1202normas - Segurança - Da - Informação - Versão 2 - 0 em 26 - 11 - 2012

GOVERNO DO ESTADO DA BAHIA Secretaria da Administrao da Bahia
Normas de Segurana da Informao

Verso 2.0
Julho / 2012 1
GOVERNO DO ESTADO DA BAHIA Jaques Wagner CONSELHO DE INFORMTICA GOVERNAMENTAL CIGOV Componentes: Governador do Estado presidente Secretrio da Casa Civil vice-presidente Secretrio da Administrao Secretrio da Fazenda Secretrio do Planejamento Secretrio da Cincia, Tecnologia e Inovao Secretrio da Indstria, Comrcio e Minerao SECRETARIA DA CASA CIVIL Carlos Palma de Mello ASSESSORIA DE GESTO ESTRATGICA INFORMAO E COMUNICAO Renato Falco de Almeida Souza SECRETARIA DA ADMINISTRAO Manoel Vitrio da Silva Filho COORDENAO DE TECNOLOGIAS APLICADAS GESTO PBLICA Andre Luis Peixinho de Miranda GRUPO TCNICO DE SEGURANA DA INFORMAO DO FORTIC Componentes: CASA CIVIL SAEB Mario Henrique Neves Aguiar da Silva Francisco Jos Garcia Cousino Jos Ricardo Palomo Tanajura Victor Emmanuel Maia Fonseca Nilma Ricardo Telma Cristina Reis e Rocha Egberto Vilas Boas Lemos Filho Ednilson Gimenes Rosa Nailton Roque Portela Santos Jadson Bitencourt Andrade Oliveira Valdizio Soares dos Santos Thales Jos Costa de Almeida Elba Lucia de Carvalho Vieira Rosenildo Santos Jlio Csar Reis e Rocha Leandro Daumerie de Jesus DE TECNOLOGIAS DE
SSP SEFAZ
SEPLAN PRODEB EMBASA
COLABORAO Superintendncia de Gesto Pblica SGP Coordenao de Desenvolvimento de Gesto CDG Componentes: Rita de Cssia S e Freitas Marta Larocca Santana Rodrigues Adriana de Oliveira e Oliveira Daniela Svec Silva Bahia Monteiro Raquel Miranda de Carvalho Antonio Carlos da Costa Alves Junior Ricardo Veloso Fontoura GRUPO TCNICO DE SEGURANA DA INFORMAO DO FORTIC NA REVISO Componentes: CASA CIVIL Mario Henrique Neves Aguiar da Silva Fadia Abder Rahim Abdalla Francisco Jos Garcia Cousino Lindinalva Silva Santos Roald Holum Moura Telma Cristina Reis e Rocha Ednilson Gimenes Rosa Nailton Roque Portela Santos Valdizio Soares dos Santos Elba Lucia de Carvalho Vieira Rosenildo Santos Jlio Csar Reis e Rocha Leandro Daumerie de Jesus Csar Cardoso Cristiane Maria de Jesus Santos
SAEB
SSP SEFAZ
SEPLAN PRODEB EMBASA
SESAB DETRAN
BAHIA. Secretaria da Administrao. Normas de Segurana da Informao. -- verso 2.0. -Salvador: SAEB; CDG; CTG, 2012. 68 p. 1. Gesto da Informao Segurana. 2. Normas. I. Ttulo.
CDU 35.076(060.13)(813.8)
Secretaria da Administrao, 2 avenida, 200, tel: 3115-3357 Centro Administrativo da Bahia, CEP 41745-003, Salvador Bahia
Normas de Segurana da Informao Verso 2.0
APRESENTAO
A Segurana da Informao um assunto que deve merecer cada vez mais ateno dos Gestores das Organizaes que fazem parte da Administrao Pblica do Estado da Bahia. No mundo atual, a informao um dos ativos mais importantes das organizaes e sua proteo se torna cada vez mais crtica para que elas atinjam seus objetivos da maneira mais eficiente possvel. Como unidade da SAEB, cabe Coordenao de Tecnologias Aplicada a Gesto Pblica - CTG, planejar, coordenar, promover, supervisionar, controlar e avaliar as aes de desenvolvimento e modernizao tecnolgicos do setor pblico. Neste sentido, este documento foi elaborado para prover a todos os rgos e entidades da Administrao Pblica do Poder Executivo Estadual um conjunto de Normas que auxiliem na Gesto da Segurana da Informao em seus ambientes, elevando, assim, o nvel de proteo de suas informaes e demais ativos crticos.
SUMRIO
INTRODUO............................................................................................................ 7 NORMAS DE SEGURANA DA INFORMAO .................................................................. 7 Norma 01 Responsabilidade dos rgos .................................................................... 8 Norma 02 - Classificao da Informao ..................................................................... 11 Norma 03 - Uso da Internet ...................................................................................... 16 Norma 04 - Acesso aos Recursos de Tecnologia da Informao ..................................... 21 Norma 05 - Acesso e Utilizao do Correio Eletrnico ................................................... 25 Norma 06 - Gerenciamento de Incidentes de Segurana da Informao ......................... 28 Norma 07 - Gerenciamento da Auditoria de Segurana da Informao ........................... 31 Norma 08 - Gesto da Continuidade do Negcio .......................................................... 34 Norma 09 - Gerenciamento de Riscos......................................................................... 37 Norma 10 - Contabilizao de Ativos de Tecnologia da Informao ................................ 41 Norma 11 - Intercmbio de Informaes .................................................................... 44 Norma 12 - Segurana Fsica .................................................................................... 47 Norma 13 - Segurana em Terceirizao e Prestao de Servios .................................. 52 Norma 14 - Desenvolvimento e Manuteno de Aplicaes ........................................... 55 Norma 15 - Distribuio de Hardware e Software ........................................................ 61 Norma 16 - Proteo Contra Cdigo Malicioso ............................................................. 65 CONCLUSO ........................................................................................................... 68
INTRODUO
O cenrio tecnolgico mundial tem evoludo rapidamente, proporcionando cada vez mais facilidades, tanto no uso e armazenamento das informaes, quanto na sua transmisso por redes de computadores privadas ou pela Internet. Essa evoluo, no entanto, traz consigo um aumento considervel dos riscos aos ambientes tecnolgicos das Organizaes e, consequentemente, s informaes sob sua responsabilidade. Com isso, medidas devem ser aplicadas para prover garantias a essas informaes, buscando resguardar aqueles que so considerados os principais pilares da Segurana da Informao: Confidencialidade: toda informao, esteja ela em meio eletrnico ou no, deve estar acessvel somente a quem tem o direito a este acesso. Mecanismos de processos e tecnologia devem ser implementados buscando satisfazer esta premissa; Integridade: toda informao trafegada ou armazenada deve ter garantias quanto sua integridade, assegurando que ela no seja indevidamente alterada ou eliminada; Disponibilidade: as informaes devem estar sempre disponveis para os usurios que dela necessitarem e que tenham autorizao para tal acesso; Autenticidade: devem ser adotados mecanismos que garantam a autenticidade e rastreabilidade dos usurios na utilizao dos recursos computacionais, de forma a tornar possvel a identificao dos autores de qualquer ao que seja feita utilizando os sistemas informatizados e meios de comunicao. Para assegurar todos estes aspectos, necessrio que seja colocado em prtica um processo de gesto de segurana da informao. Este processo, baseado na Norma ISO/IEC 27001:2005 (Information Technology - Security Techniques - Information Security Management Systems Requirements), o chamado SGSI - Sistema de Gesto da Segurana da Informao (em Ingls, ISMS - Information Security Management System). O SGSI prev diversas aes, sub-processos, Normas e Procedimentos de Segurana, praticando a misso de reduzir continuamente os riscos segurana das informaes e aos ativos crticos de uma Organizao.
NORMAS DE SEGURANA DA INFORMAO

Um dos componentes mais importantes do processo de Gesto de Segurana da Informao o conjunto de Normas e Procedimentos que ir guiar os gestores e usurios na produo, manuseio e guarda das informaes da Organizao. Este documento traz um conjunto bsico de Normas a serem implantadas pelos os rgos e entidades da Administrao Pblica do Poder Executivo Estadual, buscando elevar o nvel de Segurana da Informao no Estado da Bahia. Seu objetivo servir de guia na implementao de processos, mecanismos e procedimentos que visem o fortalecimento da segurana da informao no ambiente corporativo do Estado. importante deixar claro que este documento no exaustivo e trata dos principais aspectos relacionados garantia da segurana dos ativos das Organizaes. Outras normas podem vir a ser publicadas pela SAEB, assim como Normas especficas podem ser produzidas pelos prprios rgos e entidades, de forma a complementar este conjunto bsico.
Norma 01 Responsabilidades dos rgos 1. Objetivo

Orientar os rgos e entidades da Administrao Pblica do Poder Executivo Estadual, que compem a administrao direta, autrquica e fundacional, quanto utilizao das Normas de Segurana da Informao.
2. Definies
Segurana da Informao: conjunto de processos articulados, que busca a proteo da informao de vrios tipos de ameaas, para garantir a continuidade do negcio, minimizar o risco, maximizar o retorno sobre os investimentos e ampliar as oportunidades de negcio; Incidente de Segurana da Informao: representado por um simples ou por uma srie de eventos de Segurana da Informao que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a Segurana da Informao; Ativos de Tecnologia da Informao: estaes de trabalho, servidores ou quaisquer outros equipamentos eletrnicos relacionados Tecnologia da Informao, alm de softwares, mdias e servios de TI; Gesto de Continuidade de Negcios: processo que identifica ameaas em potencial e os possveis impactos s operaes de negcio caso essas ameaas se concretize, buscando desenvolver uma cultura organizacional capaz de responder e salvaguardar as informaes e a reputao do rgo ou entidade; Gesto de Riscos: atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos, incluindo, inclusive, anlise e avaliao, tratamento, aceitao e comunicao dos riscos.
3. Abrangncia
Esta Norma e todas as outras Normas contidas neste documento se aplicam aos rgos e entidades da Administrao Pblica do Poder Executivo Estadual, que compem a administrao direta, autrquica e fundacional. As empresas pblicas e sociedades de economia mista podero adotar os procedimentos contidos nestas Normas.
4. Diretrizes
4.1 Compete Secretaria da Administrao SAEB, por intermdio da Coordenao de Tecnologias Aplicadas a Gesto Pblica CTG: 4.1.1 coordenar as atividades de Segurana da Informao, a exemplo de Gesto de Continuidade de Negcios, Gesto de Incidentes de Segurana da Informao e Gesto de Riscos, nos nveis estratgico e ttico;
4.1.2 promover aes que assegurem que as estratgias relacionadas a Segurana da Informao estejam alinhadas com os objetivos de negcio de rgos e entidades do Poder Executivo Estadual; 4.1.3 prospectar as solues de segurana existentes no mercado e avaliar sua adequao para a Administrao Pblica do Poder executivo Estadual; 4.1.4 avaliar o resultado do nvel de segurana alcanado e propor medidas corretivas e preventivas; 4.1.5 manter a Alta Administrao dos rgos e entidades da Administrao Pblica do Poder Executivo informada sobre os assuntos relativos Segurana da Informao; 4.1.6 coordenar as atividades operacionais relacionadas Informao a nvel do Governo do Estado; Segurana da
4.1.7 prover suporte metodolgico e apoio ao planejamento das atividades relacionadas a Segurana da Informao nas Coordenaes de Modernizaes ou Unidades equivalentes dos rgos e entidades; 4.1.8 verificar, continuamente, se os rgos e entidades da Administrao Pblica do Poder Executivo Estadual esto atuando em conformidade com as diretrizes da Poltica e Normas de Segurana da Informao; 4.1.9 promover, periodicamente, programas de conscientizao e capacitao em Segurana da Informao, bem como monitorar os seus resultados. 4.2 Compete s Diretorias Gerais, por intermdio das Coordenaes Modernizao, ou Unidades equivalentes dos rgos e entidades: de
4.2.1 fornecer as diretrizes estratgicas do negcio para orientar as atividades de Segurana da Informao; 4.2.2 prover os recursos humanos, materiais e financeiros para as atividades de Segurana da Informao; 4.2.3 acompanhar, periodicamente, a evoluo dos indicadores de Segurana da Informao adotados no mbito dos respectivos rgos e entidades; 4.2.4 apoiar, sugerir, garantir e implementar em sua rea de atuao as aes de Segurana da Informao; 4.2.5 fazer cumprir a Poltica e Normas de Segurana da Informao; 4.2.6 reportar a ocorrncia de incidentes de Segurana da Informao CTG. 4.3 Para a execuo das atividades de Segurana da Informao, nos rgos e entidades da Administrao Pblica do Poder Executivo Estadual, devero ser observadas todas as demais normas disponibilizadas neste documento e o Manual do Modelo de Gesto da Segurana da Informao, disponvel no site: http://www.fortic.ba.gov.br. 4.4 Caber a SAEB/CTG analisar e dirimir as dvidas sobre as Normas e os casos omissos devero ser encaminhados ao FORTIC para exame.
5. Documentos Relacionados
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Manual do Modelo de Gesto da Segurana da Informao.
6. Data de Reviso
10/07/2012
10
Norma 02 - Classificao da Informao 1. Objetivo

