Politica de Sistemas Corporativos e Servicos Da Rede Governamental 02-12-2006 PDF

Poltica de Sistemas
Corporativos e Servios da Rede

Governamental

Dezembro de 2006
Documento Aplicao Verso Reviso Pgina
Poltica de Sistemas
Corporativos e Servios da
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 2 -

|3
ndice
1 Objetivo .................................................................................................................... 3
2 Abrangncia.............................................................................................................. 3
3 Consideraes Gerais ............................................................................................... 4
4 Exigncias de Segurana para sistemas governamentais ......................................... 4
4.1 Exigncias dos Nveis de Segurana ................................................................ 4
Exigncia do Nvel 01 .......................................................................................... 4
Exigncias do Nvel 02......................................................................................... 5
5 Administrao da Segurana dos Sistemas governamentais .................................... 6
5.1 Responsabilidades ............................................................................................ 6
Administrador de Segurana de TI Estadual ........................................................ 6
Responsabilidades do Supervisor de Segurana de TI Estadual .......................... 6
Responsabilidades do Administrador do Sistema Governamental....................... 7
5.2 Investigao de Segurana................................................................................ 8
5.3 Manuteno e Execuo de Atividade de Auditoria ........................................ 8
6 Poltica...................................................................................................................... 9
6.1 Responsabilidades ............................................................................................ 9
6.2 Gerenciamento de Sistemas e Informao de Aplicao................................ 11
6.3 Planos de Segurana de sistemas governamentais ......................................... 11
6.4 Certificao de Sistema Governamental......................................................... 12
6.5 Proteo do Ncleo de Facilidades e Infra-estrutura dos Sistemas
governamentais........................................................................................................... 13
6.6 Sistemas Operacionais.................................................................................... 13
6.7 Determinaes da Poltica de Segurana de Sistemas e Servios da Rede
Governamental............................................................................................................ 14
ANEXOS........................................................................................................................ 18
7 Gerenciamento de Risco......................................................................................... 18
7.1 Responsabilidades .......................................................................................... 18
7.2 Programa de Gerenciamento de Risco............................................................ 19
7.3 Anlise de risco .............................................................................................. 19
7.4 Processo da Anlise de Risco......................................................................... 20
7.5 Seleo e Implementao das Salvaguardas................................................... 26
8 Plano de Contingncia............................................................................................ 27
8.1 Responsabilidades .......................................................................................... 27
8.2 Introduo ao Processo de desenvolvimento do Plano de Contingncia........ 28
9 Matriz de Salvaguardas de Segurana Mnima ...................................................... 29
10 PLANO DO SISTEMA...................................................................................... 36
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 3 -

|3
1 Objetivo
Esta poltica estabelece normas, procedimentos, e responsabilidades para a
implementao e administrao da segurana de sistemas corporativos,
servios da Rede Governamental e redes locais doravante chamados sistemas
governamentais.
Para ajudar na implementao desta poltica, este documento contm alguns
guias e exemplos dos processos necessrios para o desenvolvimento do
programa.

Fluxograma da Poltica

2 Abrangncia
2.1 A quem se destina
Esta poltica aplica-se a todos os funcionrios, incluindo contratados, dos
rgos/entidades da administrao pblica estadual direta ou indireta e
outras entidades de interesse do governo do Estado do Cear. Aplica-se a
todos os sistemas governamentais, infra-estrutura de sistemas corporativos e
servios, incluindo todos os itens que compem a Rede Governamental.

Apoio tcnico
de segurana
Controla a
Classificao e aes
necessrias
Ensina
como
Classificar
Informao
Classifica as
informaes
Validao
do
Secretrio
do
E Eq qu ui ip pe e d de e
S Se eg gu ur ra an n a a
d do o E Es st ta ad do o
R Re es sp po on ns s v ve el l p pe el lo o
S Si is st te em ma a
S Su up pe er rv vi is so or r d de e S Se eg gu ur ra an n a a A Ad dm mi in ni is st tr ra ad do or r d de e
S Se eg gu ur ra an n a a E Es st ta ad du ua al l
S Se ec cr re et t r ri io o d do o r rg g o o
No
Sim
Decide sobre as
implementaes de
Salvaguardas
Define as
salvaguardas
Necessrias
Aprovao
da Anlise
Execuo da Anlise de
Risco
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 4 -

|3
3 Consideraes Gerais
O Governo do Estado do Cear implementar uma poltica de segurana de
sistemas governamentais para garantir que cada Sistema Governamental,
contendo informaes necessrias ao funcionamento global do Estado, tenha
um nvel de segurana comensurvel com o risco e a magnitude do dano
resultante de perda, uso indevido, exposio ou modificao da informao
tratada pelo sistema.
a. Cada Sistema Governamental deve ter as salvaguardas tcnicas, pessoais,
administrativas e ambientais adequadas;
b. A segurana do Sistema Governamental deve ser baseada em custo
efetivo;
c. Um Sistema Governamental que suporta funes crticas do Estado deve
ter um plano de contingncia ou recuperao de desastre para fornecer
continuidade de operao;
d. Profissionais de tecnologia de informao dos rgos/entidades da
administrao pblica estadual devem ser formalmente alocados para
administrar os sistemas governamentais sob sua responsabilidade de acordo
com as recomendaes deste programa.

4 Exigncias de Segurana para sistemas governamentais
As exigncias de segurana aplicam-se para todos os sistemas
governamentais e infra-estrutura de Tecnologia da Informao sobre a
responsabilidade direta ou indireta do Estado, incluindo aqueles que so
operados pelos rgos/entidades da administrao pblica estadual e por
empresas terceirizadas.
Quanto mais alta a designao do Nvel de Segurana de um Sistema
Governamental, mais restritas so suas exigncias de segurana. Sistemas
governamentais com designao de Nvel de Segurana mais baixo
geralmente exigem somente precaues de segurana comuns; isto ,
proteo por salvaguardas que so consideradas como boa prtica de
administrao de sistemas. Em todos os casos, as exigncias mnimas de
segurana de sistemas governamentais devem ser iguais ou maiores do que
o nvel mais alto de criticidade do Sistema Governamental ou servio da
Rede Governamental.

4.1 Exigncias dos Nveis de Segurana

Exigncia do Nvel 01
Os controles exigidos para salvaguardar adequadamente um Sistema
Governamental com criticidade classificada com nvel 01 so aqueles que
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 5 -

|3
normalmente deveriam ser considerados como boa prtica de
administrao e gerenciamento de sistemas, incluindo:
a. Um programa de treinamento e conscientizao da segurana do
Sistema Governamental;
b. Controles de acesso Fsico;
c. Um conjunto completo de documentao do Sistema Governamental.

Exigncias do Nvel 02
Governamental com criticidade classificada com nvel 02 constituem todas
as exigncias para o nvel 01, com a adio das seguintes exigncias:
a. Um Programa de Gerenciamento de Riscos detalhado.
b. Um Plano de Segurana para cada Sistema Governamental.
c. Uma lista controlada de usurios autorizados.
d. Procedimentos de reviso e certificao de Segurana.
e. Registro de investigaes exigido para todos os funcionrios e pessoal
contratado.
f. Um Plano de Contingncia formal.
g. Uma Anlise de Risco formal.
h. Uma Auditoria Automatizada.
i. Procedimentos de controle de acesso autorizados.
j. Um programa de emergncia de energia.

Os controles exigidos para salvaguardar um Sistema Governamental com
criticidade classificada com nvel 03 adequadamente contemplam todas
as exigncias para os nveis 1 e 2, com a adio das exigncias de
inventario de hardware e software.

Governamental nvel 04, incluem todas as exigncias para os nveis 1, 2,
e 3, com adio de procedimentos de segurana especificados pelos
rgos/entidades da administrao pblica estadual que fornecem a
informao ou sistemas classificados.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 6 -

|3
5 Administrao da Segurana dos Sistemas governamentais
As exigncias para a administrao do Programa de Segurana de sistemas
governamentais esto relacionadas com:
A coordenao das atividades de segurana de tais sistemas e servios;
Informao do status dos programas para o Administrador de Segurana de
TI Estadual;
Coordenao dos procedimentos para relatar brechas de segurana;
Conduo de investigaes peridicas de segurana.

