uma visão geral da legislação nacional e das normas … · 2016. 1. 22. · dezembro de 1940 –...

Legislação e Normas de Segurança da Informação Petrópolis, Setembro e Novembro de 2015

Luís Rodrigo de O. GonçalvesE-mail: [email protected]: http://www.lrodrigo.lncc.br

Uma visão geral da legislação nacional e das normas relacionadas à segurança da informação no Brasil e no Mundo

1

Motivação

“O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos.”

“Atualmente, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela.”

2

Segurança da Informação

A Política de Segurança da Informação

3

“Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e demostre apoio e comprometimento com a segurança da informação”

Segurança da Informação:Política de Segurança

4

• Preparado a organização: – O que deve ser protegido? – Contra o quê ou quem? – Qual a importância/valor de cada ativo/recurso? – Qual o grau de proteção desejado? – Quanto se pode gastar para garantir a segurança? – Quais as expectativas dos diretores, clientes e

usuários em relação à Segurança da Informação?

Segurança da Informação:Definições e Conceitos Básicos

5

• Requisitos de segurança:

– Análise/Avaliação de riscos.

– Legislação vigente, estatutos, regulamentações e cláusulas contratuais da organização (Conformidade).

– Conjunto de princípios, objetivos e requisitos do negócio (Missão da organização).


6

• Conjunto Básico de Controles

– Definição das responsabilidades de Segurança

– Processo de Treinamento

– Relatórios de Incidentes

– Gestão da Continuidade das Atividades do Ambiente


7

Política de Segurança - Conceitos:

– “orientação ou conjunto de diretrizes que regem a atuação de uma pessoa ou entidade”.

–“declaração ou plano formal, breve e de alto nível que envolve as crenças gerais, metas, objetivos e procedimentos aceites por uma organização para uma área de um assunto específico.”

–“as regras e os procedimentos escolhidos que vão ditar ações futuras.”


8

Política de Segurança:

– “linhas orientadoras quanto à proteção de dados e de recursos e devem indicar situações e/ou entidades de quem o sistema tem de estar protegido”.

–“estabelece o que deve ser feito para proteger a informação armazenada num computador. Uma política bem escrita contém definição suficiente sobre “o que” fazer de modo que o “como” pode ser identificado e medido ou avaliado”


9

Política de Segurança:

• Visa definir os mecanismos para viabilizar o gerenciamento da segurança em uma instituição

• Deve estabelecer regras e padrões para proteção da informação

• Deve ser baseada nas características da instituição • Documento que descreve quais atividades os usuários

estão autorizados a realizar, como e quando podem ser realizadas.


10

Segurança da Informação:Política de Segurança:

• É fundamental que a alta administração apóie o uso da política e demonstre o seu comprometimento com a aplicação das penalidades cabíveis.

• A implantação deve ser da alta administração para os demais funcionários

• Implementada utilizando a abordadem “Top Down” • Deve ser divulgada para toda a organização e para os

parceiros de negócio.

11


Proposta de uma estrutura para a Política de


12

Proposta de estrutura para a PoSiC - Cap 1 - Disposições Gerais - Cap 2 - Dos Princípios de Segurança - Cap 3 - Da Gestão dos Ativos - Cap 4 - Da Segurança em Recursos Humanos - Cap 5 - Da Segurança Física e do Ambiente - Cap 6 - Do Gerenciamento das Operações e Comunicações - Cap 7 - Do Controle de Acesso - Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas - Cap 9 - Da Gestão de Incidentes de Segurança da Informação - Cap 10 - Da Gestão da Continuidade do Negócio - Cap 11- Da Conformidade com os requisitos legais


13

Cap 1 - Disposições Gerais – Tem caráter informativo; – Ajuda a compreender o texto – Reúne informações com assuntos gerais relacionados ao texto – Contem esclarecimentos relacionados ao:

• objetivo do documento; • princípio jurídicos; • termos relacionados; • formas de interpretação;


14

Cap 1 - Disposições Gerais

Sugestão de estrutura: – Relação das Leis, Decretos, Instruções Normativas, Normas e

procedimentos utilizados como base para a escrita do documento – Lista de Sigla e Termos utilizados no decorre do texto; visa auxiliar

o entendimento e interpretação do documento – Esclarecer quem é o responsável pelo desenvolvimento,

manutenção e revisão do documento. – Informar sobre o processo de revisão e divulgação do documento


15

Cap 1 - Disposições Gerais

Exemplo de conteúdo

O conteúdo e formato desta política baseia-se nos seguintes documentos:

A Norma Brasileira ABNT NBR ISO/IEC 27002:2005 que descreve um Código de práticas para a gestão da Segurança da Informação.