Estabelecer diretrizes que garantam que todas as informaes, independente de seus meios de armazenamento ou transmisso, recebam nveis adequados de proteo e sejam classificadas com clara indicao do assunto, fundamento da classificao, indicao do prazo do sigilo e identificao da autoridade que a classificou, respeitando o princpio da observncia da publicidade como preceito geral e do sigilo como exceo, conforme a Lei Federal n 12.527, de 18 de Novembro de 2011 (Lei de Acesso Informao Pblica).
2. Definies
Informao: dados, processados ou no, que podem ser utilizados para produo e transmisso de conhecimento, contidos em qualquer meio, suporte ou formato; Documento: unidade de registro de informaes, qualquer que seja o suporte ou formato; Informao Sigilosa: informao submetida temporariamente restrio de acesso pblico em razo de sua imprescindibilidade para a segurana da sociedade e do Estado, e aquelas abrangidas pelas demais hipteses legais de sigilo; Informao Pessoal: informao relacionada pessoa natural identificada ou identificvel, relativa intimidade, vida privada, honra e imagem; Proprietrio da Informao: aquele que gera ou adquire a informao; Custodiante da Informao: aquele que armazena, processa, veicula e trata a informao, mediante orientao dada pela classificao dada informao e assume, em conjunto com o proprietrio da informao, a responsabilidade pela proteo desta; Usurio: qualquer colaborador seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que acessa ou utiliza informaes custodiadas ou de propriedade da Administrao Pblica Estadual em local ou jornada de trabalho deste ltimo; Tratamento da informao: conjunto de aes referentes produo, recepo, classificao, utilizao, acesso, reproduo, transporte, transmisso, distribuio, arquivamento, armazenamento, eliminao, avaliao, destinao ou controle da informao.
3. Abrangncia
Esta Norma se aplica a todos os usurios das informaes custodiadas ou de propriedade da Administrao Pblica do Poder Executivo Estadual.
11
4. Diretrizes
4.1 A informao em poder dos rgos e entidades, observado o seu teor e em razo de sua imprescindibilidade segurana da sociedade ou do Estado, poder ser classificada no grau Ultrassecreto, Secreto ou Reservado 4.2 Para a classificao da informao em grau de sigilo, dever ser observado o interesse pblico da informao e utilizado o critrio menos restritivo possvel, considerados: a gravidade do risco ou dano segurana da sociedade e do Estado; e o prazo mximo de classificao em grau de sigilo ou o evento que defina seu termo final.
4.3 So passveis de classificao no grau Ultrassecreto, Secreto ou Reservado as informaes consideradas imprescindveis segurana da sociedade ou do Estado, cuja divulgao ou acesso irrestrito possa: pr em risco a defesa e a integridade do territrio estadual; prejudicar ou pr em risco a conduo de negociaes ou as relaes internacionais do Estado, ou as que tenham sido fornecidas em carter sigiloso por outros Estados e organismos internacionais; pr em risco a vida, a segurana ou a sade da populao; oferecer elevado risco estabilidade financeira, econmica ou monetria do Estado; prejudicar ou causar risco a planos ou operaes estratgicos dos rgos de Segurana do Estado; prejudicar ou causar risco a projetos de pesquisa e desenvolvimento cientfico ou tecnolgico, assim como a sistemas, bens, instalaes ou reas de interesse estratgico do Estado; por em risco a segurana de instituies ou de altas autoridades nacionais, estaduais ou estrangeiras e seus familiares; comprometer atividades de inteligncia, de investigao ou de fiscalizao em andamento, relacionadas com preveno ou represso de infraes.
4.4 Os prazos mximos de restrio de acesso informao, conforme a classificao prevista, devem vigorar, a partir da data de sua produo, nos seguintes parmetros: Ultrassecreta: 25 (vinte e cinco) anos; Secreta: 15 (quinze) anos; Reservada: 5 (cinco) anos. sigilo das informaes classificadas no grau Ultrassecreto poder ser por uma nica vez e por perodo determinado no superior a vinte e enquanto seu acesso ou divulgao puder ocasionar ameaa externa do territrio nacional ou grave risco s relaes internacionais do
4.5 O prazo de prorrogado cinco anos, integridade Estado.
12
4.6 As informaes que puderem colocar em risco a segurana do Governador e Vice Governador do Estado e respectivos cnjuges e filhos(as) devero ser, automaticamente, consideradas como Reservadas e ficar sob sigilo at o trmino do mandato em exerccio ou do ltimo mandato, em caso de reeleio. 4.7 As informaes que no forem classificadas como Ultrassecretas, Secretas ou Reservadas devero ser consideradas, automaticamente, como Pblicas, independentemente de sua classificao explcita, resguardadas as excees legalmente previstas como sigilo, a exemplo de: sigilo fiscal, bancrio, de operaes e servios no mercado de capitais, comercial, profissional, industrial e segredo de justia; informaes referentes a projetos de pesquisa e desenvolvimento cientficos ou tecnolgicos cujo sigilo seja imprescindvel segurana da sociedade e do Estado;
4.8 Transcorrido o prazo de classificao ou consumado o evento que defina o seu termo final, a informao dever ser considerada automaticamente classificada como Pblica, respeitadas as excees previstas nesta norma.
5. Recomendaes para Classificao

5.1 Informao "pessoal" no considerada uma classificao, mas uma designao para uma informao relacionada pessoa natural identificada ou identificvel relativa intimidade, vida privada, honra e imagem, significando que a informao direcionada e que somente o destinatrio e as pessoas expressamente autorizadas por ele podem ter acesso. 5.2 Toda informao deve possuir um rtulo com a sua classificao. As informaes no rotuladas sero classificadas, automaticamente, como Pblicas, ressalvadas as excees previstas nesta norma. 5.3 A classificao das informaes deve ser feita para determinar as medidas de proteo necessrias, visando atender as diretrizes da Lei de Acesso Informao Pblica e otimizar os custos com a sua proteo e disponibilizao. 5.4 A classificao deve ser realizada no momento em que a informao gerada ou adquirida, conforme as seguintes competncias: Grau Ultrassecreto: Governador e Vice Governador do Estado; Grau Secreto: alm dos previstos no item 5.1, tambm, os Secretrios de Estado e as autoridades com as mesmas prerrogativas, Comandantes da Polcia Militar e os titulares mximos de autarquias, fundaes ou empresas pblicas e sociedades de economia mista; Grau Reservado: alm dos previstos nos itens 5.1 e 5.2, tambm aqueles que exeram funes de direo, comando ou chefia, no nvel DAS-2A ou superior, do Grupo-Direo e Assessoramento Superior ou hierarquia equivalente, de acordo com regulamentao especfica de cada rgo ou entidade.
5.5 A competncia prevista nos itens 5.1 e 5.2 poder ser delegada expressamente pela autoridade responsvel a agente pblico, inclusive em misso no exterior, vedada a subdelegao.
13
5.6 O proprietrio pode solicitar apoio tcnico Coordenao de Tecnologias Aplicadas Gesto Pblica CTG, exercendo o papel de Escritrio de Segurana da Informao, caso existam dificuldades ou dvidas acerca da classificao a ser dada a uma informao. 5.7 A informao deve receber tratamento adequado sua classificao durante todo o seu ciclo de vida. 5.8 A inexistncia de classificao explcita no exime o proprietrio, os custodiantes e os usurios das suas responsabilidades quanto a avaliar o nvel de sensibilidade da informao. 5.9 Os rgos e entidades da Administrao Pblica Estadual devero reavaliar as informaes classificadas no grau ultrassecreta e secreto, no prazo mximo de dois anos. 5.10 Enquanto no transcorrido o prazo de reavaliao previsto no item 5.9, ser mantida a classificao da informao, observados os prazos e disposies desta norma. 5.11 As informaes classificadas no grau ultrassecreto e secreto no reavaliadas no prazo previsto no item 5.9 sero consideradas, automaticamente, de acesso pblico. 5.12 As informaes classificadas no grau ultrassecreto, secreto e reservado devero conter: cdigo de indexao de documento; categoria na qual se enquadra a informao; indicao de dispositivo legal que fundamenta a classificao; data da produo, data da classificao e prazo da classificao.
5.13 expressamente proibida aos usurios a utilizao, repasse e/ou divulgao indevida de toda e qualquer informao de propriedade da Administrao Pblica Estadual, exceto nas hipteses previstas na Lei Federal n 12.527, de 18 de Novembro de 2011. 5.14 Antes que informaes custodiadas ou de propriedade da Administrao Pblica Estadual sejam disponibilizadas a terceiros, estes devem ser orientados e supervisionados quanto aos aspectos da segurana da informao. A Administrao Pblica Estadual deve garantir que o compromisso de sigilo seja parte integrante do contrato. 5.15 Informaes Reservadas, Secretas ou Ultrassecretas no devem ser descartadas como lixo comum. Documentos impressos ou em mdia eletrnica, que contenham informao com esses nveis de classificao, devem ser destrudos antes de serem descartados, de forma que torne impossvel a sua recuperao.
14
6. Competncias
6.1 Usurio: Aplicar o tratamento adequado informao, de acordo com os nveis definidos nesta norma. 6.2 Autoridades previstas no item 5.5 desta norma: Classificar as informaes, conforme as diretrizes desta norma. 6.3 Proprietrio da Informao: Determinar o nvel de criticidade e a classificao correta das informaes utilizadas nos ativos sob sua responsabilidade, de forma a subsidiar as decises de classificao a serem aplicadas pelos entes competentes. 6.4 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: Orientar o proprietrio da informao quanto a classificao da informao; Observar o cumprimento desta Norma.
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Lei Federal n 12.527, de 18 de Novembro de 2011 Lei Federal de Acesso Informao Pblica;
2. Data de Reviso
10/07/2012
15
Norma 03 - Uso da Internet 1. Objetivo