5.1 Responsabilidades
Administrador de Segurana de TI Estadual
a. Coordenar atividades de treinamento em recursos de segurana da
informao para responsveis e usurios de sistemas
governamentais.
b. Garantir que os planos de segurana sejam desenvolvidos,
revisados, e implementados quando necessrio.
c. Desenvolver e implementar os procedimentos de relato de brechas
de segurana.
d. Garantir que Polticas de Segurana adicionais sejam
desenvolvidas e implementadas como exigida pela informao,
pessoal e infra-estrutura do Sistema Governamental.
e. Garantir que todos os Responsveis por sistemas governamentais
e usurios da infra-estrutura de TI sejam conhecedores do nvel de
segurana do servio oferecido (i.e., designao de segurana).
f. Manter um inventrio dos sistemas governamentais, que foram
designados com um Nvel de Segurana 04 ou 03. A manuteno
do inventrio dos nveis 2 e 1 so opcionais. Sistemas nvel 02 que
exigem Planos de Segurana de sistemas governamentais devem
ser inventariados.
Responsabilidades do Supervisor de Segurana de TI Estadual
O Supervisor de Segurana de TI Estadual responsvel pela
avaliao e fornecimento de informao sobre o programa da Rede
Governamental e pela comunicao do Programa de Segurana de
sistemas governamentais, das exigncias e preocupaes do Estado
do Cear, sendo responsvel por:
a. Relatar informao sobre brechas de segurana dos recursos.
b. Fornecer avisos e assistncia aos profissionais responsveis por
sistemas governamentais, administradores de sistemas, e outros
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 7 -

|3
membros da rede estadual preocupados com a segurana destes
sistemas e servios.
c. Colaborar com os responsveis por sistemas governamentais para
a criao do plano de segurana de cada sistema, fornecendo
todos os subsdios tcnicos necessrios.
d. Certificar o plano de segurana desenvolvido.
e. Especificar, implementar, e revisar procedimentos usados para
proteger a Integridade da infra-estrutura de TI e sistemas
operacionais, incluindo o desenvolvimento da anlise de risco e a
determinao de exigncias mnimas de segurana e
salvaguardas.
f. Garantir que a segurana necessria da infra-estrutura de TI est
sendo identificada, as brechas monitoradas e as aes corretivas
esto sendo tomadas.
g. Realizar o inventrio dos sistemas governamentais, que foram
designados com um Nvel de Segurana 04 ou 03. A manuteno
do inventrio dos nveis 2 e 1 so opcionais. Sistemas nvel 02 que
exigem Planos de Segurana de sistemas governamentais devem
ser inventariados.

Responsabilidades do Administrador do Sistema Governamental
O responsvel de cada Sistema Governamental deve desenvolver,
implementar, manter, e revisar o Programa de Segurana de sistemas
governamentais referente ao sistema/ servio sob sua
responsabilidade, sendo tambm responsvel por:
a. Integrar o programa de Segurana de sistemas governamentais do
rgo/ entidade da rede estadual com outros programas e
exigncias de segurana;
b. Fornecer subsdios sobre o programa de Segurana de Sistemas
governamentais para o Supervisor de Segurana de TI Estadual da
Rede Governamental.
c. Garantir que as exigncias de segurana da informao e a
capacidade de processamento da informao dos sistemas
governamentais sob sua gerncia estejam de acordo com as
exigncias desta poltica.
d. Garantir que os sistemas governamentais sob sua gerncia e
bases de dados respectivas, somente sejam executados nas
instalaes e infra-estrutura com a designao do Nvel de
Segurana igual ou maior do que as designaes dos sistemas
governamentais.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 8 -

|3
e. Periodicamente revisar e verificar se todos os usurios dos
sistemas governamentais esto autorizados e usando as
salvaguardas de segurana exigidas.

5.2 Investigao de Segurana
exigido que o Supervisor de Segurana de TI Estadual conduza
revises peridicas e avaliaes dos sistemas governamentais do Estado
com o propsito de re-certificao das salvaguardas de segurana da
Rede Governamental para tais sistemas.
Trs tipos de investigao de segurana so exigidas:
a. Uma Re-certificao deve ser conduzida pelo menos uma vez a cada
ano para cada Sistema Governamental ou sempre que for detectada a
necessidade.
b. Uma Anlise de risco deve ser conduzida pelo menos uma vez a
cada dois anos para cada Sistema Governamental ou sempre que for
detectada a necessidade.
c. Uma Reviso de Controles Internos do Programa de Segurana de
Sistemas governamentais para o Sistema Governamental deve ser
conduzida pelo menos uma vez a cada dois anos ou sempre que for
detectada a necessidade.
Cada rgo/entidade da administrao pblica estadual proprietrio do
sistema responsvel por garantir que estes trs tipos de investigaes
sejam planejadas e conduzidas de maneira a permitir que prioridades
consistentes sejam estabelecidas, minimizando a duplicao do esforo, e
protegendo a Integridade do Programa de Segurana de sistemas
governamentais da Rede Governamental.

5.3 Manuteno e Execuo de Atividade de Auditoria
necessrio manter uma reviso peridica do programa de Segurana de
sistemas governamentais. Deve ser exigido que uma empresa de
consultoria externa conduza revises peridicas e avaliaes ao programa
de Segurana de sistemas governamentais com o propsito de
certificao dos procedimentos, salvaguardas, ferramentas de auditoria e
se os mecanismos utilizados esto seguindo padres internacionais de
segurana.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 9 -

|3
6 Poltica
Esta seo apresenta a poltica de segurana de sistemas
governamentais baseado na criticidade operacional de sistemas
governamentais. Os rgos/entidades da administrao pblica estadual
devem usar este guia para garantir a segurana dos sistemas
governamentais classificados como nvel 03 e 04.
Sabendo-se que nenhuma informao e nem todo Sistema
Governamental so de mesmo valor ou sensibilidade para o Estado, as
informaes precisam ser agrupadas e protegidas diferentemente.
Sistemas governamentais que so classificadas com Nvel de Segurana
Alto (03) exigem designaes de salvaguardas de segurana mais
aprofundadas do que aquelas designaes com Nvel de Segurana
baixo. Sistemas governamentais que so classificados com nvel mais
baixo geralmente exigem somente precaues mnimas.

6.1.1. Administrador de Segurana de TI Estadual
a. Garantir que os sistemas governamentais com um Nvel de Segurana
designado como nvel 04 ou 03 possuam um administrador nomeado
responsvel pela segurana do sistema ou servio.
b. Garantir que as exigncias de segurana computacionais estejam
consideradas no desenvolvimento dos sistemas governamentais.
c. Garantir que as salvaguardas de segurana exigidas estejam
colocadas para todos os sistemas governamentais, como descrito no
quadro 01- Matriz de salvaguardas de Segurana Mnima.
d. Garantir que um Plano de Segurana de sistemas governamentais
seja desenvolvido para cada Sistema Governamental que contenha
informao sensvel.
e. Garantir que cada Sistema Governamental sob sua responsabilidade
tenha associado um status de segurana certificado. (Veja Quadro IX-
B, "Certificao do Sistema Governamental Segurana")
f. Garantir que a argumentao lgica para as exigncias ou
recomendaes de segurana citadas na verificao de risco e/ou
Plano de Segurana de sistemas governamentais estejam
documentadas.
g. Certificar que os administradores da rede dos rgos/entidades onde
os sistemas governamentais esto sendo executados fornecem os
recursos exigidos na infra-estrutura e sistemas operacionais
adequadamente para proteger o Sistema Governamental dentro de
sua responsabilidade, proporcionado nvel de risco aceitvel.

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 10 -

|3
6.1.2 Administradores de sistemas e Servios da Rede
Governamental
Administradores responsveis por sistemas governamentais devem
desenvolver, implementar e revisar os procedimentos para proteger a
Integridade dos sistemas governamentais sob sua gerncia. O
responsvel pelo Sistema Governamental tambm responsvel por:
a. Notificar o Supervisor de Segurana de TI Estadual e usurios sobre o
nvel de segurana exigido pelo Sistema Governamental.
b. Certificar que as exigncias de segurana dos sistemas
governamentais esto implantadas.
c. Documentar e prover uma explanao observando exigncias
individuais de segurana ou verificao de risco e recomendaes que
no podem ser satisfeitas.
d. Semestralmente, rever e verificar que todos os usurios dos sistemas
governamentais sob sua gerncia so autorizados e esto usando as
salvaguardas de segurana exigidas.
e. Garantir que os sistemas corporativos e servios corporativos sob seu
domnio esto sendo executados somente na infra-estrutura do
Sistema Governamental e que a infra-estrutura tambm certificada
no nvel de segurana igual ou maior do que o nvel de segurana
designado para o sistema corporativo ou servio de Rede
Governamental.
f. O Administrador da rede ao qual o sistema corporativo ou servio
governamental responde pela especificao, implementao e reviso
de procedimentos usados para proteger os sistemas operacionais dos
sistemas e servios sob sua responsabilidade, incluindo a execuo
da anlise de risco e a determinao de exigncias e salvaguardas
mnimas de segurana.

6.1.3. Supervisor de Segurana de TI Estadual
a. Garantir que a infra-estrutura do Sistema Governamental que executa
os sistemas governamentais, classificados no nvel de segurana,
igual ou maior do que o nvel de segurana designado para seus
sistemas e servios.
b. Realizar o inventrio de sistemas e infra-estrutura respectiva do
Sistema Governamental que foram designados com um nvel de
segurana 04 ou 03. A realizao de inventrio dos nveis 02 e 01 so
opcionais.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 11 -

|3
6.2 Gerenciamento de Sistemas e Informao de Aplicao

6.2.2. Designaes de Nvel de Segurana para o Sistema
Governamental
Responsveis por sistemas governamentais devem associar a
designao do Nvel de Segurana para os sistemas e servios usando as
definies fornecidas na seo Designaes do Nvel de Segurana. As
designaes de Nvel de Segurana determinam as salvaguardas de
segurana mnimas exigidas para proteger os sistemas e servios
corporativos. Se um Sistema Governamental compartimentado, da
mesma forma que quando um conjunto de processos ou informaes
mais sensvel do que outros, o responsvel pelo Sistema Governamental
deve associar a designao do Nvel de Segurana mais alto de qualquer
conjunto de processos ou informaes para o sistema ou servio como
um todo.
importante enfatizar que um Sistema Governamental s deve ser
executado em uma infra-estrutura que seja certificada em um nvel de
segurana igual ou maior do que o sistema e que o administrador seja
responsvel por garantir que todos os usurios do sistema corporativo e
servio da Rede Governamental satisfazem as salvaguardas exigidas
para o sistema ou servio em questo.

