Manual De Segurança Informática Edição 01 MD.02/01 Página 1 de 10
APROVAÇÃO DO DOCUMENTO Elaborado por Função Nome e Assinatura Data André Duarte GS 02/02/2013 Aprovado por RG Luís Brito 03/02/2013 MD.02/01 Página 2 de 10
ÍNDICE Conteúdo 1. INTRODUÇÃO... 4 2. Politica de Segurança... 4 2.1 Fluxo Interno de Segurança... 5 2.2 Fluxo Externo de Segurança... 5 3. Organização e Recursos... 6 3.1. Arquitectura da Rede... 6 3.2. ISP Internet Sevice Provider... 7 3.3. Recursos Gerais da Empresa... 7 3.3.1. Localizados na Empresa... 7 3.3.2. Localizados no Exterior da Empresa... 7 4. Restrições Internet - Correio electronico... 8 5. Restrições de utilização de aplicações informáticas... 8 6. Correio electronico... 8 7. Sumario... 10 MD.02/01 Página 3 de 10
1. INTRODUÇÃO O manual de segurança informática pretende dar a conhecer aos colaboradores e demais partes interessadas, os recursos informáticos que a organização dispõe, como se organiza e como opera no espaço interno e externo. Este manual tem como principais objectivos apresentar as ferramentas e protocolos da Empresa que permitem garantir condições e níveis de confiança elevados para a troca de informações digitais. Este manual pretende também introduzir noções básicas de segurança da informação, e principais ameaças sobre a propriedade intelectual. 2. Politica de Segurança As políticas de segurança implementadas integram um conjunto de operações que visam a protecção dos dados e dos equipamentos que se encontram disponiveis na nossa Organização. Assim podemos considerar que a politica de segurança inclui um conjunto de aspetos dinamicos, procedimentos e processos para que os riscos possam ser corrigidos e assim manter a integridade da informação. Não consideramos ser possível definir uma política de segurança única, mas sim uma linha com conteúdos e definições gerais, sendo estas alteráveis continuamente de modo a que o processo de segurança informática se vá adequando às realidades atuais. Será no entanto possível estabelecer (duas) grandes áreas de Segurança, no âmbito da gestão dos recursos informáticos Segurança Interna : 1) Classificação dos bens (Imobilizado, gestão de infra estruturas PS.04) 2) Segurança dos utilizadores, (p.e. no que diz respeito à proteção de dados ver requisitos legais que respeitamos, ponto 6 a seguir) 3) Segurança dos servidores, computadores e rede (instalados em locais com condições adequadas) 4) Segurança fisica ( ver arquitectura de rede, ponto 3.1. deste manual) 5) Manutenção Interna (Ações preventivas de manutenção do sistema informático) 6) Conformidade Legal nomeadamente os seguintes: MD.02/01 Página 4 de 10
a. Artigo 35º da Constituição da República Portuguesa utilização da informática b. Lei 67/ 98 Lei da proteção de Dados Pessoais c. Lei 2/ 94 estabelece os mecanismos de controlo e fiscalização do Sistema de Informação Schengen Segurança Externa: d. Lei 68/ 98 entidade nacional na Instância Comum de Controlo da EUROPOL e. Lei 36/ 2003 regula o estatuto e competências do membro nacional da EUROJUST f. Lei 43/ 2004 Lei da organização e funcionamento da CNPD 1) Internet e correio electronico 2) Acesso fisico às instalações e ao sistema informatico 3) Entrada e saida dos recurso humanos afetos à Organização 4) Ligações e acessos Remotos por VPN 2.1 Fluxo Interno de Segurança No ambito do controlo do fluxo interno de segurança, são realizados registos através de logs, das seguintes protecções : Controlo dos equipamentos afetos aos colaboradoes ( imobilizado ) Criação de senhas e autenticação controlada por aplicação Varios niveis de acesso aos dados Protecção contra virus Protecção dos conteudos Internet e correio eletronico Protecção no layer fisico ( DMZ ) Backups e atualizações de segurança Procedimentos legais 2.2 Fluxo Externo de Segurança No ambito do controlo do fluxo externo de segurança, são realizados registos através de logs, das seguintes ações: MD.02/01 Página 5 de 10
