PROGRAMA DE GERENCIAMENTO DE SEGURANÇA

Transcrição

1 PROGRAMA DE GERENCIAMENTO DE SEGURANÇA Dezembro de 2006

2 REGOV / Índice 1. Introdução Apresentação ao Programa Atividades a serem desenvolvidas no Fase de Implantação do Fase de Manutenção do Monitoramento 24X7 e Análise periódica do Ambiente Monitoramento 24X Análise periódica do Ambiente Relatório de Acompanhamento de Testes de invasão periódicos Atualização da Política de Capacitação Transferência tecnológica Conscientização Manutenção do Website de Fórum de... 7

3 1. Introdução REGOV / Este documento referencia o que deve ser implantado na SEAD no contexto da Rede Governamental referente a seção Política de da SEAD para a Rede Governamental. O é um trabalho composto de uma série de atividades, que devem ser realizadas na administração e gerenciamento do esforço de segurança computacional no contexto da Rede Governamental. 2. Apresentação ao Programa A Administração Central de deve desenvolver uma série de atividades que vão desde a implantação das políticas de segurança desenvolvidas até a manutenção continua desta administração. 3. Atividades a serem desenvolvidas no Fase de Implantação do 1- Nomeação dos responsáveis pela garantia da segurança em todos os níveis hierárquicos possíveis no processo de comunicação de dados dentro da Rede Governamental; 2- Divulgação das políticas desenvolvidas através de palestras de sensibilização, em três níveis, estratégico para Conselho e Secretários, tático para técnicos e gestores de tecnologia e operacional para funcionários dos órgãos/entidades, pela empresa contratada; 3- Divulgação do Plano Diretor para os administradores de recursos do governo do Estado do Ceará; 4- Capacitação dos administradores de recursos da Rede Governamental, do administrador de segurança de TI estadual e do supervisor de segurança sobre as políticas de segurança; 5- Implantação Piloto na SEAD da Política de Classificação de informações e sistemas governamentais, Política de Interconexão de redes e política de sistemas governamentais; 6- Ajustes das políticas para refletir a realidade; 7- Classificação das informações estaduais da Rede Governamental e dos sistemas governamentais; 8- Classificação dos sistemas governamentais; 9- Aplicação da Política de Sistemas Governamentais;

4 REGOV / Aplicação da Política de Interconexão de redes Fase de Manutenção do Monitoramento 24X7 e Análise periódica do Ambiente Monitoramento 24X7 Atividades de monitoramento da rede devem ser realizadas em base de 24 horas por dia e 07 dias da semana. Atividades de monitoramento devem ser: Monitoramento remoto através de ferramentas, Análise de logs e Análise de atividades suspeitas Análise periódica do Ambiente Bimestralmente, todos os servidores e dispositivos da rede que pertencem ao perímetro de segurança estabelecido no documento da política de segurança classificados com nível 03 ou 04 deverão ser alvos de checagem de novas falhas e problemas de configurações que possam comprometer a solidez dos servidores assegurados. Esta analise deverá gerar um relatório impresso e em mídia eletrônica, contendo falhas encontradas, configurações e correções necessárias a fim de manter os dispositivos de rede ou servidores sólidos novamente. Atividades: Analisar a troca de informações na Rede Governamental; Avaliar e buscar identificação de falhas; Monitorar, auditar, testar sistemas e redes sobre possíveis vulnerabilidades; Testar, instalar e manter o melhoramento contínuo da infraestrutura de segurança usando ferramentas de monitoramento; Manter-se a par da tecnologia atual e de possíveis novas ameaças que possam comprometer a segurança da rede; Implantar medidas e correções contra novas vulnerabilidades e métodos de ataques, tais como patches necessários identificados; Acompanhar a revisão de arquivos de logs do Firewall (estes devem ser verificados diariamente em busca de tentativas de invasões por parte de Hackers advindos da Internet);

5 REGOV / Auditoria e testes de invasão periódicos Relatório de Acompanhamento de Ao final dos testes realizados, deverá ser desenvolvido um relatório de atualizações de segurança impresso e em mídia eletrônica para materializar as mudanças de segurança que estarão sendo efetivadas na rede, contendo as seguintes informações: Vulnerabilidades encontradas e corrigidas; Novos riscos e ameaças; Resultados de consultoria; Atualizações na Política de ; Tentativas de Invasões registradas; Investigações e resultados; Auditoria Interna; Testes e melhoramentos efetivados na segurança; Todas as implementações de segurança a serem realizadas na rede Novos procedimentos implantados Testes de invasão periódicos Trimestralmente, testes de invasão devem ser realizados, simulando ataques advindos da Internet, usando métodos atuais conhecidos e disponíveis no momento da realização do teste de invasão. Ao final deve ser gerado um relatório impresso e em mídia eletrônica contendo os métodos usados, os pontos vulneráveis encontrados e as possíveis falhas no ambiente Atualização da Política de A Política de deverá ser documentada em relatório impresso e em mídia eletrônica permitindo modificações de acordo com as alterações futuras que virão a ocorrer durante o processo de monitoramento e controle. Definir novos procedimentos e ajudar a manter a Política de ; Atualizar Política de e procedimentos para clientes, usuários e funcionários internos e externos;

6 REGOV / Definir novos procedimentos e ajudar a manter a Política de Capacitação Transferência tecnológica Todos os procedimentos de manutenção, suporte, monitoramento e testes de invasão realizados na rede devem ser repassados para a administração central de segurança através de treinamentos específicos para esta finalidade. O objetivo desta capacitação deve ser a preparação do Grupo de do Estado e da administração central de segurança com todas as informações de segurança necessárias para que a administração de segurança tenha subsídios para absorver o conteúdo técnico da implementação de segurança Conscientização O processo de conscientização de usuários deverá ser composto de vários procedimentos e atividades com o objetivo de mostrar aos usuários sobre a utilização correta e a importância da segurança nas atitudes e comportamento junto ao sistema computacional, através da promoção e realização de palestras de conscientização; A programação das palestras deve ser desenvolvida com base trimestral. Semestralmente, deverá ser feito um paralelo das preocupações de segurança de governos americanos com as preocupações e mecanismos de segurança implantados, demonstrado através de: Palestras para o grupo de segurança e técnicos; Documentos dirigidos ao grupo de segurança e à Administração Central de ; Palestras de Conscientização, dentre outros.

7 REGOV / Manutenção do Website de Para manter a atualização das informações no website de segurança: Manutenção da estrutura do website da Intranet governamental de segurança com a composição de no mínimo 10 (dez) tópicos relacionados à segurança através da inclusão de informações atualizadas sobre segurança da informação. Atualização das páginas deste site a partir das alterações das políticas e de eventos sobre impacto de segurança organizacional entre outros; Manutenção e gerenciamento do fórum de segurança previsto na criação de políticas de segurança. Dirigidos aos usuários sobre problemas de segurança e a importância da segurança a partir do website; Fórum de Discussão de necessidades de soluções relacionadas a segurança da tecnologia da informação; Definição periódica de temas de segurança e novas tecnologias através do website. Avisos e mensagens sobre prevenção de eventos de segurança através do website. Programação de palestras de segurança, entre outras. Treinamento de conscientização sobre segurança e forma de acesso seguro à rede computacional, orientando sobre atitudes e precauções necessárias a serem tomadas pelos usuários dos sistemas computacionais.