Estabelecer as diretrizes de proteo relativas ao uso da Internet e de outras redes pblicas de computadores, com o objetivo de reduzir o risco a que esto expostos os Ativos de Tecnologia da Informao da Administrao Pblica Estadual, tendo em vista que a Internet tem sido veculo de muitas aes prejudiciais s organizaes, gerando perdas financeiras, perdas de produtividade, danos aos sistemas e imagem da organizao, entre outras conseqncias.
2. Definies
Criptografia: tcnica utilizada para tornar a informao original ilegvel, permitindo que somente o destinatrio (detentor da chave de criptografia) a decifre. Internet: consiste de milhares de redes de computadores interconectadas mundialmente e que pela sua abrangncia e facilidade de uso, tem sido usada como plataforma para a prestao de um crescente nmero de servios. Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo. Ativos de Tecnologia da Informao: estaes de trabalho, servidores, softwares, mdias e quaisquer equipamentos eletrnicos relacionados Tecnologia da Informao, bem como as conexes com a Internet, hardware e software. Incidente de Segurana da Informao: indicado por um simples ou por uma srie de eventos de Segurana da Informao que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a Segurana da Informao.
3. Abrangncia
Esta Norma se aplica a todos os usurios que fazem uso da Internet, permanente ou temporariamente, atravs dos recursos computacionais disponibilizados pela Administrao Pblica Estadual, bem como os que utilizam a Internet como meio de comunicao atravs de conexo com a rede interna da Administrao Pblica Estadual.
16
4. Diretrizes
4.1 Toda rea de transferncia de dados em computadores da Administrao Pblica Estadual acessvel pela Internet e disponvel publicamente para gravao deve ser limpa regularmente. 4.2 A informao obtida na Internet de forma livre e gratuita deve ser confirmada por fontes fidedignas antes de ser efetivamente usada. 4.3 A Administrao Pblica Estadual pode examinar, sem aviso prvio, o contedo de cache de navegadores Web, favoritos, histrico de sites visitados, configuraes dos softwares e outras informaes armazenadas ou transmitidas pelos seus computadores. 4.4 Os Ativos de Tecnologia da Informao da Administrao Pblica Estadual, incluindo as conexes com a Internet, hardware e software, devem ser empregados na consecuo dos seus objetivos, sendo vedada a sua utilizao para outros fins, exceto para os casos explicitamente permitidos por esta norma. 4.5 Controles de Acesso a Servios da Internet 4.5.1 A permisso de acesso Internet deve ser seletiva em relao aos servios disponibilizados, tais como stios Web e Correio Eletrnico, e ser concedida exclusivamente queles usurios que necessitem deste acesso para o seu trabalho, sendo removida quando no for mais necessria. 4.5.2 O acesso seletivo Internet deve ser disponibilizado por meio de listas positivas ou negativas, cabendo a cada unidade definir a sua regra. 4.5.3 A permisso de acesso Internet deve ser concedida atravs de uma Conta de Usurio que possibilite identificar, individualmente, seu proprietrio, podendo o histrico de acesso, inclusive o contedo, ser monitorado, sem necessidade de notificao prvia, devendo ser armazenado por um perodo mnimo de 90 (noventa) dias. 4.5.4 No permitido suprimir, omitir ou mascarar a identificao da Conta de Usurio a qualquer servio da Internet, exceto para os servios que permitem conexo annima, no sendo permitido tambm o uso de mecanismos de dissimulao do usurio, como re-mailers, IP Spoofing e tradutores de URL. 4.5.5 A Administrao Pblica Estadual pode, sem aviso prvio, restringir o acesso a servios da Internet, tais como stios Web, redes de dados ponto-a-ponto e download de arquivos. 4.5.6 A possibilidade de acessar qualquer servio da Internet no implica em autorizao para acess-lo. 4.6 Conexes de Rede com a Internet 4.6.1 vedada a conexo entre qualquer rede de dados da Administrao Pblica Estadual e a Internet atravs de servios de telecomunicaes no autorizados pela rea de TIC do rgo. 4.6.2 vedada a utilizao de dispositivos de acesso Internet no autorizados, em equipamentos pertencentes Administrao Pblica Estadual. 17
4.6.3 Toda comunicao entre computadores remotos e as redes da Administrao Pblica Estadual, atravs da Internet ou outra rede pblica, deve ser autenticada e criptografada, usando solues tecnolgicas autorizadas pelo rgo responsvel pela rede, com exceo do acesso aos stios Web pblicos da Administrao Pblica Estadual. 4.6.4 Toda a comunicao entre as redes da Administrao Pblica Estadual e a Internet ou qualquer outra rede pblica deve necessariamente passar por firewall, configurado com poltica restritiva, com monitoramento bi-direcional dos fluxos de comunicao e com proteo contra ataques cibernticos. 4.7 Uso Aceitvel da Internet 4.7.1 permitido o acesso a sites que sejam fontes de informao necessria execuo das atividades da Administrao Pblica Estadual. permitido o uso de servios pessoais prestados atravs da Internet, tais como banco on-line, reservas de passagens, servios de rgos pblicos, entre outros, limitados ao estritamente necessrio, nos horrios estabelecidos pelas reas de tecnologia da informao dos rgos e entidades da Administrao Pblica Estadual. No devem ser usados os recursos de Salvar Senha ou Lembrar Senha, disponveis na maioria das aplicaes (Outlook, Internet Explorer, etc), devendo ser desmarcada sempre que for apresentada esta opo. Senhas no devem ser includas em nenhum outro processo de autenticao automtica disponvel. Quando estiver usando a Internet e verificar que o site acessado contm contedo imprprio, o usurio deve abandonar o site e abrir um incidente de Segurana da Informao. No permitido o uso de aplicaes ponto-a-ponto (peer-to-peer) para distribuio de arquivos, tais como Kazaa, Napster, Emule e correlatos. No permitido o uso de jogos on-line. Ressalvados os interesses da Administrao Pblica Estadual, no permitido: a) o acesso a contedos imprprios, que so aqueles relativos pornografia, racismo, violncia, incitao ao dio, invaso de computadores, jogos, entre outros; b) o uso de servios de mensagem instantnea, tais como ICQ, Messenger, Google Talk, MSN, Skype entre outros, seja por software especfico ou via Web; c) o acesso a sites e servios de relacionamento, tais como Orkut, Gazzag, Facebook, MySpace, Twitter e correlatos; d) o uso de servios de udio e vdeo em tempo real, tais como rdio online, TV on-line e telefonia IP; e) a sondagem, investigao ou teste de vulnerabilidade em computadores e sistemas da Administrao Pblica Estadual ou de qualquer outra 18
4.7.2
4.7.3
4.7.4
4.7.5
4.7.6 4.7.7
organizao, exceto quando autorizada pela rea de tecnologia da informao do respectivo rgo ou entidade da Administrao Pblica; f) o uso ou a posse de ferramentas de hardware e software para sondagem, anlise de vulnerabilidade, monitoramento de rede, comprometimento de sistemas, ataques e captura de dados, exceto quando autorizado pela rea de tecnologia da informao do respectivo rgo ou entidade da Administrao Pblica Estadual. 4.8 Criptografia 4.8.1 Recomenda-se que toda a informao classificada como sigilosa, transmitida pela Internet, deve ser criptografada, conforme padres de criptografia homologados pela rea de tecnologia da informao do respectivo rgo ou entidade da Administrao Pblica Estadual. 4.8.2 Informaes que so alvo tpico de criminosos, tais como senhas de contas bancrias, nmeros de cartes de crdito, senhas de sistemas, entre outras, no devem ser publicadas na Internet ou transmitidas via Correio Eletrnico sem criptografia. 4.9 Legalidade 4.9.1 Sempre que as transaes atravs da Internet ultrapassarem as fronteiras nacionais, devem ser observadas as legislaes internacionais pertinentes. 4.9.2 A propriedade intelectual deve ser respeitada em qualquer atividade e sempre que os recursos computacionais da Administrao Pblica Estadual estiverem sendo usados. A reproduo ou encaminhamento de qualquer contedo protegido por direitos de propriedade requer a autorizao do proprietrio dos direitos autorais. 4.9.3 Sempre que informaes obtidas da Internet forem usadas em documentos internos, a fonte deve ser citada. 4.9.4 A indicao de direitos reservados deve ser presumida para todo contedo disponvel na Internet, a menos que contenha informao contrria. 4.9.5 Usurios dos servios de Internet da Administrao Pblica Estadual no devem obter, armazenar ou transmitir contedo ilegal, tais como software no licenciado, pornografia infantil, senhas, informaes bancrias extraviadas, entre outros. 4.10 Download de Arquivos 4.10.1 Ressalvado os interesses da Administrao Pblica Estadual, no permitido o download de filmes, msicas, vdeo clips ou contedos semelhantes relacionados a entretenimento. 4.10.2 O download de arquivos com grande volume de dados deve considerar as limitaes da conexo com a Internet e, sempre que possvel, deve ser executado fora do horrio normal de expediente. 4.10.3 O download de softwares deve obedecer aos contratos estabelecidos com os fornecedores, quando aplicvel.
19
4.10.4 Todo arquivo obtido em fontes externas Administrao Pblica Estadual deve ser submetido verificao de software antivrus antes de ser utilizado.
5. Competncias
5.1 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.1.1 disseminar e observar o cumprimento desta Norma.
5.2 rea de Tecnologia da Informao do rgo ou Entidade: 5.2.1 prover os recursos necessrios ao cumprimento desta Norma; 5.2.2 avaliar e homologar novos servios de Internet antes de serem utilizados.
6. Documentos relacionados
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Manual do Modelo de Gesto da Segurana da Informao. Norma 02 - Classificao da Informao. Norma 16 - Proteo Contra Cdigo Malicioso. Norma 05 - Acesso e Utilizao do Correio Eletrnico. Norma 11 - Intercmbio de Informaes. Norma 04 - Acesso aos Recursos de Tecnologia da Informao. Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.
7. Data de Reviso
10/07/2012
20
Norma 04 - Acesso aos Recursos de Tecnologia da Informao 1. Objetivo

Estabelecer as diretrizes e responsabilidades para o acesso aos recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do Poder Executivo Estadual.
2. Definies
Autenticao: processo de verificao que confirma se uma entidade ou um objeto quem ou o que afirma ser, incluindo, em alguns exemplos, a confirmao da origem e da integridade das informaes, tal como a verificao de uma assinatura digital ou da identidade de um utilizador ou de um computador. Conta Genrica: credencial de acesso rede que no identifica o usurio que a utiliza. Conta de Usurio: credencial de acesso rede ou sistemas, de uso pessoal, intransfervel e de responsabilidade de seu usurio designado. Credencial de Acesso: elemento utilizado para autenticar um usurio perante recursos de Tecnologia da Informao, tais como nome de usurio e senha, certificado digital, informao biomtrica ou equivalentes. Estao de Trabalho: todos os computadores e equipamentos correlatos da Administrao Pblica Estadual, inclusive dispositivos mveis. Login/Logon: processo de autenticao com o objetivo de permitir o uso de um sistema computacional ou recursos de rede de forma segura. Logoff: processo de encerramento do uso de um sistema computacional ou recursos de rede, removendo as credenciais de acesso. Recursos de Tecnologia da Informao: estaes de trabalho, servidores, redes, sistemas, servios, banco de dados e dispositivos de interconexo. Rede: estaes de trabalho, servidores e outros dispositivos interligados que compartilham informaes ou recursos da Administrao Pblica Estadual. Smartcard: dispositivo porttil utilizado para incrementar a segurana do processo de logon. Token: dispositivo porttil utilizado para incrementar a segurana do processo de logon. Usurio: qualquer colaborador seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo.
21
3. Abrangncia
Esta Norma se aplica a todos os usurios de informaes ou recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual.
4. Diretrizes
4.1 Concesso de Acesso 4.1.1 A licena para a utilizao dos recursos de Tecnologia da Informao uma concesso da Administrao Pblica Estadual aos usurios que necessitem deles para desempenhar suas funes. A utilizao poder ser monitorada em tempo real e a licena poder ser suspensa a qualquer momento por deciso do Gestor da rea do usurio, da rea de tecnologia da informao do rgo ou entidade ou da Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG, de acordo com os exclusivos critrios destes, visando evitar perda de produtividade e riscos de segurana. 4.1.2 O acesso consulta ou utilizao dos recursos de Tecnologia da Informao permitido aps a identificao do usurio, somente por meio de suas prprias credenciais de acesso. 4.1.3 As credencias de acesso aos recursos de Tecnologia da Informao so pessoais, intransferveis e de responsabilidade exclusiva do usurio, exceto para aqueles recursos que no suportarem a criao de credenciais individuais. 4.1.4 Toda solicitao, alterao, bloqueio e desbloqueio de acesso aos recursos de Tecnologia da Informao ou aos sistemas deve ser documentada. 4.1.5 O Gestor da rea do usurio deve informar rea de tecnologia da informao do rgo ou entidade ou ao administrador do recurso de Tecnologia da Informao todos os direitos de acesso que o usurio deve possuir. 4.1.6 Todos os direitos de acesso aos recursos de Tecnologia da Informao devem ter prazo de vigncia definido. 4.1.7 expressamente proibida qualquer tentativa de acesso no autorizado aos recursos de Tecnologia da Informao. 4.1.8 A utilizao de contas genricas deve ser limitada ao estritamente necessrio. 4.1.9 Os rgos e entidades da Administrao Pblica Estadual que disponibilizem o acesso a recursos de Tecnologia da Informao ao cidado devem desenvolver e comunicar regulamento especfico para o bom uso desses recursos. 4.2 Conexo de Equipamentos 4.2.1 Somente dispositivos autorizados pela rea de tecnologia da informao do rgo ou entidade podero ter acesso aos recursos de rede da Administrao Pblica Estadual. 22
4.3 Gerenciamento de Senhas 4.3.1 A elaborao de senhas para acesso rede ou aos sistemas deve ser realizada conforme procedimento estabelecido pela rea de tecnologia da informao do rgo ou entidade, o qual deve prever troca peridica de senhas, senhas de difcil deduo e bloqueio automtico da sesso por inatividade. 4.3.2 Todas as contas de usurio devem ter suas senhas alteradas no primeiro logon na rede, para assegurar sua confidencialidade. 4.3.3 Os critrios para elaborao, manuteno e gerenciamento dos acessos devem levar em considerao a criticidade das informaes e as necessidades dos processos de negcio envolvidos.
4.4 Anlise Crtica 4.4.1 Os direitos de acesso dos usurios rede e aos sistemas devem ser revisados periodicamente. 4.4.2 Os direitos de acesso dos usurios em afastamento definitivo da organizao devem ser revogados. 4.4.3 Os direitos de acesso dos usurios em afastamento temporrio devem ser suspensos no perodo da ausncia. 4.4.4 Os direitos de acesso dos usurios em transferncia de rea devem ser revistos.
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 administrar os acessos rede e aos sistemas da Administrao Pblica Estadual; 5.1.2 elaborar procedimento de gerenciamento de senhas em consonncia com a criticidade das informaes e as necessidades dos processos de negcio envolvidos. 5.2 Gestor da rea do Usurio 5.2.1 comunicar rea de tecnologia da informao do rgo ou entidade todas as movimentaes de pessoal que impliquem em concesso, mudana ou revogao de acessos; 5.2.2 comunicar rea de tecnologia da informao do rgo ou entidade sempre que tomar cincia de direitos de acesso desnecessrios execuo das atividades por parte de seus subordinados ou de terceiros. 5.3 Usurio 5.3.1 manter sigilo da senha de acesso rede e aos sistemas, sendo de sua total e exclusiva responsabilidade qualquer operao realizada sob suas 23
credenciais de acesso; 5.3.2 no compartilhar com terceiros sua credencial de acesso rede ou aos sistemas; 5.3.3 informar ao seu Gestor quando forem identificados direitos de acesso desnecessrios execuo das suas atividades profissionais; 5.3.4 bloquear sua estao de trabalho ou efetuar logoff da rede sempre que se ausentar de sua rea de trabalho; 5.3.5 comunicar, imediatamente, rea de tecnologia da informao do rgo ou entidade qualquer ocorrncia de perda ou avaria de dispositivos adicionais de autenticao, tais como tokens, smartcards e outros.
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Manual do Modelo de Gesto da Segurana da Informao. Norma 16 - Proteo Contra Cdigo Malicioso. Norma 04 - Acesso aos Recursos de Tecnologia da Informao. Norma 03 - Uso da Internet.
7. Data de Reviso
10/07/2012
24
Norma 05 - Acesso e Utilizao do Correio Eletrnico 1. Objetivo