Controlo do acesso fisico às instalações especialmente à area dos servidores Serviço de Firewall e gestão de conteudos Internet ( SOAPP) Monitorização dos acessos Internet tal como a informação feita por upload ou download Copias de segurança no exterior (BCP Millenium) Controlo na entrada e na saida dos colaboradores ( manual do colaborador ) 3. Organização e Recursos 3.1. Arquitectura da Rede Recursos Gerais d Empresa Operador Terminais Individuais na Empresa ou no Exterior MD.02/01 Página 6 de 10
3.2. ISP Internet Sevice Provider A ligação com Internet é hoje um recurso fundamental para uma Organização. Assim temos neste momento um link de 100Mbits em fibra optica disponibilizada pela Vodafone. A gestão de segurança é feita internamente com recursos próprios da empresa. 3.3. Recursos Gerais da Empresa Os recursos gerais de Informatica são os seguintes : SOAPP Servidor Internet Fileserver_01 Servidor Projeto Vault Servidor vias comunicação Daf_Server Servidor Area administrativa Financeira Iprop_server Servidor c/ dados dos utilizadores Domainc domain controller, master browser global catalog Bdc-prosp Utilitarios dados gerais Sqlserver DB, Gesto, PHC, sqlserver Plotagens e impressão - Plotter OCE, Multifunções Toshiba Router linksys wi-fi interno Pcs e portateis 3.3.1. Localizados na Empresa Está disponível aos colaboradores o serviço de helpdesk onde se inclui a Reparação e Manutenção dos equipamentos afetos aos colaboradores da Organização. 3.3.2. Localizados no Exterior da Empresa MD.02/01 Página 7 de 10
Aos colaboradores localizados no exterior, mantem o serviço de manutenção que é realizado de modo remoto, atraves de um acesso seguro ( VPN Prospectiva ) como tambem através do Teamviewer. O serviço de reparação esta contemplado embora o equipamento tenha que ser entregue na Sede. 4. Restrições Internet - Correio electronico A restrição à Internet é hoje uma preocupação atual por parte das Organizações. Assim encontra-se definido o que é permitido e o que é condicionado ou negado aos utilizadores. Estas ações decorrem através do SOAPP, (Servidor) que faz a gestão dos conteúdos e das classificações atribuidas a cada portal internet, permitindo ou negado segundo a politica definida por computador. Como exemplo o que é negado : Facebook Youtube Poker online Como exemplo o que é permitido : Sapo BES BCP Financas 5. Restrições de utilização de aplicações informáticas Aos colaboradores está vedado a permissão de instalação de softwares informáticos. Qualquer atualização de software ou nova instalação será sempre realizada pelo gestor informático ou a um colaborador por este designado. 6. Correio electronico A segurança do correio eletronico é feita através de dois serviços: Servidor de correio eletronico alojado na Dominios.pt (Aqui é feito um controlo de grande parte do spam e open relay electronico, tal como um controlo das black lists e white lists) Cliente Outlook por colaborador MD.02/01 Página 8 de 10
(Aqui é feito uma segunda abordagem de segurança, neste caso a fontes confiaveis e a ficheiros que possam danificar os equipamentos - vírus ). MD.02/01 Página 9 de 10
7. Sumario ANEXO I CONTROLO DAS ALTERAÇÕES DO MANUAL Edição Data Capitulo Página Alterada Motivo 01 14/12/2012 Todos Todas Redação Inicial 02 03/02/2013 --------- Pág.8 Proibição de instalação de software por colaboradores em recursos da empresa. ANEXO II DEFINIÇÕES, SIGLAS E ABREVIATURAS Black list - Base de dados onde consta endereços, perigosos White List Base de dados onde consta endereços e entidades, fidedigna VPN Virtual Private Netword rede ponto a ponto privada e segura DMZ DeMilitarized Zone Zona que protege a rede interna do exterior (Firewall ) SPAM Lixo eletrónico, publicidade em massa Open Relay Servidores para envio massivo de correio eletronico MD.02/01 Página 10 de 10