FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Transcrição

1 1/5 ELABORADO CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO APROVADO Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO EDIÇÃO DATA ALTERAÇÕES EM RELAÇÃO À REVISÃO ANTERIOR Edição ATUALIZAÇÃO: Responsabilidade da Assessoria de Informática e Comunicação - ASI DISTRIBUIÇÃO: Responsabilidade da Assessoria de Controles Internos - ASC ARQUIVAMENTO: Responsabilidade da Assessoria de Controles Internos - ASC

2 2/5 ÍNDICE 1. OBJETIVO RESPONSABILIDADES CONCEITUAÇÃO DISPOSIÇÃO GERAL Gestão de incidentes Recebimento de classificação de incidentes, fragilidades e eventos Processo de tratamento de fragilidades ou eventos de segurança e incidentes de menor porte Tratamento de incidentes de grande porte Aprendendo com os incidentes Ações disciplinares Coleta de evidência CONTROLE DE REGISTROS REFERÊNCIAS BIBLIOGRÁFICAS... 5

3 3/5 1. OBJETIVO O objetivo deste documento é garantir a detecção rápida de eventos de segurança e fragilidades e rápida reação e resposta a incidentes de segurança. 2. RESPONSABILIDADES Este documento aplica-se a todo o escopo do Sistema de Gestão da Segurança da Informação (SGSI), ou seja, a todos os funcionários e a outros ativos usados no escopo do SGSI, bem como a todos os fornecedores e a outras pessoas de fora da organização que têm contato com os sistemas e as informações do SGSI. Os usuários deste documento são todos colaboradores da Celpos, bem como as pessoas mencionadas acima. 3. CONCEITUAÇÃO Usuários - Estão incluídos no grupo de usuários todas as pessoas que utilizam os sistemas de informação (colaboradores, prestadores de serviços e estagiários). 4. DISPOSIÇÃO GERAL 4.1. Gestão de incidentes Um incidente de segurança da informação é um ou uma série de eventos não desejados ou não esperados com alta probabilidade de comprometer as operações dos negócios e ameaçar a segurança da informação (ISO/IEC 27001) Recebimento de classificação de incidentes, fragilidades e eventos Todo colaborador, fornecedor ou terceiro que esteja em contato com as informações e/ou os sistemas da Celpos deve informar quaisquer fragilidades, incidentes ou eventos que podem levar um possível incidente da seguinte forma: 1. todos os eventos relacionadas à tecnologia de informações e comunicação devem ser informados para a Assessoria de Informática; 2. todos os demais eventos devem ser informados para o Assessor de TI.

4 4/5 Incidentes, fragilidades e eventos devem ser informados assim que possível, por telefone, , pessoalmente ou Registro de RAT. Os eventos reportados pessoalmente ou por telefone o colaborador da ASI que foi notificado é responsável por abrir um Registro RAT descrevendo o evento. A pessoa que recebeu a informação deve classificá-la da seguinte forma: a) Fragilidade ou Evento de Segurança - nenhum incidente ocorreu, mas um evento ou uma propriedade de um sistema, de um processo ou de uma organização pode acionar a ocorrência de um incidente no futuro próximo ou distante; b) Incidente de menor porte - um incidente que não tem um impacto relevante sobre a confidencialidade ou integridade da informação e não pode resultar em não disponibilidade a longo prazo; c) Incidente de grande porte - um incidente que pode resultar em danos relevantes em função da perda da confidencialidade ou da integridade das informações ou que pode resultar em interrupção da disponibilidade das informações e/ou de processos por um período de tempo inaceitável Processo de tratamento de fragilidades ou eventos de segurança e incidentes de menor porte A pessoa que recebeu a informação sobre a fragilidade ou o evento de segurança analisa as informações, estabelece a causa e, se necessário, sugere ações preventivas e corretivas Tratamento de incidentes de grande porte Se um incidente de grande porte for informado, a pessoa que receber a informação deve realizar as seguintes etapas: 1. tomar medidas para conter o incidente; 2. analisar a causa do incidente; 3. tomar ações corretivas para eliminar a causa do incidente; 4. informar as pessoas envolvidas no incidente e a Assessoria de TI sobre o processo de tratamento do incidente.

5 5/ Aprendendo com os incidentes A Assessoria de TI deve analisar todos os incidentes registrados na ferramenta de Registro de incidentes (com a identificação de tipo, a afinidade e o custo do incidente) e, se necessário, deve sugerir ações preventivas ou corretivas. A atividade de analise dos chamados devem ser feitas a cada 3 meses, um relatório contendo a avaliação deve ser gerado Ações disciplinares A Assessoria de TI deve notificar a diretoria para cada violação das regras de segurança. A diretoria decide se invoca ou não um processo disciplinar. Se um incidente requerer a coleta de evidências para ações legais, a Assessoria de TI é responsável por coletar essas evidências em um formato aceitável Coleta de evidência A Assessoria de TI irá definir as regras para identificar, coletar e preservar a evidência que será aceita como evidência em processos judiciais e outros processos. 5. CONTROLE DE REGISTROS Código Identificação Origem Armazenamento (área) Proteção (suporte) Recuperação Tipo de Arquivo Indexação Acesso Mag. Fis. Tempo de Retenção Disposição - Registro de incidentes RAT (Webdesk) Locaweb k360.com.br/ Restrito à área X 3 anos N/A 6. REFERÊNCIAS BIBLIOGRÁFICAS Norma NBR ISO/IEC Sistemas de Gestão da Segurança da Informação NBR ISO Sistemas de Gestão da Qualidade GE Emissão e Controle de Instrumentos Normativos NBR ISO Sistema de Gestão de Riscos