Definir as diretrizes de acesso e utilizao segura do Correio Eletrnico disponibilizado pela Administrao Pblica Estadual
2. Definies
E-mail: forma reduzida para E(lectronic) Mail - Correio Eletrnico. Hiperlink: palavras ou endereos em destaque de uma pgina da Internet ou mensagem de Correio Eletrnico que, ao serem clicadas, efetuam o direcionamento para outra parte do texto da mensagem ou pgina da Internet. Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral, que utiliza os recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo. Webmail: um interface da Internet que permite consultar e enviar Correio Eletrnico (E-mail).
3. Abrangncia
Esta Norma se aplica a todos os usurios que utilizam o servio de Correio Eletrnico disponibilizado pela Administrao Pblica Estadual.
4. Diretrizes
4.1 O servio de Correio Eletrnico corporativo uma concesso da Administrao Pblica Estadual, sendo assim, seu uso permitido somente para as atividades profissionais de seus usurios, no sendo permitido enviar ou arquivar mensagens no relacionadas s atividades profissionais, que contenham: 4.1.1 assuntos que provoquem assdio, perturbao a outras pessoas ou que prejudiquem a imagem da organizao; 4.1.2 temas difamatrios, discriminatrios, material obsceno, ilegal ou antitico; 4.1.3 fotos, imagens, sons ou vdeos que no tenham relao com as atividades profissionais da organizao. 4.2 As permisses de acesso a servios de e-mail particulares, tais como webmail, podem ser estabelecidas e gerenciadas pela rea de tecnologia da informao do rgo ou entidade e pelas reas de negcio, em funo dos interesses da Administrao Pblica;
25
4.3 O acesso ao Correio Eletrnico corporativo se d pelo conjunto Identificao do Usurio e Senha, que pessoal e intransfervel. 4.4 O endereo de e-mail disponibilizado ao usurio de uso pessoal e intransfervel e de responsabilidade do mesmo. Portanto, terminantemente proibido suprimir, modificar ou substituir a identidade do remetente ou destinatrio de uma mensagem do Correio Eletrnico. 4.5 Havendo indcios de que mensagens veiculadas pelo correio eletrnico possam ocasionar quebra de segurana ou violao de quaisquer das vedaes constantes deste ou de outro ato normativo, a rea de tecnologia da informao do rgo ou entidade responsvel pela administrao do Servio de Correio Eletrnico adotar, imediatamente, medidas para a apurao dessas irregularidades, utilizando-se dos meios e procedimentos legalmente previstos. 4.6 A disponibilizao do Correio Eletrnico pode ser suspensa a qualquer momento por deciso do Gestor da rea do usurio ou da rea de tecnologia da informao do rgo ou entidade. 4.7 As concesses e revogaes de acesso ao servio de Correio Eletrnico devem ser autorizadas pelo Gestor da rea do usurio por meio de uma solicitao de servio rea de tecnologia da informao do rgo ou entidade. 4.8 Os anexos das mensagens de Correio Eletrnico podero ser bloqueados quando oferecerem riscos Segurana da Informao. 4.9 A abertura de mensagens de remetentes desconhecidos, externos Administrao Pblica Estadual, deve ser avaliada, especialmente quando houver dvidas quanto natureza do seu contedo, como arquivos anexados no esperados ou hiperlinks para endereos externos no relacionados s atividades profissionais em curso. 4.10 A quantidade de destinatrios deve ser limitada por mensagem, com o objetivo de coibir a prtica de Spam. Cabe rea de tecnologia da informao do rgo ou entidade estabelecer tal limite, bem como acordar com as reas de negcio as eventuais excees, de acordo com os interesses da Administrao Pblica. 4.11 Todas as mensagens originrias de usurios da Administrao Pblica Estadual devero conter a assinatura do remetente em formato padronizado, alm de um aviso legal, tambm padronizado, referenciando a confidencialidade da informao. Esses padres devem ser definidos pela Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG. 4.12 Limites de armazenamento das caixas de Correio Eletrnico devem ser estabelecidos pela rea de tecnologia da informao do rgo ou entidade, considerando as necessidades dos processos de negcio que o servio de Correio Eletrnico suporta, bem como limitaes tcnicas aplicveis.
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 conceder, suspender e revogar os acessos ao servio de Correio Eletrnico; 5.1.2 administrar Eletrnico. as funcionalidades e a segurana do servio de Correio 26
5.2 Gestor da rea do Usurio: 5.2.1 comunicar rea de tecnologia da informao do rgo ou entidade todas as movimentaes de pessoal que impliquem em concesso, mudana ou revogao de acessos.
5.3 Usurio: 5.3.1 responder pelo uso adequado dos servios e recursos de Correio Eletrnico a ele disponibilizados, nas suas mais diversas formas de acesso, inclusive por meio de dispositivos mveis, em consonncia com esta Norma.
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Manual do Modelo de Gesto da Segurana da Informao. Norma 16 - Proteo Contra Cdigo Malicioso. Norma 04 - Acesso aos Recursos de Tecnologia da Informao. Norma 03 - Uso da Internet.
7. Data de Reviso
10/07/2012
27
Norma
06
Gerenciamento Informao
de
Incidentes
de
Segurana
da
1. Objetivo
Normatizar o registro e o tratamento de incidentes de Segurana da Informao no mbito da Administrao Pblica do Poder Executivo Estadual.
2. Definies
Incidentes de Segurana da Informao: so indicados por um simples ou por uma srie de eventos de Segurana da Informao que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a Segurana da Informao. Log: registros que permitem o rastreamento das atividades executadas pelos usurios e outras funes internas de Sistemas de Informao. Usurio: qualquer colaborador seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza os recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo.
3. Abrangncia
Esta Norma se aplica a todos os usurios de informaes ou recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual.
4. Diretrizes
4.1 Todo usurio deve registrar incidentes de Segurana da Informao, conforme orientaes descritas em procedimento especfico constante do Manual do Modelo de Gesto da Segurana da Informao. 4.2 A rea de tecnologia da informao do rgo ou entidade deve registrar um incidente de Segurana da Informao para toda falha de segurana identificada nos recursos de Tecnologia da Informao da Administrao Pblica Estadual. 4.3 As informaes referentes aos responsveis pelo registro de incidentes de Segurana da informao so sigilosas, entretanto esta identificao obrigatria. 4.4 A Coordenao de Tecnologias Aplicadas Gesto Pblica CTG deve garantir que planos de ao sejam elaborados para tratamento de incidentes, e monitorar sua implementao. 4.5 vedado ao usurio intervir no tratamento dos incidentes sem a devida autorizao ou qualificao.
28
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 identificar e documentar incidentes de Segurana da Informao por meio de anlise dos logs dos recursos de Tecnologia da Informao; 5.1.2 reportar todos os incidentes de Segurana da Informao Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG, de forma regular; 5.1.3 elaborar Planos de Recuperao de Desastres (PRD) para os processos crticos; 5.1.4 executar procedimentos e aes corretivas quando necessrio; 5.1.5 informar ao usurio as aes tomadas em relao aos incidentes registrados, quando aplicvel. 5.2 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.2.1 desenvolver campanhas peridicas para fortalecer a cultura de Segurana da Informao no mbito da Administrao Pblica do Poder Executivo Estadual; 5.2.2 analisar os incidentes de Segurana da Informao; 5.2.3 monitorar os incidentes de Segurana da Informao; 5.2.4 propor melhorias no processo de gesto de incidentes de Segurana da Informao; 5.2.5 gerar indicadores de incidentes de Segurana da Informao; 5.2.6 manter a Alta Administrao do rgo ou entidade ciente dos tipos de incidentes de Segurana da Informao identificados. 5.3 Gestor da rea do Usurio: 5.3.1 apoiar a Coordenao de Tecnologias Aplicadas Gesto Pblica CTG na soluo dos incidentes de Segurana da Informao; 5.3.2 executar as aes corretivas/preventivas estabelecidas para o tratamento dos incidentes; 5.3.3 elaborar e implementar, em conjunto com a rea de tecnologia da informao do rgo ou entidade, planos de contingncia para diferentes tipos de incidentes de segurana, visando reduzir os impactos, restabelecendo os processos de negcio afetados, o mais rpido possvel. 5.4 Usurio: 5.4.1 registrar incidentes de Segurana da Informao.
29
Manual do Modelo de Gesto da Segurana da Informao. NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Norma 04 - Acesso aos Recursos de Tecnologia da Informao.
7. Data de Reviso
10/07/2012
30
Norma 07 - Gerenciamento da Auditoria de Segurana da Informao 1. Objetivo

Definir as diretrizes do processo de Auditoria de Segurana da Informao, no mbito da Administrao Pblica do Poder Executivo Estadual.
2. Definies
Alta Administrao: dirigente mximo dos rgos e entidades da Administrao Pblica Estadual, chefes de gabinete, superintendentes e diretores. A Alta Administrao dos rgos e entidades tambm pode ser proprietria, custodiante ou usuria da informao. Custodiante da Informao: aquele que armazena, processa, veicula e trata a informao, mediante orientao dada pelo proprietrio da informao e assume, em conjunto com ele, a responsabilidade pela proteo da informao. Proprietrio da Informao: aquele que gera ou adquire a informao. Usurio: qualquer colaborador seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que acessa ou utiliza informaes ou sistemas de informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo.
3. Abrangncia
Esta Norma se aplica a todos os processos de negcio da Administrao Pblica do Estado da Bahia.
4. Diretrizes
4.1 Toda Auditoria de Segurana da Informao deve estar autorizada de acordo com a legislao vigente. 4.2 A necessidade de Auditoria de Segurana da Informao deve ser verificada regularmente, produzindo um relatrio de diretrizes de auditoria. Essa verificao deve contemplar, entre outros: 4.2.1 anlise dos documentos que compem Informao; 4.2.2 resultados de auditorias anteriores; 4.2.3 indicadores de Segurana da Informao; 4.2.4 anlise dos incidentes de Segurana da Informao registrados; 4.2.5 informaes relativas a anlises de risco. 31 a Poltica de Segurana da
4.3 Requisitos e atividades de Auditoria de Segurana da Informao devem ser planejados para minimizar o risco de interrupo dos processos de negcio envolvidos, devendo o planejamento contemplar, dentre outros: 4.3.1 reas, usurios, processos e sistemas que sero auditados; 4.3.2 controles de Segurana da Informao que sero auditados; 4.3.3 estratgia de comunicao com todos os envolvidos; 4.3.4 identificao dos auditores; 4.3.5 independncia dos auditores em relao s atividades auditadas; 4.3.6 cronograma de execuo da auditoria. 4.4 Os auditores devem ter acesso apenas leitura de software e dados, s sendo permitido outros acessos por meio de cpias isoladas e estes devem ser apagados ao final da auditoria, ou dada a devida proteo quando houver a obrigao ou necessidade de armazenar tais cpias. 4.5 Quando o acesso a dados sensveis for indispensvel para os objetivos da auditoria, mecanismos adicionais devem ser implementados para garantia de sua confidencialidade. 4.6 Mecanismos que garantam o registro de todas as atividades da auditoria devem ser implementados, de forma a produzir uma trilha de referncia. 4.7 O acesso s ferramentas de auditoria deve ser restrito e controlado, visando prevenir uso no autorizado. 4.8 O processo de auditoria deve produzir relatrios contendo, dentre outros, os dados da rea, do usurio, o processo ou sistema auditado, os controles verificados, evidncias para conformidades e justificativas para no conformidades. Os dados destes relatrios devem alimentar o processo de Gesto de Indicadores de Segurana da Informao. 4.9 Um plano com aes preventivas e corretivas deve ser elaborado com base no relatrio gerado pelo processo de auditoria. 4.10 O resultado de auditorias de segurana da informao deve ser caracterizado como informao sigilosa quando esse puder comprometer a segurana dos processos de negcio do rgo ou entidade a que se refere. 4.11 Uma anlise crtica dos resultados da auditoria deve ser conduzida, com o objetivo de determinar aes de melhoria para possveis ajustes na Poltica de Segurana da Informao.
5. Competncias
5.1 Auditor: 5.1.1 planejar a Auditoria de Segurana da Informao em conjunto com a Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG; 32
5.1.2 conduzir auditorias, elaborar relatrios com os resultados e apresentar recomendaes de aes preventivas e corretivas. 5.2 reas de Negcio do rgo ou Entidade: 5.2.1 elaborar e implementar planos de ao para preveno e correo de no conformidades observadas durante o processo de auditoria. 5.3 rea de Tecnologia da Informao do rgo ou Entidade: 5.3.1 prover os recursos necessrios para a execuo da auditoria; 5.3.2 garantir a segurana dos dados gerados pelo processo de auditoria; 5.3.3 apoiar a implementao dos planos de ao relativos auditoria, gerados pelas reas de negcio. 5.4 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.4.1 identificar necessidades de Auditoria da Segurana da Informao; 5.4.2 observar e apoiar a elaborao e a implementao dos planos de ao para preveno e correo de no conformidades observadas durante o processo de auditoria; 5.4.3 conduzir anlises crticas com vistas ao aprimoramento da Poltica de Segurana da Informao, em articulao com a AGETIC.
Manual do Modelo de Gesto da Segurana da Informao. NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao.
7. Data de Reviso
10/07/2012
33
Norma 08 - Gesto da Continuidade do Negcio 1. Objetivo

