviços académicos após a 1ª matricula juntamente com o número do BI. c) Todos os funcionários deverão activar a senha dirigindo-se ao Centro de Comunicações dos Serviços de Informática do IPB. d) Todos os utilizadores devem mudar a senha regularmente. Devem existir mecanismos automáticos que obriguem a mudança de senha ) nálise crítica dos direitos de acesso de utilizadores Para manter um controlo efectivo de acesso aos dados e serviços disponibilizados, deve existir um processo formal que garanta que são efectuadas revisões periódicas aos direitos dos utilizadores. Os direitos dos utilizadores têm de estar documentados e armazenados centralmente. 7.3) Responsabilidade dos utilizadores 7.3.1) Uso de senhas 23

30 a) Cada utilizador é responsável pelo bom uso das suas contas, consequentemente pela salvaguarda da respectiva senha. b) Têm de existir regras quanto à utilização e gestão das senhas dos utilizadores, devidamente ajustadas à criticidade da informação armazenada. s senhas de utilizadores com acessos privilegiados têm de estar sujeitas a regras mais rígidas. c) Em caso de suspeita de má utilização ou usurpação de senhas, as contas devem ser imediatamente bloqueadas pelos Serviços de Informática ) Equipamento sem monitorização Cada utilizador é responsável pelo bom uso dos seus equipamentos e pelas consequências resultantes da má utilização dos mesmos ) Política de mesa limpa Toda a informação não pública, independentemente do meio, tem de ser guardada de forma segura, sempre que o seu utilizador se ausentar do local de trabalho. 7.4) Controlo de acessos à rede 7.4.1) Política de uso dos serviços de rede O acesso aos serviços internos e externos de rede tem de ser controlado de modo a evitar o comprometimento da segurança e respeito pelos regulamentos ) utenticação para conexão externa Todas as conexões externas a serviços críticos e a serviços que se encontrem na intranet administrativa do IPB estão barradas. Só é permitido o acesso quando justificado, por VPN ou dialup ) Segregação de redes a) Deve existir uma rede de acesso geral e público - Rede cadémica - dividida em Sub-Redes por unidades orgânicas (escolas e serviços). b) Deve existir uma rede de acesso reservado Rede dministrativa protegida por firewall física ) Controlo de conexão e de encaminhamento de redes a) Todos os acessos devem ser controlados por autenticação e por IP. b) definição de rotas deve ser feita manualmente. 7.5) Controlo de acessos ao sistema operativo 7.5.1) Procedimentos de segurança para a entrada no sistema (log-on) Têm de ser utilizados mecanismos de segurança ao nível do sistema operativo para restringir ou prevenir o acesso não autorizado a computadores ) Identificação e autenticação Sempre que, por razões bem definidas e identificadas, for necessário partilhar userids (identificador) e senhas, essa partilha tem de ser aprovada pelos responsáveis, devidamente documentada e deve ficar sujeita a um conjunto de medidas de segurança adicionais. 24

31 7.5.3) Gestão de senhas Todas as senhas de utilizadores operacionais dos Serviços de Informática, contas de root ou administrador, devem ser mudadas com uma periodicidade acrescida ) Duração da Sessão (time-out) Deve ser definido um time-out máximo de 5 minutos de inactividade para todos os sistemas operativos. 7.6) Controlo de acesso à aplicação e à informação 7.6.1) Restrição de acesso à informação Todos os utilizadores de aplicações têm de estar registados com informação relativa ao seu perfil de utilizador ) Isolamento de sistemas sensíveis Todos os sistemas considerados sensíveis devem estar protegidos por firewall e/ou o seu acesso deve ser realizado através de servidores de proxy reverse. 7.7) Computação móvel e trabalho remoto 7.7.1) Computação e comunicação móvel È permitido o acesso à rede publica do IPB e a Internet utilizando tecnologia wireless e-u rede protegida por técnicas de cifragem ) Trabalho remoto É permitido o acesso remoto por VPN a rede do IPB aos serviços disponibilizados. 8) QUISIÇÃO, DESENVOLVIMENTO E MNUTENÇÃO DE PLICÇÕES Objectivo: Garantir que a segurança seja parte integrante dos sistemas de informação, para isso os requisitos de segurança devem ser identificados e acordados antes do desenvolvimento dos sistemas de informação. 8.1) Requisitos de segurança de sistemas de informação 8.1.1) nálise e especificação dos requisitos de segurança a) É necessário identificar e aprovar os requisitos de segurança antes de se passar ao desenvolvimento dos sistemas. Os requisitos de segurança têm de reflectir o valor dos activos de informação que estão envolvidos e os danos causados por violação ou perda desses activos, seja de forma voluntária ou involuntária. Os controlos introduzidos na fase de desenho são mais económicos do que se forem introduzidos após a implementação. segurança tem de ser construída em simultâneo com os sistemas. 25

32 b) É desejável uma segregação de funções objectiva, por forma a restringir os acessos de forma a manter sob controlo a integridade dos sistemas em Produção e em Desenvolvimento e Testes. c) Nenhum elemento da equipa de Desenvolvimento ou da equipa de Testes pode ser autorizado a executar funções de exploração ou alterar dados no ambiente de Produção. 8.2) Processamento correcto nas aplicações 8.2.1) Validação dos dados de entrada Os dados de entrada dos sistemas aplicacionais têm de ser validados para garantir a sua correcção, nomeadamente, durante o processo de autenticação. 8.3) Controlos criptográficos 8.3.1) Política para o uso de controlos criptográficos Todas as aplicações que contemplem troca de informação com alto nível de confidencialidade e integridade devem implementar técnicas criptográficas adequadas aos níveis de segurança pretendidos. 8.4) Segurança dos ficheiros do sistema 8.4.1) Controlo do sistema operativo Cada plataforma ou ambiente operacional tem de ter definido normas de segurança que reduzam as vulnerabilidades inerentes a cada sistema operativo ) Protecção dos dados para teste de sistema; Não devem ser utilizados dados reais que sejam confidenciais ou privados para a realização de testes aplicacionais. No caso de ser absolutamente essencial tem de ser pedida autorização ao respectivo proprietário e devem ser tomadas medidas mais rigorosas de segurança ) Controlo de acesso ao código-fonte de programa; Nenhum membro da equipa de Produção pode ser autorizado a aceder ao código fonte das aplicações e dos ambientes de Desenvolvimento e Testes. 8.5) Segurança em processos de desenvolvimento e de suporte a) O desenho e o código fonte das aplicações têm de ser devidamente documentados, identificados e guardados em local seguro, com acesso restrito. b) aquisição de software a terceiras partes tem de ser precedida de uma avaliação da idoneidade dos fornecedores e deverá sempre que possível exigir a posse do respectivo código fonte ) Procedimentos para controlo de mudanças c) pós as alterações terem sido efectuadas à plataforma principal do sistema (tipicamente alterações no sistemas operativo ou de hardware), a funcionalidade e segurança de todo o sistema, incluindo todas as aplicações, têm de ser testadas e reconfirmadas. Todos os 26

33 departamentos envolvidos (em particular a equipa que faz a revisão) têm de ser informados atempadamente sobre as modificações planeadas. dicionalmente, deve ser ajustado o plano de continuidade de negócio ) nálise crítica técnica das aplicações após mudanças de sistema operativo Tem de existir um procedimento formal para gestão das alterações efectuadas nos sistemas em produção.o impacto das alterações deve ser analisado antes destas serem autorizadas. 9) GESTÃO DE INCIDENTES DE SEGURNÇ ssegurar que fragilidades e eventos de segurança associados com sistemas de informação, sejam comunicados e registados, para permitir a implementação de acções correctivas em tempo útil. 9.1) Notificação de fragilidades e eventos de segurança da informação Todos os incidentes, bem como as fraquezas, têm de ser objecto de registo de forma a permitir dar resposta célere aos problemas. O processo de registo deve prever a identificação de um ponto único de contacto para onde devem ser canalizados todos os relatos. 9.2) Gestão de incidentes de segurança da informação e melhorias a) s responsabilidades têm de estar definidas e os procedimentos implementados de modo a lidar com as fraquezas e eventos da segurança da informação assim que estes sejam reportados. Um processo de melhoria contínua deve ser aplicado à resposta, à monitorização, à avaliação e a toda a gestão dos incidentes de segurança da informação. b) Quando a recolha de evidências é necessária, esta tem de ser recolhida em conformidade com os requisitos legais. 10) GESTÃO D CONTINUIDDE DE NEGÓCIO Objectivo - Não permitir a interrupção das actividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Convém que o processo de gestão da continuidade seja implementado para reduzir, para um nível aceitável, a interrupção causada por desastres ou falhas de segurança (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e acções intencionais) através da combinação de acções de prevenção e recuperação. 10.1) spectos da gestão da continuidade do negócio, relativos à segurança da informação ) segurança da informação no processo de gestão da continuidade de negócio a) Elaborar planos de contingência, para as tecnologias da informação que suportam as bases de dados dministrativas e cadémicas, classificada com informação mais crítica do IPB. 27

