PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

Transcrição

1 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais ETIR. O PRESIDENTE DO DO ESTADO DE PERNAMBUCO, no uso de suas atribuições legais e regimentais, CONSIDERANDO que o TCE-PE vem consolidando sistemas de informação cada vez mais amplos, como exigência para suportar o fluxo crescente de informações; CONSIDERANDO a necessidade de gerenciar o acesso aos sistemas de informação pelos usuários; CONSIDERANDO as NBR ISO/IEC 27001:2006, 27002:2006 e a ISO/IEC 27035:2011, que tratam de Gestão de Incidentes de Segurança da Informação e têm como objetivo assegurar que vulnerabilidades e eventos de segurança da informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil; CONSIDERANDO a Lei Federal nº , de 18 de novembro de 2011, que regula o acesso a informações, afetando a maneira como as organizações precisam proteger as suas informações; CONSIDERANDO a Política Corporativa de Segurança da Informação do Tribunal de Contas do Estado de Pernambuco (TCE-PE), regulamentada pela Resolução T.C. Nº 16/2014, que prevê a gestão dos riscos e de incidentes relacionados à segurança da informação; CONSIDERANDO que a gestão de incidentes de segurança da informação deve nortear todos os processos de trabalho e unidades do Tribunal, não podendo ficar restrita a responsabilidade apenas à área de tecnologia da informação, resolve estabelecer os procedimentos para gestão de incidentes de segurança da informação e instituir a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR). CAPÍTULO I Das Disposições Iniciais Art. 1º Esta Portaria integra a Política Corporativa de Segurança da Informação do Tribunal de Contas do Estado de Pernambuco (TCE-PE), regulamentada pela Resolução T.C. Nº 16/2014 e adota os conceitos definidos no capítulo II daquela Resolução. 1

2 Art. 2º A ETIR do TCE-PE tem por missão receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança da informação em sistemas computacionais no âmbito do TCE-PE, atuando também de forma proativa com o objetivo de minimizar vulnerabilidades e ameaças que possam comprometer o negócio da Instituição. Art. 3º Na solução e no controle dos incidentes de segurança da informação a ETIR trabalhará de forma integrada à Coordenadoria de Tecnologia da Informação (CTI), à Diretoria de Gestão e Governança (DGG), à Corregedoria Geral (CORG) e à Gerência de Controle Interno (GECI). Art. 4º A atuação da ETIR abrange as atividades desenvolvidas por: I - usuários internos do TCE-PE no exercício de suas atribuições; II - órgãos, entidades, empresas públicas ou privadas, bem como outros usuários externos, que tenham contratos, acordos ou convênios com o TCE-PE para o intercâmbio de informações. CAPÍTULO II Das Definições Art. 5º Para os fins desta Portaria considera-se: I - análise forense da segurança da informação: aplicação de técnicas de investigação e análise para capturar, gravar e analisar os incidentes de segurança da informação; Parágrafo único. A captura e análise de evidências serão feitas de forma isenta, permitindo a reconstrução de determinados dados ou do que aconteceu num sistema no passado II - cadeia de custódia: registro detalhado do modo como as evidências foram tratadas durante a análise forense, desde a coleta até os resultados finais; III - evento de Segurança da Informação: uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação IV - incidente de segurança da Informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação; V - serviço: é o conjunto de procedimentos, estruturados em um processo bem definido, oferecido ao público alvo da ETIR; 2