Estabelecer, no mbito da Administrao Pblica do Poder Executivo Estadual, as regras e os princpios que regulamentam a Gesto da Continuidade do Negcio GCN, que so: manter o negcio em funcionamento, definir o papel de cada elemento que administrar a situao do GCN e conscientizar todos os usurios sobre suas responsabilidades no processo.
2. Definies
Continuidade do Negcio: capacidade estratgica e ttica do rgo ou entidade de se planejar e responder a incidentes e interrupes de negcios para conseguir continuar suas operaes em um nvel aceitvel e previamente definido. Gesto da Continuidade do Negcio: processo de gesto que identifica ameaas em potencial e os possveis impactos s operaes de negcio caso essas ameaas se concretizem. Este processo fornece um framework para que se construa uma resilincia organizacional que seja capaz de responder efetivamente e salvaguardar a reputao e a marca do rgo ou entidade e suas atividades de valor agregado. Resilincia Organizacional: capacidade do rgo ou entidade de reagir a um incidente de Segurana da Informao que provoque a interrupo das operaes crticas, a tempo de reduzir ou eliminar os danos desta interrupo, incluindo a capacidade estratgica e ttica para planejar e responder a incidentes e interrupes do negcio com a finalidade de continuar as operaes do negcio a um nvel pr-definido e aceitvel. Partes Interessadas: aqueles que possuem um interesse permanente nos resultados de uma organizao. Usurio: qualquer colaborador seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que tenha acesso a informaes ou recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo.
3. Abrangncia
Esta Norma se aplica a todos os usurios e processos da Administrao Pblica Estadual, bem como, aos sistemas informatizados e meios convencionais de processamento, comunicao e armazenamento de informaes.
4. Diretrizes
4.1 A Gesto da Continuidade de Negcio (GCN) na Administrao Pblica Estadual deve: 4.1.1 sistematizar o entendimento integral de todos os aspectos e fenmenos relacionados Continuidade do Negcio, incluindo: 34
a) b) c) d) e)
identificao das ameaas potenciais e os respectivos impactos nas operaes do negcio do rgo ou entidade; definio da estratgia de recuperao a ser utilizada caso ocorra um incidente; gerenciamento de incidente adverso que interrompa um processo ou atividade crtica; planejamento da continuidade e da recuperao das operaes e sistemas aps uma interrupo; estabelecimento de procedimentos de retorno normalidade, quando aplicvel. incorporar a Gesto da Continuidade de Negcio ao desenvolvimento de novos produtos e servios crticos do rgo ou entidade e ao processo de gerncia de mudanas para produtos e servios existentes; estabelecer um programa efetivo para planejamento, resposta a incidentes e interrupes nos processos de negcio; prover a continuidade das operaes do negcio em um nvel aceitvel; aumentar o poder de recuperao da organizao contra o rompimento ou interrupo de sua habilidade de fornecer seus produtos e servios; orientar aes de preveno e mitigao dos riscos operacionais; prover a organizao de uma metodologia para a elaborao de planos de continuidade de negcios que possibilite o restabelecimento da sua habilidade de fornecer seus produtos e servios crticos; fixar normas e padres de continuidade, compondo assim, um programa completo e consistente para a organizao, devendo ser aceito e seguido inclusive pelas empresas prestadoras de servio; um programa de treinamento e conscientizao dos
f)
g)
h) i)
j) k)
l)
m) estabelecer usurios; n)
estabelecer um programa de administrao de crises.
5. Competncias
5.1 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.1.1 viabilizar e acompanhar a Gesto da Continuidade de Negcio (GCN) no mbito da Administrao Pblica Estadual. 5.2 Alta Administrao e Comit dos Gestores de Tecnologias de Informao e Comunicao do Estado da Bahia - FORTIC: 5.2.1 prover apoio estratgico Gesto da Continuidade de Negcio.
35
5.3 Gestores das reas de Negcio do rgo ou Entidade: 5.3.1 atualizar, manter e implementar os Planos de Continuidade de Negcios. 5.4 Usurios: 5.4.1 conhecer os planos existentes e as situaes em que sero utilizados, alm dos procedimentos em que sua participao esteja prevista.
ABNT NBR ISO/IEC 27001:2006 - Tecnologia da Informao - Tcnicas de Segurana Sistemas de Gesto de Segurana da Informao - Requisitos. ABNT NBR ISO/IEC 27002:2005 - Tecnologia da Informao - Tcnicas de Segurana - Cdigo de prtica para a Gesto da Segurana da Informao. ISO/IEC Guide 73:2002 - Risk management - Vocabulary - Guidelines for use in standards. Gesto da Continuidade do Negcio BS 25999-1- Code of practice for business continuity management. Normas de Controle de TI, Cobit Control Objectives for Information and related Technology. NBR15999-1 - Gesto de Continuidade de Negcios - Parte 1: Cdigo de prtica. Norma ISO 22301 Gesto de Continuidade de Negcios. ABNT NBR ISO/IEC 27005:2008 - Tecnologia da Informao - Tcnicas de segurana - Gesto de Riscos de Segurana da Informao. Manual do Modelo de Gesto da Segurana da Informao.
7. Data de Reviso
10/07/2012.
36
Norma 09 - Gerenciamento de Riscos 1. Objetivo

Estabelecer as diretrizes do processo de Gesto de Riscos no mbito da Segurana da Informao para a Administrao Pblica Estadual.
2. Definies
Alta Administrao: dirigente mximo dos rgos e entidades da Administrao Pblica Estadual, chefes de gabinete, superintendentes e diretores. Anlise de Riscos: processo de compreender a natureza do risco e determinar o seu nvel. Avaliao de Riscos: processo de comparar os resultados da anlise de riscos com os critrios de risco para determinar se o risco e/ou sua magnitude aceitvel ou tolervel. Controle: qualquer processo, poltica, dispositivo, prtica ou outras aes que modifiquem o risco, podendo ser de natureza administrativa, tcnica, de gesto ou legal. Risco: combinao de consequncias de um evento e a probabilidade de ocorrncia associada. Risco Residual: risco remanescente aps o seu tratamento. Tratamento de Riscos: processo de seleo e implementao de medidas para modificar riscos.
3. Abrangncia
Esta Norma se aplica a todos os processos de negcio que fazem parte do escopo da Gesto de Riscos da Administrao Pblica Estadual.
4. Diretrizes
4.1 Deve ser estabelecida uma metodologia para Gesto de Riscos, contemplando a definio do contexto, anlise e avaliao, tratamento, aceitao e comunicao de riscos. 4.2 O processo de Gesto de Riscos deve ser apoiado por uma ferramenta para otimizao de suas atividades. 4.3 A Gesto de Riscos deve ser um processo contnuo, atravs de constante monitoramento e anlise crtica dos riscos para os processos de negcio.
37
4.4 Deve ser definido um perodo para o ciclo de anlises de risco. 4.5 Anlises crticas devem ser conduzidas com o objetivo de melhoria do prprio processo de gerenciamento de riscos. 4.6 Definio do Contexto de Riscos 4.6.1 Deve ser definido um contexto para toda anlise de riscos, contemplando, entre outros: a) objetivos estratgicos da Administrao Pblica Estadual; b) formalizao do escopo da anlise de riscos; c) avaliao de requisitos de Segurana da Informao; d) incidentes de Segurana da Informao; e) poltica de Segurana da Informao; f) resultados de anlises de riscos anteriores; g) monitorao do ambiente externo, identificando ameaas, riscos e vulnerabilidades. 4.7 Anlise de Riscos 4.7.1 Uma anlise dos relacionamentos existentes entre os processos de negcio, seus sistemas e servios, e, respectivos ativos, deve ser conduzida em sintonia com o contexto definido, para estabelecer as prioridades da anlise de riscos. 4.7.2 As anlises de riscos devem ser executadas como projetos. Cada projeto deve ter um termo de abertura com a cincia da Alta Administrao do rgo ou entidade e um responsvel definido. 4.7.3 As anlises de riscos devem ser planejadas, contemplando uma avaliao do escopo da anlise, definio de cronograma, estratgia de comunicao e estimativa de custos. 4.7.4 As anlises de riscos devem gerar relatrios operacionais e executivos com o objetivo de auxiliar a fase de avaliao de riscos. 4.8 Avaliao de Riscos 4.8.1 Com base nas informaes obtidas na fase de anlise de riscos, devem ser estabelecidos critrios de risco - considerando o que so riscos aceitveis e inaceitveis e ndices de riscos e de conformidade pretendidos. 4.8.2 Com base nos critrios de risco estabelecidos, os riscos aceitveis devem ser aceitos formalmente pela Alta Administrao e os riscos no aceitveis devem ser tratados.
38
4.9 Tratamento e Comunicao de Riscos 4.9.1 O tratamento de riscos deve ser planejado, atravs da definio: a) dos controles a serem implementados e de seus responsveis; b) da identificao de premissas e restries, quando aplicveis; c) da definio de um cronograma de implementao. 4.9.2 Antes da implementao de qualquer controle, dever ser feita uma anlise de impacto no ambiente que sofrer a mudana. 4.9.3 Todos os controles no documentados e justificados. 4.9.4 Ao final da fase contemplando: de implementados devem ser formalmente
tratamento,
relatrios
devem
ser
elaborados
a) o escopo das implementaes; b) a equipe envolvida no processo; c) os controles implementados; d) os ndices de risco e conformidade pr e ps implementaes; e) os riscos residuais. 4.10 O resultado das Anlises e Avaliaes de Risco de segurana da informao deve ser classificado como informao sigilosa, quando esse puder comprometer a segurana dos processos de negcio do rgo ou entidade a que se refere.
5. Competncias
5.1 Alta Administrao do rgo ou Entidade 5.1.1 estabelecer e formalizar os critrios de aceitao dos riscos e os objetivos dos ndices de risco e de conformidade. 5.2 reas de Negcio do rgo ou Entidade: 5.2.1 analisar os resultados provenientes das anlises de riscos executadas nos ativos sob sua responsabilidade, definindo planos de ao para aplicao dos controles recomendados, quando aplicvel; 5.2.2 aceitar ou tratar os riscos conforme os critrios estabelecidos pela Alta Administrao do rgo ou entidade. 5.3 rea de Tecnologia da Informao do rgo ou Entidade: 5.3.1 viabilizar a implementao dos controles sob sua competncia. 39
5.4 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.4.1 estabelecer o contexto de riscos em conjunto com as reas envolvidas; 5.4.2 executar periodicamente os processos de anlise, avaliao e comunicao de riscos; 5.4.3 observar e apoiar a implementao das aes necessrias para tratamento dos riscos no aceitos; 5.4.4 conduzir anlises crticas com vistas ao aprimoramento do processo de gerenciamento de riscos.
Manual do Modelo de Gesto da Segurana da Informao. NBR ISO / IEC 31000:2009 - Gesto de Riscos - Princpios e diretrizes. NBR ISO / IEC 27005:2010 - Gesto de Riscos de Segurana da Informao.
7. Data de Reviso
10/07/2012
40
Norma 10 - Contabilizao de Ativos de Tecnologia da Informao 1. Objetivo

Definir as diretrizes para a contabilizao adequada dos Ativos de Tecnologia da Informao no mbito da Administrao Pblica do Poder Executivo Estadual.
2. Definies
Ativos de Tecnologia da Informao: estaes de trabalho, servidores, softwares, mdias e quaisquer equipamentos eletrnicos relacionados Tecnologia da Informao. Estao de Trabalho: todos os microcomputadores e equipamentos correlatos da Administrao Pblica Estadual, inclusive dispositivos mveis. Freeware: programa disponvel publicamente, segundo condies estabelecidas pelos autores, sem custo de licenciamento para uso. Incidente de Segurana da Informao: indicado por um simples ou por uma srie de eventos de Segurana da Informao que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a Segurana da Informao. Mdias Removveis/Reutilizveis: incluem fitas, discos, memrias flash, discos removveis, CD, DVD, mdia impressa, entre outros. Shareware: programa disponvel publicamente para avaliao e uso experimental, mas, cujo uso em regime pressupe que o usurio pagar uma licena ao autor. Shareware distinto de freeware, no sentido de que um software shareware comercial, embora em termos e preos diferenciados em relao a um produto comercial convencional. Software Livre: denominao dada a determinado software cujo cdigo-fonte de domnio pblico e, em geral, gratuito. Usurio: qualquer colaborador seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que utiliza Ativos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo.
3. Abrangncia
Esta Norma se aplica a todos os usurios dos Ativos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual.
41
4. Diretrizes
4.1 As informaes e os Ativos de Tecnologia da Informao de propriedade da Administrao Pblica Estadual devem ser utilizados exclusivamente para os seus interesses, podendo ser monitorados a qualquer tempo. 4.2 Os Ativos de Tecnologia da Informao devem ser inventariados e identificados de forma nica. 4.3 Os Ativos de Tecnologia da Informao devem ser classificados em funo de sua relevncia para o processo de negcio a que se destinam. Esta relevncia deve ser considerada em eventuais anlises de riscos. 4.4 Os Ativos de Tecnologia da Informao devem ser, sempre que possvel, relacionados a um usurio, responsvel por sua utilizao. 4.5 A entrada e a sada de Ativos de Tecnologia da Informao das dependncias dos rgos e entidades da Administrao Pblica Estadual devem ser acompanhadas pelos devidos documentos de movimentao. 4.6 O padro de configurao (hardware e software) dos Ativos de Tecnologia da Informao definido pela rea de tecnologia da informao dos rgos e entidades e no deve ser modificado sem sua autorizao. 4.7 Os itens que compem conjuntos de ativos no podem ser modificados sem a autorizao da rea de tecnologia da informao dos rgos e entidades. 4.8 Somente softwares licenciados e homologados devem ser utilizados. 4.9 Os inventrios (hardware e software) devem ser atualizados apropriadamente sempre que Ativos de Tecnologia da Informao forem descartados. 4.10 As mdias contendo as cpias de segurana devem ser catalogadas e armazenadas por tempo compatvel com as necessidades dos processos de negcio. 4.11 A utilizao de software que no seja de propriedade da Administrao Pblica Estadual ou licenciado para a mesma, pode, alm de configurar crime de pirataria conforme Lei N 9.609, de 19 de fevereiro de 1998, interferir na contabilizao dos ativos.
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 contabilizar os Ativos de Tecnologia da Informao de forma a garantir sua conformidade com esta Norma. 5.2 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.2.1 observar o cumprimento desta Norma.
42
5.3 Usurio: 5.3.1 utilizar os Ativos de Tecnologia da Informao em conformidade com esta Norma; 5.3.2 notificar, atravs de abertura de incidente de Segurana da Informao, sempre que identificar dano, roubo, perda ou modificaes indevidas em um Ativo de Tecnologia da Informao.
Norma 04 - Acesso aos Recursos de Tecnologia da Informao. Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.
7. Data de Reviso
10/07/2012
43
Norma 11 - Intercmbio de Informaes 1. Objetivo

