Legislação e Normas de Segurança da Informação Petrópolis, Setembro e Novembro de 2015

Documentos relacionados
Motivação. Segurança da Informação. Definições relacionadas à Segurança da Informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Anexo A (normativo) Objetivos de controle e controles

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Segurança e Auditoria de Sistemas

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS

Portaria da Presidência

Política da Segurança da Informação e Comunicações da Eletrobras Distribuição Alagoas. Versão 1.0

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA FUNDAÇÃO UNIVERSIDADE FEDERAL DO ABC

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Controles de acordo com o Anexo A da norma ISO/IEC 27001

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

POLÍTICA SEGURANÇA CIBERNÉTICA COMPUTAÇÃO EM NUVEM

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

BS2 ASSET MANAGEMENT S.A ADMINISTRADORA DE RECURSOS LTDA

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

1. Introdução PUBLIC - 1

Rabobank Segurança Cibernética

ABIN - Sistema Brasileiro de Inteligência e Agência Brasileira de Inteligência - Lei nº de 1999 e Decreto nº de 2002

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

ABNT NBR ISO/IEC 17799:2005

CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO

ISO/IEC família de normas ISO / IEC ISMS

Gerenciamento e Interoperabilidade de Redes

Legislação e Normas de Segurança da Informação Petrópolis, Setembro e Novembro de 2015

Interpretação da norma NBR ISO/IEC 27001:2006

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ COMITÊ DE GOVERNANÇA DIGITAL DA UNIVERSIDADE FEDERAL DO PARÁ

Política de Uso dos. Recursos de Tecnologia da Informação. da UFRGS. Versão /03/2017

TECNOLOGIA DA INFORMAÇÃO

Política de Confidencialidade e Segurança da Informação

Segurança da Informação

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Política de Segurança da Informação - Informática Corporativa

POLÍTICA ORGANIZACIONAL

GIS-P-ISP-09. Procedimento de Classificação da Informação

Índice /1 Confidencialidade Página 1 de 10 Classificação da Informação: Interna (Normativo Confidencialidade)

Especialista fala sobre riscos cibernéticos, principais coberturas e como se prevenir contra ataques

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer

Políticas Corporativas

RESOLUÇÃO DO CETIC Nº 003, DE 08 NOVEMBRO DE 2018.

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Política de Backup e Restauração

Política de Segurança da Informação e Comunicações. PoSIC/CNEN

Política de Segurança da Informação

Este documento está dividido nas seguintes seções:

Política de Segurança da Informação

Política de segurança

Unidade 1 Segurança em Sistemas de Informação

Política de Segurança da Informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

H11 GESTÃO DE RECURSOS LTDA.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Douglas Rosemann Prof. Carlos Eduardo Negrão Bizzotto

Política de Segurança da Informação

Resolução nº 4.658, de 26/4/2018

WEBINAR Resolução 4658 BACEN

Segurança Informática em Redes e Sistemas

Política Geral de Segurança da Informação da Assembleia da República

GIS-N-ISP-05. Norma de Classificação da Informação

Política de Segurança Cibernética

Portaria da Presidência

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

PORTARIA CADE Nº 91, DE 12 DE ABRIL DE 2016.

PSI Política de Segurança da Informação

POLÍTICA CORPORATIVA

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

INSTITUTO DE PREVIDÊNCIA SOCIAL DOS SERVIDORES PÚBLICOS MUNICIPAIS DE SANTOS

Política Controles Internos

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

Política de Segurança Cibernética

Superintendência de Riscos e Controles 15/03/2017

Claranet. Política de Segurança da Informação. Versão 3.0

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

CSIRT As melhorias no processo de tratamento de incidentes de segurança da informação na UFRJ

Segurança - Conceitos Básicos. Conceitos Básicos. Segurança. Mundo Virtual X Mundo Real 18/08/11. Segurança em Redes de Computadores

Plano Continuidade de Negócios Vinci Partners

Transcrição:

Legislação e Normas de Segurança da Informação Petrópolis, Setembro e Novembro de 2015 Uma visão geral da legislação nacional e das normas relacionadas à segurança da informação no Brasil e no Mundo Luís Rodrigo de O. Gonçalves E-mail: lrodrigo@lrodrigo.com.br Site: http://www.lrodrigo.lncc.br 1