3 VI - tratamento e Resposta a Incidentes de Segurança da Informação: é o serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências; Art. 6º Compete aos usuários internos: CAPÍTULO III Das Competências e Responsabilidades I zelar pela segurança das informações do TCE-PE a que tenham acesso e notificar incidentes de segurança da informação através de meios de comunicação eletrônica, postal, telefônica ou Central de Atendimento ao Usuário do TCE-PE; II - seguir as diretrizes desta portaria no processo de Gestão de Incidentes de Segurança da Informação. Art. 7º Compete à DGG: I - cientificar, de imediato, à Corregedoria-Geral e à Gerência de Controle Interno, a existência de incidentes de segurança da informação de seu conhecimento que possam ser caracterizados como irregularidade ou ilegalidade; II - adotar as seguintes providências no caso de indícios de ilícitos criminais, durante o gerenciamento de incidentes de segurança da informação: a) comunicar à Presidência a necessidade de acionar as autoridades competentes para a adoção dos procedimentos legais necessários; b) observar os procedimentos para preservação das evidências e da cadeia de custódia, conforme ato normativo específico a ser expedido; c) preservar a continuidade dos serviços e a missão institucional do TCE-PE. III - apoiar as unidades organizacionais do TCE-PE nas atividades de capacitação e na disseminação de boas práticas relacionados à gestão de incidentes de segurança da informação; IV - tratar os incidentes de segurança da informação não relacionados a redes computacionais, conjuntamente com as áreas envolvidas; V monitorar a realização das ações necessárias decorrentes das respostas aos incidentes; VI - coordenar a instituição, implementação e manutenção da infraestrutura necessária à ETIR, mediante apoio da CTI; 3

4 VII - realizar a divulgação dos serviços disponibilizados pela ETIR. Art. 8º Compete à Gerência de Controle Interno: I - propor melhorias mediante orientação, adoção e implantação de normas e procedimentos que visem ao aperfeiçoamento dos procedimentos para gestão de incidentes de segurança da informação deste Tribunal, em função de trabalhos de controle interno; II - acompanhar a implantação das medidas de controle interno nos setores responsáveis, identificadas como necessárias após o tratamento dos incidentes. Art. 9º Compete à Corregedoria-Geral: I - determinar a adoção e a implantação de normas e procedimentos que visem ao aperfeiçoamento dos procedimentos para gestão de incidentes de segurança da informação deste Tribunal, em função de fatos apurados em processo disciplinar ou quando da realização de trabalhos de correição; II - promover o controle disciplinar, quando constatada ocorrência de infrações ao disposto nesta Portaria devendo ser tratadas, no que couber, conforme a Lei Estadual n 6.123, de 20 de julho de 1968, e a Portaria nº 265/2010 (Regime Disciplinar dos Servidores do TCE-PE). Art. 10. Compete ao Coordenador de Tecnologia da Informação do TCE-PE: I designar, dentre os membros de sua equipe, os profissionais que farão parte da ETIR; II designar, dentre os membros de sua equipe, o Agente Responsável pela ETIR. III supervisionar as atividades do Agente Responsável pela ETIR; IV decidir, com a participação dos gestores de TI e da DGG, sobre o tratamento e resposta a incidentes de segurança da informação. Art. 11. Compete à ETIR: I prover os serviços definidos nesta portaria; II - definir e documentar metodologia e procedimentos internos para o tratamento e resposta a incidentes; III - elaborar Planos de Recuperação de Desastres (PRD) para os processos críticos; IV - criar as estratégias de resposta a incidentes de rede; V - observar os procedimentos para preservação das evidências e da cadeia de custódia, conforme ato normativo específico a ser expedido; 4