Definir as diretrizes de segurana na troca de informaes e softwares internamente aos rgos e entidades da Administrao Pblica Estadual e/ou com quaisquer entidades externas.
2. Definies
Criptografia: tcnica utilizada para tornar a informao original ilegvel, permitindo que somente o destinatrio (detentor da chave de criptografia) a decifre. Informao Sigilosa: informao submetida temporariamente restrio de acesso pblico em razo de sua imprescindibilidade para a segurana da sociedade e do Estado, e aquelas abrangidas pelas demais hipteses legais de sigilo. Mdias Removveis/Reutilizveis: incluem fitas, discos, memrias flash, discos removveis, CD, DVD, mdia impressa, entre outros. Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que utiliza informaes ou sistemas de informao de propriedade da Administrao Pblica Estadual, em local ou jornada de trabalho deste ltimo. Virtual Private Network (VPN): Rede virtual privada com uso de criptografia para garantir a confidencialidade das informaes trafegadas em uma rede pblica.
3. Abrangncia
Esta Norma se aplica a todos os usurios de informaes ou sistemas de informao de propriedade da Administrao Pblica Estadual.
4. Diretrizes
4.1 Diretrizes Gerais 4.1.1 A troca de informaes entre os usurios deve ser suportada por acordos formalizados e documentados, contendo, quando aplicvel, clusulas de preservao da privacidade de dados pessoais, direitos autorais, preservao de bens patrimoniais, sigilo e no divulgao. 4.1.2 Salvo nos casos previstos em lei, todo usurio deve assinar um termo de sigilo e confidencialidade com o Governo do Estado da Bahia. 4.1.3 As informaes classificadas como sigilosas gravadas em mdia removvel devem utilizar soluo de criptografia. 4.1.4 Toda informao sigilosa deve receber o tratamento adequado conforme descrito na Norma de Classificao da Informao. 44
4.1.5 Procedimentos de recepo de fac-smiles, impresso de documentos, abertura de correio e distribuio de correspondncia devem ser estabelecidos de forma a prevenir o acesso no autorizado informao. 4.1.6 Aes de conscientizao dos usurios devem incluir a observncia das necessidades de segurana ao se efetuar conversaes, inclusive as telefnicas, sobre assuntos restritos e confidenciais em locais pblicos, em escritrios abertos ou mesmo em reunies realizadas em sala sem a devida adoo dos requisitos de segurana. 4.1.7 Mecanismos devem ser implementados para proteger as informaes associadas aos sistemas de informao dos negcios, entre outros: a) proteo contra interceptao e gravao de chamadas telefnicas ou de teleconferncias, garantido a confidencialidade das chamadas; b) o acesso rede corporativa ou a Intranet, por meio da Internet, deve utilizar soluo de criptografia (VPN - Virtual Private Network); c) procedimento de reteno de cpias de segurana das informaes mantidas nos sistemas, bem como sua recuperao e contingncia; d) restrio de acesso a informaes de trabalho compatvel s atividades do usurio atravs do gerenciamento de perfis de acesso; e) proteo contra cdigo malicioso, conforme Norma de Proteo Contra Cdigo Malicioso; f) procedimentos para o uso de comunicao sem fio, levando em conta os riscos particulares envolvidos; g) as mensagens confidenciais, enviadas pelo Correio Eletrnico, devem utilizar soluo de criptografia. 4.2 Mdias em Trnsito 4.2.1 Devem ser adotados transporte e servio de mensageiro confivel e preferencialmente estabelecer um contrato de sigilo e confidencialidade com esse servio. 4.2.2 As embalagens de mdias removveis devem ser suficientes para proteger os contedos contra danos fsicos. 4.2.3 Mecanismos de proteo contra danos fsicos durante o transporte das mdias removveis devem ser adotados, considerando as recomendaes do fabricante das mdias. 4.2.4 A entrega dos documentos e das mdias removveis, contendo informaes sigilosas, deve ser registrada em recibo ou sistema eletrnico especfico.
45
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 prover recursos para garantir a troca adequada de software, informaes armazenadas e transmitidas por meio eletrnico. 5.2 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.2.1 apoiar as reas envolvidas no cumprimento das diretrizes desta norma. 5.3 Usurio: 5.3.1 cumprir as diretrizes desta norma. de
Norma 02 - Classificao da Informao. Norma 05 - Acesso e Utilizao do Correio Eletrnico. Norma 16 - Proteo Contra Cdigo Malicioso.
7. Data de Reviso
10/07/2012
46
Norma 12 - Segurana Fsica

1. Objetivo
Estabelecer diretrizes para prevenir o acesso fsico no autorizado, a fim de evitar dano e interferncia s informaes, ativos e instalaes fsicas da Administrao Pblica do Poder Executivo Estadual.
2. Definies
rea Segura: incluem-se nesta classificao especial as reas protegidas que contenham informaes, dispositivos ou servios imprescindveis aos negcios, tais como sala de servidores, sala de operao, cofre, salas e armrios com informaes sensveis associadas a interesses relevantes dos rgos e entidades e locais com equipamentos e infraestrutura de conectividade (switches, roteadores, dispositivos de armazenamento, quadro de telefonia, quadro de cabeamento, entre outros). rea Protegida: corresponde s dependncias dos rgos e entidades, onde escritrios, salas e instalaes de processamento de informaes so utilizados pela Administrao Pblica Estadual. rea Pblica: corresponde ao permetro externo s dependncias dos rgos e entidades, tais como ruas, avenidas e reas circunvizinhas e instalaes prediais, quando as dependncias do rgo ou entidade esto em salas ou andares de prdios comerciais.
3. Abrangncia
Esta Norma se aplica a todas as dependncias e usurios da Administrao Pblica Estadual.
4. Diretrizes
4.1 Permetros de Segurana 4.1.1 Em reas Pblicas: a) as regras de controle de acesso fsico no se aplicam s reas pblicas. 4.1.2 Em reas Protegidas: a) devem ser localizados de forma a evitar o acesso do pblico, com indicaes mnimas do seu propsito e sem sinais bvios da presena de atividades de processamento de informao; b) convm que as paredes externas possuam construo slida. As portas externas devem ser protegidas de forma apropriada, com mecanismos de controle, travas etc., contra acessos no autorizados; uma rea de recepo ou outro meio de controle de acesso fsico deve ser usado, devendo o acesso ser restrito apenas ao pessoal autorizado; 47
c) barreiras fsicas devem, se necessrio, ser estendidas da laje do piso at a laje superior para prevenir acessos no autorizados ou contaminao ambiental como as causadas por fogo e inundaes; d) todas as portas de incndio devem possuir dispositivo para fechamento automtico; e) devem ser afixados avisos (normalmente nas entradas, sadas e corredores de acesso), facilmente visveis, informando sobre o controle de acesso para as pessoas e alertando sobre as restries ao acesso pblico, de tal forma que desestimule as invases. 4.1.3 Em reas Seguras: a) barreiras e permetros adicionais para controlar o acesso fsico podem ser necessrios em reas com diferentes requisitos de segurana dentro de um mesmo permetro de segurana; b) devem ser afixados avisos, normalmente na respectiva porta, facilmente visveis, alertando sobre as restries ao acesso s reas seguras, indicando que somente pessoal autorizado tem acesso, de tal forma que desestimule as invases. 4.2 Controles de Entrada Fsica 4.2.1 Procedimentos de controle de acesso fsico devem ser implementados de forma a restringir o acesso s reas protegidas e seguras. Os procedimentos de controle de acesso devem, quando necessrio, contemplar, entre outros: a) a utilizao de dispositivos de identificao pessoal; b) monitorao de acessos; c) restries de horrios de acesso e permanncia; d) controle de acesso de terceiros; e) movimentao de ativos. 4.2.2 O pessoal autorizado deve ter acesso fsico somente imprescindveis para a realizao dos seus trabalhos. aos ativos
4.2.3 O acesso de visitantes deve se dar somente aps identificao individual e autorizao de entrada por parte da pessoa e/ou setor que ser visitado. 4.3 Segurana em Escritrios, Salas e Instalaes de Processamento 4.3.1 A escolha da localizao, os projetos de engenharia e arquitetura das instalaes devem levar em considerao as possibilidades de danos causados por fogo, inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Tambm devem ser levados em considerao as regulamentaes e padres de segurana e sade, bem como serem tratadas quaisquer ameaas originadas em propriedades vizinhas.
48
4.3.2 Portas e janelas devem ser mantidas fechadas quando no utilizadas e devem ser instaladas protees extras, principalmente quando essas portas e janelas se localizarem em andar trreo. 4.3.3 Sistemas de deteco de intrusos, tais como alarmes e sistemas de vdeo vigilncia, devem ser instalados e testados regularmente, de forma a cobrir todas as portas e janelas acessveis. 4.3.4 Equipamentos de contingncia e meios magnticos de reserva devem ser guardados a uma distncia segura para evitar danos que podem se originar de um desastre na rea protegida. 4.3.5 As portas de entrada devem permanecer trancadas nos perodos de inatividade. 4.3.6 Uma poltica de mesa limpa deve ser implementada, visando eliminar riscos de acesso no autorizado a informaes em mdias no mgnticas, tais como documentos sensveis deixados em impressoras ou mesas de trabalho. 4.4 Trabalho em reas Seguras 4.4.1 A existncia das informaes ou das atividades dentro de reas seguras deve ser de conhecimento restrito a pessoal autorizado e apenas quando necessrio. 4.4.2 reas seguras devem estar fechadas e trancadas adequadamente de forma a impedir acessos no autorizados. Quando desocupadas, devem ser mantidas fisicamente fechadas e verificadas periodicamente. 4.4.3 Somente pessoas imprescindveis realizao dos trabalhos rotineiros ou de manuteno devem ter acesso s reas seguras, mediante autorizao. 4.4.4 Deve-se evitar trabalho sem monitoramento nas reas seguras para prevenir oportunidades de atividades maliciosas, devendo o pessoal de servios de suporte terceirizados ter acesso controlado a estas reas. 4.4.5 Materiais combustveis ou perigosos devem ser guardados de forma adequada a uma distncia apropriada de uma rea segura. Suprimentos volumosos, tais como material de escritrio, no devem ser guardados em reas seguras, a menos que sejam imprescindveis. 4.4.6 Qualquer equipamento de gravao, fotogrfico, vdeo ou som somente deve ser utilizado com autorizao. 4.5 Instalao e Proteo dos Equipamentos 4.5.1 Os Ativos de Tecnologia da Informao devem ser posicionados fisicamente e protegidos, a fim de se reduzir o risco decorrente de ameaas potenciais e oportunidades de acesso no autorizado. 4.5.2 O consumo de alimentos, bebidas e fumo deve acontecer apenas nas instalaes definidas para esse fim.
49
4.5.3 Os Ativos de Tecnologia da Informao crticos devem ser protegidos por equipamentos contra falhas de energia e outras anomalias na alimentao eltrica. 4.5.4 As reas consideradas pela Administrao Pblica Estadual como sendo de alto risco devem possuir planos de continuidade operacional que estabeleam as atividades necessrias para contingncia e restaurao dos Ativos de Tecnologia da Informao, de forma a garantir a disponibilidade dos servios, mesmo em momentos de crise. 4.5.5 Normas Tcnicas Brasileiras devem ser seguidas no que concerne ao cabeamento de redes, telecomunicaes e instalaes eltricas. 4.5.6 O cabeamento de dados e as instalaes eltricas devem ser protegidos contra interceptao ou dano. 4.5.7 Os pontos de rede de dados devem ser controlados, devendo-se documentar todos os pontos existentes e evitar a existncia de pontos ativos sem utilizao.
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 garantir que os Ativos de Tecnologia da Informao estejam fisicamente protegidos contra ameaas sua segurana, conforme as diretrizes desta Norma. 5.2 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.2.1 realizar auditorias peridicas visando o cumprimento das diretrizes desta Norma; 5.2.2 tratar os incidentes de segurana abertos em funo de no conformidades observadas; 5.2.3 promover a cultura de Segurana do Ambiente nos rgos e entidades. 5.3 Usurio: 5.3.1 observar e cumprir todas as diretrizes desta Norma; 5.3.2 reportar quaisquer no conformidades atravs de abertura de incidente de segurana.
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.
50
7. Data de Reviso
10/07/2012
51
Norma 13 - Segurana em Terceirizao e Prestao de Servios 1. Objetivo