34 10.1.2) Continuidade de negócios e a avaliação de riscos a) Têm de ser efectuadas análises de risco periódicas para identificar as possíveis avarias passíveis de comprometer a continuidade do negócio: Identificar as ameaças que podem estar na origem de desastres, ou seja, que podem afectar as principais actividades; Determinar vulnerabilidades existentes que aumentam a probabilidade de concretização das ameaças identificadas; Calcular a probabilidade de ocorrência das ameaças identificadas face às vulnerabilidades detectadas b) Desenvolver um plano estratégico dos resultados da análise de risco, que determina os procedimentos para assegurar as actividades de continuidade do negócio. Cada plano deve possuir um proprietário que é responsável por mantê-lo actualizado e definir quais as condições de activação ) Desenvolvimento e implantação de planos de continuidade relativos à segurança da Informação a) Plan valiar de riscos e identificar e seleccionar as alternativas de recuperação b) DO Construir os procedimentos de recuperação; c) CHECK Testar o Plano; d) CT nálise critica e actualização do Plano ) Estrutura do plano de continuidade do negócio a) Identificar quais são os sistemas críticos que garantem a continuidade do negócio da empresa; b) Quais os recursos de hardware, software e de infra-estrutura de que tais sistemas dependem; c) Levantamento e actualização da documentação dos sistemas muito críticos; d) Definição das politicas de Backup e) Definição do site backup: Cold-Site próprio ou de terceiros, Hot-Site próprio ou de terceiros e a forma de actualização dos dados no Site Backup; f) Plano de pós-desastre para a Recuperação; g) Plano de regresso à normalidade ) Testes, manutenção e reavaliação dos planos de continuidade do negócio a) O plano de continuidade de negócio deve ser desenvolvido e testado com frequência mínima de uma vez ao ano, simulando várias condições de desastre. s falhas detectadas no decorrer das simulações deverão se apreciadas pelo responsável da segurança e corrigidas no plano ciclo PDC. b) Têm de existir planos documentados e aprovados para evacuação do pessoal em caso de emergência, sendo obrigatória a realização de pelo menos um teste anual de verificação do seu funcionamento ou sempre que ocorram alterações significativas nos procedimentos e caminhos de evacuação, em articulação com o Plano de Emergência Interna. 28

35 c) Todos os procedimentos de salvaguarda e de recuperação têm de estar devidamente testados e documentados. 11) CONFORMIDDE - REGULMENTÇÃO E LEGISLÇÃO PLICÁVEL Objectivo - Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. nível legislativo, em Portugal tem-se assistido a um esforço, relativamente recente, de criação de peças legais que visam enquadrar as novas tecnologias e as actividades por elas suportadas. 11.1) Conformidade com requisitos legais ) Identificação da legislação vigente a) Constituição da República rtigo 35º. b) Decreto-Lei n.º 256/2003, de 21/10/2003 (que transpôs a Directiva 2001/115/CE, de 20 de Dezembro, que pretendeu simplificar, modernizar e harmonizar, em matéria de IV, alguns aspectos relacionados com a obrigação de facturação). c) Decreto-Lei n.º 375/99, de 18/07 a equiparação da factura emitida em suporte papel à factura electrónica e a não aplicação do diploma por força da obrigatoriedade de autorização prévia da Direcção-Geral dos Impostos. d) Decreto-Lei n.º 290-D/99, de 2 de gosto veio regular a validade, eficácia e valor probatório dos documentos electrónicos e a assinatura digital. e) Decreto-Lei n.º 62/2003, de 3 de bril veio transpor a directiva 1999/93/CE relativa a um quadro legal sobre assinaturas electrónicas, tendo alterado algumas disposições do DL 290-D/99. f) Decreto-lei n.º 7/2004, de 7 de Janeiro - Lei do Comércio Electrónico. g) Lei 109/91 - Lei da Criminalidade Informática h) Decreto Lei 47/93 utoridade Nacional de Segurança i) Decreto Lei nº 252/94 Protecção jurídica dos Programas de Computador ) Direitos de propriedade intelectual; a) Decreto Lei 63/85 Código do Direito de utor e dos direitos conexos. b) Decreto Lei nº 252/94 Protecção jurídica dos Programas de Computador ) Protecção de registos organizacionais; a) Decreto Lei 122/ Protecção Jurídica das bases de dados ) Protecção de dados pessoais a) Lei n.º 67/98, de 26 de Outubro - Lei da Protecção de Dados Pessoais b) Lei n.º 41/2004, de 18 de gosto 29

36 c) Lei n.º 99/2003, de 27 de gosto Código do Trabalho e legislação complementar Lei n.º 35/2004, de 29 de Julho (videovigilância dos trabalhadores, tratamento dos dados de saúde e dos dados biométricos) 11.2) Conformidade com normas e políticas e conformidade Técnica ) Conformidade com as políticas e normas de segurança da informação a) Norma ISO/IEC 17799:2005 Information Security Management. b) Regulamento de cesso e de Utilização dos Serviços e Recursos Electrónicos do Instituto Politécnico de Bragança ) Verificação da conformidade técnica Deve ser implementadas regras de normalização internas de verificação de conformidade técnica. (check lists e ferramentas). 11.3) uditoria de sistemas de informação ) Controlos de auditoria de sistemas de informação a) O responsável pela segurança deve anualmente promover a realização de uma auditoria de forma a garantir o controlo adequado sobre o cumprimento das políticas definidas. b) auditoria deve actuar em qualquer sistema de informação do IPB, no seu todo ou em parte, com ou sem aviso prévio. c) Os resultados das auditorias deverem ser discutidos previamente com os Serviços de Informática, antes de ser apresentados ao Conselho de Segurança Informática do IPB ) Ferramentas de auditoria de sistemas de informação a) s tecnologias de informação deverão incorporar mecanismos facilitadores das sua auditabilidade, permitir a recolha automática de informação para detectar situações anómalas e respectivos responsáveis, nos vários ambientes de rede, aplicações e sistemas operativos. b) s ferramentas utilizadas para auditar, bem como, as informações por elas recolhidas, têm de ser protegidas conta acessos não autorizados e contra utilizações abusivas de modo a garantir a integridade dos dados auditáveis, a disponibilidade das ferramentas e legitimidade na sua utilização. 30

37 CONCLUSÕES 31

38 BIBLIOGRFI LVES, Sebastião. Sebenta do Modulo B: Segurança nos Sistemas de Informação, Curso DESIIP do IN, CSC, ugusto; e tal. sociedade da informação e a administração pública, Oeiras: IN, SILV, Pedro Tavares; CRVLHO, Hugo; TORRES, Catarina Botelho. Segurança dos Sistemas de Informação Gestão Estratégica da Segurança Empresarial, Centro tlântico, NORMS ISO/IEC 17799:2005(E) - Information technology - Code of practice for information security management ISO/IEC 27001:2005(E) - Information technology - Information security management systems - Requirements SITES INTERNET acesso em Outubro de acesso em Outubro de acesso em Outubro de acesso em Outubro de acesso em Novembro de acesso em Novembro de

39 NEO I Sistema de Informação do Instituto Politécnico de Bragança 33

40 BackOffice Base de Dados FrontOffice plicações dministrativas e Financeiras Portal Mobile GIF PORTL Portal IPB Integra plicações Serviços cadémicos ORS Transferência e Sincronização de Dados Base de Dados de Suporte ao IS FireWall WorkFlow E-lerning E-learning Intranet dministrativa Internet 34