A Norma Brasileira ABNT NBR ISO/IEC 27001:2006 que descreve os requisitos a serem adotados na elaboração de sistemas de gestão de segurança da informação.

A Lei nº 9.983, de 14 de julho de 2000 que altera o Decreto-Lei Nº 2.848, de 7 de Dezembro de 1940 – Código Penal e dá outras providência


16

Cap 2 - Dos Princípios de Segurança – O capítulo anterior informa sobre a construção a política – Este capítulo esclarece sobre:

– O motivo da escrita escrita e uso da política – Quais os conceitos básicos por traz da política – Quais são as condutas esperadas, tanto dos usuários quanto dos

responsáveis pela segurança – Como e quando os mecanismos de segurança podem ser aplicados – Estrutura organizacional da equipa de segurança (comitês e

grupos) – Processo de comunicação e aplicação de penalidades


17

Cap 2 - Dos Princípios de Segurança Exemplo de conteúdo :

Art. 4º. Os mecanismos de segurança devem garantir os requisitos de segurança de forma que não interfiram na utilização de serviços prestados.

Art. 5º. A segurança das informações devem ser mantidas no meio da transmissão e nas extremidades.

Art. 6º. Todas as pessoas vinculadas direta ou indiretamente ao LNCC têm direito a confidencialidade de suas informações pessoais, conforme Art. 5°, inciso XII da Constituição Federal.

Parágrafo único. São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação, na forma do Art. 5°, inciso X da Constituição Federal.

Art. 13º. A gestão de segurança da informação e comunicações baseia-se no processo de melhoria contínua, denominado ciclo PDCA (Plan-Do-Check-Act), referenciado pela norma ABNT NBR ISO/IEC 27001:2006, conforme N.C. 02/IN01/DSIC/GSIPR, de 13 de outubro de 2008.


18

Cap 3 - Da Gestão dos Ativos – Contabilizar os ativos:

– Necessidade e identificação, classificação e rotulação dos ativos – Classificação da informação

– Quando possível, definir, em linhas gerais, como será a classificação e rotulação

– Necessidade de identificar o “proprietário” – Necessidade de determinar a estrutura de deleção de posse e uso


19

Cap 3 - Da Gestão dos Ativos Exemplo de conteúdo :

Art. 18º. Recomenda-se que todos os ativos sejam claramente identificados e que o inventário seja mantido.

Art. 19º. Recomenda-se que todas as informações e os ativos associados com os recursos de processamento da informação tenham um proprietário1.

Art. 20º. Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

Art. 21º. Do ponto de vista do Sistema de Gestão de Segurança da Informação, a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.


20

Cap 4 - Da Segurança em Recursos Humanos (1/2) – Determina/regula a interação dos “Recursos Humanos” com os demais

Ativos – Definir o uso dos termos de Sigilo, Confidencialidade,

Responsabilidade e comprometimento. – Informar sobre os processos disciplinares – Regular os procedimento de desligamento e revogação de direitos – Regular as penalidades relacionadas a divulgações indevidas – Regular obrigações relacionadas à “Terceiros” – Regular obrigações relacionadas à prestadores de serviços


21

Cap 4 - Da Segurança em Recursos Humanos (2/2) – Segurança nas responsabilidades do trabalho – Seleção e política pessoal – Termos e condições de trabalho – Treinamento dos usuários


22

Cap 4 - Da Segurança em Recursos Humanos Exemplo de conteúdo :

Art. 23º. Os funcionários e terceiros devem concordar e assinar os termos de confidencialidade e de responsabilidade.

Art. 24º. Os funcionários e terceiros devem participar dos treinamentos de conscientização e procedimentos organizacionais relacionados a Segurança da Informação.

Art. 26º. Todos os funcionários e terceiros devem devolver todos os ativos da organização que estejam em sua posse antes do desligamento de suas atividades.

Art. 27º. O direito de acesso de todos os funcionários e terceiros às informações e aos recursos computacionais devem ser revogados após o desligamento de suas atividades.

Art. 30º. É proibido obter ou tentar obter, indevidamente, acesso a sistema de tratamento automático de dados, a fim de alterar informações ou procedimentos….

Art. 38º. Os colaboradores que estabeleçam algum vínculo contratual com o …. devem ser obrigados em contrato a seguir esta política.