Motivação O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos. Atualmente, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela. 2

Segurança da Informação A Política de Segurança da Informação 3

Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e demostre apoio e comprometimento com a segurança da informação 4

Definições e Conceitos Básicos Preparado a organização: O que deve ser protegido? Contra o quê ou quem? Qual a importância/valor de cada ativo/recurso? Qual o grau de proteção desejado? Quanto se pode gastar para garantir a segurança? Quais as expectativas dos diretores, clientes e usuários em relação à Segurança da Informação? 5

Requisitos de segurança: Análise/Avaliação de riscos. Legislação vigente, estatutos, regulamentações e cláusulas contratuais da organização (Conformidade). Conjunto de princípios, objetivos e requisitos do negócio (Missão da organização). 6

Conjunto Básico de Controles Definição das responsabilidades de Segurança Processo de Treinamento Relatórios de Incidentes Gestão da Continuidade das Atividades do Ambiente 7

- Conceitos: orientação ou conjunto de diretrizes que regem a atuação de uma pessoa ou entidade. declaração ou plano formal, breve e de alto nível que envolve as crenças gerais, metas, objetivos e procedimentos aceites por uma organização para uma área de um assunto específico. as regras e os procedimentos escolhidos que vão ditar ações futuras. 8

: linhas orientadoras quanto à proteção de dados e de recursos e devem indicar situações e/ou entidades de quem o sistema tem de estar protegido. estabelece o que deve ser feito para proteger a informação armazenada num computador. Uma política bem escrita contém definição suficiente sobre o que fazer de modo que o como pode ser identificado e medido ou avaliado 9

: Visa definir os mecanismos para viabilizar o gerenciamento da segurança em uma instituição Deve estabelecer regras e padrões para proteção da informação Deve ser baseada nas características da instituição Documento que descreve quais atividades os usuários estão autorizados a realizar, como e quando podem ser realizadas. 10

: É fundamental que a alta administração apóie o uso da política e demonstre o seu comprometimento com a aplicação das penalidades cabíveis. A implantação deve ser da alta administração para os demais funcionários Implementada utilizando a abordadem Top Down Deve ser divulgada para toda a organização e para os parceiros de negócio. 11

Segurança da Informação Proposta de uma estrutura para a Política de Segurança da Informação 12

Proposta de estrutura para a PoSiC - Cap 1 - Disposições Gerais - Cap 2 - Dos Princípios de Segurança - Cap 3 - Da Gestão dos Ativos - Cap 4 - Da Segurança em Recursos Humanos - Cap 5 - Da Segurança Física e do Ambiente - Cap 6 - Do Gerenciamento das Operações e Comunicações - Cap 7 - Do Controle de Acesso - Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas - Cap 9 - Da Gestão de Incidentes de Segurança da Informação - Cap 10 - Da Gestão da Continuidade do Negócio - Cap 11- Da Conformidade com os requisitos legais 13

Cap 1 - Disposições Gerais Tem caráter informativo; Ajuda a compreender o texto Reúne informações com assuntos gerais relacionados ao texto Contem esclarecimentos relacionados ao: objetivo do documento; princípio jurídicos; termos relacionados; formas de interpretação; 14

Cap 1 - Disposições Gerais Sugestão de estrutura: Relação das Leis, Decretos, Instruções Normativas, Normas e procedimentos utilizados como base para a escrita do documento Lista de Sigla e Termos utilizados no decorre do texto; visa auxiliar o entendimento e interpretação do documento Esclarecer quem é o responsável pelo desenvolvimento, manutenção e revisão do documento. Informar sobre o processo de revisão e divulgação do documento 15

Cap 1 - Disposições Gerais Exemplo de conteúdo O conteúdo e formato desta política baseia-se nos seguintes documentos: A Norma Brasileira ABNT NBR ISO/IEC 27002:2005 que descreve um Código de práticas para a gestão da Segurança da Informação. A Norma Brasileira ABNT NBR ISO/IEC 27001:2006 que descreve os requisitos a serem adotados na elaboração de sistemas de gestão de segurança da informação. A Lei nº 9.983, de 14 de julho de 2000 que altera o Decreto-Lei Nº 2.848, de 7 de Dezembro de 1940 Código Penal e dá outras providência 16