5 VI- elaborar procedimentos de resposta para incidentes conhecidos. Parágrafo único. Na ocorrência de incidentes, a ETIR poderá ser acionada fora do horário de expediente, inclusive finais de semana e feriados, como forma de analisar e prover resposta aos mesmos. Art. 12. Compete ao Agente responsável pela ETIR: I - coordenar as atividades da ETIR; II - interagir com organismos externos de resposta a incidentes; III - criar os procedimentos internos, gerenciar as atividades e distribuir tarefas para a Equipe que compõe a ETIR. IV monitorar os controles de segurança das informações. V garantir que as ações decorrentes das respostas aos incidentes sejam realizadas. Parágrafo único. O exercício das atividades de que trata o caput dar-se-á sem prejuízo das atribuições típicas do cargo. CAPÍTULO IV Da Implantação e Funcionamento da Equipe de Tratamento e Respostas a Incidentes ETIR Art. 13. A ETIR será composta por profissionais da área de Tecnologia da Informação, sem prejuízo do desempenho das atribuições típicas do cargo, com experiência e conhecimentos técnicos compatíveis com a importância da missão da equipe. Art. 14. As decisões de tratamento e resposta a incidentes de segurança da informação serão tomadas pelo Coordenador de Tecnologia da Informação do TCE-PE; 1º A ETIR, a DGG e os gestores de TI participarão do processo de tomada de decisão, recomendando os procedimentos, medidas e ações a serem executados para o tratamento e a recuperação durante um incidente, bem como alertando sobre as repercussões no caso das recomendações não serem seguidas; 2º Durante um incidente de segurança a ETIR poderá tomar a decisão de executar as medidas de recuperação, sem esperar pela aprovação de níveis superiores de gestão, caso essa espera comprometa a resposta adequada. 5

6 Art. 15. A ETIR deve prover, no mínimo, o serviço de Tratamento e Resposta a Incidentes de Redes Computacionais; Parágrafo único. Esse serviço tem por objetivo manter os sistemas e a estrutura de segurança o mais confiáveis possível, através dos procedimentos de receber, filtrar, classificar e responder a solicitações e alertas, analisando essas informações a fim de identificar tendências de ataques. Art. 16. A ETIR deverá oferecer gradativamente os seguintes serviços complementares, observadas as necessidades e limitações institucionais: I - tratamento de vulnerabilidades - este serviço prevê o recebimento de informações sobre vulnerabilidades, quer sejam em hardware ou software, ou nos procedimentos envolvidos na sua operacionalização, objetivando analisar sua natureza, mecanismo e suas consequências e desenvolver estratégias para detecção e correção dessas vulnerabilidades; II - emissão de alertas e advertências - este serviço consiste em divulgar alertas ou advertências imediatas como uma reação diante de um incidente de segurança ocorrido na rede de computadores, com o objetivo de advertir os usuários ou dar orientações sobre como agir diante do problema; III - anúncios - este serviço consiste em divulgar, de forma proativa, alertas sobre vulnerabilidades e problemas de incidentes de segurança em redes de computadores em geral, possibilitando que os usuários se preparem contra novas ameaças; IV - prospecção ou monitoração de novas tecnologias - este serviço prospecta e/ou monitora o uso de novas técnicas das atividades de intrusão e tendências relacionadas, as quais ajudarão a identificar futuras ameaças; V - avaliação de segurança - este serviço consiste em efetuar uma análise detalhada da infraestrutura de segurança em redes de computadores e de sistemas de informação da organização com base em requisitos do próprio TCE-PE ou em melhores práticas de mercado; VI - detecção de intrusão - este serviço prevê a análise em tempo real e/ou do histórico de dispositivos que detectam as tentativas de intrusões em redes de computadores, com vistas a identificar e iniciar os procedimentos de resposta a incidente de segurança em redes de computadores, com base em eventos com características pré-definidas, que possam levar a uma possível intrusão; VII - disseminação de informações relacionadas à segurança - este serviço fornece de maneira fácil e abrangente a possibilidade de encontrar informações úteis no auxílio do tratamento de incidentes de segurança em redes computacionais. 6 CAPÍTULO V Das Rotinas e dos Procedimentos de Controle