23

Cap 5 - Da Segurança Física e do Ambiente (1/2) – Áreas de Segurança

– Perímetros de segurança – Definição e identificação de áreas segundo o tipo proteção a ser

aplicada – Controles de entrada física

– Segurança dos equipamentos – Instalação e Proteção dos equipamentos – Fornecimento de Energia – Manutenção – Equipamentos fora das instalações – Reutilização e Alienação


24

Cap 5 - Da Segurança Física e do Ambiente (2/2) – Pontos de Acesso e Concessão de Acesso – Movimentação de equipamentos – Processo de Vigilância / Monitoramento – Processo de Inventário


25

Cap 5 - Da Segurança Física e do Ambiente Art. 45º. Devem ser utilizados perímetros de segurança para proteger as áreas que contenham informações e recursos de processamento da informação.

Art. 46º. Recomenda-se que áreas seguras sejam protegidas de forma que somente pessoas autorizadas tenham acesso.

Art. 47º. Recomenda-se que “pontos de acesso”, tais como áreas de entrega e de carregamento e outros pontos onde pessoas não autorizadas possam entrar nas instalações, devem ser controladas e, se possível isolados dos recursos de processamento.

Art. 50º. O objetivo do controle é sistematizar a concessão de acesso, a fim de evitar a quebra de segurança da informação e comunicações, conforme N.C. 07/IN01/DSIC/GSIPR, de 06 de maio de 2010.

Art. 54º. É proibido retirar da repartição pública, sem estar legalmente autorizado, qualquer mídia, documento, livro ou bem pertencente ao patrimônio público, conforme a alínea l, do inciso XV, da Seção III do Decreto nº 1.171/94, de 22 de junho de 1994.

Art. 61º. É proibido adulterar ou remarcar número de série ou qualquer sinal identificador do patrimônio do LNCC, de seu componente ou equipamento.


26

Cap 6 - Do Gerenciamento das Operações e Comunicações (1/2) – Procedimentos para Documentação de uso – Procedimentos para promover a Disponibilidade e Confidencialidade – Procedimentos controle de mudanças – Procedimentos de Backup e Recovery – Procedimentos de Auditoria e Monitoramento – Procedimentos para tratamento e resposta a incidentes – Procedimento para sincronismo de Tempo (Data e Hora) – Uso de Criptografia – Regula o Conteúdo das Informações – Violação de Direitos Autorais – Emissão de Alertas de Segurança


27

Cap 6 - Do Gerenciamento das Operações e Comunicações (2/2) – Segregar funções – Separar ambientes (Desenvolvimento X Produção) – Planejamento e aceitação de sistemas – Proteção contra software malicioso – Segurança e Tratamento de Mídias – Troca de informações e software

• Acordo de troca de informações • Comercio Eletrônico • Correio Eletrônico • Sistemas disponíveis publicamente


28

Cap 6 - Do Gerenciamento das Operações e Comunicações Art. 63º. Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis para todos os usuários autorizados.

Art. 64º. Modificações nos recursos de processamento da informação e sistemas devem ser controlados.

Art. 65º. A utilização dos recursos deve ser monitoradas e ajustadas, e as projeções devem ser feitas para necessidades de capacidade futuras.

Art. 79º. A CSR deve monitorar e auditar os recursos criptográficos pertencentes ao LNCC, conforme N.C. 09/IN01/DSIC/GSIPR, de 19 de novembro de 2010.

Parágrafo único. É proibido impedir ou dificultar, de qualquer forma, a realização do monitoramento e da auditoria.

Art. 85º. Serão bloqueados os conteúdos de ódio, ameaças, assédio, intimidação ou contraditórios à Legislação.

Art. 94º. Conforme o inciso VIII do Art. 2º da Lei nº 7.232, de 29 de outubro de 1984, recomenda-se que a … estabeleça os mecanismos e instrumentos legais, e técnicos para a proteção do sigilo dos dados armazenados, processados e veiculados, do interesse da privacidade e de segurança das pessoas físicas e jurídicas, privadas e públicas.


29

Cap 7 - Do Controle de Acesso (1/3) – Política de Controle de Acesso – Gerenciamento de Usuários

– Registro e cancelamento conta de usuários – Geração, Fornecimento, Teste e Cancelamento de Senhas – Concessão de Privilégios – Uso de acesso/contas administrativas

– Responsabilidade dos usuários – Uso de Senhas - Boas práticas e Proteção – Abandono de equipamento

– Controle de Acesso à Rede e aos serviços – Regras de utilização dos serviços – Autenticação - Usuário e Host


30

Cap 7 - Do Controle de Acesso (2/3) – Controle de Acesso à Rede e aos serviços

• Proteção de Portas – Controle de Acesso ao S.O.