41 NEO II Inquérito/Diagnóstico da segurança nos sistemas de informação do IPB 35

42 SERVIÇOS DE INFORMÁTIC DO IPB INQUÉRITO/DIGNÓSTICO D SEGURNÇ NOS SISTEMS DE INFORMÇÃO DO IPB 1. POLITIC DE SEGURNÇ Pergunta Sim Não valiação 1.1. Existe o Documento Politica de Segurança Em elaboração dos Sistemas de Informação do IPB - PSSIIPB? Muito Crítico 1.2. O PSSIIPB foi aprovado pela Direcção do IPB? 1.3. O PSSIIPB foi divulgado por todos os colaboradores internos do IPB? 1.4. Existe política de análise de risco para os Serviços de Informática do IPB? 1.5. Existe manual de segurança dos sistemas de informação do IPB? 1.6. Estão definidas regras para a utilização dos Existem algumas serviços e tecnologias disponibilizadas pelos regras, Crítico Serviços de Informática do IPB? 2. ORGNIZÇÃO D SEGURNÇ Pergunta Sim Não valiação 2.1. Existe um Conselho de Segurança? Muito crítico 2.2. Existe um Gabinete de Segurança? Muito crítico 2.3. Os contratos com empresas ou particulares que incluam acesso à informação, à infra-estrutura e/ou instalações dos Serviços de Informática, prevêem clausulas de segurança e privacidade? 2.4. Existe no centro de dados uma lista de telefones de emergência: Polícia, Bombeiros, Empresas de Manutenção, Segurança, Funcionários? 2.5. Há cópia da documentação de segurança em local "seguro" e alternativo? Muito crítico 2.6. O Corpo de Segurança (empresa de segurança contratada) está treinado para actuar Muito crítico no ambiente do Centro de Dados? 2.7. Existe coordenação entre a área de segurança patrimonial e edifícios e os responsáveis pela Muito crítico 36

43 segurança do Centro de Dados? 2.8. Existe Seguro para os equipamentos e instalações do Centro de Dados? Existe para alguns equipamentos. Urge estender ao restante equipamento crítico 3. CLSSIFICÇÃO E CONTROLO DE CTIVOS Pergunta Sim Não valiação 3.1. Todo o equipamento de informática (activo) está inventariado? 3.2. Cada activo está identificado com a identificação dos seus detentores, respectivas responsabilidades e documentação suporte? 3.3. Todos os activos de informação estão classificados segundo as vertentes de Confidencialidade, Integridade e Disponibilidade? 3.4. Toda a informação suportada pelas TIC s dos serviços de Informática está classificada segundo os 4 níveis de confidencialidade: (Confidencial, Uso interno do IPB, Uso interno dos Ministérios e Pública? 3.5. Toda a informação está classificada segundo os 3 níveis de disponibilidade: lta Disponibilidade, Média Disponibilidade e Baixa Disponibilidade? 3.6. Toda a informação está classificada segundo os 3 níveis de integridade: lta Integridade, Média Integridade e Baixa Integridade? documentação não está presente na maioria dos casos Critico Critico Critico Critico 4. SEGURNÇ O NÍVEL PESSOL Pergunta Sim Não valiação 4.1. Todos os colaboradores internos e externos assinaram um acordo de conduta de acordo com Pode ser crítico as normas e politicas de segurança do IPB? 4.2. s responsabilidades relativas a segurança e privacidade da informação estão contempladas na Pode ser crítico descrição do posto de trabalho? 4.3. Existe formação para os colaboradores internos e externos relativamente às questões de segurança? Pode ser crítico 5. SEGURNÇ FÍSIC E MBIENTL Pergunta Sim Não valiação 5.1. Estão identificadas as áreas onde se situam os equipamentos e a informação mais critica? 5.2. Nas áreas mais sensíveis identificadas, nomeadamente o Centro de Dados, estão implementados procedimentos de controlo de acessos de pessoas e procedimentos de controlo de entrada e saída de equipamentos e suportes de Muito Crítico 37

44 informação? 5.3. Existe um registo de entrada e saída de pessoas e equipamentos do Centro de Dados? 5.4. Sempre que é necessário receber um visitante ou colaborador externo, este é acompanhado por técnicos dos Serviços de Informática? Critico Muito Pode ser crítico dependendo dos sítios e do equipamento existente nesses sítios Crítico 5.5. Há um plano de abandono do Centro de Dados em caso de emergência? 5.6. O Centro de Dados está afastado de garagens, postos de gasolina, áreas com radiações electromagnéticas, antenas de rádio celular, etc? 5.7. O Centro de Dados está localizado em ambiente físico adequado? Muito Crítico Inundação não, mas alguns pontos 5.8. Há risco de Inundação no Centro de Dados? onde verte pingos de água (ar condicionado) 5.9. Há sistema de detecção de fumo e calor no centro de dados? Muito Crítico O centro de Dados é monitorizado por um sistema de controlo de incêndio? Muito Crítico Existe sistema automático de extinção de incêndio no Centro de Dados? Muito Crítico Existe sistema de combate de incêndio adequado ao Centro de Dados? Muito Crítico Houve inspecção do Centro de Dados pelo Corpo de Bombeiros nos últimos 12 meses? Muito Crítico Há Portas corta-fogo? Muito Crítico Existe mas muito Existe controlo térmico e condicionamento de deficiente. Muito ar no ambiente do Centro de Dados? Crítico s condições de limpeza e controlo de poeira ambiental no Centro de Dados são adequadas? Os Backups estão devidamente etiquetados com a informação do conteúdo e nível de segurança e guardados em cofres anti-fogo e antimagneticos, distantes do Centro de Dados? Crítico Crítico Existe UPS (no-break) no Centro de Dados? Crítico Existe gerador no Centro de Dados? Crítico 5.20.Toda a cablagem de energia e de comunicações estão identificadas e protegidas contra interferências? informação não publica e software licenciado é removido definitivamente dos suportes de armazenamento reutilizáveis antes de serem entregues para destruição, retoma ou substituição Estão implementados mecanismos de bloqueio de acesso em todas as estações de 38

45 trabalho, consolas e servidores quando se encontram inactivas? Existe política de mesa vazia (isto é: arrumação obrigatória) após o período de trabalho e expediente nas áreas de desenvolvimento, suporte e administração? Existe contrato de manutenção para os equipamentos? Crítico Critico, não existe para todos. 6. GESTÃO DE COMPUTDORES E REDES Pergunta Sim Não valiação 6.1. informação confidencial em trânsito entre os sistemas está protegida através de sistemas de criptografia? 6.2. Todo o software em formato demonstração ou em testes são instalados em sistemas isolados? 6.3. Os servidores estão protegidos por firewall? 6.4. São verificadas periodicamente, por técnicos dos Serviços de Informática, os registos de eventos (logs) da firewall, para identificar possíveis ataques? 6.5. Estão instaladas firewall pessoais, pelo menos nos computadores que acedem à Internet? 6.6. Está instalado e actualizado programa de antivírus? 6.7. Está barrado no programa de a recepção de ficheiros auto-executáveis? Crítico 6.8. É possível os utilizadores executarem ou abrirem arquivos.exe, mesmo que recebidos de Crítico pessoas conhecidas? 6.9. É possível aos utilizadores abrir arquivos comprimidos, como por exemplo.zip ou.rar? firewall pessoal está parametrizada para bloquear o recebimento de Cavalos de Tróia? firewall pessoal está parametrizada para bloquear o recebimento de Worms e Backdoors? O sistema operativo e demais softwares estão actualizados para corrigirem eventuais Critico vulnerabilidades existentes? No Software de base (OS) são aplicados regularmente os serviços de correcção (service Critico packs actualizados)? São visitados regularmente os sites dos fabricantes de software para verificar a existencia Critico de vulnerabilidades no software em exploração? São aplicados todas as correcções de segurança (patches) disponibilizados pelo Critico fabricante? arquitectura de rede de comunicações permite a colocação de serviços em segmentos de redes diferentes de acordo com a sua criticidade e risco? São feitas revisões periódicas ao tráfego de Critico Pode ser crítico, dependendo da finalidade. 39

46 rede e aos serviços disponibilizados de forma a determinar o seu uso indevido? Existe um processo devidamente documentado que garanta a gestão de backups e restores de sistemas, de aplicações e dados? Existem normas estabelecendo critérios para a criação de backups? Os arquivos backups são guardados anualmente pelo prazo estabelecido pela lei e normas internas? Existem etiquetas físicas externas nos suportes magnéticos de backup que os identifica inequivocamente? Existem logs de backup verificado diariamente? O Equipamento de armazenamento de suportes magnéticos é adequado? Existem normas para trânsito de informações em suporte magnético? (ex. entrada e saída de tapes) È realizada a verificação da validade física e lógica dos backups? São feitos restores periódicos aos repositórios de dados escolhidos aleatoriamente? Há controlo do desgaste dos suportes magnéticos, descartando-os antes que apresentem erros de gravação? Estão garantidos mecanismos de confidencialidade e integridade do correio electrónico? Está a ser utilizado um software de anti-vírus no servidor de mail? Está a ser utilizado um software de filtragem de s no servidor de mail? É actualizada a lista de endereços SPM no servidor? Critico Critico Crítico Crítico Muito Crítico Critico Critico. Integridade não está garantida 7. CONTROLO DE CESSOS LÓGICOS Pergunta Sim Não valiação 7.1. São elaboradas senhas que contém pelo menos oito caracteres, compostos de letras, Crítico números e símbolos? 7.2. São utilizados como senhas nomes próprios, sobrenomes, números de documentos, matriculas de carros, números de telefone, datas que possam ser relacionadas com o utilizador ou palavras constantes em dicionários? 7.3. São utilizadas senhas diferentes para cada sistema ou aplicação? Crítico 7.4. s senhas são alteradas obrigatoriamente? Muito Crítico 7.5. É verificada a reutilização de senhas já previamente utilizadas? Crítico 7.6. Todos os Colaboradores possuem um identificador, pessoal, intransmissível e uma 40

