política de segurança da informação diretrizes gerais
TRANSCRIPT
NORMA TÉCNICAATI-SGR-PR/001:10
Política de Segurança da Informação – Diretrizes Gerais
Versão 2.0
Válida a partir da publicação da Resolução 001/2010
Palavras-chave: Segurança, Informação, Diretrizes, Regras, Normas, Risco, Continuidade, Vulnerabilidade, Incidente, Ativo.
Direitos autorais exclusivos da ATI, sendo permitida reprodução parcial ou total, desde que citada a fonte (ATI), mantido o texto original e não acrescentado nenhum tipo de propaganda comercial.
26 páginas
NORMA ATI-SGR-PR/001:09
Sumário
Prefácio............................................................................................................................. 5
1 Introdução....................................................................................................................... 7
2 Escopo............................................................................................................................ 9
3 Termos e definições........................................................................................................ 9
4 Política de Segurança da Informação........................................................................... 11
4.1 Disposições Gerais.................................................................................................... 11
4.2 Atribuições e Responsabilidades............................................................................... 12
4.2.1 Comitê Gestor de Segurança – CGS...................................................................... 12
4.2.2 Presidência da ATI.................................................................................................. 13
4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI................ 13
4.2.4 Unidade de Segurança da Informação – USI.......................................................... 13
4.2.5 Coordenadoria Executiva de Logística e Gestão – CLG......................................... 15
4.2.6 Gerência de Recursos Humanos – GRH................................................................ 15
4.2.7 Gerência Jurídica de Contratos e Convênios – GJC............................................... 16
4.2.8 Gerentes e Chefes de Unidades............................................................................. 16
4.2.9 Administradores de Sistemas Computacionais e de Comunicação........................ 17
4.2.10 Todos os Usuários................................................................................................ 17
4.3 Penalidades............................................................................................................... 17
4.4 Composição da Política de Segurança da Informação.............................................. 18
4.4.1 Diretrizes Gerais..................................................................................................... 19
4.4.2 Termo de Responsabilidade.................................................................................... 19
4.4.3 Documentos vinculados.......................................................................................... 20
5 Diretrizes Gerais da Política de Segurança da Informação........................................... 21
5.1 Gestão de Segurança da Informação........................................................................ 21
5.2 Gestão de Riscos...................................................................................................... 24
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 3
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
5.3 Plano de Continuidade de Negócio............................................................................ 24
5.4 Plano de Ação e Resposta a Incidentes.................................................................... 25
6 Bibliografia.................................................................................................................... 26
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 4
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
Prefácio
A ATI – Agência Estadual de Tecnologia da Informação – é o órgão de
coordenação e suporte técnico ao Sistema Estadual de Informática do Governo –
SEIG – e que tem como atribuições propor e prover soluções integradoras de
meios, métodos e competências, com uso intensivo e adequado da Tecnologia da
Informação e Comunicação.
A Política de Segurança da Informação foi elaborada pela Unidade de Segurança
da Informação – USI – da ATI, redigida em conformidade com as convenções
redacionais estabelecidas pela ATI [5] [6] e segundo os padrões nacionais e
internacionais atualmente utilizados [1] [2] [3].
Esta Norma foi aprovada pelo Comitê Gestor de Segurança – CGS e substitui o
documento intitulado Política de Segurança da Informação da ATI – PSI/ATI –
Versão 1, de 2008.
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 5
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
1 Introdução
A Informática de Governo tem por objetivo instrumentalizar a prestação do serviço
público, propiciando uma melhor gestão dos recursos do governo e possibilitando
a integração entre seus órgãos para a troca de informações.
O uso da Tecnologia da Informação na Administração Pública envolve grande
acervo de recursos computacionais e informações que necessitam estar
permanentemente protegidos contra acessos indevidos e adulterações.
Em contrapartida aos benefícios que a informatização oferece, existe a constante
tentativa de exploração maliciosa das informações, tornando-se imprescindível o
zelo pela segurança, evitando as vulnerabilidades que dão margem a invasões e
outros incidentes que resultam em perda da confidencialidade, integridade e
disponibilidade das informações.
Como parte de um conjunto de medidas de segurança, fica imprescindível a
implantação de uma Política de Segurança da Informação que defina diretrizes,
normas, padrões e requisitos mínimos, nos diversos aspectos que envolvem,
direta e indiretamente, o trânsito e o acervo de informações, salvaguardando a
sua exatidão, independentemente de onde e como estejam armazenadas.
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 7
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
2 Escopo
Essa Norma tem o objetivo de padronizar e estabelecer requisitos mínimos, a fim
de proporcionar condições que assegurem a integridade, a confidencialidade, a
disponibilidade, bem como a legalidade da informação no âmbito do ambiente
computacional da ATI.
As regras estabelecidas neste documento estendem-se a todos os que fazem
parte da instituição, tais como empregados, servidores, cargos em comissão,
terceirizados, estagiários, prestadores de serviços e os que, de alguma forma,
fazem uso dos recursos computacionais da mesma.
Esta Política engloba não apenas os requisitos de segurança lógica, mas,
também, os de segurança física e de pessoal nos ambientes computacionais.
3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições:
3.1
Segurança da informação
Segurança da Informação consiste na preservação da confidencialidade,
integridade e disponibilidade da informação, quais sejam:
a) Confidencialidade – Garantia de que o acesso à informação seja obtido,
apenas, por pessoas autorizadas;
b) Integridade – Garantia de que a informação não seja adulterada;
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 9
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
c) Disponibilidade – Garantia de que a informação esteja disponível sempre
que requisitada pelos usuários autorizados.
Há de ser considerado o aspecto da Legalidade, no que diz respeito ao
cumprimento das normas provenientes do sistema jurídico brasileiro e tratados
internacionais vigentes.
3.2
Ativos de Segurança da Informação
São considerados Ativos de Segurança da Informação todos os elementos que
contém informação de forma direta ou indireta ou que tenha alguma relação com
a transmissão de informações.
A informação pode estar contida em:
a) Dispositivos digitais móveis;
b) Equipamentos compostos por unidade de armazenamento;
c) Mídia digital, impressa ou escrita;
d) Pessoas;
e) Nuvem.
A informação pode ser transmitida por:
a) Rede de dados;
b) Dispositivos móveis;
c) Mídia digital, impressa ou escrita;
d) Comunicação oral e outros meios de comunicação pessoal.
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 10
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
3.3
Política de Segurança da Informação
A Política de Segurança da Informação, Política de Segurança ou simplesmente
PSI, consiste em um conjunto de definições, diretrizes, restrições e requisitos que
servem para nortear o uso de boas práticas no trato com os ambientes, recursos
e ativos de segurança da informação, em aspectos físicos, lógicos e de pessoal,
com a finalidade de proporcionar maior segurança às informações.
4 Política de Segurança da Informação
4.1 Disposições Gerais
A Política de Segurança da Informação é um conjunto de normas baseadas em
diretrizes preestabelecidas que, de forma estruturada e hierarquizada, criam
procedimentos, regras e métodos provenientes de análise da estrutura
organizacional em detrimento de regras de cunho internacional [1] [2] [3].
O fundamento dessa PSI é estabelecer as regras que permitam um nível de
segurança aceitável diante das ameaças existentes à informação. Salienta-se
que, em virtude de ser a Segurança da Informação (Ver 3.1) um processo
contínuo, novas normas e possíveis alterações de versão estarão sendo
implementadas.
No caso de existirem conteúdos tratando de uma mesma situação, prevalecerá a
versão mais recente, a mais especializada ou a hierarquicamente superior,
submetida a avaliação do Comitê Gestor de Segurança da Informação (Ver 4.2.1),
devendo, portanto, todos manterem-se atualizados e obedientes às normas em
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 11
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
vigor que serão disponibilizadas para fins de conhecimento.
4.2 Atribuições e Responsabilidades
Às estruturas de apoio, aos gestores, às chefias, aos analistas, aos técnicos e aos
usuários dos ambientes, dos recursos, dos ativos de segurança da informação
(Ver 3.2) e dos ativos computacionais da ATI, cabem cumprir atribuições e
assumir responsabilidades específicas, com relação à Segurança da Informação,
segundo as suas competências.
4.2.1 Comitê Gestor de Segurança – CGS
a) Colaborar com a elaboração da Política de Segurança da Informação, junto
à Unidade de Segurança da Informação da ATI;
b) Aprovar a Política de Segurança da Informação, inclusive atualizações;
c) Propor alterações à Política de Segurança da Informação, caso necessário;
d) Definir o Plano Estratégico para implantação da Política de Segurança da
Informação;
e) Definir e aprovar os procedimentos e penalidades para se fazer cumprir a
Política de Segurança;
f) Coordenar a execução da Política de Segurança da ATI e dos demais
órgãos integrantes da Informática de Governo do Estado de Pernambuco;
g) Aprovar e propor medidas e contra medidas para correção de problemas
causados por quebra ou fragilidade da Política de Segurança;
h) Mobilizar os Gestores das áreas de risco para o cumprimento da Política
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 12
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
de Segurança;
4.2.2 Presidência da ATI
a) Presidir o Comitê Gestor de Segurança – CGS [7];
b) Colaborar com a elaboração da Política de Segurança da Informação, junto
à Unidade de Segurança da Informação da ATI;
c) Publicar Instrução Normativa implantando a Política de Segurança, as
normas, os manuais e os procedimentos derivados da mesma;
d) Cumprir e fazer cumprir a Política de Segurança da Informação;
4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI
a) Colaborar com a elaboração da Política de Segurança da Informação, junto
à Unidade de Segurança da Informação da ATI;
b) Disponibilizar os recursos necessários à implantação da Política de
Segurança;
c) Cumprir e fazer cumprir a Política de Segurança da Informação;
d) Mobilizar os gestores, principalmente os das áreas de risco, para o
cumprimento da Política de Segurança;
4.2.4 Unidade de Segurança da Informação – USI
a) Elaborar a Política de Segurança com aprovação do CGS;
b) Definir as soluções técnicas e os recursos computacionais necessários
para a implantação e adequação do ambiente computacional da ATI à
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 13
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
Política de Segurança;
c) Encaminhar solicitação dos recursos necessários para implantação da
Política de Segurança à Diretoria, para as providências cabíveis;
d) Implantar a Política de Segurança;
e) Monitorar o cumprimento da Política de Segurança, encaminhando aos
respectivos gestores, as ocorrências de descumprimento das Normas de
Segurança por seus subordinados para as providências cabíveis;
f) Avaliar o nível de segurança alcançado, através de procedimentos
específicos de segurança da informação, podendo ter auxílio de
ferramentas para tal;
g) Efetuar mudanças na Política de Segurança sempre que houver alteração
no ambiente computacional ou atualizações tecnológicas, a fim de manter
e melhorar o nível de segurança;
h) Coordenar ações de emergência, conforme Plano de Ação e Resposta a
Incidentes (Ver 5.4), imediatamente após detecção ou conhecimento de
incidentes de segurança no âmbito do ambiente computacional da ATI;
i) Definir e implantar as medidas e contra medidas necessárias para correção
de problemas causados por quebra ou fragilidade da Política de
Segurança, encaminhando ao respectivo gestor da área envolvida, relatório
técnico sobre o ocorrido e as respectivas providências tomadas, bem
como, as recomendações de segurança a serem seguidas;
j) Mobilizar os gestores, principalmente os das áreas de risco, para o
cumprimento da Política de Segurança;
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 14
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
4.2.5 Coordenadoria Executiva de Logística e Gestão – CLG
a) Colaborar com a Política de Segurança da Informação quanto ao
cumprimento das especificações relativas aos ambientes físicos,
infraestrutura em geral, acesso físico, segurança patrimonial, iluminação,
sinalização, emergência e demais atividades da responsabilidade desta
coordenadoria;
b) Disponibilizar os recursos necessários à implantação da Política de
Segurança;
c) Cumprir e fazer cumprir a Política de Segurança da Informação;
d) Mobilizar os gestores, principalmente os das áreas de risco, para o
cumprimento da Política de Segurança;
4.2.6 Gerência de Recursos Humanos – GRH
a) Colaborar com o cumprimento da Política fornecendo, quando necessário,
informações sobre os recursos humanos da ATI;
b) Informar aos setores competentes, de forma imediata, sobre qualquer tipo
de movimentação do trabalhador, tais como, mudança de cargo ou função,
transferência, cessão, habilitação, demissão, exoneração, entre outras, que
justifique controle de suas credenciais de acesso à empresa e aos recursos
computacionais da mesma;
c) Tomar providências para que os novos trabalhadores assinem o Termo de
Responsabilidade (ver 4.4.2);
d) Prestar auxílio à USI a respeito dos treinamentos sobre segurança da
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 15
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
informação;
e) Tomar as providências administrativas no caso de aplicação de
penalidades aos trabalhadores quanto ao não cumprimento da Política de
Segurança da Informação;
4.2.7 Gerência Jurídica de Contratos e Convênios – GJC
a) Prestar auxílio à USI e ao CGS quanto aos aspectos jurídicos referentes à
Segurança da Informação;
b) Avaliar os incidentes de segurança causados por servidores do estado,
recomendando as penalidades cabíveis;
c) Tomar as providências jurídicas cabíveis em casos de incidentes de
segurança;
4.2.8 Gerentes e Chefes de Unidades
a) Colaborar com a USI e com o CGS na elaboração da Política de
Segurança;
b) Cumprir e fazer cumprir a Política de Segurança em relação aos seus
subordinados;
c) Propor mudanças à Política de Segurança de acordo com as necessidades
iminentes detectadas na sua área de atuação;
d) Tomar as providências cabíveis em caso de descumprimento da Política de
Segurança por seus subordinados;
e) Reportar, de imediato, à USI, qualquer incidente de segurança detectado
ou, até mesmo, qualquer suspeita ou ameaça de incidentes;
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 16
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
4.2.9 Administradores de Sistemas Computacionais e de Comunicação
a) Adequar os sistemas computacionais e de comunicação em conformidade
com a Política de Segurança;
b) Monitorar os registros dos sistemas;
c) Tomar as providências de emergência conforme Plano de Ação e Resposta
a Incidentes, imediatamente após detecção ou conhecimento de incidentes
de segurança no âmbito do ambiente computacional da ATI;
d) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até
mesmo, suspeitas iminentes;
e) Solicitar apoio e consultoria de segurança à USI quando se fizer
necessário;
4.2.10 Todos os Usuários
a) Cumprir as normas definidas na Política de Segurança;
b) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até
mesmo, suspeitas iminentes;
c) Sugerir medidas que possam elevar os níveis de segurança das
instalações na sua área de atuação;
4.3 Penalidades
A não observância dos preceitos desta Política poderá implicar na aplicação de
sanções administrativas, cíveis e penais previstas na legislação em vigor que
regule ou venha regular a matéria.
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 17
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
As penalidades administrativas serão aplicadas após a sua devida apuração em
processo administrativo disciplinar, sendo observados critérios de gravidade e
reincidência dos atos de violação cometidos à Política de Segurança da
Informação.
As infrações ocorridas as normas que compõem essa Política de Segurança da
Informação deverão ser analisadas pelo gestor imediato do infrator, que deverá
comunicar imediatamente a Diretoria da ATI para fins de determinação da
apuração das eventuais responsabilidades dos funcionários envolvidos.
4.4 Composição da Política de Segurança da Informação
A presente Política de Segurança da Informação será composta por uma estrutura
de documentos organizados de forma hierárquica, conforme a figura abaixo:
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 18
Governo do Estado de Pernambuco
Gestão de Segurança da Informação
Gestão de RiscosPlano de
Continuidade de Negócio
Plano de Ação e Resposta a Incidentes
Diretrizes Gerais
Termo deResponsabilidade
Termo de responsabilidadeTermo de responsabilidadeTermo de responsabil id adeTermo de responsabilidadeTermo de responsabilidad e Termo de responsabilidaadeTermo de responsabilidadeT ermo de responsabilidadeTermo de responssssabilidadeTer mo de responsaaaaaaabilidadeTermo
de responsabilidadeTe rmo de responsabilidadeTermo de responsabilidadeTermo de responsabilidadeaaaaaaTermo de responsabilissssdad Termo de responsabilidadeeTermo de responsabilidade
Termo de responsabilidadeTermo de responsabilidadeTermo de responsabil id adeTermo de responsabilidadeTermo de responsabilidad e Termo de responsabilidaadeTermo de responsabilidadeT ermo de responsabilidadeTermo de
responssssabilidadeTer mo de responsaaaaaaabilidadeTermo de responsabilidadeTe ermo de responsabilidadeeTermo de responsabilidade
ManuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais
Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais
Procedimentos
Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais
Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais
Planos deAção
Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais
Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaianua manuais
NormasEspecíficasSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuais
Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais manua manuaianua manuais
Política de Segurança da Informação
NORMA ATI-SGR-PR/001:09
4.4.1 Diretrizes Gerais
As Diretrizes Gerais da Política de Segurança da Informação apontam os
principais aspectos e propõem as características norteadoras para todo o
conjunto de normas específicas, padrões, procedimentos, manuais, planos e
demais documentos relacionados à Segurança da Informação no âmbito da ATI.
Todos esses instrumentos deverão seguir os princípios elencados nessa norma
de diretrizes gerais.
Essas regras norteadoras, embora estejam unidas numa mesma mesma ideia,
foram divididas para uma melhor compreensão em:
a) Gestão de Segurança da Informação – Conjunto de medidas que visam a
proteção dos ativos de segurança da informação;
b) Gestão de Riscos – Conjunto de medidas que visam a remediação de
riscos da informação, identificados através de análise;
c) Plano de Continuidade de Negócio – Plano desenvolvido através da
identificação de causas que possam afetar a disponibilidade dos serviços,
trazendo soluções para seu imediato restabelecimento;
d) Plano de Ação e Resposta a Incidentes – Plano que propõe medidas de
resposta na ocasião de incidentes de segurança.
4.4.2 Termo de Responsabilidade
A PSI conta com o Termo de Responsabilidade [4], em caráter complementar, cujo
objetivo é dar ciência e ter o registro disso. Logo, todos os submetidos à PSI
deverão assinar o referido Termo, no mesmo sentido incorrem os que futuramente
ingressarem na organização, comprometendo-se à estrita observância e
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 19
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
obediência às condições e requisitos contidos na PSI, e suas normas específicas
presentes e futuras.
4.4.3 Documentos vinculados
A Política de Segurança da Informação é composta por um conjunto de
documentos vinculados às diretrizes gerais, trazendo, de forma detalhada,
características técnicas e disciplinares visando o cumprimento das especificações
e diretrizes dessa Política. Esses documentos tomam forma de normas
complementares, planos de ação, procedimentos e manuais.
As normas complementares são documentos que trazem regras detalhadas sobre
uma temática específica. Novas normas ou novas versões de normas podem ser
incluídas no rol e as existentes serem excluídas ou alteradas, respeitando as
diretrizes gerais e a harmonia e convivência entre as normas que compõem a
PSI.
Os planos de ação são documentos que elencam diversas hipóteses de situações
e determinam soluções para as mesmas.
Os procedimentos servem para padronizar soluções diante de uma tarefa
específica.
Os manuais são instrumentos de orientação para agentes de segurança da
informação. Podem ser definidos de uma forma geral e abstrata ou mesmo tratar
de uma temática específica. O público-alvo desses manuais podem ser agentes
de segurança leigos ou não.
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 20
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
5 Diretrizes Gerais da Política de Segurança da Informação
5.1 Gestão de Segurança da Informação
a) Esta Política de Segurança da Informação deve abranger todos os
recursos humanos, administrativos e tecnológicos da ATI;
b) A identificação do usuário por meio de crachá, senha ou outro meio é
pessoal e intransferível, qualificando-o como responsável por todas as
atividades desenvolvidas através da credencial, sendo pré-requisito para a
liberação do uso de qualquer uma dessas formas de identificação, a
assinatura de “Termo de Responsabilidade” (Ver 4.4.2), que comprove sua
ciência às condições de uso, seus direitos e deveres quanto ao acesso dos
recursos computacionais da ATI;
c) Todo pessoal que integre direta ou indiretamente os recursos humanos da
ATI é responsável pela segurança da informação, dentro de sua respectiva
área de atuação;
d) Somente atividades lícitas, éticas e administrativamente admitidas devem
ser realizadas, pelos usuários, em geral, quando da utilização dos recursos
computacionais da ATI, ficando os transgressores sujeitos às sanções (Ver
4.3) previstas nesta PSI;
e) Devem existir, documentados e implantados, procedimentos específicos
para bloqueio temporário ou definitivo de acesso aos recursos
computacionais da ATI na ocorrência de afastamento ou desligamento de
usuários credenciados;
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 21
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
f) Aqueles que estão fora das atividades em virtude de afastamento,
aposentadoria, demissão, exoneração, cessão, ou por qualquer outro
motivo não desempenha mais sua função na ATI, serão responsabilizados
por quaisquer atos que descumpriram essa PSI, ao tempo em que
exerciam suas atividades;
g) Deve existir programa de disseminação desta PSI assegurando que todos,
que integram esta entidade, estejam cientes da obrigatoriedade de
obediência às normas e recomendações aqui definidas;
h) Deve ser implementado um programa permanente de conscientização
sobre segurança da Informação de forma que seja esclarecido a todos os
potenciais riscos de segurança a que estão expostos os ativos de
segurança da informação, proporcionando, assim, maior cooperação para
o cumprimento das normas desta PSI;
i) É dever de todos os usuários, ao tomarem conhecimento de qualquer
incidente de segurança da informação, notificar o fato imediatamente, à
Unidade de Segurança da Informação - USI, para as providências cabíveis;
j) Todos os usuários devem ter acesso aos recursos mínimos necessários à
execução de suas tarefas no âmbito da ATI, salvo disposição em contrário
expressa e específica;
k) Os equipamentos e aplicações disponibilizados aos usuários devem ser
orientados, previamente, por um projeto a fim de evitar situações de risco à
segurança da informação e devem ser homologados em ambiente de teste
e desenvolvimento antes de serem postos em produção;
l) O uso de equipamentos particulares no âmbito da ATI será controlado e
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 22
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
deverá estar em conformidade com as normas de segurança desta PSI;
m) Todos os Ativos de Segurança da Informação (Ver 3.2) serão protegidos
por essa PSI, baseando-se em critérios de classificação, criticidade,
confidencialidade, risco de exposição, alinhados com as diretrizes
estratégicas da ATI;
n) Documentos e softwares desenvolvidos por funcionários e prestadores de
serviço são de propriedade da ATI, ressalvados em casos expressamente
assegurados por contrato formal;
o) As informações de propriedade da ATI devem ser de uso restrito para os
fins a que se destinam, não podendo, sob nenhum propósito, serem
apropriadas ou divulgada a terceiros;
p) Todas as informações devem ser protegidas contra perda, acessos e usos
indevidos, devendo ser adotados procedimentos específicos e adequados
ao grau de criticidade da informação, sob a responsabilidade direta do
funcionário ou prestador de serviço que a detém em sua guarda;
q) Esta Política de Segurança da Informação deve ser considerada como
subsídio essencial para confecção de processos de aquisição de bens e
serviços de Tecnologia da Informação;
r) Os softwares adquiridos ou desenvolvidos devem obedecer às
especificações de segurança estabelecidas por essa PSI;
s) Deve ser implantado procedimento para ativar e manter registros de
vulnerabilidades e ataques reportados por fontes confiáveis, além de
medidas de controle e correção, promovendo-se, quando necessário, as
devidas orientações de intervenção aos administradores dos recursos
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 23
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
vulneráveis;
t) O cumprimento da Política de Segurança da Informação será
acompanhado e auditado por unidade responsável, sendo permitido, para
isso, o monitoramento do tráfego e armazenamento de informação;
5.2 Gestão de Riscos
a) Deve ser implementado um programa de gestão de riscos para análise dos
ativos de segurança da informação (Ver 3.2) da ATI, bem como diversos
outros elementos que agem direta ou indiretamente sobre esses ativos,
com objetivo de identificar e remediar as vulnerabilidades que resultam em
riscos para a segurança das informações;
b) A Análise de Risco será feita periodicamente, emitindo relatório para
apresentação e análise junto à Diretoria, ao Comitê Gestor de Segurança e
demais Gestores;
5.3 Plano de Continuidade de Negócio
a) Um plano de continuidade do negócio deve ser implementado e testado
periodicamente para garantir a ininterrupção dos serviços críticos nos
ambientes computacionais;
b) Sistemas e dispositivos redundantes devem estar disponíveis para garantir
a continuidade da operação dos serviços críticos quando necessário;
c) Procedimentos específicos devem ser previstos para contingência nas
diversas áreas de atuação dos ambientes computacionais, cabendo aos
respectivos gestores, tomarem as providências cabíveis;
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 24
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
5.4 Plano de Ação e Resposta a Incidentes
a) Um plano de ação e resposta a incidentes deve ser estabelecido com o
objetivo de conter e remediar qualquer incidente de segurança da
Informação que venha a ocorrer;
b) Os incidentes de segurança devem ser registrados para finalidade
estatística, servindo de base para elaboração de futuras políticas e
melhorias de segurança;
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 25
Governo do Estado de Pernambuco
NORMA ATI-SGR-PR/001:09
6 Bibliografia
[1] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT).
NBRISO/IEC27001, Tecnologia da informação - Técnicas de segurança -
Sistemas de gestão de segurança da informação – Requisitos, mar. de 2006.
[2] ABNT. NBRISO/IEC27002, Tecnologia da informação - Técnicas de segurança
- Código de prática para a gestão da segurança da informação, ago. de 2005.
[3] ABNT. NBRISO/IEC27005, Tecnologia da informação - Técnicas de segurança
- Gestão de riscos de segurança da informação, jul. de 2008.
[4] ATI. Termo de Responsabilidade – Recife, 2008. Disponível em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.
[5] ATI. SEIG-GGT-PR/001-1:08. Versão 1.0 – Recife, 2009. Disponível em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010..
[6] ATI. SEIG-GGT-PR/001-2:08. Versão 1.0 – Recife, 2009. Disponível em:
<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.
[7] ATI. Portaria N° 033/2008 – Recife, 2008. Disponível em: <www.ati.pe.gov.br>.
Acesso em: 08 de set. de 2010.
Agência Estadual de Tecnologia da InformaçãoAv. Rio Capibaribe, 147. São José – Recife-PE – Brasil50020-080 – Pabx: 55 81 3181.8000www.ati.pe.gov.br – [email protected] 26
Governo do Estado de Pernambuco