• Identificação do terminal, do usuário • Gerenciamento de Senhas • Desconexão - inatividade, tempo

– Controle de Acesso à aplicações – Isolamento de sistemas sensíveis – Liberação/Bloqueio de Acesso Remoto – Conexão de equipamentos à rede e liberação de acesso


31

Cap 7 - Do Controle de Acesso (3/3) – Monitorar uso e acesso aos sistema

• Registros / Logs eventos • Monitorar uso • Sincronização de relógios

– Gerenciar a computação móvel – Gerenciar/Acompanhar trabalho remoto


32

Cap 7 - Do Controle de Acesso Art. 98º. Deve haver um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação.

Art. 99º. A concessão e uso de privilégios deve ser restritos e controlados.

Art. 112º. A conta deve ser automaticamente bloqueada após o número de tentativas de conexão ultrapassar a quantidade permitida.

Art. 116º. A senha representa a autenticação de cada usuário sendo de seu exclusivo controle, uso e conhecimento, devendo ser gerada pelo próprio usuário.

Art. 120º. Os usuários devem ser orientados a seguir as boas práticas de segurança da informação.

Art. 125º. Para todo projeto classificado como sigiloso, o tratamento e o controle de acesso será conforme o Decreto nº 4.553, de 2002.

Art. 1287º. É proibido prover acesso remoto não autorizado.

Art. 129º. É proibido manter-se conectado à rede do LNCC e ao mesmo tempo utilizar outro provedor de acesso à Internet.


33

Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas – Especificar requisitos e controles de segurança para os sistemas

– Validação dos dados de Entrada e de Saída – Uso de controles de criptografia e assinatura digital – Serviços de não repúdio – Acesso ao código fonte

– Segmentação do ambiente de Teste e Produção – Controlar/Inibir o uso de software não registrados – Fomentar o uso de determinados tipos de licença, de acordo com o tipo

da instituição – Controlar a Instalação de softwares – Definir as características dos novos sistemas – Controle e Requisitos sobre mudanças


34

Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas Art. 146º. Devem ser especificados os requisitos de segurança para controles de segurança para novos sistemas de informação ou melhorias em sistemas existentes.

Art. 147º. Procedimentos para controlar a instalação de softwares em sistemas operacionais devem ser implementados.

Art. 149º. Recomenda-se que as novas bases de dados devem ter possibilidade de integração com as bases de dados existentes.

Art. 150º. Recomenda-se que os novos sistemas devem manter a interoperabilidade com os sistemas computacionais existentes.

Art. 151º. Recomenda-se que o programa não deve conter código oculto que possa causar qualquer alteração de comportamento.

Art. 153º. Recomenda-se desenvolver e usar, preferencialmente, programas com código aberto, acessíveis ininterruptamente por meio da rede mundial de computadores, priorizando-se a sua padronização, conforme Art. 14. Lei Nº 11.419, de 19 de dezembro de 2006.


35

Cap 9 - Da Gestão de Incidentes de Segurança da Informação – Reduzir riscos relacionados à vulnerabilidades – Formalizar a notificação incidentes – Formalizar a gestão dos incidentes – Formalizar a uma equipe para a gestão dos incidentes


36

Cap 9 - Da Gestão de Incidentes de Segurança da Informação Art. 157º. Todos os usuários devem ser instruídos a registar e notificar, através dos canais apropriados, qualquer observação ou suspeita de fragilidade em sistemas e serviços.

Art. 159º. Com fundamento no Decreto 4.553, de 27 de dezembro de 2002, e no Código de Ética do Servidor Público Civil do Poder Executivo Federal, aprovado pelo Decreto 1.171, de 22 de junho de 1994, a comunicação ao público, por qualquer meio de comunicação, sobre eventual ocorrência de incidentes, será de exclusiva competência do Diretor do LNCC ou de seu delegatário para esse fim.

Art. 160º. A equipe responsável pela Resposta a Tratamento de Incidentes de Segurança fica responsável por localizar a origem dos incidentes, remediar e aplicar esta política, conforme N.C. 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009.

Art. 161º. A equipe responsável pela Resposta a Tratamento de Incidentes de Segurança deve cumprir a N.C. 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010, que regulamenta sua atividade.

Art. 162º. A equipe da CSR responsável pelos equipamentos da área de armazenamento pode usar programas para detectar irregularidades, desde que não infrinja o Art. 3 da N.C. 09/IN01/DSIC/GSIPR, de 19 de novembro de 2010.