47 password confidencial, que o identifica univocamente e de forma auditável? 7.7. Estão implementados sistemas de controlo de acesso lógico à rede WIFI? 7.8. Estão implementados sistemas de controlo de acesso lógico às aplicações? 7.9. Estão implementados sistemas de controlo de acesso aos dados? Todas as contas são imediatamente desactivadas após terminar ou ser suspendido o vínculo contratual? Se for necessário partilhar userids e passwords, essa partilha é documentada e sujeita a medidas de segurança adicionais? Critico Critico Critico Critico Critico 8. DESENVOLVIMENTO E MNUTENÇÃO DE SISTEMS Pergunta Sim Não valiação Todas as alterações (novas versões, novas aplicações, novos utilitários, etc ) que se pretenda introduzir em ambiente de produção, são Muito Crítico desenvolvidos e testados em sistemas paralelos? O código executável não passa para o ambiente de produção sem ser exaustivamente testado e autorizado? Muito Crítico 9. PLNEMENTO D CONTINUIDDE DE NEGOCIO Pergunta Sim Não valiação Existe um plano de contingência que considere em caso de desastre recuperar o fornecimento de serviços, a partir de localizações geográficas Muito Critico alternativas? Existe duplicado de toda a documentação operacional e a relacionada com os planos de contingência, e a mesma encontra-se em local Muito Critico geograficamente distinto e protegido contra desastres? Existem alternativas para comunicação de dados entre os pontos mais críticos da rede do IPB? Muito Critico Os sistemas utilizados para salvaguardar aplicações e dados, ou o conteúdo das salvaguardas estão suficientemente longe do CCOM de forma a que seja muito reduzido o risco do impacto do acidente afectar também as salvaguardas? 41

48 NEO III Backbone do IPB 42

49 h p p rocur ve switch 2524 J48 13 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT J4131B 1000S C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT h p p rocu rve switch 2524 J48 13 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT J4131B 1000S Pow er Fau lt h p p rocu rve switch 41 08GL J48 65 hp pr ocur ve 10/ 100T gl Modul e J4862 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT 1 7 Co ns ole Res et Cle a r J po rt 10/ 100T CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT 1 8 h p pr ocur ve Trance iver gl gl 2 4 Modul e h p J4864 pr ocur ve Trance iver gl Modul e h p J4864 pr ocur ve Trance iver gl Modul e J4864 J41 31B 1000S J L J F-SC J p ort T ranc eiver J4131B 1000S J p ort T ranc eiver J L J p ort T ranc eiver h p pro curve s wit ch J 4813 J F-SC J4131B 1000S CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT Procu rve Ro uting ProC Switch 93 04M urve J gl gl gl J4131B 1000S J4 ProC 856 urve J4 ProC 142 urve J4 842 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT 10 0M b ps C T LIN K 1 0 M b ps C T L IN K 10/100 ETHERNET 1 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT 10/100 ETHERNET 0 USB CONSOLE F I L O V E R CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT PI Hyper Fabric Switch P ower Fa ul t Mini GBIC 100 F 1000T hp p rocu rve sw it ch J49 00 Se lf Te st Fa n Sta tus Re s e t LED M ode Lnk c t FDx Spd Cle ar hp pr ocurv e switch J481 3 Spd M ode of f = 10M bps f las h = 100Mbps on = 1000Mbps P ower Fa ul t hp p rocu rve sw it ch J49 00 S e lf T e st Fa n S ta tu s Re s e t L E D M o de L n k c t F Dx S p d Cle ar J4131B 1000S C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T 2F E 2W T M 1 -E3 VC C OK S Y STE M W 1 C ON N R F ST ETH 1 Spd M ode of f = 10M bps f las h = 10M bps on= 1000M bps LIN K 100- Mb ps FD PRI 1F E- 1CT1 -CSU LRM 25 0V~5 3 0V 5 SER I L 0 SER I L 1 WIC 2T CO NN LIN K 100- Mb ps FD NO C ON N PNC FS T ETH 0 F ERF OOF IS CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT REMO TE LRM LOC L LRM LOO P BC K CR RIER DETE CT FD L INK 10 0Mbps 1 0/100 ETHERNET 0 /1 T EN 10/ 100 B SE T TM 0 SE RI L 0 SE RI L 1 WIC 2T C ONN R RCLK F D L INK 1 00Mbp s 1 0/100 ETHERNET 0 /0 W0 EN ce1-u PRI C ISC O IR ONET 1100SERIES WI RELE SS CCES S PO IN T ST T US SEP-200U 3 R OUT T R IN MO N 10/100BSE -T C ON SO LE P RI VT E PU BLI C B 1 2F E 2W W1 W 1 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT POWER C TRLR 0 CONSOLE FST ETH M bps R ES ET U CT RLR 1 CT RLR 0 LI NK 10/ 100 E THE RNE T 0/ M bps LI NK CO LL FD CO LL LINK 100 Mbps FD 1 0 T 100 LI NK 100- M bps L INK 100 M bps LIN K CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT FD CI SCO3660- MB-2F E PCMCI FST ETH 0 FD 10/ 100 ETHE RNE T 0 /0 CO NSO LE U CI SCO I RO NET 350SERI ES WI RE LESS CC ESS POI NT EN EN 10/100 BSET T 2 5 M T 2 6 M Us e onl y one ( T or M) f or Giga bit por t Gig -T P or ts Min i- GB IC P o rts LIN K CO LL T 100 W0 EN 2621M W0 ET ER NL LIN K CO LL T 1 00 T 2 5 M T 2 6 M Us e o n l y o n e ( T o r M) f o r Gig a b it p o r t Gi g- T Po rt s Min i- GBIC Po rt s C ISC O IR ONET 1100SERIES WI RELE SS CCES S PO IN T h p p rocu rve switch J4 813 CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T h p p rocu rve switch J4 813 CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T 2 4 CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T J4131B 1000S Po wer Fau lt CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT h p p ro curve switc h 41 08G L J4 865 hp procur ve 10/ 100T gl Modul e J CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT Con s ole CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT Res et Cle ar J po rt 10 /100 T CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT 18 gl 24 CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T hp pr ocur ve Tr ance iver gl Modul e hp J4864 pr ocur ve Tr ance iver gl Modul e J4864 C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T J L J4131B 100 0S J po rt Tranc eive r J L J po rt Tranc eive r hp pro curve switch J4813 CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT hp pr ocur ve switch J48 13 C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T CI SCO I RO NET 350SERI ES WI RE LESS CC ESS POI NT hp pro curve switch J4813 J L CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT gl gl C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T CI SCO I RO NET 350SERI ES WI RE LESS CC ESS POI NT J4131B 1000S C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT CI SCO I RO NET 350SERI ES WI RE LESS CC ESS POI NT CI SCO I RON ET 1100S E RIE S WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S WI RELE SS CCES S PO IN T CI SCO I RO NET 350SERI ES WI RE LESS CC ESS POI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT h p p rocur ve switch 2524 J48 13 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT J4131B 1000S C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T Po wer Fau lt 2F E 2W h p pro curve switc h 41 08G L J4 865 hp procur ve Tr ance iver gl Modul e hp J4864 procur 1 ve 10/ 100T gl Modul e J ce1-u PRI W1 C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T C ISC O IR ON ET 350 SERI ES WI RELESS C CESS POI NT C ON N Con s ole FS T ETH 1 J L LIN K 100- Mb ps CT RL R 1 CT RL R 0 Res et FD SER I L 0 SER I L 1 WIC 2T CO NN Cle ar LIN K 100- Mb ps FD F ST ET H 0 J po rt Tran ceiv er J L J po rt 10 /100 T C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T EN 10/ 100 B SE T W0 EN J4131B 1000S T M 1 -E3 18 gl gl 24 hp pr ocur ve Tr ance iver gl Modul e J4864 h p p rocu rve switch J4 813 C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT J4131B 100 0S TM 0 T R F ER F O O F IS RC LK E N CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT J po rt Tranc eive r J4131B 1000S J4131B 1000S 100 M bps Li nk CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT F D 100 M bpsli nk gl F D 10/ 100 ET HE RN ET 0/ 0 10/ 100 ET HE RNE T 0/0 C ON SO LE P I -515 F ILO V ER CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT hp pr ocurv e switch J481 3 C ISC O IR ONET 1100SERIES WI RELE SS CCES S PO IN T h p pro curve s wit ch J 4813 C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T P ower Fa ul t CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT hp p rocu rve sw it ch J49 00 S e lf T e st Lnk LED M ode ct Fa n S ta tu s FDx Spd Re s e t Cle ar CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT S p d M o d e of f = 10 M b p s f la s h = 1 0 M b p s o n = M bp s 100 M bps Li nk F D J4131B 1000S 100 M bpsli nk W1 C ON N F D CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT 100 M bps 10/ 100 ET HE RN ET 0/ 0 10/ 100 ET HE RNE T 0/0 C ON SO LE S ER I L 0 SE RI L 1 10/ 100 ETH ERN ET 0/ 0 PI F ILO V ER C O N NWIC 2T LI NK 1 00 M bps LI NK FD 10/10 0 E THE RNE T 0/0 CO NSO LE U CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT W0 2621M C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT T 2 5 M T 2 6 M Us e o n l y o n e ( T o r M) f o r Gig a b it p o r t Gi g- T Po rt s Min i- GBIC Po rt s CI SCO I RO NET 350SERI ES WI RE LESS CC ESS POI NT CI SCO I RO NET 350SERI ES WI RE LESS CC ESS POI NT CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT h p p rocu rve switch J4 813 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT P ower Fa ul t hp pr ocur ve switch J48 13 hp p rocu rve sw it ch J49 00 S e lf T e st Fa n S ta tu s Re s e t L E D M o de L n k c t F Dx S p d Cle ar Spd M ode of f = 10M bps f las h = 100Mbps on = 1000Mbps CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT Po wer Fa ult CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT h p pro cur ve s wit ch GL J 4865 hp procur ve Trance iver gl Modul e J4864 CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT Con s o le J4131B 1000S CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT Res et Cl e ar J p ort T ran ceiv er J4131B 1000S CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT J4131B 1000S CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT C ISC O IR ON ET 350 SERI ES WI RELESS C CESS POI NT C ISC O IR ON ET 350 SERI ES WI RELESS C CESS POI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT gl CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT hp procur ve 10/ 100T gl Modul e J C ISC O IR ON ET 350 SERI ES WI RELESS C CESS POI NT T 2 5 M T 2 6 M Us e o n l y o n e ( T o r M) f o r Gig a b it p o r t CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT J po rt 10 /100 T h p p rocu rve switch J4 813 CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT Gig -T Por ts Min i- GBIC Po rts p p rocu rve switch J4 813 C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT C ISC O IR ONET 1100SERIES WI RELE SS CCES S PO IN T 18 gl 24 C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT P ower Fa ul t CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT hp pro curve swi t ch J490 0 Se lf Te st Lnk LED Mode c t Fa n Sta tus FDx Spd Re s et Cle a r C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T CI SCO I RO NET 350SERI ES WI RE LESS CC ESS POI NT Spd M ode of f = 10M bps f las h = 100Mbps on = 1000Mbps P ow er Fa ul t hp pro curve swi t ch J490 0 S e lf T e st F a n S ta tu s Re s et LED Mode C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T Lnk ct FDx Spd Cle a r CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT Spd M ode of f = 10M bps f las h = 100Mbps on = 1000Mbps P ower Fa ul t CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT hp pro curve swi t ch J490 0 Se lf Te st Fa n Sta tus Re s et LED Mode Lnk c t FDx Spd Cle a r C ISC O IR ONET 1100SERIES WI RELE SS CCES S PO IN T h p pr ocur ve switch 2524 J48 13 C ISC O IR ONET 1100S E RIE S W I RELE SS CCES S PO IN T Spd M ode of f = 10M bps f las h = 100Mbps on = 1000Mbps CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT C ISC O IR ONET 1100SERIES WI RELE SS CCES S PO IN T T 2 5 M T 2 6 M Us e only one (T orm ) for Gi gabi t por t Gi g- T P o rt s Min i- GB IC P o rt s CI SCO I RON ET 1100S E RIE S W IR ELESS CC ESS P OI NT T 2 5 M T 2 6 M Us e only one (T orm ) for Gi gabi t por t CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT Gi g- T Po rt s Min i- GB IC P o rt s CI SCO I RON ET 1100SERIES WIR ELESS CC ESS P OI NT T 2 5 M T 2 6 M Us e only one (T orm ) for Gi gabi t por t Gi g- T P o rt s Min i- GB IC P o rt s CCOM.ipb Instituto Politécnico de Bragança RCTS/Internet RDC/BCD Backbone do IPB :: Topologia Física Cisco 7200 PacketShaper 6500 Cisco 7200 CCOM PI SW-CORE VPN C Cisco 3662 Cisco 2621 FSO 100 Mbps SILOS Procurve SILOS PSTN/ISDN CD - 2Mbps FSO 100 Mbps PI 515 Cisco ESTGM c Cisco ESS ProCurve ESS1 Procurve ESS ProCurve ESS b PI 515 Procurve ESTGM b h ESTU FS b Procurve ESTGM2 ProCurve Estufas ProCurve SW-CCOM ProCurve ESTIG2 Procurve 4108GL - ES1 Procurve 4108GL - SS1 Procurve 4108GL - ESE1 Procurve 4108GL - ESTIG1 Procurve ES2 Procurve SC Procurve CI Procurve ES3 Procurve SS2 Procurve SS4 Procurve ESE2 Procurve ESE3 Procurve ESE4 Procurve ESTIG3 Procurve ESTIG4 Procurve ESTIG5 ES SS ESE ESTiG Procurve SS b ProCurve ESTUDIO ProCurve ES4 Procurve SS5 43