6.2.3. Integrao de Segurana Computacional dentro do
Desenvolvimento do Ciclo Vida do Sistema
Um Processo de controle deve ser estabelecido para garantir que os
mecanismos de salvaguardas adequados sejam incorporados dentro de
todas as novas funcionalidades e modificaes significantes atuais do
sistema. No mnimo, para cada sistema corporativo crtico, o responsvel
pelo sistema responde pela:
a. Definio e aprovao das especificaes de segurana antes da
programao.
b. Conduo e aprovao das revises do projeto e testes das
caractersticas de segurana antes do lanamento do sistema para total
operao.

6.3 Planos de Segurana de sistemas governamentais
Quando um Sistema Governamental classificado como crtico (se
associado uma designao de Nvel de Segurana 04 ou 03), um Plano
de Segurana de Sistema Governamental deve ser preparado. Ele deve
incluir, no mnimo, quatro sees bsicas:
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 12 -

|3
6.3.1. Identificao do Sistema - Inclui a organizao responsvel, o
nome do sistema ou assunto, o grupo (aplicao principal), o status do
sistema operacional, uma descrio da funo e propsito do sistema,
uma descrio do ambiente do sistema ou servio, e a pessoa de
contato.

6.3.2. Sensibilidade de Informao Manipulada - Inclui leis aplicveis
e regulamentaes, uma descrio da sensibilidade da informao em
termos de tipo (confidencialidade, Integridade, disponibilidade) e
importncia relativa (alta, mdia, baixa) de proteo necessria.

6.3.3. Medida do Sistema de Segurana - Inclui uma verificao de
risco, guia aplicvel, medidas de controle de segurana exigidas, e
status para cada medida de controle.

6.4 Certificao de Sistema Governamental
Para novos sistemas governamentais, o processo de certificao deve
iniciar durante o estgio de desenvolvimento do sistema. Sistemas
governamentais sensveis devem ser re-certificados pelo menos uma vez
a cada ano. Todo Sistema Governamental sensvel deve ser re-certificado
se a exigncia da salvaguarda mudar, se o sistema for violado, ou o
sistema submeter-se a uma modificao significante.
No mnimo, o Supervisor de Segurana de TI estadual, responsvel pela
certificao, deve revisar os seguintes documentos durante um processo
de certificao para um Sistema Governamental sensvel:
Plano de Segurana do Sistema
Resultados e testes de especificaes de Segurana
Plano de contingncia
Outros documentos pertinentes (anlise de risco, registro de auditoria)
Quando o profissional responsvel pela certificao estiver satisfeito com
as salvaguardas colocadas para o Sistema Governamental e que a
informao Processada pelo Sistema Governamental estiverem seguras,
o procedimento adotado deve ser:
1. O profissional responsvel pela certificao preenche o Quadro 02,
"Certificao da Segurana do Sistema Governamental", para documentar
o procedimento de certificao.
2. O Responsvel pelo sistema fica com uma cpia do formulrio de
certificao da segurana e envia uma segunda cpia do formulrio para
o Administrador de Segurana de TI Estadual. A terceira cpia pode ser
mantida como arquivo central.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 13 -

|3
3. Sistemas governamentais que no atendem as exigncia de segurana
substantiva e procedural no devem ser certificados. De qualquer forma, o
quadro IX-C Adiamento de Certificao deve ser completado. A
determinao de adiamento inclui uma lista de deficincias que devem ser
remediadas. Quando um adiamento de certificao executado, o
sistema deve ser reportado como uma fragilidade de segurana sobre o
processo de relatrio.

6.5 Proteo do Ncleo de Facilidades e Infra-estrutura dos Sistemas
governamentais
De acordo com esta poltica, todos os rgos/entidades da rede estadual
gerentes de sistemas governamentais devem implementar a segurana
fsica e salvaguardas na sua infra-estrutura de TI para proteger estes
patrimnios de uso no autorizado ou fraudulento, manipulao ou
destruio.
As polticas e guias a serem criadas sero usadas para proteo da infra-
estrutura, dos sistemas governamentais e sistemas operacionais da
organizao. O objetivo proteger e preservar a informao, propriedade
fsica, patrimnios humanos, e sistemas operacionais atravs da reduo
da exposio de vulnerabilidades que podem interromper ou cortar
operaes de sistemas governamentais.

6.6 Sistemas Operacionais
6.6.1. Exigncias do Sistema Operacional
As exigncias para proteo da infra-estrutura dos sistemas operacionais
de sistemas governamentais so:
a. O Supervisor de Segurana de TI Estadual deve garantir que o sistema
operacional em execuo esteja usando as caractersticas que garantam
a Integridade e previna o uso no autorizado das interfaces do Sistema
Governamental.
b. O Supervisor de Segurana de TI Estadual deve garantir que o sistema
operacional controla o acesso para a base de dados e programas de
softwares armazenados no Sistema Governamental.
c. O Supervisor de Segurana de TI Estadual deve garantir que o sistema
operacional registra e informa atividades fora de rotina que possam ser
indicadas como uma violao de segurana.
d. O Supervisor de Segurana de TI Estadual deve garantir ainda que o
sistema operacional:
(1) Fornea as salvaguardas para proteger o status operacional e a
Integridade subseqente durante e depois da re-inicializao do
computador do Sistema Governamental.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 14 -

|3
(2) Inclua documentao completa e atualizada que permita a realizao
de auditorias para o propsito de triagem de atividades fora da rotina.

6.6.2. Procedimentos de Salvaguardas
a. Existem muitos mtodos possveis para manipulao de sistemas e os
Responsveis por Sistemas governamentais devem investigar os
sistemas sob sua gerncia para encontrar vulnerabilidades e garantir que
salvaguardas estejam funcionando como deveriam.
b. O Responsvel pelo Sistema Governamental deve instituir os
procedimentos para a separao adequada de obrigaes dentro da infra-
estrutura do Sistema Governamental sob seu domnio.
c. O Responsvel pelo Sistema Governamental deve estabelecer
procedimentos que exigem validao de sistemas operacionais antes da
instalao do mesmo. A validao deve ser executada tanto nos novos
sistemas quanto nos sistemas modificados. O propsito da validao
garantir a incluso de salvaguardas de segurana antes da Instalao do
mesmo.

6.7 Determinaes da Poltica de Segurana de Sistemas e Servios da
Rede Governamental
6.7.1. Existncia de controle de sistemas. O controle de sistema para cada
Sistema Governamental deve garantir que salvaguardas adequadas
foram incorporadas a ele, testadas antes da implementao, e testadas
anualmente aps a implementao.
6.7.2. Um plano de sistemas qinqenal deve ser desenvolvido. Cada
rgo/entidade da administrao pblica estadual deve desenvolver um
plano, incluindo marcos especficos com obrigaes e estimativas de
despesas, para cada Sistema Governamental no rgo/entidade da
administrao pblica estadual. Estas exigncias cobrem os sistemas
governamentais existentes e sistemas em desenvolvimento.
6.7.3. Existncia de um plano de contingncia/ recuperao de desastre.
Os rgos/entidades da administrao pblica estadual devem
desenvolver, manter, e testar recuperao de desastre e planos de
continuidade de operaes para garantir que seus sistemas corporativos
fornecerem uma continuidade de suporte razovel do processamento
dos sistemas e servios se as operaes normais forem impedidas.
6.7.4. Conduo de verificao de vulnerabilidades. A Administrao central
de segurana deve revisar a susceptibilidade de seus programas ou
funes contra danos, perdas, uso no autorizado ou uso indevido
atravs da conduo de verificaes de vulnerabilidade ou estudos
equivalentes tais como auditorias.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 15 -