Cap 2 - Dos Princípios de Segurança O capítulo anterior informa sobre a construção a política Este capítulo esclarece sobre: O motivo da escrita escrita e uso da política Quais os conceitos básicos por traz da política Quais são as condutas esperadas, tanto dos usuários quanto dos responsáveis pela segurança Como e quando os mecanismos de segurança podem ser aplicados Estrutura organizacional da equipa de segurança (comitês e grupos) Processo de comunicação e aplicação de penalidades 17

Cap 2 - Dos Princípios de Segurança Exemplo de conteúdo : Art. 4º. Os mecanismos de segurança devem garantir os requisitos de segurança de forma que não interfiram na utilização de serviços prestados. Art. 5º. A segurança das informações devem ser mantidas no meio da transmissão e nas extremidades. Art. 6º. Todas as pessoas vinculadas direta ou indiretamente ao LNCC têm direito a confidencialidade de suas informações pessoais, conforme Art. 5, inciso XII da Constituição Federal. Parágrafo único. São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação, na forma do Art. 5, inciso X da Constituição Federal. Art. 13º. A gestão de segurança da informação e comunicações baseia-se no processo de melhoria contínua, denominado ciclo PDCA (Plan-Do-Check-Act), referenciado pela norma ABNT NBR ISO/IEC 27001:2006, conforme N.C. 02/IN01/DSIC/GSIPR, de 13 de outubro de 2008. 18

Cap 3 - Da Gestão dos Ativos Contabilizar os ativos: Necessidade e identificação, classificação e rotulação dos ativos Classificação da informação Quando possível, definir, em linhas gerais, como será a classificação e rotulação Necessidade de identificar o proprietário Necessidade de determinar a estrutura de deleção de posse e uso 19

Cap 3 - Da Gestão dos Ativos Exemplo de conteúdo : Art. 18º. Recomenda-se que todos os ativos sejam claramente identificados e que o inventário seja mantido. Art. 19º. Recomenda-se que todas as informações e os ativos associados com os recursos de processamento da informação tenham um proprietário1. Art. 20º. Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação. Art. 21º. Do ponto de vista do Sistema de Gestão de Segurança da Informação, a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. 20

Cap 4 - Da Segurança em Recursos Humanos (1/2) Determina/regula a interação dos Recursos Humanos com os demais Ativos Definir o uso dos termos de Sigilo, Confidencialidade, Responsabilidade e comprometimento. Informar sobre os processos disciplinares Regular os procedimento de desligamento e revogação de direitos Regular as penalidades relacionadas a divulgações indevidas Regular obrigações relacionadas à Terceiros Regular obrigações relacionadas à prestadores de serviços 21

Cap 4 - Da Segurança em Recursos Humanos (2/2) Segurança nas responsabilidades do trabalho Seleção e política pessoal Termos e condições de trabalho Treinamento dos usuários 22

Cap 4 - Da Segurança em Recursos Humanos Exemplo de conteúdo : Art. 23º. Os funcionários e terceiros devem concordar e assinar os termos de confidencialidade e de responsabilidade. Art. 24º. Os funcionários e terceiros devem participar dos treinamentos de conscientização e procedimentos organizacionais relacionados a Segurança da Informação. Art. 26º. Todos os funcionários e terceiros devem devolver todos os ativos da organização que estejam em sua posse antes do desligamento de suas atividades. Art. 27º. O direito de acesso de todos os funcionários e terceiros às informações e aos recursos computacionais devem ser revogados após o desligamento de suas atividades. Art. 30º. É proibido obter ou tentar obter, indevidamente, acesso a sistema de tratamento automático de dados, a fim de alterar informações ou procedimentos. Art. 38º. Os colaboradores que estabeleçam algum vínculo contratual com o. devem ser obrigados em contrato a seguir esta política. 23

