Boas Práticas em Segurança da Informação - POSICs no Governo Federal


A segurança da informação é um dos assuntos mais importantes dentre as preocupações de qualquer empresa. No setor público não é diferente e cada um dos órgãos deve estabelecer uma Política de Segurança das Informações e Comunicações.

Abordaremos alguns itens importantes bem como o referencial teórico do tema.

Legislação:

01/IN01/DSIC/GSIPR de 13/OUT/08  - Estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre Gestão de Segurança da Informação e Comunicações, no âmbito da Administração Pública Federal, direta e indireta.


REFERÊNCIA NORMATIVA:
 Artigo 6º da Lei nº 10.683, de 28 de maio de 2003(MEDIDA PROVISÓRIA Nº 782, DE 31 DE MAIO DE 2017.). Art. 8º do Anexo I do Decreto nº 5.772, de 8 de maio de 2006.(DEC 5.772/2006 (DECRETO DO EXECUTIVO) 08/05/2006) Decreto nº 3.505, de 13 de junho de 2000. Art. 3º da IN nº 01 do Gabinete de Segurança Institucional, de 13 de Junho de 2008.



Nesta seção, serão apresentados conceitos relativos à política de segurança de informações, bem como questões que demonstram a importância de sua elaboração, implementação e divulgação.

1.1 O que visa a segurança de informações? 
A segurança de informações visa garantir a integridade, confidencialidade, autenticidade e disponibilidade das informações processadas pela instituição. A integridade, a confidencialidade e a autenticidade de informações estão intimamente relacionadas aos controles de acesso.
1.1.1 O que é integridade de informações? 
Consiste na fidedignidade de informações. Sinaliza a conformidade de dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. Sinaliza, ainda, a conformidade dos dados transmitidos pelo emissor com os recebidos pelo destinatário. A manutenção da integridade pressupõe a garantia de não violação dos dados com intuito de alteração, gravação ou exclusão, seja ela acidental ou proposital.
1.1.2 O que é confidencialidade de informações?
Consiste na garantia de que somente pessoas autorizadas tenham acesso às informações armazenadas ou transmitidas por meio de redes de comunicação. Manter a confidencialidade pressupõe assegurar que as pessoas não tomem conhecimento de informações, de forma acidental ou proposital, sem que possuam autorização para tal procedimento.
1.1.3 O que é autenticidade de informações? 
Consiste na garantia da veracidade da fonte das informações. Por meio da autenticação é possível confirmar a identidade da pessoa ou entidade que presta as informações.
1.1.4 O que é disponibilidade de informações?
Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de informática. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem é de direito.

1.2 Por que é importante zelar pela segurança de informações? 
Porque a informação é um ativo muito importante para qualquer instituição, podendo ser considerada, atualmente, o recurso patrimonial mais crítico. Informações adulteradas, não disponíveis, sob conhecimento de pessoas de má-fé ou de concorrentes podem comprometer significativamente, não apenas a imagem da instituição perante terceiros, como também o andamento dos próprios processos institucionais. É possível inviabilizar a continuidade de uma instituição se não for dada a devida atenção à segurança de suas informações. 1.3 O que é política de segurança de informações - PSI? Política de segurança de informações é um conjunto de princípios que norteiam a gestão de segurança de informações e que deve ser observado pelo corpo técnico e gerencial e pelos usuários internos e externos. As diretrizes estabelecidas nesta política determinam as linhas mestras que devem ser seguidas pela instituição para que sejam assegurados seus recursos computacionais e suas informações. 1.4 Quem são os responsáveis por elaborar a PSI? É recomendável que na estrutura da institui- ção exista uma área responsável pela segurança de informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança. Vale salientar, entretanto, que pessoas de áreas críticas da instituição devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da instituição.



Segurança da Informação e Comunicações

Você pode solicitar notificação para Segurança da Informação e Comunicações.

Qual a importância da Segurança da Informação e Comunicações?

Quais os fundamentos utilizados pela Segurança da Informação?

Quais as disciplinas que fazem parte da Segurança da Informação e Comunicações?

O que meu órgão ou entidade deve fazer em relação à Segurança da Informação e Comunicações?

Quais as estratégias fundamentais da Segurança da Informação?

Há recomendações do TCU em relação à Segurança da Informação e Comunicações?
Onde posso encontrar dispositivos legais relacionados à Segurança da Informação e Comunicações?
Quais outras normas meu órgão ou entidade pode respaldar-se na Gestão de Segurança da Informação e Comunicações?
Qual a competência dos órgãos e entidades da Administração Pública Federal direta e indireta relativa à Segurança da Informação?
Qual o papel do Gestor de Segurança da Informação e Comunicações do meu órgão ou entidade?
Meu órgão pode contratar serviços de gestão de Segurança da Informação?