Estabelecer diretrizes para implementar e manter o nvel apropriado de Segurana da Informao e de entrega de servios nos acordos firmados entre o Governo do Estado da Bahia e terceiros.
2. Definies
Incidente de Segurana da Informao: indicado por um simples ou por uma srie de eventos de Segurana da Informao que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a Segurana da Informao. Parceiro: qualquer entidade pblica ou privada, organizaes no governamentais ou instituies sem fins lucrativos com a qual se estabelea uma relao de cooperao mtua. Terceiro: qualquer parceiro, fornecedor ou prestador de servio que acesse informaes ou utilize recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual.
3. Abrangncia
Esta Norma se aplica a todos os acordos celebrados entre o Governo do Estado da Bahia e terceiros.
4. Diretrizes
4.1 Contratos firmados entre o Governo do Estado e prestadores de servio devem incluir acordos que definam os nveis de entrega de servios, contemplando, entre outros: 4.1.1 definio explcita das responsabilidades e direitos legais do Governo do Estado, da Prestadora de Servios e dos profissionais envolvidos; 4.1.2 definio explcita dos direitos de propriedade dos produtos gerados; 4.1.3 aceite obrigatrio de toda a Poltica de Segurana da Informao do contratante; 4.1.4 acordos de confidencialidade entre ambas as partes; 4.1.5 acordos de confidencialidade entre o terceiro e seus funcionrios e subcontratados; 4.1.6 limitao do acesso apenas aos ativos e informaes necessrios execuo de suas atividades;
52
4.1.7 nveis de segurana durante os perodos de transio; 4.1.8 nvel de capacidade tcnica, logstica e administrativa necessria do terceiro para prestar os servios contratados; 4.1.9 planos para garantir os nveis de continuidade de servios acordados aps falhas severas nos servios ou desastres; 4.1.10 acordos de nvel de servio (SLA), com indicadores adequados natureza do contrato; 4.1.11 informao de que os servios prestados podero ser auditados. 4.2 Os servios de terceiros, prestados ao Governo do Estado devem ser monitorados e analisados criticamente de forma regular, a fim de garantir a aderncia entre os termos de Segurana da Informao e as condies dos acordos, alm de permitir o gerenciamento adequado de problemas e Incidentes de Segurana da Informao. 4.3 Devem ser executadas contemplando: auditorias peridicas nos servios de terceiros,
4.3.1 nveis de desempenho de servio para verificar aderncia aos acordos; 4.3.2 relatrios de servios produzidos por terceiros; 4.3.3 registros dos incidentes de Segurana da Informao e de sua respectiva anlise crtica, tanto pelo terceiro quanto pelo rgo ou entidade, como requerido pelos acordos e por quaisquer procedimentos e diretrizes que os apiam; 4.3.4 trilhas de auditoria do terceiro e registros de eventos de segurana, problemas operacionais, falhas, investigao de falhas e interrupo relativas ao servio. 4.4 Um processo de gerenciamento de mudanas deve ser elaborado para os servios prestados por terceiros a fim de garantir que modificaes em recursos de Tecnologia da Informao sejam processadas, levando-se em considerao o grau de importncia dos sistemas e processos de negcio envolvidos. Este processo deve contemplar: 4.4.1 melhoria dos servios correntemente oferecidos; 4.4.2 desenvolvimento de quaisquer novas aplicaes ou sistemas; 4.4.3 modificaes ou atualizaes das polticas e procedimentos; 4.4.4 novos controles para resolver os incidentes de Segurana da Informao e melhoria da segurana; 4.4.5 mudanas e melhorias em redes; 4.4.6 uso de novas tecnologias; 4.4.7 adoo de novos produtos ou novas verses; 4.4.8 novas ferramentas e ambientes de desenvolvimento; 53
4.4.9 mudanas de localizao fsica dos recursos de servios; 4.4.10 mudanas de fornecedores; 4.4.11 mudanas de contratos.
Competncias
5.1 reas de Negcio do rgo ou Entidade: 5.1.1 administrar os contratos sob sua responsabilidade; 5.1.2 monitorar e aprovar periodicamente as atividades dos prestadores de servios, quanto qualidade e eficincia; 5.1.3 avaliar regularmente o direito de acesso dos prestadores de servio sob sua responsabilidade; 5.1.4 comunicar infraes aos acordos de segurana estabelecidos por meio de incidentes de Segurana da Informao; 5.1.5 auditar periodicamente os servios de terceiros. 5.2 rea de Tecnologia da Informao do rgo ou Entidade: 5.2.1 definir, junto as reas envolvidas, os nveis de entrega de servios adequados e os requisitos necessrios para garantia da segurana das informaes; 5.2.2 implementar um processo de gerenciamento de mudanas em recursos de Tecnologia da Informao para servios de terceiros. 5.3 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.3.1 observar o cumprimento desta Norma.
Documentos Relacionados
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Norma 02 - Classificao da Informao. Norma 12 - Segurana Fsica. Norma 11 - Intercmbio de Informaes. Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.
Data de Reviso
10/07/2012 54
Norma 14 - Desenvolvimento e Manuteno de Aplicaes 1. Objetivo

Estabelecer as diretrizes que regulamentam a segurana para o processo de desenvolvimento e manuteno de software no mbito da Administrao Pblica do Poder Executivo Estadual.
2. Definies
Artefato de Software: item criado como parte da definio, manuteno ou utilizao de um processo de software, incluindo, entre outros, descries de processos, planos, procedimentos, especificaes, projetos de arquitetura, projeto detalhado, cdigo, documentao para o usurio. Base de Dados: conjunto de dados organizados de forma a servir de base para que o usurio processe e recupere informaes. Gesto de Configurao: conjunto de procedimentos tcnicos e gerenciais que so definidos para identificao de Ativos de Tecnologia da Informao e para a gesto de suas alteraes. Rastreabilidade: capacidade de acompanhamento e registro de todos os eventos e movimentaes ocorridas, desde a criao da informao at o seu descarte. Usurio: qualquer colaborador, seja ele servidor pblico, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que utiliza os servios de rede ou sistemas de informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo.
3. Abrangncia
Esta Norma se aplica a todos os usurios envolvidos nos processos de desenvolvimento e manuteno de software no mbito da Administrao Pblica Estadual.
4. Diretrizes
4.1 Disposies Gerais 4.1.1 Pelo menos 1 (uma) metodologia deve ser estabelecida para todo desenvolvimento ou manuteno, com base nas melhores prticas de mercado, contemplando, entre outros: a) planejamento; b) anlise de requisito; c) projeto; 55
d) codificao; e) reviso; f) compilao; g) teste. 4.1.2 Todo desenvolvimento ou manuteno de software deve ser formalmente autorizado. 4.1.3 Para todo desenvolvimento ou manuteno de software deve ser realizada uma anlise de impacto. 4.1.4 Toda alterao de escopo de desenvolvimento ou manuteno de software deve ser documentada e formalmente autorizada. 4.1.5 Todas as ferramentas de desenvolvimento devem ser homologadas e licenciadas. 4.1.6 Todo projeto de software deve conter um documento de especificao de segurana que descreva seus objetivos de segurana, os quais devem, entre outros, contemplar: a) o ecanismo de autenticao do usurio, que deve utilizar senhas com mtrica mnima e exigir do usurio a troca peridica da senha; o mecanismo de autenticao do usurio, que deve bloquear o acesso aps nmero definido de tentativas de login com falha; a verificao da senha por meio de mecanismo que impea fraudes de repetio, interceptao ou quebra de integridade na comunicao entre o cliente e o servidor; a escolha da senha por novos usurios sem a interferncia do pessoal de apoio ou o recebimento pelos mesmos, de uma senha inicial que precise ser trocada; o armazenamento da senha pelo sistema, de forma criptografada e irreversvel; a uniformidade do controle de acesso em todo o sistema, utilizando-se uma nica rotina de verificao; a realizao do controle de acesso na camada mais prxima possvel dos dados; o registro, pelo sistema, dos eventos significativos para a segurana, principalmente, inicio e fim do mecanismo de auditoria; o registro, pelo sistema, das falhas de login, indicando o nmero de tentativas; o registro, pelo sistema, da criao e remoo de usurios, bem como da atribuio e da remoo de direitos do usurio;
b)
c)
d)
e)
f)
g)
h)
i)
j)
56
k)
a proteo da trilha de auditoria contra remoo e alterao por parte de todos os usurios, exceto dos administradores de auditoria; a capacidade de tolerncia do sistema falhas e retorno a operao;
l)
m) a inexistncia, em aplicaes web, de dados sensveis em campos ocultos ou cookies; n) a realizao das verificaes e validaes de segurana no servidor, em aplicaes web; o acesso aos desenvolvedores apenas aos cdigos fontes necessrios para a alterao, quando autorizados pelo superior imediato; a maior semelhana possvel do ambiente de homologao ao ambiente de produo; a exigncia de que os aplicativos s passem do desenvolvimento para a homologao aps verificao da existncia e adequao de sua documentao; a existncia de documentao de instalao, configurao e operao do sistema, ressaltando os aspectos de segurana, que deve ser mantida atualizada.
o)
p)
q)
r)
4.1.7 Preferencialmente deve ser utilizado o mdulo corporativo de acesso a sistemas, provido pela Administrao Pblica Estadual. 4.1.8 Requisitos funcionais, no funcionais e de domnio devem ser especificados e documentados, bem como as manutenes necessrias, considerando os requisitos de segurana definidos no desenvolvimento do sistema. 4.1.9 A especificao dos requisitos deve ser elaborada em conjunto com a rea de negcio solicitante da demanda. 4.1.10 Um mecanismo de controle de verso deve ser implementado durante o processo de desenvolvimento e manuteno de software. 4.1.11 Deve existir um programa de conscientizao em Segurana da Informao para todos os usurios envolvidos nos processos de desenvolvimento de aplicaes. 4.1.12 Devem existir mecanismos de verificao de vulnerabilidades no cdigo fonte durante o processo de desenvolvimento e manuteno de software. 4.1.13 Incidentes de segurana devem ser abertos quando vulnerabilidades forem identificadas durante o processo de desenvolvimento e manuteno de software. 4.1.14 O acesso aos cdigos fontes deve ser controlado e desenvolvedores envolvidos, em seus respectivos projetos. restrito aos
4.1.15 Os cdigos fontes no devem conter identificaes e/ou senhas de acesso s bases de dados, sejam elas de teste, de homologao ou de produo.
57
4.1.16 Ambientes de desenvolvimento e testes, de homologao e de produo devem ser isolados entre si. 4.1.17 Um processo de gesto de configurao deve ser implementado e deve abranger todo o processo de desenvolvimento e manuteno. 4.2 Todo software que implique em manipulao de dados deve ser desenvolvido com controle de acesso lgico. Mecanismos adicionais que possibilitem a rastreabilidade das operaes efetuadas devem ser considerados em casos de manipulao de dados sensveis. 4.3 Desenvolvimento Terceirizado 4.3.1 Todos os contratos com terceiros devem contemplar clusulas de sigilo e confidencialidade. 4.3.2 Os produtos desenvolvidos externamente devem obedecer a padres e metodologias homologadas, alm de atender aos requisitos funcionais, no funcionais, de domnio e de segurana definidos. 4.3.3 O contrato de desenvolvimento de produtos com terceiros deve prever, no mnimo, os artefatos de software a serem entregues em cada fase, a validao, o procedimento de aceite final e o perodo de garantia. 4.4 Testes 4.4.1 Procedimentos de testes no software devem ser definidos e utilizados para todo desenvolvimento ou manuteno realizados, e devem contemplar, entre outros, controles tais como: a) validao de dados de entrada; b) controle de processamento interno; c) integridade de mensagens; d) validao de dados de sada. 4.4.2 Os testes devem validar os mecanismos de segurana especificados no desenvolvimento ou na manuteno do software. 4.4.3 Os testes de aceitao do software devem ser realizados por uma equipe diferente da equipe desenvolvedora, que deve ser composta por usurios da rea de desenvolvimento e da rea de negcio solicitante. 4.4.4 A utilizao de dados de produo em ambiente de testes deve ser autorizada formalmente. 4.4.5 As informaes contidas na base de dados de ambiente de produo, se utilizadas para testes, devem sofrer alteraes, de modo a preservar sua confidencialidade. 4.5 Aceitao de Software
58
4.5.1 Os artefatos de software, provenientes de desenvolvimento ou manuteno, devem ser homologados antes de serem utilizados em ambiente de produo. 4.6 Mudanas Tcnicas no Ambiente de Produo 4.6.1 As atualizaes de configurao no ambiente de produo devem ser realizadas, inicialmente, em ambiente de teste e, todo software deve ser analisado criticamente, considerando os seguintes aspectos: a) anlise crtica dos procedimentos de controle e integridade do software, garantindo que os mesmos no foram comprometidos pelas mudanas efetuadas no ambiente de produo; b) reviso do planejamento e do oramento anual para suporte, garantindo investimentos para revises e testes de softwares resultantes das modificaes do ambiente de produo; c) reviso do Plano de Continuidade dos Negcios para contemplar mudanas necessrias resultantes das modificaes do ambiente de produo. 4.7 Implantao 4.7.1 Os produtos homologados devem ser implantados em ambiente de produo, por meio de procedimentos tcnicos definidos pela rea de tecnologia da informao do rgo ou entidade e aceite da rea cliente. 4.7.2 Planos de Continuidade Operacional devem ser desenvolvidos pelas reas de negcio do rgo ou entidade para garantir a continuidade dos processos envolvidos nas implantaes de software ou outras mudanas relacionadas. 4.7.3 A implantao de novo software deve ser realizada de acordo com o calendrio definido pelas reas de negcio do rgo ou entidade, com a participao da respectiva rea de tecnologia da informao.
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 homologar os procedimentos e metodologias de desenvolvimento externo; 5.1.2 definir treinamentos necessrios para os desenvolvedores; 5.1.3 analisar os impactos das solicitaes de desenvolvimento e modificaes e autorizar ou realizar o desenvolvimento ou a manuteno; 5.1.4 definir procedimentos de testes e implantao de software; 5.1.5 realizar testes no software desenvolvido ou modificado; 5.1.6 homologar software e ferramentas de desenvolvimento de software; 5.1.7 disponibilizar ferramenta para atualizar software no ambiente de produo.
59
5.2 reas de Negcio do rgo ou Entidade: 5.2.1 autorizar a utilizao de dados de produo no ambiente de testes; 5.2.2 elaborar procedimentos de homologao, homologar e dar aceite aos produtos desenvolvidos pela rea de tecnologia da informao do rgo ou entidade; 5.2.3 elaborar Planos de Continuidade Operacional para garantir a continuidade dos processos envolvidos nas implantaes de software ou outras mudanas relacionadas. 5.3 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG: 5.3.1 analisar os incidentes de Segurana acompanhar as aes necessrias; 5.3.2 observar o cumprimento desta Norma. 5.4 FORTIC Comit de Gestores de Tecnologia da Informao e Comunicao do Estado da Bahia: 5.4.1 estabelecer as metodologias para desenvolvimento de software. da Informao, recomendar e
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. ISO/IEC 15408 Common Criteria - Evaluation Criteria for Information Technology Security. Norma 11 - Intercmbio de Informaes. Norma 10 - Contabilizao de Ativos de Tecnologia da Informao. Norma 02 - Classificao da de Informao.
7. Data de Reviso
10/07/2012
60
Norma 15 - Distribuio de Hardware e Software 1. Objetivo