|3
6.7.5. Existncia de anlise Custo-Benefcio. Os rgos/entidades da
administrao pblica estadual devem determinar e comparar os
benefcios de propostas de sistemas ou controles contra o custo de
desenvolver e operar estes sistemas ou controles. Somente propostas
em que os benefcios excedam as estimativas de custo em 10% devem
ser consideradas para desenvolvimento, a menos que seja
especificamente exigida por lei.
6.7.6. Garantias razoveis so aplicadas. Garantia razovel igual a um
nvel satisfatrio de confidencialidade, baseado no julgamento pelo
Supervisor de Segurana de TI Estadual, Administrador de Segurana
de TI Estadual e responsveis pela rea de TI do rgo/entidade, se for
o caso, dos controles de custo/ benefcio versus riscos reconhecidos.
reconhecido que esta garantia no 100% efetiva. Cada rgo/entidade
da administrao pblica estadual deve fornecer uma garantia razovel.
6.7.7. Controles objetivos esto definidos. Os rgos/entidades da
administrao pblica estadual devem estabelecer os objetivos para
enderear vulnerabilidades conhecidas, ou para promover a segurana
dos sistemas governamentais.
6.7.8. Tcnicas de controle so selecionadas. Os rgos/entidades da
administrao pblica estadual devem desenvolver mtodos, satisfazer
as exigncias de controles prevenindo, detectando, e/ou corrigindo
eventos indesejveis.
6.7.9. Adequaes s exigncias de segurana esto determinadas. Os
rgos/entidades da administrao pblica estadual devem garantir que
requisitos adequados de segurana no mbito tcnico, administrativo,
fsico, e pessoal estejam inclusos nas especificaes para a aquisio
ou operao da infra-estrutura de sistemas governamentais,
equipamentos ou software.
6.7.10. Existncia de especificaes de Segurana. Controles internos e
exigncias de segurana devem estar declaradas com designado nas
especificaes e aprovado pelo Administrador de Segurana de TI
Estadual antes que comece o desenvolvimento do Sistema
Governamental.
6.7.11. Determinao da adequao das especificaes de segurana. Os
rgos/entidades da administrao pblica estadual devem apresentar
provas para o Administrador de Segurana de TI Estadual de que
planejou especificaes satisfazendo as exigncias de controle para
autorizar o desenvolvimento e/ou modificao dos programas
computacionais dos sistemas governamentais.
6.7.12. Aprovao do Plano de sistema. Antes do desenvolvimento de um
Sistema Governamental ser autorizado, a Administrador de Segurana
de TI Estadual deve ter certeza de que o projeto do sistema satisfaz as
exigncias do usurio e incorpora as exigncias de controle adequadas.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 16 -

|3
O plano de reviso deve ser documentado e deve estar disponvel para
avaliao.
6.7.13. Documentao dos Controles. Controles internos de sistemas,
incluindo todas as transaes e eventos significantes, devem estar
claramente documentados e prontamente disponveis para avaliao.
6.7.14. Existncia de documentao de sistemas. A documentao deve
refletir o estado atual de um Sistema Governamental assim que ele
comea a operar. A documentao deve ser suficiente para garantir
operaes efetivas por usurios e manuteno de sistemas por
programadores.
6.7.15. Existncia de um plano de contingncia de sistemas. Planos devem
ser desenvolvidos, documentados, e rgo/entidade para assegurar que
os usurios de sistemas governamentais possam continuar a executar
suas funes essenciais no caso da capacidade de processamento ser
interrompida. O plano deve tambm ser consistente com a recuperao
de toda a abrangncia do rgo/entidade da administrao pblica
estadual em caso de desastre.
6.7.16. Teste de Controles Antes de um Sistema Governamental, novo ou
modificado, ser colocado em estado de produo, seus controles devem
ser testados para provar que eles operam como desejado. Os resultados
dos testes devem ser documentados e enviados para o Administrador de
Segurana de TI Estadual findando aprovao antes da implementao
do sistema.
6.7.17. Conduo de testes sistemas. Antes da implementao de um
Sistema Governamental ser autorizada, evidncias de que o sistema
opera como desejado devem ser apresentadas ao Administrador de
Segurana de TI Estadual. Estas evidncias devem tambm incluir os
resultados dos testes de controle. Os resultados dos testes devem estar
documentados e disponveis para avaliao.
6.7.18. Documentao dos resultados dos testes. A documentao deve
demonstrar que as exigncias de controle e de funcionalidade de
sistemas governamentais operam como esperadas.
6.7.19. Certificao do sistema antes da implementao. Antes de um
Sistema Governamental poder ser implantado, o Administrador de
Segurana de TI Estadual juntamente com o Supervisor de Segurana
de TI Estadual deve certificar que o sistema atende a todas polticas
estaduais aplicveis, regulamentaes, e padres, e que os resultados
dos testes demonstram que os controles instalados so adequados para
o sistema.
6.7.20. Reviso dos controles executados. Periodicamente, cada Sistema
Governamental deve ser testado para determinar se suas funes de
controle ainda funcionam como esperado. Os resultados dos testes
devem estar documentados e disponveis para avaliao.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 17 -

|3
6.7.21. Conduo de revises peridicas e re-certificaes. Pelo menos
uma vez a cada ano, os rgos/entidades da administrao pblica
estadual que possuem sistemas governamentais com nvel de criticidade
04 ou 03 devem revisar tais sistemas e recertific-los quanto a
adequao de suas salvaguardas. As re-certificaes devem ser
documentadas e devem estar disponveis para reviso.
6.7.22. Conduo peridica de verificaes de risco. Os rgos/entidades
da administrao pblica estadual devem conduzir verificaes
peridicas de risco na infra-estrutura dos sistemas governamentais sob
sua gerncia para fornecer a medida de suas relativas vulnerabilidades
e ameaas infra-estrutura para que os recursos de segurana possam
ser efetivamente distribudos para minimizar perdas potenciais.
6.7.23. Uma ao corretiva tomada, os resultados de auditoria so
resolvidos imediatamente. Os administradores devem avaliar
imediatamente os resultados de auditoria e recomendaes, determinar
apropriadamente as aes corretivas a serem tomadas, e completar
essas aes.
6.7.24. Preparao de um relatrio anual de controle interno. Cada
rgo/entidade da administrao pblica estadual deve anualmente
determinar se os sistemas de controle interno esto de acordo com os
padres gerais de controle.
6.7.25. Preparao de um relatrio anual de controle de contabilizao.
Cada administrador de redes e sistema em cada rgo/entidade da
administrao pblica responsvel pelo sistema corporativo em questo
e servio da Rede Governamental estadual deve verificar anualmente se
a contabilizao de seus sistemas esto de acordo com os padres
gerais de controle.
6.7.26. Envio de relatrios anuais para o Administrador de Segurana de
TI Estadual. O responsvel por cada sistema deve assinar um relatrio
anual e transmiti-lo anualmente para o Administrador de Segurana de
TI Estadual.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 18 -

|3
ANEXOS
7 Gerenciamento de Risco
De acordo com as exigncias do Programa de Segurana de sistemas
governamentais, todos os rgos/entidades da administrao pblica
estadual responsveis pelos sistemas governamentais devem desenvolver,
implementar, e manter um programa de Gerenciamento de Risco para
garantir que as medidas de salvaguardas adequadas sejam tomadas a fim
de proteger todas as informaes sensveis e capacidade de
processamento da informao ou servio.
O propsito desta sesso descrever os elementos bsicos de um
Programa de Gerenciamento de Risco de sucesso em nvel governamental.
As caractersticas peculiares de cada Programa de Gerenciamento de
Risco podem variar, mas os princpios gerais e mtodos de Gerenciamento
de Risco permanecem o mesmo. Todo Programa de Gerenciamento de
Riscos consiste de uma anlise de risco seguida pela seleo e
Implementao de salvaguardas.

A. Administrador de Segurana de TI Estadual
O Administrador de Segurana de TI Estadual responsvel por garantir
que um Programa de Gerenciamento de Riscos adequado seja
desenvolvido, implementado, e mantido para todos os sistemas
governamentais e infra-estrutura dos sistemas governamentais de
designao de nvel 02 ou superior.

B. Supervisor de Segurana de TI Estadual
O Supervisor de Segurana de TI Estadual responsvel por:
Coordenar o Programa de Gerenciamento de Riscos na Rede
Governamental para garantir que todos os Programas de
Gerenciamento de Riscos estejam integrados entre si.
Desenvolver, direcionar e suportar o Programa de Gerenciamento de
Riscos para cada Sistema Governamental e monitorar todas as fases
destes programas a fim de garantir que as fases sejam conduzidas de
forma adequada e eficiente.

C. Responsveis por Sistemas governamentais
Os profissionais responsveis por sistemas governamentais devem
conduzir anlises de risco para os sistemas governamentais e infra-
estrutura do Sistema Governamental sob sua responsabilidade a fim de
determinar o custo efetivo e as salvaguardas de segurana necessrias.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 19 -

|3
7.2 Programa de Gerenciamento de Risco
Cada rgo/entidade da rede estadual responsvel por Sistema
Governamental deve desenvolver um programa de Gerenciamento de
Risco. quase impossvel eliminar o risco completamente, mas os
responsveis pelos sistemas precisam estar cientes dos riscos potenciais
e vulnerabilidades das informaes que ameaam a segurana dos
sistemas governamentais e da infra-estrutura do Sistema Governamental.
Uma vez ciente dos problemas e das opes de salvaguardas, os
responsveis pelos sistemas podem tomar decises fundamentadas na
preocupao da necessidade e custo beneficio das vrias opes de
salvaguardas e alternativas de segurana aos sistemas governamentais.
necessrio que uma anlise de riscos de sistemas governamentais seja
realizada periodicamente a cada dois anos.
A infra-estrutura do sistema deve ser revisada a cada dois anos. Revises
adicionais so exigidas quando acontecerem modificaes significantes
no sistema ou na infra-estrutura do sistema.
Se a anlise de risco apresentar falta de conformidade com as exigncias
de segurana, as razes pelos quais as exigncias de segurana no
podem ser satisfeitas devem ser documentadas e tal documento deve
ficar disponvel para auditoria.
Se possvel, a anlise de risco inicial deve ser executada em conjunto com
o desenvolvimento do sistema. Uma anlise de risco de alto nvel deve ser
conduzida na fase de inicio do ciclo de vida do sistema. Riscos adicionais
podem ser identificados durante o progresso do desenvolvimento desde
as exigncias de definio, projeto, codificao, e testes.
O programa de Gerenciamento de Risco consiste dos seguintes
Processos:

7.3 Anlise de risco
a. Passo 01- Determinao da Ameaa
b. Passo 02- Identificao das Vulnerabilidades
c. Passo 03- Associao das Medidas de Probabilidade
d. Passo 04- Estimativa das perdas Potenciais
e. Passo 05- Anlise de Salvaguardas
f. Passo 06- Anlise do Custo Beneficio
g. Passo 07- Desenvolvimento do Relatrio Final
h. Passo 08- Criao do Arquivo de sumrio de verificao de Risco
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 20 -

|3
Seleo e Implementao das Salvaguardas
a. Decises Gerenciais
b. Implementao

7.4 Processo da Anlise de Risco

O objetivo de uma anlise de risco formal determinar o status atual da
segurana de um Sistema Governamental e da infra-estrutura do Sistema
Governamental.
Na primeira fase, as ameaas e vulnerabilidades especificas so
identificadas e analisadas.
Depois, as salvaguardas potenciais so avaliadas para selecionar aqueles
que so de melhor custo efetivo no tratamento das ameaas e eliminao
ou reduo das vulnerabilidades para um nvel aceitvel.
Por ltimo preparado um relatrio final que sumarize os resultados e
apresente um conjunto de recomendaes agrupadas por prioridade. O
relatrio final de vrias anlises de risco sobre um rgo/entidade da rede
estadual pode tornar-se a base para um arquivo de Sumrio de
Verificao de Risco, conduzindo a uma possvel mudana na poltica
desenvolvimento.
Conseqncias
Vulnerabilidade
Ameaa
Impacto
Falha de segurana de um software comercial,
hardware ou rede
Problemas de Segurana gerados pela
existncia da Vulnerabilidade
Danos imediatos se a ameaa acontecer
Os efeitos em longo prazo oriundos do impacto
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 21 -

|3
Descrio:
Termo Descrio Exemplo
Ameaas/prob
abilidade
Ameaas qual a probabilidade
de sua ocorrncia
Acesso pela Internet /
Probabilidade = Alta
Impactos Danos imediatos se a ameaa
acontecer
Roubo, modificao
Conseqncias Os efeitos em longo prazo se a
ameaa acontecer
Diminuio do PIB
Controles Medidas de segurana efetivas
para diminuir a probabilidade
Servios e
mecanismos de
segurana
Risco O Risco permanecente, depois
da implantao dos controles
Seqestrar um
usurio chave e
descobrir a senha
dele.
Os sistemas governamentais devem ser avaliados de acordo com o
impacto do acontecimento da ameaa e conseqncia para o Estado,
caso a mesma acontea.

a. Determinao da Ameaa
A determinao da Ameaa exige a identificao e verificao das
ameaas potenciais para um Sistema Governamental ou sua infra-
estrutura. Ameaas Potenciais incluem desastres naturais e pessoas que
podem interromper operaes ou dependem de tempo de servios ou
podem causar perdas aos patrimnios fsicos, perda de Integridade no
sistema ou prejuzos para o Estado. Cada anlise de risco resulta em um
sumrio com uma lista de ameaas para todo aspecto de Sistema
Governamental e infra-estrutura do Sistema Governamental.
O resultado deste processo deve constituir de uma forte indicao das
aes adversas que devem causar danos ao sistema, a probabilidade que
estas aes devem ocorrer e a fragilidade do sistema que pode ser
explorada para causar as aes adversas. Para conseguir atingir este
resultado, as ameaas e vulnerabilidades precisam ser identificadas, bem
como a probabilidade da ocorrncia das mesmas.

b. Identificao da Vulnerabilidade
Identificao de Vulnerabilidade envolve a determinao de fragilidades
ou falhas que existem em um Sistema Governamental ou na sua infra-
estrutura, e que permitiriam afetar o sistema de segurana. A identificao
de vulnerabilidades deve ser realizada nos sistemas governamentais e na
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 22 -

|3
infra-estrutura dos sistemas governamentais novos, existentes e
modificados recentemente.
Os controles de segurana existentes devem ser analisados para
determinar se eles esto atualmente provendo alguma proteo s
ameaas identificadas.
Se um controle no estiver provendo segurana, ele deve ser considerado
como uma vulnerabilidade.
Uma anlise de alto nvel consegue determinar a amplitude do risco
decorrente da perda de confidencialidade de determinados dados, atravs
da revelao da informao.
Um sumrio contendo a lista de vulnerabilidades identificadas deve ser
preparado para cada Sistema Governamental e sua infra-estrutura sendo
analisada. A seguinte rea de Vulnerabilidade deve ser verificada:

(1) Oportunidade para entrada de informaes erradas ou falsificadas.
(2) Oportunidade para acesso no autorizado.
(3) Controles administrativos no efetivos.
(4) Controles ineficientes dentro do programa do sistema.

C. Associao de Medidas de Probabilidade
A probabilidade de ocorrncia de uma ameaa pode ser normalizada
como um valor que varia entre 01 e 03 na seguinte forma:
03 = Alta
02 = Moderada
01 = Baixa
Associar o par Ameaa/vulnerabilidade com a probabilidade de realizao
da ameaa.
Ex: Qual a probabilidade de uma ameaa ser realizada, se uma
vulnerabilidade for explorada?

Patrimnio Ameaa Criticid. Vulnerabilidade Prob.
Planos
estratgicos
Roubo 03 Armazenados em um servidor
sem proteo e senha fraca com
acesso Internet e IP vlido
03
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 23 -

|3
d. Estimativa de Perdas Potenciais
Depois das ameaas e vulnerabilidades terem sido determinadas, o valor
(em dinheiro ou outro peso de medida) das perdas potenciais, incluindo
todos os custos, deve ser quantificado.
Por exemplo, no caso de perda de informao ou roubo de arquivos de
programas especficos, a perda potencial o custo para reconstruir os
arquivos, tanto das cpias de backup ou dos documentos origem, e
possivelmente o custo de espera de processamento para o usurio.
Quando perdas de tempo so mais criticas que perda de dinheiro, tais
como um sistema de suporte mdico ou a gerao de arrecadao, ento
a medida de perda de tempo torna-se mais adequada do que a medida de
custo para a conduo da anlise de riscos.
O valor do Sistema Governamental pode ser representado em termos de
perda potencial. Esta perda pode ser baseada no valor substitudo, o
impacto imediato da perda e a conseqncia. Esta tcnica de avaliao
indicar o ranking.
03 = Alta;
02 = Moderada;
01 = Baixa.
O valor de um sistema tambm pode ser calculado atravs do somatrio
de todos os gastos (pessoal tcnico e digitadores, valor do sistema,
manuteno, energia) que o Estado teve desde sua concepo at os
dias atuais para que este sistema estivesse neste estgio de
desenvolvimento manipulando as informaes atuais.

e. Anlise de Salvaguarda
A fase seguinte inclui a identificao e verificao de possveis medidas
de salvaguardas e seus custos relacionados. As salvaguardas
identificadas devem preencher as exigncias de segurana mnima
grifadas no Quadro-01, "Matriz de Salvaguardas de Segurana Mnima".
Na tabela abaixo temos um exemplo para determinar mecanismos
necessrios para proteger os sistemas contra Ameaas.

Salvaguarda Ameaa Vulnerabilidade Risco
Servio Mecanismo
Acesso a
informae
s pessoais
Senha fraca 03 Mudana da forma
de criao das
Senhas
Gerador de senha
ou sistema
Baseado em
Tokens.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 24 -

|3
f. Anlise Custo Beneficio
Durante esta fase, uma prioridade associada para cada ameaa ou
Vulnerabilidade (e.g., essencial, importante, marginal). Os custos das
possveis salvaguardas so comparados com os custos de perdas
estimados que devem ser esperados no caso das salvaguardas no
serem implementadas. Situaes, onde o custo de se salvaguardar pesar
mais do que o beneficio de sua Implementao, devem ser
documentadas.
Calculando a medida do custo das salvaguardas
O custo pode ser normalizado com valores da mesma maneira como est
sendo usado para perdas potencias.
03= Custo Alto
02=Custo Mdio
01= Custo Baixo

g. Relatrio Final
Quando a anlise de risco estiver completa, um relatrio final deve ser
preparado. O relatrio deve possuir no mnimo as seguintes sees:
(1) Lista de ameaas e vulnerabilidades.
(2) Lista de salvaguardas, incluindo as alternativas, sempre que existirem
mais do que uma possvel salvaguarda.
(3) Anlise do Custo beneficio para cada ameaa ou Vulnerabilidade e as
salvaguardas potenciais.
(4) Salvaguardas recomendadas baseadas na anlise de Custo beneficio.

Calculando Riscos
O resultado deste processo deve indicar para a organizao o grau de
risco associado com os patrimnios analisados.
RISCO = Magnitude de Perda X Freqncia da perda
Considere os componentes adicionais:
Confiabilidade,
Proteo,
Performance.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 25 -

|3

Sistema
Governamental
Prob. Perda Clculo Risco
Sistema
Financeiro
02 01 2X1= 02
E-mails 02 03 3X2= 06
Aplicao Web 03 03 3X3= 09

Tabela de Riscos
Valor Risco
01 Baixo
02 Baixo
03 Moderad
o
04 Moderad
o
06 Alto
07 Alto
08 Alto
09 Alto

A Comparao das medidas de risco deve resultar na criticidade dos
componentes usados para determinar a medida de risco.

Comparando Riscos e Custos
Para calcular o relacionamento Custo/beneficio use a medida de risco
associado com cada relacionamento Ameaa/mecanismo e crie uma taxa
de risco para o custo. Se a taxa for < 1, indicar que o custo do
mecanismo maior do que o risco associado com a ameaa. Isto
geralmente no uma situao aceitvel e pode ser difcil justificar, mas
no deve ser automaticamente desconsiderada. Considere que o valor do
risco uma funo de ambos as medidas de perda e probabilidade. Um
ou ambos podem representar algo to crtico sobre o patrimnio tal que o
mecanismo de custo seja justificado.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 26 -

|3
h. Arquivo Sumrio da Verificao de Risco
Um arquivo Sumrio da Verificao de Risco, que acumule informaes
de sada de vrias anlises de riscos, fornecer o conhecimento
necessrio sobre as falhas e defeitos comuns e o desenvolvimento da
poltica para o Administrador de Segurana de TI Estadual, o Supervisor
de Segurana de TI Estadual e responsvel por sistemas.
O Administrador de Segurana de TI Estadual responsvel por garantir a
criao de uma agenda para conduo de anlises de risco dentro dos
rgos/entidades da administrao pblica estadual.
Os responsveis pelos sistemas devem conduzir anlises de risco a uma
freqncia comensurvel com a sensibilidade dos sistemas
governamentais ou da informao que eles processam. Eles tambm
devem conduzir anlises de risco sempre que grandes mudanas
acontecerem em um Sistema Governamental sensvel ou infra-estrutura
de um Sistema Governamental. Responsveis pelos sistemas devem
manter todos os relatrios de anlise de risco e documentao por pelo
menos 05 anos.

7.5 Seleo e Implementao das Salvaguardas
a. Decises de Gerenciamento
Baseado no relatrio de anlise de risco e com apoio do Supervisor de
Segurana de TI Estadual, Responsveis por Sistemas governamentais
devem selecionar salvaguardas de segurana especificas que permitam
uma notvel reduo na exposio da informao baseado no menor
custo de implantao. Como parte deste processo, administradores de
segurana devem identificar salvaguardas que possam proteger mltiplos
sistemas e infra-estrutura de sistemas.

b. Implementao
Responsveis por sistemas governamentais e administradores da infra-
estrutura em conjunto com o Supervisor de Segurana de TI Estadual,
devem determinar uma agenda para implementar as salvaguardas
selecionadas. A agenda deve considerar prioridades para o Estado e
constrangimentos de verba, bem como a urgncia associada com a
proteo dos sistemas governamentais.
O responsvel pelo sistema tambm deve desenvolver um plano para
monitorar a Implementao das salvaguardas. O Supervisor de Segurana de
TI Estadual deve revisar e aprovar todos os planos de Implementao baseado
na adequao do mesmo ao Programa de Segurana de sistemas
governamentais como um todo.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 27 -

|3
8 Plano de Contingncia
Cada rgo/entidade da administrao pblica estadual responsvel pela
gerncia de um Sistema Governamental deve desenvolver e testar um
plano de contingncia formal para cada Sistema Governamental
classificado entre os nveis 04 ou 03. O nvel 02 opcional.
O plano a ser desenvolvido deve detalhar como o Sistema Governamental
deve continuar sua misso e fornecer continuidade de processamento de
informao se a operao do sistema, servio ou rede for interrompida por
um longo perodo de tempo, tal como falha de energia. O plano deve ser
documentado e uma cpia deve ser enviada para a administrao central
de segurana governamental.
O Processo de desenvolvimento do plano de contingncia de cada Sistema
Governamental deve incluir desenvolvimento, manuteno, teste e
implementao.
O Administrador de Segurana de TI Estadual da Rede Governamental
deve exigir que cada administrador responsvel por Sistema
Governamental, seja um sistema corporativo, rede local, ou servio da
Rede Governamental realize uma anlise de riscos para identificar
ameaas potenciais para os sistemas e infra-estrutura do sistema. Em
conjunto com esta anlise de risco, cada administrador responsvel pelo
sistema deve determinar a extenso das salvaguardas a serem fornecidas
em uma ao de resposta a incidentes de segurana. recomendado que
uma avaliao seja feita no ambiente do sistema para reduzir a ocorrncia
de incidentes de segurana e responder efetivamente aos incidentes
quando eles ocorrerem.


8.1.1. Administrador de Segurana de TI Estadual
Deve garantir o desenvolvimento adequado e teste do plano de
contingncia para os sistemas governamentais devidos, assim como
a manuteno deste dentro da Rede Governamental.

8.1.2. Supervisor de Segurana de TI Estadual.
O Supervisor de Segurana de TI Estadual da Rede Governamental
responsvel por apoiar os administradores dos sistemas
governamentais no desenvolvimento das polticas e procedimentos
para garantir que o plano de contingncia esteja corretamente
desenvolvido.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 28 -

|3
8.1.3. Responsveis por sistemas governamentais
Respondem pelo desenvolvimento e manuteno do plano de
contingncia, incluindo a designao de pessoal responsvel por
operaes de backup no caso de grandes interrupes.

8.2 Introduo ao Processo de desenvolvimento do Plano de
Contingncia
Um plano de contingncia deve ser desenvolvido para cada sistema
corporativo governamental classificado com nvel de criticidade 04 ou 03.
Existem grandes diferenas no nvel de detalhe exigido para um Sistema
Governamental grande (baseado na sua arquitetura e plataforma). Esta
Poltica tratar de planos de contingncia para ambientes de computao
distribuda.
Cada rgo/entidade da administrao pblica estadual responsvel pelo
Sistema Governamental deve fazer todo esforo para administrar o
processo do plano de contingncia de maneira integrada sobre todos os
seus sistemas, ambientes e redes, alocando recursos eqitativos,
descobrindo e endereando pontos da interface entre todas as partes
envolvidas.
A seguinte lista apresenta passos chaves no Processo de plano de
contingncia:
a. Identificar os sub-sistemas mais crticos.
b. Classificar os sub-sistemas de acordo com a prioridade para
recuperao.
c. Definir uma interrupo mxima permissvel (i.e., interrupo de
servio, uso, ou acesso) para cada sistema, em conjunto com o
Administrador de Segurana de TI Estadual.
d. Fazer backup regularmente dos sistemas crticos, informaes,
softwares operacionais, e base de dados.
e. Explorar possibilidades alternativas de processamento de sistemas
governamentais dentro da Rede Governamental.
f. Selecionar um local alternativo, baseado em ajuda mtua, construindo,
alugando, ou fazendo acordos com outros rgos/entidades da
administrao pblica estadual.
g. Desenvolver procedimentos de operao em locais alternativos.
h. Implementar testes no local alternativo usando informao de backup.
i. Continuar os testes regularmente.
j. Atualizar o plano de contingncia baseado nos resultados dos testes.
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 29 -

|3
9 Matriz de Salvaguardas de Segurana Mnima
A Matriz de Salvaguardas de Segurana Mnima identifica as salvaguardas
de segurana que so exigidas para proteger todos os tipos de sistemas
governamentais ordenados por nvel de segurana. Um Xna matriz significa
que a salvaguarda uma exigncia para o Sistema Governamental ou para a
designao do nvel de segurana, e um O na matriz significa que a
salvaguarda opcional.
Justificativas para no Implementao destas salvaguardas devem ser
baseadas nos resultados de uma anlise de risco formal.

QUADRO 01- Matriz de Salvaguardas de Segurana Mnima
Nvel de Segurana

Nvel
04

Nvel
03

Nvel
02

Nvel
01

1. Garantir que exista uma documentao completa
e atualizada para todos os sistemas em operao.
X X X X
2. Exigir o uso de usurios e senhas baseado na
poltica de senhas do Estado para proteo da
informao sensvel dos sistemas governamentais
contra acessos no autorizados.
X X X O
3. Estabelecer procedimentos para registrar e
proteger o segredo de senhas e nomes de usurios.
X X X O
4. Limitar o nmero de tentativas de acesso
fracassadas a um sistema corporativo ou servio da
rede.
X X X O
5. Desenvolver mecanismos por onde a autorizao
do usurio possa ser determinada.
X X X O
6. Estabelecer auditoria automatizada com
capacidade para registrar atividades do usurio.
X X X O
7. Implementar mtodos, que possa incluir o
desenvolvimento de criptografia, para assegurar a
informao sendo transferida entre dois pontos.
X X O O
8. Garantir que o sistema operacional contenha
controles para prevenir o acesso no autorizado
para os softwares de sistema, tais como o SGBD.
X X X O
controles que separem o usurio e os modos de
X X X O
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 30 -

|3
operao de administrador.
10. Registrar ocorrncias de atividade de usurio ou
operador fora de rotina e relatar tais atividades para
o Supervisor de Segurana de TI Estadual.
X X O O
11. Garantir que o sistema operacional fornea
mtodos para proteger o status operacional e a
Integridade subseqente durante e depois de uma
parada/ inicializao.
X X O O
controles para garantir a transferncia de
informao entre todos os pontos de comunicao e
dispositivos da rede.
X O O O
17. Preparar e manter listas de pessoas autorizadas
para acessar localizaes e sistemas
governamentais processando sistemas e servios
crticos.
X X X O
18. Estabelecer procedimentos para controlar o
acesso a localizaes dos sistemas governamentais
crticos.
X X X X
19. Determinar todos os critrios de segurana fsica
da localidade onde o Sistema Governamental est
armazenado.
X X O O
27. Garantir a segurana dos meios de
comunicao utilizados na transferncia da
informao.
X X X O
28. Conduzir testes de intruso peridica ao sistema
operacional.
X O O O
30. Estabelecer um programa detalhado de
Gerenciamento de Risco.
X X X O
31. Estabelecer Planos de Segurana de Sistemas
governamentais para sistemas e servios crticos.
X X X O
32. Conduzir anlises de risco formais. X X X O
33. Estabelecer programas de conscientizao e
treinamento de segurana para os funcionrios.
X X X X
34. Manter inventrio de todo o hardware e
software.
X X X X
35. Estabelecer programa de reviso e certificao
de segurana.
X X X O
36. Estabelecer plano de contingncia. X X X O
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 31 -

|3
38. Conduzir revises peridicas do Nvel de
Segurana designado.
X X X O
39. Garantir que todas as pessoas, incluindo
contratados, receberam investigaes.
X X X O
40. Manter uma lista de todas as pessoas, incluindo
contratados, que foram aprovados para utilizao do
sistema.
X X O O

Quadro 02: Certificao da Segurana do Sistema Governamental

Eu revisei cuidadosamente o plano de segurana do sistema/ servio
computacional anexado e acompanhei o veredicto de recomendaes de uma
investigao de riscos documentada; anlise de ameaas, vulnerabilidades, e
salvaguardas; ou avaliao de segurana executada dentro de um ano
Baseado na minha autoridade e julgamento e observando as exigncias
operacionais eu autorizo a operao continuada do (nome do Sistema
Governamental) com as seguintes restries:
(restries, se alguma)
Alm disso, eu autorizo o incio das seguintes aes corretivas, a serem
completadas dentro do prximo calendrio anual:
(aes corretivas)
__________________________________________________
Assinatura

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 32 -

|3

Quadro 03: Adiamento de Certificao
Baseado na reviso do plano de segurana do sistema em anexo, as exigncias
de segurana do (nome do Sistema Governamental), esta aplicao no pode ser
certificada neste momento. As razes para o adiamento incluem:
[ ] Uma anlise de ameaas, vulnerabilidades, e salvaguardas no foi executada
dentro do ltimo ano.
[ ] No existe especificaes de segurana documentadas.
[ ] Especificaes documentadas do teste de segurana no foram realizadas
dentro do ltimo ano.
[ ] Existem Vulnerabilidades (especificar) ____________
[ ] Treinamento de conscientizao de segurana no foi realizado.
[ ] Outro (especificar) _______________________________________
Eu autorizo o incio das seguintes aes corretivas, a serem completadas dentro
do prximo calendrio anual:
(aes corretivas)
__________________________________________________
Assinatura
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 33 -

|3

Quadro 04: Matriz de Salvaguardas de Segurana do Sistema corporativo
e servio da Rede Governamental

Esta matriz fornece um guia para identificao das salvaguardas de segurana
mnimas exigidas para sistemas governamentais.
Localize a designao do Nvel de Segurana do sistema corporativo e servio
da Rede Governamental na coluna da esquerda. Um "X" para o lado direito da
designao do Nvel de Segurana significa que a salvaguarda de segurana
listada acima exigida, e um "O" significa que a salvaguarda de segurana
opcional.

Salvaguardas de Segurana

Nvel de
Criticidade
Controles
de Acesso

Criptografi
a
Cpias
de
Backup
Auditoria Anlise/
Reviso
de Risco
Peridico
Seguran
a Fsica
04 X X X X X X
03 X O X X X X
02 X O X O X X
01 O O O O O O

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 34 -

|3
Quadro 05: Checklist de Segurana de Sistema Governamental
Explicao: As seguintes questes destacam as exigncias de segurana dos
sistemas governamentais. Para cada resposta NO, fornea uma explicao
por escrito para ser enviada ao Responsvel pelo Sistema Governamental.

EXIGNCIAS SIM NO
1. mantido um inventrio preciso, incluindo o valor de hardware e
software?

2. Os relatrios e mdias removveis esto adequadamente
armazenados em um local seguro quando no esto sendo
utilizados?

3. mantida uma lista atualizada de usurios autorizados?
4. Os usurios autorizados foram treinados em operao e uso de
microcomputadores, bem como nas exigncias de segurana do
Sistema Governamental?

5. As senhas de acesso aos sistemas governamentais esto
disponveis somente para usurios autorizados?

6. As senhas so trocadas quando usurios deixam o governo do
Estado?

7. Quando mudanas so realizadas (por exemplo, novas
aplicaes, rodzio de pessoal), os riscos so reexaminados?

8. Cpias de segurana dos arquivos e base de dados so feitas
periodicamente? Se afirmativo, registrar com que freqncia.

9. A documentao de software e usurio mantida atualizada e
salvaguardada?

10. Quando autorizado, uma cpia de segurana do software feita
e o original mantido em segurana?

11. Existe reavaliao da segurana trimestralmente?
12. Os dispositivos de segurana instalados e os procedimentos
empregados, diminuem o risco de roubo ou de acesso no
autorizado ao microcomputador?

14. Planos de contingncias esto implantados para
microcomputadores que executam aplicaes com designaes de
Nvel de Segurana de nvel 04 ou 03?

15. Os dados armazenados ou processados no microcomputador
so sensveis? (Se a resposta for no, prossiga para a questo
17.)

16. Existe pessoal em posio sensvel relacionada aos
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 35 -

|3
computadores, que envolve seu, submetido a averiguaes
adequadas de dados pessoais?
17. Existe capacidade de se implementar senhas para proteger
sistemas governamentais? E para proteger informaes?

18. As informaes sensveis armazenadas esto protegidas de
visualizao ou uso no autorizado durante a transmisso e
armazenamento?

19. Os registros e disquetes esto rotulados e controlados?
20. Registros sensveis no mais necessrios so destrudos e
arquivos desnecessrios so sobrescritos?

OBS: Profissionais que conduzirem revises de segurana em sistemas
governamentais podem solicitar documentao especifica para apoio s suas
respostas. Em adio, os resultados do checklist devem ser usados para
determinar se a informao sensvel processada e/ou o plano de segurana
de sistemas precisa ser desenvolvido (ou atualizado).

_________________________________________
__________________
(Assinatura do Responsvel pelo Sistema Governamental /Data)

________________________________________ ___________________
(Assinatura pelo responsvel do rgo/entidade da administrao pblica
estadual /Data)

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 36 -

|3
Quadro 06: Plano de Segurana de Sistema Governamental

10 PLANO DO SISTEMA

Fluxograma de Execuo do Plano do Sistema

Construo do
Plano de
Segurana do
Apoio tcnico
de segurana
Ensina
como
criar fazer
Anlise de
Risco
E Eq qu ui ip pe e d de e
d do o E Es st ta ad do o
R Re es sp po on ns s v ve el l p pe el lo o
S Si is st te em ma a
S Su up pe er rv vi is so or r d de e
A Ad dm mi in ni is st tr ra ad do or r d de e
S Se eg gu ur ra an n a a E Es st ta ad du ua al l
S Se ec cr re et t r ri io o d do o r rg g o o
Montagem da
Infra-estrutura Sim
No
Classifica as
informaes
Validao
do
Secretrio
do
No
Sim
Gerente de
Segurana
mantm o Plano
Validao da
Infra-
estrutura
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 37 -

|3
Modelo do Plano do Sistema
A. IDENTIFICAO DO SISTEMA
1- Categoria do Sistema
Tipo: Servio,
Sistema Corporativo
Rede local
Outro.
Ameaa com Ateno Especial:
Nome/ Ttulo do Sistema Governamental

rgo ou Instituio Responsvel pelo Sistema

Informao do(s) Contato(s)
Responsvel pelo sistema
Nome
Cargo
Endereo
Telefone
N do Fax
Endereo de E-mail

Status Operacional do Sistema Governamental
Operao Em Desenvolvimento Sendo modificado

Descrio e Propsito Geral
Funo
Fluxo de processamento do
sistema da entrada at a sada

Informao processada
Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 38 -

|3
Ambiente do Sistema Governamental
Descrio tcnica do sistema
Fatores ambientais ou tcnicos
Plataforma de computao
Componentes principais do
sistema

Softwares de segurana
Localizao fsica
Interconexo do Sistema e Compartilhamento de Informao

Leis Aplicveis Afetando o Sistema

Sensibilidade da Informao e Verificao da Criticidade
Informao tratada
pelo sistema
Tipo Necessidade
de proteo
Sensibilidade Salvaguarda

B. CONTROLES DE GERNCIA
Verificao e Gerncia de Risco
Relatrio da
verificao de risco.

Grupo/ data
Cronograma
Reviso de Controles de Segurana
Reviso Tipo de Avaliao Responsvel Propsito Resultado Aes

Regras de Comportamento
Usurio Regra

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 39 -

|3

Planejamento de Segurana em um Ciclo de vida de Sistema
FASE Tratamento de Segurana
Iniciao
Desenvolvimento
/Aquisio

Implementao
Operao
/Manuteno

Finalizao

Autorizao para Processamento

C. CONTROLES OPERACIONAIS
C.1 Segurana Pessoal
Todos os cargos foram revisados quanto ao nvel de sensibilidade?

O acesso do usurio restrito para o mnimo necessrio para a
execuo da sua funo?