50 NEO IV 44

51 Power Fault h p procur ve switch 2626 J490 0 S elf Test LE D Mode Fan S ta tus Res et Lnk ct FDx Sp d C lea r S p d M od e of f = 10 M bp s fl as h = 1 00 M bp s on = 100 0M bps T 25 M 2 6 T M Us e on ly o ne ( T or M ) f o r G i gab it po r t Gig -T Ports Mi ni- GBI C Por ts P rocurve Routing Pr oc Switch 9304M urve J J4856 Pr oc urve 9300 J4142 Pr oc urve 9300 J Mbps CT LINK 100 Mbps CT LINK 10 /1 00 ET HE R NE T 1 10 /1 00 ET HE R NE T 0 US B C ONS OLE F I L O V E R PI- 525 Mini GBIC 100 F 1000T EMC 2 EMC 2 Powe rvault 7 60N SD Power Fau lt h p procur ve switch 2626 J490 0 Se lf Test Fa n S tat us R eset LE D Mod e Ln k ct FDx S pd C l ear S p d M od e of f = 10 M bp s f la sh = 100 M b ps o n = M b ps T 25 M 2 6 T M Us e on ly o ne ( T or M ) f o r G i gab it po r t Gig -T Ports Mi ni- GBI C Por ts CCOM.ipb Instituto Politécnico de Bragança Servidores :: Zona DMZ FireWall - PI SW-CORE ProCurve SW-CCOM2 ProCurve SW-CCOM1 elara pan elearning giada voip dbcenter voip2 carme guestwifi umbriel mars puck COMPQ ariel portal2 shed COMPQ proteus proteus COMPQ titan phobos COMPQ ananke pan 45

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

melhor e mais inovador

melhor e mais inovador Conheça o melhor e mais inovador de Portugal. Prime TI s Mais de 2000 m2 850 Bastidores 4 Salas de alojamento 2 Salas networking Salas de staging Salas UPS Sala de clientes Sala bandoteca Serviços de storage,

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

Política de Segurança da Informação da Entidade

Política de Segurança da Informação da Entidade Estrutura Nacional de Segurança da Informação (ENSI) Política de Segurança da Informação da Entidade Fevereiro 2005 Versão 1.0 Público Confidencial O PRESENTE DOCUMENTO NÃO PRESTA QUALQUER GARANTIA, SEJA

Leia mais

Política de Segurança da Informação Detalhada da Entidade ÍNDICE

Política de Segurança da Informação Detalhada da Entidade ÍNDICE Estrutura Nacional de Segurança da Informação (ENSI) Política de Segurança da Informação Detalhada da Entidade Fevereiro 2005 Versão 1.0 Público Confidencial O PRESENTE DOCUMENTO NÃO PRESTA QUALQUER GARANTIA,