37

Cap 10 - Da Gestão da Continuidade do Negócio – Evitar a interrupção das atividades – Proteger processos críticos contra falhas ou desastres – Analisar de impacto - mudanças e manutenções – Formalizar processo de gestão de Continuidade – Formalizar o plano de Continuidade de Negócios – Formalizar testes, manutenção e reavaliação do plano – Definir a ordem na qual os ativos serão salvaguardados


38

Cap 10 - Da Gestão da Continuidade do Negócio

Art. 164º. Recomenda-se implementar controles para impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas, assim como assegurar, quando for o caso, sua retomada em tempo hábil.

Art. 165º. Deve-se fazer por escrito uma detalhada análise de impacto nas mudanças e manutenções.

Art. 167º. Deve haver planos de contingência, cujo alcance será definido pela Comissão de Segurança.

Parágrafo único. Os planos de contingência devem seguir a Gestão de Riscos de Segurança da Informação e Comunicações apresentada na N.C. 04/IN01/DSIC/GSIPR, de 14 de agosto de 2009.

Art. 168º. O Plano de Gestão de Continuidade de Negócios deve buscar redundâncias e seguir a N.C. 06/IN01/DSIC/GSIPR, de 11 de novembro de 2009.


39

Cap 11- Da Conformidade com os requisitos legais – Evitar violação de qualquer lei – Diretos de Propriedade Intelectual – Direitos Autorais – Salvaguarda de registros organizacionais – Prevenção do uso indevido de recursos da organização – Regulamentação de Controles de Criptografia – Coleta de Evidências – Procedimentos relacionados à Auditorias


40

Cap 11- Da Conformidade com os requisitos legais Art. 172º A Equipe de resposta à incidentes deve acompanhar os alertas de vulnerabilidades e ameaças e desenvolver normatização de reforço de segurança.

Art. 175º Sempre que ocorrer um incidente de segurança, o Grupo de resposta à incidente de segurança deve notificar ao responsável pelo ativo sobre o ocorrido.

Parágrafo único. As tentativas de intrusão provenientes da internet também são comunicadas a centros de atendimento a incidente de segurança.


41


Algumas Referencias e Exemplos de Política

42

Exemplos de Políticas

- MCTI: - http://www.mct.gov.br/upd_blob/0228/228092.pdf

- CNPQ - http://www.cnpq.br/web/guest/view/-/journal_content/

56_INSTANCE_0oED/10157/611406 - LNCC:

- http://cs.lncc.br/wp-content/uploads/politica1.pdf


43

http://www.mct.gov.br/upd_blob/0228/228092.pdf

http://www.cnpq.br/web/guest/view/-/journal_content/56_INSTANCE_0oED/10157/611406

http://cs.lncc.br/wp-content/uploads/politica1.pdf

Material sobre Segurança- Cartilhas de Segurança do CAIS

- http://www.rnp.br/cais/cartilhas.html

- Cartilhas de Segurança do CERT.BR - http://cartilha.cert.br/

- Cartilha de Segurança do CGTI do Planalto - http://www4.planalto.gov.br/cgti/legislacao/cartilha-seguranca-da-

informacao/view

- Catálogo de Fraudes - http://www.rnp.br/cais/fraudes.php

- Alertas de Segurança - http://www.rnp.br/cais/alertas/

44

http://www.rnp.br/cais/cartilhas.html

http://cartilha.cert.br/

http://www4.planalto.gov.br/cgti/legislacao/cartilha-seguranca-da-informacao/view

http://www.rnp.br/cais/fraudes.php

http://www.rnp.br/cais/alertas/

Baseada nas melhores praticas

– NBR ISO/IEC 27002:2005 - Código de Prática para a Gestão de Segurança da Informação

– Decreto no 3.505, de 13 de junho de 2000 - Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal (http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm).

– IN 04 - SLTI/MPOG, de 12 de novembro de 2010 - processo de contratação de Soluções de Tecnologia da Informação (http://www.cgti.ufu.br/sites/cgti.ufu.br/files/IN-SLTI-04-12Nov2010-Contratacao-de-TI.pdf)

– NC04/IN01/DSIC/GSIPR de 14 de outubro de 2008 - Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC (http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf)

– e outras.


45

http://www.planalto.gov.br/ccivil_03/decreto/d3505.htm

http://www.cgti.ufu.br/sites/cgti.ufu.br/files/IN-SLTI-04-12Nov2010-Contratacao-de-TI.pdf

http://dsic.planalto.gov.br/documentos/nc_04_grsic.pdf

uma visão geral da legislação nacional e das normas … · 2016. 1. 22. · dezembro de 1940 –...

Documents