Estabelecer diretrizes para a aquisio, distribuio e gerenciamento de hardware e software no mbito da Administrao Pblica do Poder Executivo Estadual.
2. Definies
Biblioteca de Software Definitivo: repositrio no qual as verses autorizadas e definitivas de todos os tens de software em produo esto armazenadas e protegidas. Depsito de Hardware Definitivo: rea separada para o armazenamento de todos os itens definitivos de hardware sobressalente. Freeware: programa disponvel publicamente, segundo condies estabelecidas pelos autores, sem custo de licenciamento para uso. Processo de Gesto de Mudanas: processo que assegura que mtodos e procedimentos padronizados sejam utilizados para um tratamento rpido e eficiente de todas as mudanas, de modo a minimizar o impacto de quaisquer incidentes relacionados recursos de Tecnologia da Informao. Shareware: programa disponvel publicamente para avaliao e uso experimental, cujo uso em regime pressupe que o usurio pagar uma licena ao autor. Software Livre: denominao dada a determinado software cujo cdigo-fonte de domnio pblico e, em geral, gratuito.
3. Abrangncia
Esta Norma se aplica a todos os usurios, processos de negcio, sistemas, servios e Ativos de Tecnologia da Informao da Administrao Pblica Estadual.
4. Diretrizes
4.1 Aquisio de Hardware e Software 4.1.1 Toda aquisio de hardware ou software deve ser precedida de um levantamento das necessidades do processo de negcio a que se destinam, tais como: capacidade de processamento, flexibilidade, estrutura de dados, entre outros. 4.1.2 Antes da aquisio de hardware ou software crticos e, quando possvel, havendo concordncia do fornecedor, deve ser conduzida uma POC - Proof of Concept (Prova de Conceito).
61
4.1.3 Todos os itens adquiridos devem ser inventariados conforme norma especfica (Norma de Contabilizao de Ativos de Tecnologia da Informao) e, quando vivel, ser apoiado por uma ferramenta de automao. 4.1.4 Perodos de vida til devem ser definidos para cada tipo de hardware, contemplando as necessidades do processo de negcio a que se destina e o retorno de investimento (ROI) durante seu ciclo de vida. 4.1.5 Planos de atualizao de hardware e software devem ser elaborados considerando seu perodo de vida til, os requisitos funcionais e tcnicos dos processos de negcio e, de acordo com o direcionamento tecnolgico da Administrao Pblica Estadual. 4.2 Distribuio de Hardware e Software 4.2.1 Deve ser estabelecido um processo de gesto de mudanas que contemple todas as atividades de distribuio de hardware e software, tais como: adio, modificao e remoo, com o objetivo de controlar os riscos de impacto aos processos de negcio (paralisao ou queda de desempenho prolongadas ou no programadas). Este processo deve contemplar, entre outros: a) planejamento das mudanas em conjunto com as reas de negcio do rgo ou entidade e outras partes relevantes; b) documentao de todas as mudanas (requisio de mudana); c) formalizao da aceitao de mudanas; d) identificao de medidas de reverso ou remediao se a mudana no for bem sucedida; e) atualizao dos inventrios de hardware e software; f) instalao de um ambiente de testes para a homologao de mudanas crticas antes de aplic-las em ambiente de produo; g) anlise de impacto integridade dos dados (modificaes em arquivos de dados feitas pelo sistema ou aplicao sem interveno direta do usurio); h) proteo integridade de hardware e software durante instalao, manejo e transporte; i) treinamento a correspondente. usurios e administradores e documentao
4.2.2 Deve ser implementada uma biblioteca de sofware definitivo com o objetivo de garantir que somente verses autorizadas estejam sendo utilizadas, devendo conter: a) verses originais, definitivas e autorizadas de todo software e cdigos fonte, quando aplicvel; b) repositrio para o armazenamento seguro de todas as cpias master dos softwares e suas respectivas licenas e direitos de propriedade; 62
c) estrito controle de licenas com o objetivo de eliminar os softwares no autorizados; d) informaes relativas suporte tcnico, direitos de atualizao, entre outras condies contratuais; e) documentao e manuais relacionados. 4.2.3 O processo de distribuio de software deve, quando cabvel, ser apoiado por uma ferramenta da automao. 4.2.4 Deve ser implementado um depsito de hardware definitivo com o objetivo de proteger equipamentos sobressalentes, que devem ser mantidos no mesmo nvel que os seus correspondentes do ambiente de produo e podem ser utilizados por outros sistemas ou para recuperao de incidentes de grande impacto. 4.2.5 O depsito de hardware definitivo deve conter os respectivos manuais e demais documentos atualizados para cada equipamento.
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 elaborar e manter os inventrios de hardware e software; 5.1.2 estabelecer os perodos de vida til de hardware e software; 5.1.3 elaborar o plano de atualizao de hardware e software; 5.1.4 implementar o processo de gesto de mudanas para apoiar a distribuio de hardware e software; 5.1.5 avaliar, aprovar e implementar ou negar as requisies de mudana em cooperao com as reas de negcio envolvidas; 5.1.6 promover a melhoria contnua do processo de gesto de mudanas; 5.1.7 distribuir os tens de hardware e software; 5.1.8 implementar a biblioteca de sofware definitivo e o depsito de hardware definitivo. 5.2 reas de Negcio do rgo ou Entidade: 5.2.1 requerer as mudanas de acordo com os procedimentos definidos no processo de gesto de mudanas.
NBR ISO / IEC 20000:2005 - Cdigo de Prtica para a Gesto de Servios de TI. NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. 63
NBR ISO / IEC 31000:2009 - Gesto de Riscos - Princpios e diretrizes. ITIL Information Technology Infrastructure Library. Norma 10 - Contabilizao de Ativos de Tecnologia da Informao. Norma 09 - Gerenciamento de Riscos. Norma 14 - Desenvolvimento e Manuteno de Aplicaes.
7. Data de Reviso
10/07/2012
64
Norma 16 - Proteo Contra Cdigo Malicioso 1. Objetivos

Estabelecer diretrizes para a proteo dos recursos de Tecnologia da Informao da Administrao Pblica do Poder Executivo Estadual contra ao de cdigo malicioso, programas imprprios e acesso no autorizado.
2. Definies
Cdigo Malicioso: termo genrico que se refere a todos os tipos de programa especificamente desenvolvidos para executar aes danosas em recursos de Tecnologia da Informao, tais como vrus, cavalo de tria, spyware, worms, entre outros. Firewall: sistema de segurana de computadores usado para restringir acesso de/para uma rede, alm de realizar a filtragem de pacotes com base em regras previamente configuradas. Log: arquivo que contm informaes sobre eventos de qualquer natureza em um sistema computacional, anlise forense para a elucidao de incidentes de segurana, auditoria de processos, cumprimento de exigncias legais para a manuteno de registro do histrico de acessos ou eventos e para a resoluo de problemas (debugging). Programas Imprprios: programas utilitrios utilizados para explorar vulnerabilidades ou burlar a segurana dos recursos de Tecnologia da Informao. Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro, fornecedor, prestador de servio ou terceiro em geral que utiliza os recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local ou jornada de trabalho para este ltimo.
3. Abrangncia
Esta Norma se aplica a todos os usurios e recursos de Tecnologia da Informao da Administrao Pblica Estadual.
4. Diretrizes
4.1 Os recursos de Tecnologia da Informao devem estar providos de sistemas de deteco e bloqueio de cdigos maliciosos, preveno e deteco de acesso no autorizado, tais como programas antivrus, programas de anlise de contedo de Correio Eletrnico e firewall. 4.2 Havendo correes ou atualizaes para os sistemas de deteco e bloqueio de cdigos maliciosos, as mesmas devem ser implementadas, a fim de se evitar que
65
estes sistemas fiquem vulnerveis a cdigos maliciosos ou a qualquer tentativa de acesso no autorizado. 4.3 As atualizaes e as correes para os sistemas de deteco e bloqueio de programas maliciosos devem ser homologadas antes de aplicadas ao ambiente de produo. 4.4 obrigatrio o uso de sistemas de deteco e bloqueio de cdigos maliciosos em todos os recursos de Tecnologia da Informao. 4.5 Arquivos ou mdias que so utilizados nos equipamentos computacionais devem ser verificados automaticamente, quanto contaminao por cdigo malicioso, antes de sua utilizao. 4.6 Os sistemas de deteco e bloqueio de cdigos maliciosos devem prover monitoramento, em tempo de execuo, dos arquivos e programas, quanto contaminao por cdigo malicioso. 4.7 Os arquivos contaminados por cdigo malicioso devem ser imediatamente descontaminados pelo software antivrus, isolados ou removidos do sistema. Em caso de persistncia do problema, o equipamento deve ser isolado at que seja sanado o problema para no afetar o ambiente de produo. 4.8 Padres e procedimentos para instalao, configurao, utilizao e atualizao de sistemas de deteco e bloqueio de cdigos maliciosos devem ser estabelecidos pela rea de tecnologia da informao do rgo ou entidade. 4.9 Somente mdias magnticas e produtos de origem confivel devem ser utilizados nos equipamentos computacionais.
5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade: 5.1.1 auxiliar no processo de conscientizao dos usurios quanto s melhores prticas de preveno contra cdigos maliciosos; 5.1.2 garantir a instalao dos sistemas de deteco e bloqueio de programas maliciosos nos equipamentos computacionais, mantendo-os atualizados, conforme disponibilizao do fabricante; 5.1.3 monitorar os logs dos sistemas de deteco e bloqueio de cdigos maliciosos, preveno e deteco de acesso no autorizado, com objetivo de atuar de forma proativa na identificao de ameaas. 5.2 Usurio: 5.2.1 utilizar somente programas homologados; 5.2.2 observar se o programa de antivrus est instalado, atualizado e ativo no equipamento computacional.
66
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da Informao. Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.
7. Data de Reviso
10/07/2012
67
CONCLUSO
H uma percepo visvel do aumento no nmero de ataques e exploraes de vulnerabilidades de segurana, realizado por grupos que tm como alvo corporaes de todos os tipos e, em especial, Organizaes Governamentais de diversos pases, incluindo o Brasil. A adoo de deste conjunto de Normas servir como guia aos gestores dos diversos rgos e entidades da Administrao Pblica do Poder Executivo Estadual para o fortalecimento da Segurana da Informao no mbito do Governo da Bahia, e essencial no combate a aes que possam causar grandes prejuzos financeiros e polticos ao Estado. Este documento pretende ser o incio de um grande processo de normatizao e organizao da Gesto da Segurana da Informao no Estado da Bahia com o objetivo de elevar o nvel de segurana dos ativos dos rgos e entidades que compem a Administrao Pblica do Poder Executivo Estadual, e dever receber novas verses com diretrizes revistas e atualizadas, em um processo contnuo de melhoria da sistemtica de segurana do Estado.
68

1202normas - Segurança - Da - Informação - Versão 2 - 0 em 26 - 11 - 2012

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

1202normas - Segurança - Da - Informação - Versão 2 - 0 em 26 - 11 - 2012

Uploaded by

Copyright:

Available Formats

GOVERNO DO ESTADO DA BAHIA Secretaria da Administrao da Bahia

Normas de Segurana da Informao

SEPLAN PRODEB EMBASA

SEPLAN PRODEB EMBASA

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

NORMAS DE SEGURANA DA INFORMAO

Normas de Segurana da Informao Verso 2.0

Norma 01 Responsabilidades dos rgos 1. Objetivo

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 02 - Classificao da Informao 1. Objetivo

Normas de Segurana da Informao Verso 2.0

4.5 O prazo de prorrogado cinco anos, integridade Estado.

Normas de Segurana da Informao Verso 2.0

5. Recomendaes para Classificao

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 03 - Uso da Internet 1. Objetivo

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 04 - Acesso aos Recursos de Tecnologia da Informao 1. Objetivo

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 05 - Acesso e Utilizao do Correio Eletrnico 1. Objetivo

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 07 - Gerenciamento da Auditoria de Segurana da Informao 1. Objetivo

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 08 - Gesto da Continuidade do Negcio 1. Objetivo

Normas de Segurana da Informao Verso 2.0

estabelecer um programa de administrao de crises.

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 09 - Gerenciamento de Riscos 1. Objetivo

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 10 - Contabilizao de Ativos de Tecnologia da Informao 1. Objetivo

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 11 - Intercmbio de Informaes 1. Objetivo

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Normas de Segurana da Informao Verso 2.0

Norma 12 - Segurana Fsica

Normas de Segurana da Informao Verso 2.0