Cap 5 - Da Segurança Física e do Ambiente (1/2) Áreas de Segurança Perímetros de segurança Definição e identificação de áreas segundo o tipo proteção a ser aplicada Controles de entrada física Segurança dos equipamentos Instalação e Proteção dos equipamentos Fornecimento de Energia Manutenção Equipamentos fora das instalações Reutilização e Alienação 24

Cap 5 - Da Segurança Física e do Ambiente (2/2) Pontos de Acesso e Concessão de Acesso Movimentação de equipamentos Processo de Vigilância / Monitoramento Processo de Inventário 25

Cap 5 - Da Segurança Física e do Ambiente Art. 45º. Devem ser utilizados perímetros de segurança para proteger as áreas que contenham informações e recursos de processamento da informação. Art. 46º. Recomenda-se que áreas seguras sejam protegidas de forma que somente pessoas autorizadas tenham acesso. Art. 47º. Recomenda-se que pontos de acesso, tais como áreas de entrega e de carregamento e outros pontos onde pessoas não autorizadas possam entrar nas instalações, devem ser controladas e, se possível isolados dos recursos de processamento. Art. 50º. O objetivo do controle é sistematizar a concessão de acesso, a fim de evitar a quebra de segurança da informação e comunicações, conforme N.C. 07/IN01/DSIC/GSIPR, de 06 de maio de 2010. Art. 54º. É proibido retirar da repartição pública, sem estar legalmente autorizado, qualquer mídia, documento, livro ou bem pertencente ao patrimônio público, conforme a alínea l, do inciso XV, da Seção III do Decreto nº 1.171/94, de 22 de junho de 1994. Art. 61º. É proibido adulterar ou remarcar número de série ou qualquer sinal identificador do patrimônio do LNCC, de seu componente ou equipamento. 26

Cap 6 - Do Gerenciamento das Operações e Comunicações (1/2) Procedimentos para Documentação de uso Procedimentos para promover a Disponibilidade e Confidencialidade Procedimentos controle de mudanças Procedimentos de Backup e Recovery Procedimentos de Auditoria e Monitoramento Procedimentos para tratamento e resposta a incidentes Procedimento para sincronismo de Tempo (Data e Hora) Uso de Criptografia Regula o Conteúdo das Informações Violação de Direitos Autorais Emissão de Alertas de Segurança 27

Cap 6 - Do Gerenciamento das Operações e Comunicações (2/2) Segregar funções Separar ambientes (Desenvolvimento X Produção) Planejamento e aceitação de sistemas Proteção contra software malicioso Segurança e Tratamento de Mídias Troca de informações e software Acordo de troca de informações Comercio Eletrônico Correio Eletrônico Sistemas disponíveis publicamente 28

Cap 6 - Do Gerenciamento das Operações e Comunicações Art. 63º. Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis para todos os usuários autorizados. Art. 64º. Modificações nos recursos de processamento da informação e sistemas devem ser controlados. Art. 65º. A utilização dos recursos deve ser monitoradas e ajustadas, e as projeções devem ser feitas para necessidades de capacidade futuras. Art. 79º. A CSR deve monitorar e auditar os recursos criptográficos pertencentes ao LNCC, conforme N.C. 09/IN01/DSIC/GSIPR, de 19 de novembro de 2010. Parágrafo único. É proibido impedir ou dificultar, de qualquer forma, a realização do monitoramento e da auditoria. Art. 85º. Serão bloqueados os conteúdos de ódio, ameaças, assédio, intimidação ou contraditórios à Legislação. Art. 94º. Conforme o inciso VIII do Art. 2º da Lei nº 7.232, de 29 de outubro de 1984, recomenda-se que a estabeleça os mecanismos e instrumentos legais, e técnicos para a proteção do sigilo dos dados armazenados, processados e veiculados, do interesse da privacidade e de segurança das pessoas físicas e jurídicas, privadas e públicas. 29

Cap 7 - Do Controle de Acesso (1/3) Política de Controle de Acesso Gerenciamento de Usuários Registro e cancelamento conta de usuários Geração, Fornecimento, Teste e Cancelamento de Senhas Concessão de Privilégios Uso de acesso/contas administrativas Responsabilidade dos usuários Uso de Senhas - Boas práticas e Proteção Abandono de equipamento Controle de Acesso à Rede e aos serviços Regras de utilização dos serviços Autenticação - Usuário e Host 30