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

III. Norma Geral de Segurança da Informação para Uso da Internet

III. Norma Geral de Segurança da Informação para Uso da Internet O B J E CT I V O Estabelecer critérios para acesso à Internet utilizando recursos do Projecto Portal do Governo de Angola. Orientar os Utilizadores sobre as competências, o uso e responsabilidades associadas

Leia mais

Descrição do serviço Serviço de Rastreio e Recuperação de Computadores Portáteis e Serviço de Eliminação Remota de Dados

Descrição do serviço Serviço de Rastreio e Recuperação de Computadores Portáteis e Serviço de Eliminação Remota de Dados Descrição do serviço Serviço de Rastreio e Recuperação de Computadores Portáteis e Serviço de Eliminação Remota de Dados Apresentação do serviço A Dell tem o prazer de fornecer o Serviço de rastreio e

Leia mais

Capítulo I Disposições gerais. Artigo 1.º (Objecto)

Capítulo I Disposições gerais. Artigo 1.º (Objecto) AVISO N.º [XX/2015] CENTRAIS PRIVADAS DE INFORMAÇÃO DE CRÉDITO Em linha com a tendência internacional, a legislação financeira nacional consagrou recentemente o figurino das centrais privadas de informação

Leia mais

SI Sistema de Informação Anexo 4

SI Sistema de Informação Anexo 4 onselho oordenador omo implementar? No actual quadro da dministração Pública torna-se necessário avaliar o desempenho dos serviços, o que implica, para os gestores públicos, desenvolver (os seus) sistemas

Leia mais

Segurança Física de acesso aos dados

Segurança Física de acesso aos dados Segurança Física de acesso aos dados Segurança Física de acesso aos dados 1 A Segurança Física tem como objetivos específicos: ü Proteger edificações e equipamentos; ü Prevenir perda, dano ou comprometimento

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Carta de Segurança da Informação

Carta de Segurança da Informação Estrutura Nacional de Segurança da Informação (ENSI) Fevereiro 2005 Versão 1.0 Público Confidencial O PRESENTE DOCUMENTO NÃO PRESTA QUALQUER GARANTIA, SEJA QUAL FOR A SUA NATUREZA. Todo e qualquer produto

Leia mais

ANEXO C (Requisitos PCI DSS)

ANEXO C (Requisitos PCI DSS) ANEXO C (Requisitos ) O Cliente obriga-se a respeitar e a fazer respeitar as normas que lhes sejam aplicáveis, emanadas do Payment Card Industry Security Standards Council (organização fundada pelas marcas

Leia mais

NÃO É NECESSÁRIO UMA GRANDE CASA PARA TER UM GRANDE NEGÓCIO

NÃO É NECESSÁRIO UMA GRANDE CASA PARA TER UM GRANDE NEGÓCIO NÃO É NECESSÁRIO UMA GRANDE CASA PARA TER UM GRANDE NEGÓCIO Instalações deficientes, falta de segurança, equipamentos e software obsoletos são problemas com que muitas Organizações têm que se debater no

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Juventude: O nosso compromisso!

Juventude: O nosso compromisso! Juventude: O nosso compromisso! QUALIFICAÇÃO PROFISSIONAL INSTALAÇÃO E MANUTENÇÃO DE EQUIPAMENTOS INFORMÁTICOS E DE TELECOMUNICAÇÕES TIC 003_3 TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO PERFIL PROFISSIONAL

Leia mais

ORIENTAÇÕES SOBRE O USO DA INTERNET E

ORIENTAÇÕES SOBRE O USO DA INTERNET E ORIENTAÇÕES SOBRE O USO DA INTERNET E DO CORREIO ELECTRÓNICO NA SECRETARIA REGIONAL DE EDUCAÇÃO CÓDIGO DE CONDUTA (VERSÃO 1.0 2005-12-09) Índice 1 INTRODUÇÃO...2 2 CÓDIGO DE CONDUTA...2 2.1 CONDIÇÕES GERAIS

Leia mais

A falha em alguns destes pontos pode resultar num excessivo e desnecessário investimento/despesa

A falha em alguns destes pontos pode resultar num excessivo e desnecessário investimento/despesa Nuno Melo e Castro Segurança Infra-estruturas Hardware e software Políticas de autenticação Protecção dos dados Algoritmos de cifra Sistemas de detecção e prevenção de intrusões Medidas de segurança Devem

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

1 - TERMO DE UTILIZAÇÃO

1 - TERMO DE UTILIZAÇÃO 1 - TERMO DE UTILIZAÇÃO Este Termo de Utilização (doravante denominado "Termo de Utilização") regulamenta a utilização dos SERVIÇOS de envio de mensagens electrónicas - "e-mail" (doravante denominado "SERVIÇO")

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Empresa de Projecto e Desenvolvimento de. Engenharia Civil - EPDEC

Empresa de Projecto e Desenvolvimento de. Engenharia Civil - EPDEC Empresa de Projecto e Desenvolvimento de Engenharia Civil - EPDEC Pedido de Proposta para Implementação da Rede Informática Projecto: Rede Informática da EPDEC Novembro de 2007 Índice 1 Introdução...1

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

DECLARAÇÃO DE APLICABILIDADE SGSI Revisão: 02 Data: 2015/06/30

DECLARAÇÃO DE APLICABILIDADE SGSI Revisão: 02 Data: 2015/06/30 A.5. Política de segurança A.5.1. Diretrizes da gestão para a segurança da Proporcionar diretrizes e apoio da gestão para a segurança da, de acordo com os requisitos de negócio, leis e regulamentações

Leia mais

INSTITUTO DOS REGISTOS E NOTARIADO, I.P.

INSTITUTO DOS REGISTOS E NOTARIADO, I.P. INSTITUTO DOS REGISTOS E NOTARIADO, I.P. CONCURSO PÚBLICO N.º 05/DP/2009 AQUISIÇÃO DE SISTEMA DE GESTÃO DE FILAS DE ATENDIMENTO DOS SERVIÇOS DESCONCENTRADOS DO IRN, I.P. CADERNO DE ENCARGOS ANEXO I ESPECIFICAÇÕES

Leia mais

Sistemas e Serviços Informáticos

Sistemas e Serviços Informáticos (Capítulo ou anexo do Regulamento Interno da Escola) Sistemas e Serviços Informáticos Artigo 1.º Princípios orientadores 1. A utilização extensiva dos recursos proporcionados pelas Tecnologias da Informação

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Supervisão das Politicas de Segurança Computação em nuvem Fernando Correia Capitão-de-fragata

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

ISEL REGULAMENTO DO GABINETE DE AUDITORIA INTERNA DO INSTITUTO SUPERIOR DE ENGENHARIA DE LISBOA. Aprovado pelo Presidente do ISEL em LISBOA

ISEL REGULAMENTO DO GABINETE DE AUDITORIA INTERNA DO INSTITUTO SUPERIOR DE ENGENHARIA DE LISBOA. Aprovado pelo Presidente do ISEL em LISBOA REGULAMENTO DO DO INSTITUTO SUPERIOR DE ENGENHARIA DE LISBOA Aprovado pelo Presidente do ISEL em INTRODUÇÃO No âmbito da gestão pública a Auditoria Interna é uma alavanca de modernização e um instrumento

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Serviço de instalação e arranque da solução de armazenamento de rede HP StoreEasy 5000

Serviço de instalação e arranque da solução de armazenamento de rede HP StoreEasy 5000 Serviço de instalação e arranque da solução de armazenamento de rede HP StoreEasy 5000 Serviços HP Dados técnicos O Serviço de instalação e arranque da solução de armazenamento de rede HP StoreEasy 5000

Leia mais

Especificações de oferta Monitorização da infra-estrutura remota

Especificações de oferta Monitorização da infra-estrutura remota Descrição dos serviços Especificações de oferta Monitorização da infra-estrutura remota Este serviço oferece serviços de Monitorização da infra-estrutura remota Dell (RIM, o Serviço ou Serviços ) conforme

Leia mais

Seu manual do usuário NOKIA 6630 http://pt.yourpdfguides.com/dref/381534

Seu manual do usuário NOKIA 6630 http://pt.yourpdfguides.com/dref/381534 Você pode ler as recomendações contidas no guia do usuário, no guia de técnico ou no guia de instalação para. Você vai encontrar as respostas a todas suas perguntas sobre a no manual do usuário (informação,

Leia mais

Escola Superior de Gestão de Santarém. Instalação e Manutenção de Redes e Sistemas Informáticos. Peça Instrutória G

Escola Superior de Gestão de Santarém. Instalação e Manutenção de Redes e Sistemas Informáticos. Peça Instrutória G Escola Superior de Gestão de Santarém Pedido de Registo do CET Instalação e Manutenção de Redes e Sistemas Informáticos Peça Instrutória G Conteúdo programático sumário de cada unidade de formação TÉCNICAS

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES Redes de Computadores 3º Ano / 1º Semestre Eng. Electrotécnica Ano lectivo 2005/2006 Sumário Sumário Perspectiva evolutiva das redes telemáticas Tipos de redes Internet, Intranet

Leia mais

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos Gestão da Qualidade e Auditorias (Mestrado em Engenharia Alimentar) Gestão da Qualidade (Mestrado em Biocombustívies) ESAC/João Noronha Novembro

Leia mais

Departamento de Engenharia Informática Engenharia de Software, Sistemas Distribuídos. Requisitos para a 3ª entrega do projecto.