Na contratação de bens e serviços de TI, há a necessidade de especificar requisitos de Segurança da Informação?
Tenho de elaborar algum termo de responsabilidade e de confidencialidade na contratação de serviços de TI?
Há alguma metodologia de Gestão de Segurança da Informação e Comunicações?
Há alguma recomendação de uma estrutura de Gestão de Segurança da Informação e Comunicações?
Há padrões de segurança estabelecidos pelo governo brasileiro?

P:


Qual a importância da Segurança da Informação e Comunicações?

R:

A Segurança da Informação é definida pelo Gabinete de Segurança Institucional da Presidência da República (GSI/PR) como um conjunto de ações ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.

Segurança é o estado em que se está livre de perigos e incertezas. Nas instituições governamentais, a segurança está relacionada a proteger tudo aquilo que possui valor para o órgão ou entidade da Administração Pública Federal, ou seja, os ativos de informação, as pessoas e a sua imagem.

P:

Quais os fundamentos utilizados pela Segurança da Informação?

R:

As estratégias fundamentais de proteção utilizadas pela Segurança da Informação são:
a)    Privilégio mínimo – evitar exposições desnecessárias que possam aumentar o nível de risco de segurança;

b)    Defesa em profundidade – utilizar diversos controles de segurança complementares ao invés de um só;

c)    Elo mais fraco – nas estratégias utilizadas no desenvolvimento de sistemas de proteção, deve-se considerar que a segurança total do sistema é igual à segurança oferecida pela sua proteção mais frágil;

d)    Ponto de estrangulamento – qualquer tipo de acesso é realizado somente por um local;

e)    Segurança através da obscuridade – é a estratégia de que quanto menos informações relevantes puder ser divulgada, menor a chance de uma quebra de segurança; deve ser utilizada com outros controles;

f)    Simplicidade – quanto mais simples for um sistema, mais fácil é de torná-lo seguro.



P:

Quais as disciplinas que fazem parte da Segurança da Informação e Comunicações?

R:

As principais disciplinas relacionadas à SIC são:

Segurança em Recursos Humanos: tem como objetivo reduzir os riscos de erro humano, roubo, fraude, uso, acesso e divulgação indevidos dos ativos de informação; estabelecer responsabilidades sobre a Segurança da Informação; abranger a fase de recrutamento, inclui contratos de trabalho, duração do trabalho e desligamento de pessoal; estudar os motivos que levam as pessoas a realizar quebras de SIC;
Segurança Física e do Ambiente: busca a proteção do acesso às  áreas restritas, dos equipamentos de segurança e dos controles gerais;
Gerenciamento de Operações e Comunicações: diz respeito a atividades, processos, procedimentos e recursos que visam disponibilizar e manter serviços, sistemas e infraestrutura que os suporta, satisfazendo os acordos de níveis de serviço;
Segurança no Desenvolvimento de Aplicações: tem como objetivo desenvolver um software sem vulnerabilidades, que funcione de forma esperada e que não comprometa a segurança de outros requisitos do software, do seu ambiente e as informações manipuladas por ele;
Auditoria e Conformidade: atividade estruturada que tem por objetivo examinar criteriosamente a situação dos controles de Segurança da Informação;
Infraestrutura de TI: está relacionada à segurança das instalações prediais (energia, climatização e acesso físico), computadores e equipamentos, software, redes e telecomunicações, sistemas de armazenamento e recuperação de dados (arquivos e storage) e aplicações computacionais;
Governança de TI: critérios de Segurança da Informação relacionados ao gerenciamento de todos os aspectos da tecnologia da informação e comunicação que se relacionam diretamente com os objetivos de negócio;
Criptografia e infra-estrutura de chaves públicas: conjunto de técnicas que visam garantir o sigilo e integridade de informações e sistemas;
Gestão de Continuidade no Serviço Público: este processo fornece uma estrutura para que se desenvolva uma resiliência organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização, suas atividades, serviços e ativos de informação no caso de um impacto na instituição;
Tratamento e Classificação da Informação:
Gestão de Ativos de Informação:

P:

O que meu órgão ou entidade deve fazer em relação à Segurança da Informação e Comunicações?

R:

Os órgãos e entidades integrantes do SISP, de acordo com as instruções propostas pelo Gabinete de Segurança Institucional GSI/PR, devem:

Elaborar a política de Segurança da Informação e de Comunicações e demais normas;
Criar Grupo de Trabalho para elaboração da Política de Segurança da Informação e Comunicações e das Normas de SIC;
Implementar normas para Gestão de Segurança da Informação e Comunicações;
Promover em conjunto com DSIC/GSI/PR a capacitação em Segurança da Informação e Comunicações;
Adotar os padrões de SIC de dados governamentais observando os
P:

Quais as estratégias fundamentais da Segurança da Informação?