Cap 7 - Do Controle de Acesso (2/3) Controle de Acesso à Rede e aos serviços Proteção de Portas Controle de Acesso ao S.O. Identificação do terminal, do usuário Gerenciamento de Senhas Desconexão - inatividade, tempo Controle de Acesso à aplicações Isolamento de sistemas sensíveis Liberação/Bloqueio de Acesso Remoto Conexão de equipamentos à rede e liberação de acesso 31

Cap 7 - Do Controle de Acesso (3/3) Monitorar uso e acesso aos sistema Registros / Logs eventos Monitorar uso Sincronização de relógios Gerenciar a computação móvel Gerenciar/Acompanhar trabalho remoto 32

Cap 7 - Do Controle de Acesso Art. 98º. Deve haver um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação. Art. 99º. A concessão e uso de privilégios deve ser restritos e controlados. Art. 112º. A conta deve ser automaticamente bloqueada após o número de tentativas de conexão ultrapassar a quantidade permitida. Art. 116º. A senha representa a autenticação de cada usuário sendo de seu exclusivo controle, uso e conhecimento, devendo ser gerada pelo próprio usuário. Art. 120º. Os usuários devem ser orientados a seguir as boas práticas de segurança da informação. Art. 125º. Para todo projeto classificado como sigiloso, o tratamento e o controle de acesso será conforme o Decreto nº 4.553, de 2002. Art. 1287º. É proibido prover acesso remoto não autorizado. Art. 129º. É proibido manter-se conectado à rede do LNCC e ao mesmo tempo utilizar outro provedor de acesso à Internet. 33

Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas Especificar requisitos e controles de segurança para os sistemas Validação dos dados de Entrada e de Saída Uso de controles de criptografia e assinatura digital Serviços de não repúdio Acesso ao código fonte Segmentação do ambiente de Teste e Produção Controlar/Inibir o uso de software não registrados Fomentar o uso de determinados tipos de licença, de acordo com o tipo da instituição Controlar a Instalação de softwares Definir as características dos novos sistemas Controle e Requisitos sobre mudanças 34

Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas Art. 146º. Devem ser especificados os requisitos de segurança para controles de segurança para novos sistemas de informação ou melhorias em sistemas existentes. Art. 147º. Procedimentos para controlar a instalação de softwares em sistemas operacionais devem ser implementados. Art. 149º. Recomenda-se que as novas bases de dados devem ter possibilidade de integração com as bases de dados existentes. Art. 150º. Recomenda-se que os novos sistemas devem manter a interoperabilidade com os sistemas computacionais existentes. Art. 151º. Recomenda-se que o programa não deve conter código oculto que possa causar qualquer alteração de comportamento. Art. 153º. Recomenda-se desenvolver e usar, preferencialmente, programas com código aberto, acessíveis ininterruptamente por meio da rede mundial de computadores, priorizando-se a sua padronização, conforme Art. 14. Lei Nº 11.419, de 19 de dezembro de 2006. 35

Cap 9 - Da Gestão de Incidentes de Segurança da Informação Reduzir riscos relacionados à vulnerabilidades Formalizar a notificação incidentes Formalizar a gestão dos incidentes Formalizar a uma equipe para a gestão dos incidentes 36

Cap 9 - Da Gestão de Incidentes de Segurança da Informação Art. 157º. Todos os usuários devem ser instruídos a registar e notificar, através dos canais apropriados, qualquer observação ou suspeita de fragilidade em sistemas e serviços. Art. 159º. Com fundamento no Decreto 4.553, de 27 de dezembro de 2002, e no Código de Ética do Servidor Público Civil do Poder Executivo Federal, aprovado pelo Decreto 1.171, de 22 de junho de 1994, a comunicação ao público, por qualquer meio de comunicação, sobre eventual ocorrência de incidentes, será de exclusiva competência do Diretor do LNCC ou de seu delegatário para esse fim. Art. 160º. A equipe responsável pela Resposta a Tratamento de Incidentes de Segurança fica responsável por localizar a origem dos incidentes, remediar e aplicar esta política, conforme N.C. 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009. Art. 161º. A equipe responsável pela Resposta a Tratamento de Incidentes de Segurança deve cumprir a N.C. 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010, que regulamenta sua atividade. Art. 162º. A equipe da CSR responsável pelos equipamentos da área de armazenamento pode usar programas para detectar irregularidades, desde que não infrinja o Art. 3 da N.C. 09/IN01/ DSIC/GSIPR, de 19 de novembro de 2010. 37