Existe um processo para solicitao, determinao, emisso, e
encerramento de conta de usurio?

As funes crticas so divididas entre pessoas diferentes com
separao de obrigaes?

Quais mecanismos esto implementados para manter usurios
responsveis para suas aes?

Quais so os procedimentos de encerramento de contratao de
funcionrios?

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 40 -

|3
C.2 Controles de Produo, Entrada e Sada
Existe um help desk ou grupo que fornea avisos e possa responder a
incidentes de segurana em de forma imediata?
_____________________________________________________________
Existem procedimentos implementados e documentados de forma a
reconhecer, tratar, reportar, e corrigir incidentes e/ ou problemas?

Existem procedimentos para garantir que pessoas no autorizadas no
possam ler, escrever, copiar, alterar, ou roubar informao impressa ou
eletrnica?

Existem procedimentos para garantir que somente usurios autorizados
acessam, recebem, ou entregam informaes e mdias de entrada e
sada?

Existem auditorias para recebimento de entradas e sadas sensveis?

Existem procedimentos para restrio de acesso para sada de
produtos?

Existem auditorias para gerncia de inventrio?

Existem procedimentos para armazenamentos controlados, tratamento,
ou destruio de mdia que no pode ser reusada?

Existem procedimentos para compartilhamentos ou outras medidas
destrutivas para mdia no mais necessrias?

C.3 Planejamento de Contingncia
Acordos de processamento de backup.

Procedimentos de backup documentados incluindo e escopo (full,
incremental, e diferencial).

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 41 -

|3
Localizao de backups e gerao de backups armazenada.

Os planos de contingncia e recuperao de desastres implementados
foram testados? Como eles foram testados?

Todos os empregados chaves foram treinados sobre regras e
responsabilidades relativas para a emergncia, desastres e planos de
contingncia?

Cobertura de procedimentos de backup?

C.4 Controles de Hardware e Software para Manuteno do Sistema
Existem restries quanto s pessoas que executam manuteno em
hardware e software?

Existem procedimentos especiais para realizao de reparos e
manuteno de emergncia?

Existem procedimentos usados para controlar servios remotos de
manuteno em casos em que procedimentos ou manuteno so
realizados distncia?

O software foi desenvolvido localmente ou atravs de contrato?

O governo o dono do software? Ele foi recebido de outro
rgo/entidade da administrao estadual?

O software est licenciado adequadamente e existem cpias suficientes
para o funcionamento do sistema?

Existem polticas organizacionais contra uso ilegal de software e
sharewares protegidos por direito de cpia?

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 42 -

|3
Auditorias peridicas so realizadas em computadores de usurios para
garantir que somente cpias de software legalizadas esto instaladas?
_____________________________________________________________
Quais procedimentos esto sendo usados para proteger a organizao
contra uso de software ilegal?

Descreva qualquer mudana formal nos processos de controles
implementados.

Todas as mudanas para o software do sistema ou componentes do
sistema esto documentadas?

Existem anlises de impacto para determinar um efeito de mudanas
propostas em medidas de segurana existentes incluindo necessidade
de treinamento para as comunidades tcnica e de usurio associadas
com uma mudana em hardware ou software?

Existem procedimentos de identificao, aprovao, e documentao de
mudanas?

Existem procedimentos para certificar que planos de contingncia e
outras documentaes associadas esto atualizados para refletir
mudanas no sistema?

Existe um processo que obriga todas as mudanas para um sistema de
software ser testado e aprovado antes do software ser colocado em
produo?

Existem procedimentos para teste e ou aprovao de componentes do
sistema antes de ser colocado em produo?

Planos de testes fazem referncia para as necessidades originais de
segurana?

Os resultados dos testes so documentados?

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 43 -

|3
C.5 Controles de Integridade e Validao de Dados
Existe sistemas de deteco de vrus e eliminao de software
instalados? Caso positivo, existem procedimentos para atualizao de
arquivos de assinatura de vrus, procura automtica e/ou manual de
vrus, e eliminao e relatrio de vrus?

Existem rotinas usadas pelo sistema, tais como, checksums, hash,
contagem de registros? Inclua descrio das aes tomadas para
resolver quaisquer discrepncias.

Programas de verificao de integridade esto sendo usados pelo
sistema para procurar por evidencia de informaes com erros e
omisses de informaes?

Uma ferramenta de deteco de intrusos est instalada para monitorar o
sistema?

Existem procedimentos implementados para tratar e resolver incidentes
de segurana?

Outros pacotes de software de segurana de rede so usados? Quais?

O sistema de monitoramento e performance usado para anlise de
logs em tempo real a procura de problemas de disponibilidade, incluindo
ataques ativos?

Teste de penetrao foi realizado no sistema? Em caso positivo, quais
os procedimentos que esto implementados para garantir que estes
testes foram realizados adequadamente?

A autenticao da mensagem usada em um sistema para garantir que o
emissor da mensagem conhecido e que a mensagem no foi alterada
durante a transmisso?

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 44 -

|3
C.6 Documentao
Sistema Lista de
Documentao
Procedimento
para atualizao
Localizao Fsica

D. CONTROLES TCNICOS
D.1 Identificao e Autenticao
Descreva os mecanismos de controle de autenticao do usurio ao
sistema

Indique a freqncia de mudanas de senhas, descreva como as
mudanas so reforadas e identifique quem faz a mudana das senhas
(o usurio, o administrador do sistema, ou a sistema).

Verifique se os requisitos abaixo so usados no sistema de senha:
Tamanho de senha (mnimo, mximo);
Conjuntos de caractere usados;
Espao de tempo para troca de senha;
Nmero de gerao de senhas expiradas no permitidas para uso;
procedimentos para mudanas de senha (depois da expirao e
esquecida, perdida);
procedimentos para tratamento de comprometimento de senha;
procedimentos para treinamento de usurios.
Descreva o mecanismo de controle de acesso (rede, operao de
sistema, e sistema software).

Descreva como o mecanismo de controle de acesso suporta controle
individual e auditoria (e.g., senhas associadas com um ID de usurio
que associado para uma nica pessoa).

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 45 -

|3
Descreva as tcnicas de auto proteo para o mecanismo de
autenticao do usurio (exemplo: senhas criptografadas enquanto so
transmitidas pela rede).

Determine o nmero de tentativas de acessos invlidos que podem
ocorrer para um dado usurio ID ou acesso localizao (terminal ou
porta)

Descreva os procedimentos para verificao e mudana de todas
senhas padro do usurio administrador de todos os sistemas.

Descreva os procedimentos para limitao de scripts de acesso senhas
embutidas.

Descreva quaisquer polticas de exigncia de autenticao de usurio,
tais como tecnologia single-sign-on (e.g., computador a computador,
servidores de autenticao, identificadores de usurio, e grupo usurio
identificadores) e qualquer outro controle.

Descreva qualquer uso de assinatura digital ou eletrnica e os padres
usados. Discuta os procedimentos gerenciais para gerao de chaves,
distribuio, armazenamento, e finalizao.

D.2 Controles de Acesso Lgicos
Como os direitos de acesso esto sendo concedidos? Os privilgios
esto sendo concedidos baseados na funo ou cargo de trabalho?

Descreva a capacidade do sistema para estabelecer uma ACL.

Descreva controles para detectar tentativas de transao no autorizada
pelo sistema e /ou tentativas de acesso de usurios no autorizado.

Descreva qualquer restrio para prevenir usurios de acessar o
sistema fora do horrio normal de trabalho ou em finais de semana.

Poltica de Sistemas
Rede Governamental
Rede
Governamental
1.0 02/12/2006
- 46 -

|3
Indique a quantidade de tempo de inatividade de usurio para o sistema
exigir que o usurio entre com sua senha para reconect-lo ao sistema?

Indicar se algum mecanismo de criptografia est sendo usado para
prevenir acesso a arquivos sensveis como parte do procedimento de
controle acesso do sistema.

D.3 Controles de Acesso Pblicos
Quais controles adicionais esto sendo usados na interconexo deste
sistema dentro da Rede Governamental para proteger a confidencia do
sistema?

Descreva os controles adicionais que esto sendo usados na conexo
deste sistema na Internet.

Tais controles incluem:
Alguns formulrios de identificao e autenticao?
Controles de Acesso para limitar quais usurios podem ler, escrever,
modificar ou apagar
Controles de Assinatura Digital para prevenir usurios de modificar
informao em um sistema pblico.
Cpias de informao para acesso publico disponvel em um sistema
separado.
Controles para proibir acesso pblico em bases de dados.
Verificao de vrus em informao distribuda para o pblico.
Auditoria do Sistema e disponibilidade da informao.

Politica de Sistemas Corporativos e Servicos Da Rede Governamental 02-12-2006 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Politica de Sistemas Corporativos e Servicos Da Rede Governamental 02-12-2006 PDF

Загружено:

Авторское право:

Доступные форматы

Poltica de Sistemas

Corporativos e Servios da Rede

Вам также может понравиться