Departamento de Engenharia Informática Engenharia de Software, Sistemas Distribuídos. Requisitos para a 3ª entrega do projecto. Departamento de Engenharia Informática Engenharia de Software, Sistemas Distribuídos Requisitos para a 3ª entrega do projecto Loja Virtual 5 de Maio de 2008 Índice Índice...2 1 Sumário...3 2 Requisitos...3

Leia mais

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER.

REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. REF.: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PARA CORRESPONDENTE BANCÁRIO DO SANTANDER. 1. SEGURANÇA DA INFORMAÇÃO A informação é um dos principais patrimônios do mundo dos negócios. Um fluxo de informação

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas comunicações Responsabilidades e procedimentos operacionais Assegurar que as informações

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Modelos de analise

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Modelos de analise Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Modelos de analise Fernando Correia Capitão-de-fragata EN-AEL 8 de Dezembro de 2013 Fernando

Leia mais

XXVIII. Qualidade do Novo Edifício Hospitalar ÍNDICE

XXVIII. Qualidade do Novo Edifício Hospitalar ÍNDICE XXVIII Qualidade do Novo Edifício Hospitalar ÍNDICE 1. Sistema de gestão de qualidade... 2 1.1 Objectivos do sistema... 2 1.2 Estrutura organizativa... 4 1.2.1 Organização interna... 4 1.2.2 Estrutura

Leia mais

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos. Gestão da Qualidade 2005

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos. Gestão da Qualidade 2005 ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos Gestão da Qualidade 2005 Estrutura da Norma 0. Introdução 1. Campo de Aplicação 2. Referência Normativa 3. Termos e Definições 4. Sistema de Gestão

Leia mais

TERMOS DE UTILIZAÇÃO DO SERVIÇO WIFI FOR BUSINESS. I. Membro do WiFi for Business, Instalação e Ativação do Fon Spot

TERMOS DE UTILIZAÇÃO DO SERVIÇO WIFI FOR BUSINESS. I. Membro do WiFi for Business, Instalação e Ativação do Fon Spot TERMOS DE UTILIZAÇÃO DO SERVIÇO WIFI FOR BUSINESS Bem-vindo à Fon! Ao registar o seu router Fon, está a aderir à Rede e a aceitar vincular-se aos presentes Termos de utilização do Serviço WiFi for Business,

Leia mais

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica Capítulo 2 Conceitos de Segurança Física e Segurança Lógica 2.1 Introdução 2.2 Segurança Física 2.2.1 Segurança externa e de entrada 2.2.2 Segurança da sala de equipamentos 2.2.3 Segurança dos equipamentos

Leia mais

E B I / J I d e T Á V O R A

E B I / J I d e T Á V O R A E B I / J I d e T Á V O R A R E G U L A M E N T O D E U T I L I Z A Ç Ã O D O S COMPUTA D O R E S PO R T Á T E I S O objectivo deste documento é regulamentar todas as actividades curriculares desenvolvidas,

Leia mais

CUSTO TOTAL DE PROPRIEDADE DO PANDA MANAGED OFFICE PROTECTION. 1. Resumo Executivo

CUSTO TOTAL DE PROPRIEDADE DO PANDA MANAGED OFFICE PROTECTION. 1. Resumo Executivo 1. Resumo Executivo As empresas de todas as dimensões estão cada vez mais dependentes dos seus sistemas de TI para fazerem o seu trabalho. Consequentemente, são também mais sensíveis às vulnerabilidades

Leia mais

TP.100. Política de Segurança da Informação

TP.100. Política de Segurança da Informação Manual do utilizador TP.100 Política de Segurança da Informação Órgão: Versão: 1.0 Data inicial: 2006/05/25 Última alteração: 2006/05/25 (referência) 2/8 Índice de conteúdos 1.- INTRODUÇÃO... 3 2.- INFORMAÇÃO...

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

Declaração de Divulgação de Princípios

Declaração de Divulgação de Princípios Declaração de Divulgação de Princípios Política MULTICERT_PJ.CA3_24.1_0001_pt.doc Identificação do Projecto: 03 Identificação da CA: Nível de Acesso: Público Data: 25/03/2009 Aviso Legal Copyright 2002-2008

Leia mais

Computadores Portáteis. Regulamento de utilização

Computadores Portáteis. Regulamento de utilização Computadores Portáteis Regulamento de utilização 1 Introdução Os computadores portáteis estão disponíveis para: a) a utilização individual e profissional por professores; b) a utilização por professores,

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão da Segurança da Informação

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão da Segurança da Informação Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Gestão da Segurança da Informação Fernando Correia Capitão-de-fragata EN-AEL 30 de Novembro

Leia mais

PROJECTO DE NORMA REGULAMENTAR

PROJECTO DE NORMA REGULAMENTAR PROJECTO DE NORMA REGULAMENTAR Princípios aplicáveis ao desenvolvimento dos Sistemas de Gestão de Riscos e de Controlo Interno das Empresas de Seguros As melhores práticas internacionais na regulamentação

Leia mais

Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A.

Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A. Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A. Princípios Gerais A garantia que os clientes e utilizadores da Cabovisão-Televisão por Cabo S.A. ( Cabovisão ) sabem e conhecem,

Leia mais

CONDIÇÕES GERAIS DE PRESTAÇÃO DE SERVIÇO DE ACESSO À "INTERNET" Minuta

CONDIÇÕES GERAIS DE PRESTAÇÃO DE SERVIÇO DE ACESSO À INTERNET Minuta I CONDIÇÕES GERAIS DE PRESTAÇÃO DE SERVIÇO DE ACESSO À "INTERNET" Minuta O PRESENTE CONTRATO FOI APROVADO PELO INSTITUTO DAS COMUNICAÇÕES DE PORTUGAL, NOS TERMOS E PARA OS EFEITOS DO ARTIGO 9/2 DO DECRETO

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

SISTEMAS DE GESTÃO DA QUALIDADE

SISTEMAS DE GESTÃO DA QUALIDADE SISTEMAS DE GESTÃO DA QUALIDADE Objectivos do Curso. No final deste os alunos deverão: Identificar os principais objectivos associados à implementação de Sistemas de Gestão da Qualidade (SGQ) Compreender

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação ÍNDICE 1. INTRODUÇÃO 3 2. AUDIÊNCIA 3 3. VALOR DA INFORMAÇÃO 4 4. IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO 5 5. MODELO DE SEGURANÇA DA INFORMAÇÃO 6 6. RESPONSABILIDADES NA SEGURANÇA DA INFORMAÇÃO 7 7. MANUTENÇÃO

Leia mais

SERVIDOR VIRTUAL Ordem de encomenda para os serviços de Servidores Virtual da Amen Portugal

SERVIDOR VIRTUAL Ordem de encomenda para os serviços de Servidores Virtual da Amen Portugal SERVIDOR VIRTUAL Ordem de encomenda para os serviços de Servidores Virtual da Amen Portugal Esta Ordem de Encomenda (OE) é parte integral e substantiva das Condições Gerais de Venda (CGV). As CGV e esta

Leia mais

Redes de Computadores

Redes de Computadores Projecto de cablagem estruturada Adriano Lhamas, Berta Batista, Jorge Pinto Leite Março de 2007 Projecto de cablagem Metodologia 1. Definição de requisitos 2. Planeamento 3. Projecto 2 Exemplo Empresa

Leia mais

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e

PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e PORTARIA TRT 18ª GP/SGP Nº 034/2012 O DESEMBARGADOR PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 18ª REGIÃO, no uso de suas atribuições legais e regulamentares, e tendo em vista o que consta do Processo

Leia mais

Adesão ao Serviço MB WAY

Adesão ao Serviço MB WAY Adesão ao Serviço MB WAY 1) Objecto Pelo presente contrato, o Banco Santander Totta SA obriga-se a prestar ao Utilizador o Serviço MB WAY, nas condições e termos regulados nas cláusulas seguintes, e o

Leia mais

Projecto de Engenharia de Software e Sistemas Distribuídos 2009-10. Requisitos para a 3ª entrega do projecto. FeaRSe.