R:

As estratégias fundamentais de proteção de Segurança da Informação são:

Privilégio mínimo – qualquer usuário deve ter acesso somente ao necessário para a realização do seu trabalho;
Defesa em profundidade – utilizar diversos controles de segurança complementares;
Elo mais fraco – a segurança total do sistema é igual à segurança oferecida pela sua proteção mais frágil;
Ponto de estrangulamento – qualquer tipo de acesso deve ser realizado somente por um local;
Segurança através da obscuridade – é a estratégia de que quanto menos informações relevantes puder ser divulgada, menor a chance de uma quebra de segurança; deve ser utilizada com outros controles;
Simplicidade – quanto mais simples for um sistema, mais fácil é de torná-lo seguro.
P:

Há recomendações do TCU em relação à Segurança da Informação e Comunicações?

R:

Sim. O Tribunal de Contas da União, em seus Acórdãos 1603/2008 e 2308/2010, recomenda que sejam estabelecidas políticas de Segurança da Informação e Comunicações, bem como normatizações específicas que complementem a PoSIC do órgão ou entidade da APF. A recomendação registrada no item 9.1.3 do Acórdão nº 1.603/2008-TCU-Plenário aos órgãos governantes superiores foi a seguinte: “9.1.3 orientem sobre a importância do gerenciamento da Segurança da Informação, promovendo, inclusive mediante normatização, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos, a área específica para gerenciamento da Segurança da Informação, a política de Segurança da Informação e os procedimentos de controle de acesso”.

Além desses acórdãos existem outros específicos de várias instituições governamentais que passaram por processo de auditoria e que devem implementar questões relacionadas à SIC.

P:

Onde posso encontrar dispositivos legais relacionados à Segurança da Informação e Comunicações?

R:

Para facilitar acesso e fortalecer a cultura de Segurança o Departamento de Segurança da Informação e Comunicações do Gabinete Institucional da Presidência da República (http://dsic.planalto.gov.br/legislacaodsic) disponibiliza em seu site uma compilação da legislação vigente a fim de subsidiar trabalhos de operadores, técnicos e juristas da área de Segurança da Informação.
P:

Quais outras normas meu órgão ou entidade pode respaldar-se na Gestão de Segurança da Informação e Comunicações?

R:

As Normas da família ISO/IEC 27000, descritas abaixo, tratam da Gestão de Segurança da Informação, podendo ser utilizadas por qualquer órgão ou entidade da Administração Pública Federal, direta e indireta:
ISO 27001 – estabelece um Sistema de Gestão de Segurança da Informação.
ISO 27002 – é o Código de Práticas para a Gestão da Segurança da Informação.
ISO 27003 – será o guia de implementação de um sistema de gestão de Segurança da Informação (SGSI).
ISO 27004 – incidirá sobre mecanismos de medição e de relatório de um SGSI.
ISO 27005 – descreve a gestão de riscos em Segurança da Informação.
A ISO 27011 – descreverá o guia de gestão de Segurança da Informação para organizações de telecomunicações, sendo baseada na 27002.
As demais normas da família ISO/IEC 27000 estão em fase de desenvolvimento:
A ISO 27007 – será o guia de auditoria de um SGSI.
A ISO 27012 – será o guia de Segurança da Informação para o governo eletrônico.
A ISO 27032 – guiará a cybersegurança.
A ISO 27034 – abordará a segurança de aplicações.
A ISO 27037 – mostrará técnicas de segurança na gestão de Segurança da Informação, setor a setor.
Além das normas da família 27000 ainda existem as seguintes:

ISO/IEC 15408 (Common Criteria) – essa norma tem por objetivo avaliar a segurança da TI. Ela é dividida em três partes: a) intrudução e modelo geral; b) componentes funcionais de segurança e c) componentes de garantia de segurança.
NBR 15999 – trata-se da gestão de continuidade dos negócios (GCN). É dividida em duas partes: 1) Código de Prática, onde são estabelecidos o processo, princípios e terminologia do GCN e 2) Requisitos de gestão.
Guia de Boas Práticas em Segurança da Informação do TCU – este guia serve para auxiliar os órgãos e entidades da APF na gestão de Segurança da Informação e Comunicações. [Neto, 2010]

P:

Qual a competência dos órgãos e entidades da Administração Pública Federal direta e indireta relativa à Segurança da Informação?

R:

O Art. 5º da Instrução Normativa GSI/PR nº 01 as competências dos órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de atuação:
coordenar as ações de Segurança da Informação e Comunicações;
aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança;
propor programa orçamentário específico para as ações de Segurança da Informação e Comunicações;
nomear Gestor de Segurança da Informação e Comunicações;
instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais;
instituir Comitê de Segurança da Informação e Comunicações;
aprovar Política de Segurança da Informação e Comunicações e demais normas de Segurança da Informação e Comunicações;
remeter os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o GSI.
P:

Qual o papel do Gestor de Segurança da Informação e Comunicações do meu órgão ou entidade?

R:

Segundo o Art. 7º da Instrução Normativa GSI/PR nº 01 o Gestor de Segurança da Informação e Comunicações deve:
promover cultura de Segurança da Informação e Comunicações;
acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
propor recursos necessários às ações de Segurança da Informação e Comunicações;
coordenar o Comitê de Segurança da Informação e Comunicações e a equipe de tratamento e resposta a incidentes em redes computacionais;
realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na Segurança da Informação e Comunicações;
manter contato direto com o DSIC para o trato de assuntos relativos à Segurança da Informação e Comunicações;
Propor normas relativas à Segurança da Informação e Comunicações.
P:

Meu órgão pode contratar serviços de gestão de Segurança da Informação?

R:

Não! De acordo com o Art. 5º da IN 04, a gestão de processos de TI, incluindo gestão de Segurança da Informação, não pode ser objeto de contratação. Salvo quando o serviço for prestado por empresas públicas de Tecnologia da Informação que tenham sido criadas para este fim específico, devendo acompanhar o processo a justificativa da vantajosidade para a APF.
P:

Na contratação de bens e serviços de TI, há a necessidade de especificar requisitos de Segurança da Informação?

R: Sim! O requisitante deverá definir os requisitos de Segurança, com apoio da Tecnologia da Informação e, se for o caso, da Coordenação de Segurança da Informação da SLTI.

P:

Tenho de elaborar algum termo de responsabilidade e de confidencialidade na contratação de serviços de TI?

R:

De acordo com o Art. 14, inciso II, alínea “g”, na Estratégia de Contratação, deve-se indicar o termo de compromisso, contendo declaração de manutenção de sigilo e ciência das normas de segurança vigentes no órgão ou entidade, a ser assinado pelo representante legal do fornecedor e seus empregados diretamente envolvidos na contratação.
P:

Há alguma metodologia de Gestão de Segurança da Informação e Comunicações?

R:

Sim! A NC 02 estabelece a metodologia de Gestão de Segurança da Informação e Comunicações que deve ser seguida pelos órgão e entidades da Administração Pública Federal, direta e indireta.

A metodologia baseia-se no processo de melhoria contínua denominado “PDCA” (Plan-Do-Check-Act) estabelecido pela ABNT NBR ISO/IEC 27001:2006.
Plan (Planejar) – O Gestor de Segurança da Informação e Comunicações deve planejar ações de Segurança da Informação e Comunicações a serem implementadas, levando em consideração os requisitos estabelecidos pelo planejamento do órgão ou entidade, como também as diretrizes determinadas pela autoridade decisória.
Do (Fazer) – Nesta fase o Gestor de Segurança da Informação e Comunicações deve implementar as ações de segurança definidas na fase de planejamento.
Check (Checar) – O Gestor de Segurança da Informação e Comunicações deve avaliar e analisar criticamente as ações implementadas.
Act (Agir) – Nesta fase, o Gestor de Segurança da Informação e Comunicações, baseando-se no monitoramento realizado anteriormente, deve melhorar continuamente as ações de segurança.
P:

Há alguma recomendação de uma estrutura de Gestão de Segurança da Informação e Comunicações?

R:

Sim. O GSI recomenda que tenha pelo menos:

o Comitê de Segurança da Informação e Comunicações;
o Gestor de Segurança da Informação e Comunicações; e
a Equipe de Tratamento e Respostas a Incidentes.
A Coordenação-Geral de Segurança da Informação da SLTI/MP recomenda que a estrutura de SIC do órgão ou entidade esteja definida no organograma institucional em um nível estratégico tendo a participação de todas as áreas da organização.

É necessário que essa estrutura de SIC trate o tema nos níveis estratégicos (Comitê de Segurança), tático (diretorias) e operacional (grupos de trabalho e equipes de SIC específicas como segurança de TI, segurança patrimonial, etc.

P:

Há padrões de segurança estabelecidos pelo governo brasileiro?

R:

Sim. A e-PING (Arquitetura de Interoperabilidade do Governo Eletrônico) possui no seu Documento de Referência especificações para serem adotados pelos órgãos e entidades da Administração Pública Federal.
Adicionar comentário

Comentários

Postagens mais visitadas deste blog

Redação Ti Nota 10 - Klauss

Prova Discursiva nota 10 - Banca Cespe

Portugues - Orações