7 Art. 17. A gestão de incidentes, sob a responsabilidade da ETIR, contempla quatro fases operacionais: detecção e notificação; avaliação e decisão; respostas; e lições aprendidas. Parágrafo único: Os incidentes de segurança da informação que não sejam relacionados a redes computacionais deverão ser tratados pela DGG e observarão, onde couber, as Rotinas e Procedimentos de Controle previstos neste Capítulo, contemplando as seguintes fases: detecção e notificação; avaliação e decisão; respostas; e lições aprendidas. Art. 18 As informações e outras provas coletadas em todas as fases da gestão dos incidentes de segurança da informação poderão ser usadas em um momento futuro para processo disciplinar ou judicial. Além de gravar a data e o tempo da ação, é necessário documentar o seguinte: I - o que foi visto (incluindo ferramentas utilizadas); II - o local da prova; III - como a evidência é arquivada (se aplicável); IV - como a verificação da prova foi realizada (se aplicável); a ele. V - informações sobre o armazenamento de custódia/seguro de material e posterior acesso Art. 19. Na fase de detecção e notificação são realizadas as seguintes ações: I - detectar/receber as notificações de ocorrência de evento ou de vulnerabilidade de segurança da informação; II - coletar as informações do evento ou da vulnerabilidade de segurança da informação; III - registrar adequadamente as informações, as atividades, resultados e decisões relacionados para análise posterior. Art. 20. Na fase de avaliação e decisão são realizadas as seguintes ações: I - realizar a avaliação para determinar se o evento é um incidente de segurança da informação potencial ou ocorrido, considerando os seguintes aspectos: a) domínio (perímetro) do impacto físico ou lógico; b) bens, infra-estruturas, informação, processos, serviços e aplicações que são ou serão afetados; c) possíveis efeitos sobre os serviços básicos da organização; 7

8 II - classificar o evento/incidente incluindo a decisão sobre a necessidade de uma resposta imediata, análise forense de informações de segurança e as atividades de comunicação; III - atualizar o banco de dados de eventos/incidentes/vulnerabilidades de segurança; IV - comunicar a ocorrência do incidente de segurança da informação à DGG e ao Coordenador da CTI. Art. 21. Na fase de respostas são realizadas as seguintes ações: I - alocar recursos internos e identificar os recursos externos necessários para dar as respostas ao incidente; II - conduzir a análise forense de segurança da informação, conforme necessário; III - atribuir procedimentos aos responsáveis, incluindo revisões e correções dos relatórios elaborados, avaliação dos prejuízos, e notificação aos servidores envolvidos no incidente; IV - comunicar a existência do incidente de segurança da informação ou de quaisquer informações pertinentes para os gestores dos ativos/serviços de informação afetados, setores internos ou organizações externas que deveriam ser envolvidos na gestão e resolução do incidente, incluindo a DGG; V - verificar se o incidente de segurança da informação está sob controle e, caso negativo, instituir atividades de crise; VI - recomendar à DGG o acionamento do plano de continuidade de negócio, quando for configurada situação de crise; VII - Identificar se há necessidade de respostas adicionais e tomar as providências necessárias para impedir a reincidência do evento/incidente. Art. 22. Na fase de lições aprendidas são realizadas as seguintes ações: I - complementar análise forense de segurança da informação, conforme necessário; II - identificar as lições aprendidas; III - rever, identificar, propor ou fazer melhorias de controles da segurança das informações; IV - rever os processos, os procedimentos, os formatos de relatórios e/ou a estrutura organizacional para garantir a eficácia na resposta aos incidentes; V - comunicar e compartilhar as lições aprendidas; 8

9 VI - relatar os incidentes de segurança da informação à CORG e à GECI para fins de responsabilização e aperfeiçoamento do controle interno; VII - acompanhar a implantação das medidas de controle interno nos setores responsáveis, identificadas como necessárias após o tratamento dos incidentes; CAPÍTULO VI Das Disposições Finais Art. 23. Esta Portaria deverá ser revisada periodicamente para adequação às necessidades da segurança da informação. Art. 24. Esta Portaria entra em vigor na data de sua publicação DO ESTADO DE PERNAMBUCO, em 23 de setembro de Valdecir Fernandes Pascoal Presidente 9