Projecto de Engenharia de Software e Sistemas Distribuídos 2009-10. Requisitos para a 3ª entrega do projecto. FeaRSe. Departamento de Engenharia Informática Engenharia de Software, Sistemas Distribuídos Requisitos para a 3ª entrega do projecto FeaRSe 6 de Maio de 2010 Índice Índice... 1 1 Sumário... 2 2 Requisitos...

Leia mais

Tendo em conta objectivos de sistematização dos relatórios de controlo interno, em base individual e consolidada;

Tendo em conta objectivos de sistematização dos relatórios de controlo interno, em base individual e consolidada; Avisos do Banco de Portugal Aviso nº 3/2006 Considerando que todas as instituições de crédito e sociedades financeiras, bem como os grupos financeiros, devem possuir um sistema de controlo interno adaptado

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

Especificações de oferta Serviços de Gestão de Correio Electrónico Segurança do Correio Electrónico

Especificações de oferta Serviços de Gestão de Correio Electrónico Segurança do Correio Electrónico Especificações de oferta Serviços de Gestão de Correio Electrónico Segurança do Correio Electrónico Apresentação dos serviços A Segurança do Correio Electrónico dos Serviços de Gestão de Correio Electrónico

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

CONDIÇÕES GERAIS DA UTILIZAÇÃO DOS SERVIÇOS ONLINE

CONDIÇÕES GERAIS DA UTILIZAÇÃO DOS SERVIÇOS ONLINE CONDIÇÕES GERAIS DA UTILIZAÇÃO DOS SERVIÇOS ONLINE Os serviços online que o Município de Aveiro disponibiliza através da Internet aos utilizadores estabelecem relações com a Câmara Municipal de Aveiro,

Leia mais

INTRODUÇÃO E ENQUADRAMENTO

INTRODUÇÃO E ENQUADRAMENTO ÍNDICE Introdução e enquadramento...3 Participantes no processo de mobilidade... 4 Instituição de origem...5 Instituição visitada...6 Utilizador em mobilidade...7 NREN... 8 ANEXO 1 Modelo de accounting...9

Leia mais

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente,

PORTARIA Nº 7876. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que lhe confere a Legislação vigente, PORTARIA Nº 7876 Dispõe sobre a Norma PSI/N.0001 - Utilização da Estação de Trabalho, nos termos dos arts. 20 e 24, da Resolução nº 041/2010-SPDE. O PREFEITO DE JUIZ DE FORA, no uso das atribuições que

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 SEGURANÇA FÍSICA Introdução Recomendações para o controle do acesso físico Política de segurança

Leia mais

Processo de declaração de conformidade de software PEM

Processo de declaração de conformidade de software PEM Processo de declaração de conformidade de software PEM Dezembro, 2012 Versão 1,0 Os direitos de autor deste trabalho pertencem à SPMS e a informação nele contida é confidencial. Este trabalho não pode

Leia mais

A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes

A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes A satisfação e o desempenho dos recursos humanos em qualquer organização estão directamente relacionados entre

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

A Gestão de Configurações suporte dos Sistemas de Informação

A Gestão de Configurações suporte dos Sistemas de Informação A Gestão de Configurações suporte dos Sistemas de Informação O funcionamento dos sistemas e tecnologias de informação e comunicação têm nas organizações um papel cada vez mais crítico na medida em que

Leia mais

Suporte de hardware HP para serviço de troca para consumidores

Suporte de hardware HP para serviço de troca para consumidores Ficha técnica Suporte de hardware HP para serviço de troca para consumidores Serviços HP Care Pack Vantagens do serviço Conveniente serviço de porta a porta Alternativa de menor custo à reparação no local

Leia mais

TeamWork. Manual do Utilizador. Para Windows Vista

TeamWork. Manual do Utilizador. Para Windows Vista TeamWork Manual do Utilizador Para Windows Vista V3.2_Vista Fevereiro 2008 ÍNDICE TeamWork Para que serve... 3 TeamWork Como instalar e configurar... 4 TeamWork Como utilizar... 4 Apoio para instalação

Leia mais

O REGISTO DO ACORDO OU DA PROVA DE COMPRA É NECESSÁRIO ANTES DE A SONY EFECTUAR QUALQUER SERVIÇO DE ASSISTÊNCIA.

O REGISTO DO ACORDO OU DA PROVA DE COMPRA É NECESSÁRIO ANTES DE A SONY EFECTUAR QUALQUER SERVIÇO DE ASSISTÊNCIA. Acordo PrimeSupport PS.UPDR200.123.1 / PS.UPDR200.12X.1 Versão 1.0 10/2008 Este documento fornece informações sobre o Acordo PrimeSupport ao Cliente. Leia-o cuidadosamente. Para activar os serviços de

Leia mais

A utilização pelo utilizador dos serviços contidos na web da TRAVELPLAN S.A. implica a aceitação das seguintes condições gerais:

A utilização pelo utilizador dos serviços contidos na web da TRAVELPLAN S.A. implica a aceitação das seguintes condições gerais: TRAVELPLAN S.A. POLITICA DE PRIVACIDADE E CONDIÇÕES DE USO DA PAGINA WEB O presente documento estabelece as Condições Gerais de Uso dos serviços prestados por meio do web site da TRAVELPLAN S.A. (www.travelplan.pt),

Leia mais

Instruções para aceder ao correio electrónico via web

Instruções para aceder ao correio electrónico via web Caro utilizador(a) Tendo por objectivo a melhoria constante das soluções disponibilizadas a toda a comunidade do Instituto Politécnico de Santarém, tanto ao nível de serviços de rede como sistema de informação.

Leia mais

MEIC-TP TECNOLOGIAS AVANÇADAS DE REDES E SISTEMAS

MEIC-TP TECNOLOGIAS AVANÇADAS DE REDES E SISTEMAS MEIC-TP TECNOLOGIAS AVANÇADAS DE REDES E SISTEMAS (FASE 2) PROJECTO DE INFRA-ESTRUTURAS DE COMUNICAÇÃO PARA WISECHOICE INTERNATIONAL Coordenador Geral do projecto Prof. Rui Santos Cruz 2008/2009 1 1. Os

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

ANEXO 5 Regulamento Interno REGIME DE FUNCIONAMENTO DA EQUIPA PTE

ANEXO 5 Regulamento Interno REGIME DE FUNCIONAMENTO DA EQUIPA PTE ANEXO 5 Regulamento Interno REGIME DE FUNCIONAMENTO DA EQUIPA PTE AGRUPAMENTO DE ESCOLAS IBN MUCANA 2011/2014 INDÍCE ARTIGO 1º - DEFINIÇÃO DA EQUIPA DO PLANO TECNOLÓGICO DA EDUCAÇÃO... 3 ARTIGO 2º - COMPETÊNCIAS...

Leia mais

Procedimento de Gestão PG 02 Controlo de Documentos e Registos

Procedimento de Gestão PG 02 Controlo de Documentos e Registos Índice 1.0. Objectivo. 2 2.0. Campo de aplicação 2 3.0. Referências e definições....... 2 4.0. Responsabilidades... 3 5.0. Procedimento... 3 5.1. Generalidades 3 5.2. Controlo de documentos... 4 5.3. Procedimentos

Leia mais

Declaração Básica de Práticas de Certificação da ECAR

Declaração Básica de Práticas de Certificação da ECAR CIRC N.º 001/ECAR/2010 Classificação: Público Versão:2.0 META INFORMAÇÃO DO DOCUMENTO Título Declaração Básica de Práticas de Certificação da ECAR Referência CIRC N.º 001/ECAR/2010 Data 16-02-2011 Classificação

Leia mais

Condições Gerais do Serviço BIC Net Empresas

Condições Gerais do Serviço BIC Net Empresas Entre o Banco BIC Português, S.A., Sociedade Comercial Anónima, com sede na Av. António Augusto de Aguiar, nº132 1050-020 Lisboa, pessoa colectiva nº 507880510, matriculada na Conservatória do Registo

Leia mais

TeamWork. Manual do Utilizador. Para Windows XP

TeamWork. Manual do Utilizador. Para Windows XP TeamWork Manual do Utilizador Para Windows XP V3.2_XP Fevereiro 2008 ÍNDICE TeamWork Para que serve... 3 TeamWork Como instalar e configurar... 4 TeamWork Como utilizar... 4 Apoio para instalação e configuração.

Leia mais