Cap 10 - Da Gestão da Continuidade do Negócio Evitar a interrupção das atividades Proteger processos críticos contra falhas ou desastres Analisar de impacto - mudanças e manutenções Formalizar processo de gestão de Continuidade Formalizar o plano de Continuidade de Negócios Formalizar testes, manutenção e reavaliação do plano Definir a ordem na qual os ativos serão salvaguardados 38

Cap 10 - Da Gestão da Continuidade do Negócio Art. 164º. Recomenda-se implementar controles para impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas, assim como assegurar, quando for o caso, sua retomada em tempo hábil. Art. 165º. Deve-se fazer por escrito uma detalhada análise de impacto nas mudanças e manutenções. Art. 167º. Deve haver planos de contingência, cujo alcance será definido pela Comissão de Segurança. Parágrafo único. Os planos de contingência devem seguir a Gestão de Riscos de Segurança da Informação e Comunicações apresentada na N.C. 04/IN01/DSIC/ GSIPR, de 14 de agosto de 2009. Art. 168º. O Plano de Gestão de Continuidade de Negócios deve buscar redundâncias e seguir a N.C. 06/IN01/DSIC/GSIPR, de 11 de novembro de 2009. 39

Cap 11- Da Conformidade com os requisitos legais Evitar violação de qualquer lei Diretos de Propriedade Intelectual Direitos Autorais Salvaguarda de registros organizacionais Prevenção do uso indevido de recursos da organização Regulamentação de Controles de Criptografia Coleta de Evidências Procedimentos relacionados à Auditorias 40

Cap 11- Da Conformidade com os requisitos legais Art. 172º A Equipe de resposta à incidentes deve acompanhar os alertas de vulnerabilidades e ameaças e desenvolver normatização de reforço de segurança. Art. 175º Sempre que ocorrer um incidente de segurança, o Grupo de resposta à incidente de segurança deve notificar ao responsável pelo ativo sobre o ocorrido. Parágrafo único. As tentativas de intrusão provenientes da internet também são comunicadas a centros de atendimento a incidente de segurança. 41

Segurança da Informação Algumas Referencias e Exemplos de Política 42

Exemplos de Políticas - MCTI: - http://www.mct.gov.br/upd_blob/0228/228092.pdf - CNPQ - http://www.cnpq.br/web/guest/view/-/journal_content/ 56_INSTANCE_0oED/10157/611406 - LNCC: - http://cs.lncc.br/wp-content/uploads/politica1.pdf 43

Material sobre Segurança - Cartilhas de Segurança do CAIS - http://www.rnp.br/cais/cartilhas.html - Cartilhas de Segurança do CERT.BR - http://cartilha.cert.br/ - Cartilha de Segurança do CGTI do Planalto - http://www4.planalto.gov.br/cgti/legislacao/cartilha-seguranca-dainformacao/view - Catálogo de Fraudes - http://www.rnp.br/cais/fraudes.php - Alertas de Segurança - http://www.rnp.br/cais/alertas/ 44

Baseada nas melhores praticas NBR ISO/IEC 27002:2005 - Código de Prática para a Gestão de Segurança da Informação Decreto no 3.505, de 13 de junho de 2000 - Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal (http://www.planalto.gov.br/ccivil_03/decreto/ d3505.htm). IN 04 - SLTI/MPOG, de 12 de novembro de 2010 - processo de contratação de Soluções de Tecnologia da Informação (http:// www.cgti.ufu.br/sites/cgti.ufu.br/files/in-slti-04-12nov2010contratacao-de-ti.pdf) NC04/IN01/DSIC/GSIPR de 14 de outubro de 2008 - Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC (http:// dsic.planalto.gov.br/documentos/nc_04_grsic.pdf) e outras. 45

46

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback