NORMA TÉCNICAATI-SGR-PR/001:10Política de Segurança daInformação – Diretrizes GeraisVersão 2.0Válida a partir da publicaçã...
NORMA ATI-SGR-PR/001:09SumárioPrefácio.......................................................................................
NORMA ATI-SGR-PR/001:095.3 Plano de Continuidade de Negócio..................................................................
NORMA ATI-SGR-PR/001:09PrefácioA ATI – Agência Estadual de Tecnologia da Informação – é o órgão decoordenação e suporte té...
NORMA ATI-SGR-PR/001:091 IntroduçãoA Informática de Governo tem por objetivo instrumentalizar a prestação do serviçopúblic...
NORMA ATI-SGR-PR/001:092 EscopoEssa Norma tem o objetivo de padronizar e estabelecer requisitos mínimos, a fimde proporcio...
NORMA ATI-SGR-PR/001:09 c) Disponibilidade – Garantia de que a informação esteja disponível sempre que requisitada ...
NORMA ATI-SGR-PR/001:093.3Política de Segurança da InformaçãoA Política de Segurança da Informação, Política de Segurança ...
NORMA ATI-SGR-PR/001:09vigor que serão disponibilizadas para fins de conhecimento.4.2 Atribuições e ResponsabilidadesÀs es...
NORMA ATI-SGR-PR/001:09 de Segurança;4.2.2 Presidência da ATI a) Presidir o Comitê Gestor de Segurança – CGS [7]; ...
NORMA ATI-SGR-PR/001:09 Política de Segurança;c) Encaminhar solicitação dos recursos necessários para implantação da P...
NORMA ATI-SGR-PR/001:094.2.5 Coordenadoria Executiva de Logística e Gestão – CLG a) Colaborar com a Política de Segurança...
NORMA ATI-SGR-PR/001:09 informação; e) Tomar as providências administrativas no caso de aplicação de penalidad...
NORMA ATI-SGR-PR/001:094.2.9 Administradores de Sistemas Computacionais e de Comunicação a) Adequar os sistemas computac...
NORMA ATI-SGR-PR/001:09As penalidades administrativas serão aplicadas após a sua devida apuração emprocesso administrativo...
NORMA ATI-SGR-PR/001:094.4.1 Diretrizes GeraisAs Diretrizes Gerais da Política de Segurança da Informação apontam osprinci...
NORMA ATI-SGR-PR/001:09obediência às condições e requisitos contidos na PSI, e suas normas específicaspresentes e futuras....
NORMA ATI-SGR-PR/001:095 Diretrizes Gerais da Política de Segurança daInformação5.1 Gestão de Segurança da Informação a) ...
NORMA ATI-SGR-PR/001:09f) Aqueles que estão fora das atividades em virtude de afastamento, aposentadoria, demissão, exon...
NORMA ATI-SGR-PR/001:09 deverá estar em conformidade com as normas de segurança desta PSI;m) Todos os Ativos de Seguranç...
NORMA ATI-SGR-PR/001:09 vulneráveis; t) O cumprimento da Política de Segurança da Informação ...
NORMA ATI-SGR-PR/001:095.4 Plano de Ação e Resposta a Incidentes a) Um plano de ação e resposta a incidentes deve ser est...
NORMA ATI-SGR-PR/001:096 Bibliografia[1] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT).NBRISO/IEC27001, Tecnologia da in...
of 23

Política de segurança da informação diretrizes gerais

Published on: Mar 4, 2016
Source: www.slideshare.net


Transcripts - Política de segurança da informação diretrizes gerais

  • 1. NORMA TÉCNICAATI-SGR-PR/001:10Política de Segurança daInformação – Diretrizes GeraisVersão 2.0Válida a partir da publicação da Resolução 001/2010Palavras-chave: Segurança, Informação, Diretrizes, Regras, Normas,Risco, Continuidade, Vulnerabilidade, Incidente, Ativo.Direitos autorais exclusivos da ATI, sendo permitida reproduçãoparcial ou total, desde que citada a fonte (ATI), mantido o textooriginal e não acrescentado nenhum tipo de propaganda comercial. 26 páginas
  • 2. NORMA ATI-SGR-PR/001:09SumárioPrefácio............................................................................................................................. 51 Introdução....................................................................................................................... 72 Escopo............................................................................................................................ 93 Termos e definições........................................................................................................ 94 Política de Segurança da Informação........................................................................... 114.1 Disposições Gerais.................................................................................................... 114.2 Atribuições e Responsabilidades............................................................................... 124.2.1 Comitê Gestor de Segurança – CGS...................................................................... 124.2.2 Presidência da ATI.................................................................................................. 134.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI................ 134.2.4 Unidade de Segurança da Informação – USI.......................................................... 134.2.5 Coordenadoria Executiva de Logística e Gestão – CLG......................................... 154.2.6 Gerência de Recursos Humanos – GRH................................................................ 154.2.7 Gerência Jurídica de Contratos e Convênios – GJC............................................... 164.2.8 Gerentes e Chefes de Unidades............................................................................. 164.2.9 Administradores de Sistemas Computacionais e de Comunicação........................ 174.2.10 Todos os Usuários................................................................................................ 174.3 Penalidades............................................................................................................... 174.4 Composição da Política de Segurança da Informação.............................................. 184.4.1 Diretrizes Gerais..................................................................................................... 194.4.2 Termo de Responsabilidade.................................................................................... 194.4.3 Documentos vinculados.......................................................................................... 205 Diretrizes Gerais da Política de Segurança da Informação........................................... 215.1 Gestão de Segurança da Informação........................................................................ 215.2 Gestão de Riscos...................................................................................................... 24 Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 3
  • 3. NORMA ATI-SGR-PR/001:095.3 Plano de Continuidade de Negócio............................................................................ 245.4 Plano de Ação e Resposta a Incidentes.................................................................... 256 Bibliografia.................................................................................................................... 26 Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 4
  • 4. NORMA ATI-SGR-PR/001:09PrefácioA ATI – Agência Estadual de Tecnologia da Informação – é o órgão decoordenação e suporte técnico ao Sistema Estadual de Informática do Governo –SEIG – e que tem como atribuições propor e prover soluções integradoras demeios, métodos e competências, com uso intensivo e adequado da Tecnologia daInformação e Comunicação.A Política de Segurança da Informação foi elaborada pela Unidade de Segurançada Informação – USI – da ATI, redigida em conformidade com as convençõesredacionais estabelecidas pela ATI [5] [6] e segundo os padrões nacionais einternacionais atualmente utilizados [1] [2] [3].Esta Norma foi aprovada pelo Comitê Gestor de Segurança – CGS e substitui odocumento intitulado Política de Segurança da Informação da ATI – PSI/ATI –Versão 1, de 2008. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 5
  • 5. NORMA ATI-SGR-PR/001:091 IntroduçãoA Informática de Governo tem por objetivo instrumentalizar a prestação do serviçopúblico, propiciando uma melhor gestão dos recursos do governo e possibilitandoa integração entre seus órgãos para a troca de informações.O uso da Tecnologia da Informação na Administração Pública envolve grandeacervo de recursos computacionais e informações que necessitam estarpermanentemente protegidos contra acessos indevidos e adulterações.Em contrapartida aos benefícios que a informatização oferece, existe a constantetentativa de exploração maliciosa das informações, tornando-se imprescindível ozelo pela segurança, evitando as vulnerabilidades que dão margem a invasões eoutros incidentes que resultam em perda da confidencialidade, integridade edisponibilidade das informações.Como parte de um conjunto de medidas de segurança, fica imprescindível aimplantação de uma Política de Segurança da Informação que defina diretrizes,normas, padrões e requisitos mínimos, nos diversos aspectos que envolvem,direta e indiretamente, o trânsito e o acervo de informações, salvaguardando asua exatidão, independentemente de onde e como estejam armazenadas. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 7
  • 6. NORMA ATI-SGR-PR/001:092 EscopoEssa Norma tem o objetivo de padronizar e estabelecer requisitos mínimos, a fimde proporcionar condições que assegurem a integridade, a confidencialidade, adisponibilidade, bem como a legalidade da informação no âmbito do ambientecomputacional da ATI.As regras estabelecidas neste documento estendem-se a todos os que fazemparte da instituição, tais como empregados, servidores, cargos em comissão,terceirizados, estagiários, prestadores de serviços e os que, de alguma forma,fazem uso dos recursos computacionais da mesma.Esta Política engloba não apenas os requisitos de segurança lógica, mas,também, os de segurança física e de pessoal nos ambientes computacionais.3 Termos e definiçõesPara os efeitos deste documento, aplicam-se os seguintes termos e definições:3.1Segurança da informaçãoSegurança da Informação consiste na preservação da confidencialidade,integridade e disponibilidade da informação, quais sejam: a) Confidencialidade – Garantia de que o acesso à informação seja obtido, apenas, por pessoas autorizadas; b) Integridade – Garantia de que a informação não seja adulterada; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 9
  • 7. NORMA ATI-SGR-PR/001:09 c) Disponibilidade – Garantia de que a informação esteja disponível sempre que requisitada pelos usuários autorizados.Há de ser considerado o aspecto da Legalidade, no que diz respeito aocumprimento das normas provenientes do sistema jurídico brasileiro e tratadosinternacionais vigentes.3.2Ativos de Segurança da InformaçãoSão considerados Ativos de Segurança da Informação todos os elementos quecontém informação de forma direta ou indireta ou que tenha alguma relação coma transmissão de informações.A informação pode estar contida em: a) Dispositivos digitais móveis; b) Equipamentos compostos por unidade de armazenamento; c) Mídia digital, impressa ou escrita; d) Pessoas; e) Nuvem.A informação pode ser transmitida por: a) Rede de dados; b) Dispositivos móveis; c) Mídia digital, impressa ou escrita; d) Comunicação oral e outros meios de comunicação pessoal. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 10
  • 8. NORMA ATI-SGR-PR/001:093.3Política de Segurança da InformaçãoA Política de Segurança da Informação, Política de Segurança ou simplesmentePSI, consiste em um conjunto de definições, diretrizes, restrições e requisitos queservem para nortear o uso de boas práticas no trato com os ambientes, recursose ativos de segurança da informação, em aspectos físicos, lógicos e de pessoal,com a finalidade de proporcionar maior segurança às informações.4 Política de Segurança da Informação4.1 Disposições GeraisA Política de Segurança da Informação é um conjunto de normas baseadas emdiretrizes preestabelecidas que, de forma estruturada e hierarquizada, criamprocedimentos, regras e métodos provenientes de análise da estruturaorganizacional em detrimento de regras de cunho internacional [1] [2] [3].O fundamento dessa PSI é estabelecer as regras que permitam um nível desegurança aceitável diante das ameaças existentes à informação. Salienta-seque, em virtude de ser a Segurança da Informação (Ver 3.1) um processocontínuo, novas normas e possíveis alterações de versão estarão sendoimplementadas.No caso de existirem conteúdos tratando de uma mesma situação, prevalecerá aversão mais recente, a mais especializada ou a hierarquicamente superior,submetida a avaliação do Comitê Gestor de Segurança da Informação (Ver 4.2.1),devendo, portanto, todos manterem-se atualizados e obedientes às normas em Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 11
  • 9. NORMA ATI-SGR-PR/001:09vigor que serão disponibilizadas para fins de conhecimento.4.2 Atribuições e ResponsabilidadesÀs estruturas de apoio, aos gestores, às chefias, aos analistas, aos técnicos e aosusuários dos ambientes, dos recursos, dos ativos de segurança da informação(Ver 3.2) e dos ativos computacionais da ATI, cabem cumprir atribuições eassumir responsabilidades específicas, com relação à Segurança da Informação,segundo as suas competências.4.2.1 Comitê Gestor de Segurança – CGS a) Colaborar com a elaboração da Política de Segurança da Informação, junto à Unidade de Segurança da Informação da ATI; b) Aprovar a Política de Segurança da Informação, inclusive atualizações; c) Propor alterações à Política de Segurança da Informação, caso necessário; d) Definir o Plano Estratégico para implantação da Política de Segurança da Informação; e) Definir e aprovar os procedimentos e penalidades para se fazer cumprir a Política de Segurança; f) Coordenar a execução da Política de Segurança da ATI e dos demais órgãos integrantes da Informática de Governo do Estado de Pernambuco; g) Aprovar e propor medidas e contra medidas para correção de problemas causados por quebra ou fragilidade da Política de Segurança; h) Mobilizar os Gestores das áreas de risco para o cumprimento da Política Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 12
  • 10. NORMA ATI-SGR-PR/001:09 de Segurança;4.2.2 Presidência da ATI a) Presidir o Comitê Gestor de Segurança – CGS [7]; b) Colaborar com a elaboração da Política de Segurança da Informação, junto à Unidade de Segurança da Informação da ATI; c) Publicar Instrução Normativa implantando a Política de Segurança, as normas, os manuais e os procedimentos derivados da mesma; d) Cumprir e fazer cumprir a Política de Segurança da Informação;4.2.3 Diretoria Executiva de Tecnologia da Informação e Comunicação – DTI a) Colaborar com a elaboração da Política de Segurança da Informação, junto à Unidade de Segurança da Informação da ATI; b) Disponibilizar os recursos necessários à implantação da Política de Segurança; c) Cumprir e fazer cumprir a Política de Segurança da Informação; d) Mobilizar os gestores, principalmente os das áreas de risco, para o cumprimento da Política de Segurança;4.2.4 Unidade de Segurança da Informação – USI a) Elaborar a Política de Segurança com aprovação do CGS; b) Definir as soluções técnicas e os recursos computacionais necessários para a implantação e adequação do ambiente computacional da ATI à Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 13
  • 11. NORMA ATI-SGR-PR/001:09 Política de Segurança;c) Encaminhar solicitação dos recursos necessários para implantação da Política de Segurança à Diretoria, para as providências cabíveis;d) Implantar a Política de Segurança;e) Monitorar o cumprimento da Política de Segurança, encaminhando aos respectivos gestores, as ocorrências de descumprimento das Normas de Segurança por seus subordinados para as providências cabíveis;f) Avaliar o nível de segurança alcançado, através de procedimentos específicos de segurança da informação, podendo ter auxílio de ferramentas para tal;g) Efetuar mudanças na Política de Segurança sempre que houver alteração no ambiente computacional ou atualizações tecnológicas, a fim de manter e melhorar o nível de segurança;h) Coordenar ações de emergência, conforme Plano de Ação e Resposta a Incidentes (Ver 5.4), imediatamente após detecção ou conhecimento de incidentes de segurança no âmbito do ambiente computacional da ATI;i) Definir e implantar as medidas e contra medidas necessárias para correção de problemas causados por quebra ou fragilidade da Política de Segurança, encaminhando ao respectivo gestor da área envolvida, relatório técnico sobre o ocorrido e as respectivas providências tomadas, bem como, as recomendações de segurança a serem seguidas;j) Mobilizar os gestores, principalmente os das áreas de risco, para o cumprimento da Política de Segurança; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 14
  • 12. NORMA ATI-SGR-PR/001:094.2.5 Coordenadoria Executiva de Logística e Gestão – CLG a) Colaborar com a Política de Segurança da Informação quanto ao cumprimento das especificações relativas aos ambientes físicos, infraestrutura em geral, acesso físico, segurança patrimonial, iluminação, sinalização, emergência e demais atividades da responsabilidade desta coordenadoria; b) Disponibilizar os recursos necessários à implantação da Política de Segurança; c) Cumprir e fazer cumprir a Política de Segurança da Informação; d) Mobilizar os gestores, principalmente os das áreas de risco, para o cumprimento da Política de Segurança;4.2.6 Gerência de Recursos Humanos – GRH a) Colaborar com o cumprimento da Política fornecendo, quando necessário, informações sobre os recursos humanos da ATI; b) Informar aos setores competentes, de forma imediata, sobre qualquer tipo de movimentação do trabalhador, tais como, mudança de cargo ou função, transferência, cessão, habilitação, demissão, exoneração, entre outras, que justifique controle de suas credenciais de acesso à empresa e aos recursos computacionais da mesma; c) Tomar providências para que os novos trabalhadores assinem o Termo de Responsabilidade (ver 4.4.2); d) Prestar auxílio à USI a respeito dos treinamentos sobre segurança da Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 15
  • 13. NORMA ATI-SGR-PR/001:09 informação; e) Tomar as providências administrativas no caso de aplicação de penalidades aos trabalhadores quanto ao não cumprimento da Política de Segurança da Informação;4.2.7 Gerência Jurídica de Contratos e Convênios – GJC a) Prestar auxílio à USI e ao CGS quanto aos aspectos jurídicos referentes à Segurança da Informação; b) Avaliar os incidentes de segurança causados por servidores do estado, recomendando as penalidades cabíveis; c) Tomar as providências jurídicas cabíveis em casos de incidentes de segurança;4.2.8 Gerentes e Chefes de Unidades a) Colaborar com a USI e com o CGS na elaboração da Política de Segurança; b) Cumprir e fazer cumprir a Política de Segurança em relação aos seus subordinados; c) Propor mudanças à Política de Segurança de acordo com as necessidades iminentes detectadas na sua área de atuação; d) Tomar as providências cabíveis em caso de descumprimento da Política de Segurança por seus subordinados; e) Reportar, de imediato, à USI, qualquer incidente de segurança detectado ou, até mesmo, qualquer suspeita ou ameaça de incidentes; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 16
  • 14. NORMA ATI-SGR-PR/001:094.2.9 Administradores de Sistemas Computacionais e de Comunicação a) Adequar os sistemas computacionais e de comunicação em conformidade com a Política de Segurança; b) Monitorar os registros dos sistemas; c) Tomar as providências de emergência conforme Plano de Ação e Resposta a Incidentes, imediatamente após detecção ou conhecimento de incidentes de segurança no âmbito do ambiente computacional da ATI; d) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até mesmo, suspeitas iminentes; e) Solicitar apoio e consultoria de segurança à USI quando se fizer necessário;4.2.10 Todos os Usuários a) Cumprir as normas definidas na Política de Segurança; b) Reportar, de imediato, à USI, qualquer incidente de segurança ou, até mesmo, suspeitas iminentes; c) Sugerir medidas que possam elevar os níveis de segurança das instalações na sua área de atuação;4.3 PenalidadesA não observância dos preceitos desta Política poderá implicar na aplicação desanções administrativas, cíveis e penais previstas na legislação em vigor queregule ou venha regular a matéria. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 17
  • 15. NORMA ATI-SGR-PR/001:09As penalidades administrativas serão aplicadas após a sua devida apuração emprocesso administrativo disciplinar, sendo observados critérios de gravidade ereincidência dos atos de violação cometidos à Política de Segurança daInformação.As infrações ocorridas as normas que compõem essa Política de Segurança daInformação deverão ser analisadas pelo gestor imediato do infrator, que deverácomunicar imediatamente a Diretoria da ATI para fins de determinação daapuração das eventuais responsabilidades dos funcionários envolvidos.4.4 Composição da Política de Segurança da InformaçãoA presente Política de Segurança da Informação será composta por uma estruturade documentos organizados de forma hierárquica, conforme a figura abaixo: Política de Segurança da Informação Diretrizes Gerais Termo de responsabilidadeTermo de responsabilidadeTermo de responsabil id adeTermo de responsabilidadeTermo de responsabilidad e Termo de responsabilidaadeTermo de responsabilidadeT ermo de responsabilidadeTermo de responssssabilidadeTer mo de responsaaaaaaabilidadeTermo de responsabilidadeTe ermo de responsabilidadeeTermo de responsabilidade Termo de Gestão de Plano de Plano de Ação e Responsabilidade Segurança da Gestão de Riscos Continuidade de Resposta a Termo de responsabilidadeTermo de responsabilidadeTermo Informação Negócio Incidentes de responsabil id adeTermo de responsabilidadeTermo de responsabilidad e Termo de responsabilidaadeTermo de responsabilidadeT ermo de responsabilidadeTermo de responssssabilidadeTer mo de responsaaaaaaabilidadeTermo de responsabilidadeTe rmo de responsabilidadeTermo de responsabilidadeTermo de responsabilidadeaaaaaaTermo de responsabilissssdad Termo de responsabilidadeeTermo de responsabilidade Ssmanuais manu manuais manua Ssmanuais manu m anuais manua Ssmanuais manu manuais manua Ssmanuais manu m anuais manua manuaisSsmanuais m anu m anuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais m anu m anuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais m asadsadddsdasnu manuaisSsmanuais masadsadddsdasnu manuaisSsmanuais masadsadddsdasnu manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais m anu manuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais m anua manuaisSsmanuais manu manuais manua manuaianua manuais manuais m anua manuaianua m anuais manuais manua manuaisSsmanuais manu manuais m anua manuaisSsmanuais manu manuais manua manuais manuais m anua manuais Normas Planos de Procedimentos Manuais Específicas Ação Ssmanuais manu m anuais manua Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua Ssmanuais manu manuais manua Ssmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais m anu m anuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuaisSsmanuais m anu m anuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais masadsadddsdasnu manuais m anua manuaisSsmanuais manu manuaisSsmanuais m asadsadddsdasnu manuaisSsmanuais masadsadddsdasnu manuais manua manuaisSsmanuais manu manuais m anua manuaisSsmanuais manu manuais manua manuaisSsmanuais m anu manuais manua manuaisSsmanuais manu manuais manua manuaisSsmanuais manu manuais m anua manuais manuais manua manuaisSsmanuais m anu manuais manua manuaisSsmanuais manu manuais manua manuais manuais manua manuais manuais manua manuais Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 18
  • 16. NORMA ATI-SGR-PR/001:094.4.1 Diretrizes GeraisAs Diretrizes Gerais da Política de Segurança da Informação apontam osprincipais aspectos e propõem as características norteadoras para todo oconjunto de normas específicas, padrões, procedimentos, manuais, planos edemais documentos relacionados à Segurança da Informação no âmbito da ATI.Todos esses instrumentos deverão seguir os princípios elencados nessa normade diretrizes gerais.Essas regras norteadoras, embora estejam unidas numa mesma mesma ideia,foram divididas para uma melhor compreensão em: a) Gestão de Segurança da Informação – Conjunto de medidas que visam a proteção dos ativos de segurança da informação; b) Gestão de Riscos – Conjunto de medidas que visam a remediação de riscos da informação, identificados através de análise; c) Plano de Continuidade de Negócio – Plano desenvolvido através da identificação de causas que possam afetar a disponibilidade dos serviços, trazendo soluções para seu imediato restabelecimento; d) Plano de Ação e Resposta a Incidentes – Plano que propõe medidas de resposta na ocasião de incidentes de segurança.4.4.2 Termo de ResponsabilidadeA PSI conta com o Termo de Responsabilidade [4], em caráter complementar, cujoobjetivo é dar ciência e ter o registro disso. Logo, todos os submetidos à PSIdeverão assinar o referido Termo, no mesmo sentido incorrem os que futuramenteingressarem na organização, comprometendo-se à estrita observância e Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 19
  • 17. NORMA ATI-SGR-PR/001:09obediência às condições e requisitos contidos na PSI, e suas normas específicaspresentes e futuras.4.4.3 Documentos vinculadosA Política de Segurança da Informação é composta por um conjunto dedocumentos vinculados às diretrizes gerais, trazendo, de forma detalhada,características técnicas e disciplinares visando o cumprimento das especificaçõese diretrizes dessa Política. Esses documentos tomam forma de normascomplementares, planos de ação, procedimentos e manuais.As normas complementares são documentos que trazem regras detalhadas sobreuma temática específica. Novas normas ou novas versões de normas podem serincluídas no rol e as existentes serem excluídas ou alteradas, respeitando asdiretrizes gerais e a harmonia e convivência entre as normas que compõem aPSI.Os planos de ação são documentos que elencam diversas hipóteses de situaçõese determinam soluções para as mesmas.Os procedimentos servem para padronizar soluções diante de uma tarefaespecífica.Os manuais são instrumentos de orientação para agentes de segurança dainformação. Podem ser definidos de uma forma geral e abstrata ou mesmo tratarde uma temática específica. O público-alvo desses manuais podem ser agentesde segurança leigos ou não. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 20
  • 18. NORMA ATI-SGR-PR/001:095 Diretrizes Gerais da Política de Segurança daInformação5.1 Gestão de Segurança da Informação a) Esta Política de Segurança da Informação deve abranger todos os recursos humanos, administrativos e tecnológicos da ATI; b) A identificação do usuário por meio de crachá, senha ou outro meio é pessoal e intransferível, qualificando-o como responsável por todas as atividades desenvolvidas através da credencial, sendo pré-requisito para a liberação do uso de qualquer uma dessas formas de identificação, a assinatura de “Termo de Responsabilidade” (Ver 4.4.2), que comprove sua ciência às condições de uso, seus direitos e deveres quanto ao acesso dos recursos computacionais da ATI; c) Todo pessoal que integre direta ou indiretamente os recursos humanos da ATI é responsável pela segurança da informação, dentro de sua respectiva área de atuação; d) Somente atividades lícitas, éticas e administrativamente admitidas devem ser realizadas, pelos usuários, em geral, quando da utilização dos recursos computacionais da ATI, ficando os transgressores sujeitos às sanções (Ver 4.3) previstas nesta PSI; e) Devem existir, documentados e implantados, procedimentos específicos para bloqueio temporário ou definitivo de acesso aos recursos computacionais da ATI na ocorrência de afastamento ou desligamento de usuários credenciados; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 21
  • 19. NORMA ATI-SGR-PR/001:09f) Aqueles que estão fora das atividades em virtude de afastamento, aposentadoria, demissão, exoneração, cessão, ou por qualquer outro motivo não desempenha mais sua função na ATI, serão responsabilizados por quaisquer atos que descumpriram essa PSI, ao tempo em que exerciam suas atividades;g) Deve existir programa de disseminação desta PSI assegurando que todos, que integram esta entidade, estejam cientes da obrigatoriedade de obediência às normas e recomendações aqui definidas;h) Deve ser implementado um programa permanente de conscientização sobre segurança da Informação de forma que seja esclarecido a todos os potenciais riscos de segurança a que estão expostos os ativos de segurança da informação, proporcionando, assim, maior cooperação para o cumprimento das normas desta PSI;i) É dever de todos os usuários, ao tomarem conhecimento de qualquer incidente de segurança da informação, notificar o fato imediatamente, à Unidade de Segurança da Informação - USI, para as providências cabíveis;j) Todos os usuários devem ter acesso aos recursos mínimos necessários à execução de suas tarefas no âmbito da ATI, salvo disposição em contrário expressa e específica;k) Os equipamentos e aplicações disponibilizados aos usuários devem ser orientados, previamente, por um projeto a fim de evitar situações de risco à segurança da informação e devem ser homologados em ambiente de teste e desenvolvimento antes de serem postos em produção;l) O uso de equipamentos particulares no âmbito da ATI será controlado e Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 22
  • 20. NORMA ATI-SGR-PR/001:09 deverá estar em conformidade com as normas de segurança desta PSI;m) Todos os Ativos de Segurança da Informação (Ver 3.2) serão protegidos por essa PSI, baseando-se em critérios de classificação, criticidade, confidencialidade, risco de exposição, alinhados com as diretrizes estratégicas da ATI;n) Documentos e softwares desenvolvidos por funcionários e prestadores de serviço são de propriedade da ATI, ressalvados em casos expressamente assegurados por contrato formal;o) As informações de propriedade da ATI devem ser de uso restrito para os fins a que se destinam, não podendo, sob nenhum propósito, serem apropriadas ou divulgada a terceiros;p) Todas as informações devem ser protegidas contra perda, acessos e usos indevidos, devendo ser adotados procedimentos específicos e adequados ao grau de criticidade da informação, sob a responsabilidade direta do funcionário ou prestador de serviço que a detém em sua guarda;q) Esta Política de Segurança da Informação deve ser considerada como subsídio essencial para confecção de processos de aquisição de bens e serviços de Tecnologia da Informação;r) Os softwares adquiridos ou desenvolvidos devem obedecer às especificações de segurança estabelecidas por essa PSI;s) Deve ser implantado procedimento para ativar e manter registros de vulnerabilidades e ataques reportados por fontes confiáveis, além de medidas de controle e correção, promovendo-se, quando necessário, as devidas orientações de intervenção aos administradores dos recursos Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 23
  • 21. NORMA ATI-SGR-PR/001:09 vulneráveis; t) O cumprimento da Política de Segurança da Informação será acompanhado e auditado por unidade responsável, sendo permitido, para isso, o monitoramento do tráfego e armazenamento de informação;5.2 Gestão de Riscos a) Deve ser implementado um programa de gestão de riscos para análise dos ativos de segurança da informação (Ver 3.2) da ATI, bem como diversos outros elementos que agem direta ou indiretamente sobre esses ativos, com objetivo de identificar e remediar as vulnerabilidades que resultam em riscos para a segurança das informações; b) A Análise de Risco será feita periodicamente, emitindo relatório para apresentação e análise junto à Diretoria, ao Comitê Gestor de Segurança e demais Gestores;5.3 Plano de Continuidade de Negócio a) Um plano de continuidade do negócio deve ser implementado e testado periodicamente para garantir a ininterrupção dos serviços críticos nos ambientes computacionais; b) Sistemas e dispositivos redundantes devem estar disponíveis para garantir a continuidade da operação dos serviços críticos quando necessário; c) Procedimentos específicos devem ser previstos para contingência nas diversas áreas de atuação dos ambientes computacionais, cabendo aos respectivos gestores, tomarem as providências cabíveis; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 24
  • 22. NORMA ATI-SGR-PR/001:095.4 Plano de Ação e Resposta a Incidentes a) Um plano de ação e resposta a incidentes deve ser estabelecido com o objetivo de conter e remediar qualquer incidente de segurança da Informação que venha a ocorrer; b) Os incidentes de segurança devem ser registrados para finalidade estatística, servindo de base para elaboração de futuras políticas e melhorias de segurança; Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 25
  • 23. NORMA ATI-SGR-PR/001:096 Bibliografia[1] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT).NBRISO/IEC27001, Tecnologia da informação - Técnicas de segurança -Sistemas de gestão de segurança da informação – Requisitos, mar. de 2006.[2] ABNT. NBRISO/IEC27002, Tecnologia da informação - Técnicas de segurança- Código de prática para a gestão da segurança da informação, ago. de 2005.[3] ABNT. NBRISO/IEC27005, Tecnologia da informação - Técnicas de segurança- Gestão de riscos de segurança da informação, jul. de 2008.[4] ATI. Termo de Responsabilidade – Recife, 2008. Disponível em:<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.[5] ATI. SEIG-GGT-PR/001-1:08. Versão 1.0 – Recife, 2009. Disponível em:<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010..[6] ATI. SEIG-GGT-PR/001-2:08. Versão 1.0 – Recife, 2009. Disponível em:<www.ati.pe.gov.br>. Acesso em: 08 de set. de 2010.[7] ATI. Portaria N° 033/2008 – Recife, 2008. Disponível em: <www.ati.pe.gov.br>.Acesso em: 08 de set. de 2010. Agência Estadual de Tecnologia da Informação Governo do Estado Av. Rio Capibaribe, 147. São José – Recife-PE – Brasil de Pernambuco 50020-080 – Pabx: 55 81 3181.8000 www.ati.pe.gov.br – ati@ati.pe.gov.br 26

Related Documents