SISP - Segurança Da Informação e Comunicações

Segurana da Informao
http://www.sisp.gov.br/faq_segurancainformacao/one-faq?faq_id=1...
Portal do SISP SISP : Segurana da Informao : Segurana da Informao e Comunicaes
Voc pode solicitar notificao para Segurana da Informao e Comunicaes. 1. Qual a importncia da Segurana da Informao e Comunicaes? 2. Quais os fundamentos utilizados pela Segurana da Informao? 3. Quais as disciplinas que fazem parte da Segurana da Informao e Comunicaes? 4. O que meu rgo ou entidade deve fazer em relao Segurana da Informao e Comunicaes? 5. Quais as estratgias fundamentais da Segurana da Informao? 6. H recomendaes do TCU em relao Segurana da Informao e Comunicaes? 7. Onde posso encontrar dispositivos legais relacionados Segurana da Informao e Comunicaes? 8. Quais outras normas meu rgo ou entidade pode respaldar-se na Gesto de Segurana da Informao e Comunicaes? 9. Qual a competncia dos rgos e entidades da Administrao
1 de 11
13/05/2013 17:44
Pblica Federal direta e indireta relativa Segurana da Informao? 10. Qual o papel do Gestor de Segurana da Informao e Comunicaes do meu rgo ou entidade? 11. Meu rgo pode contratar servios de gesto de Segurana da Informao? 12. Na contratao de bens e servios de TI, h a necessidade de especificar requisitos de Segurana da Informao? 13. Tenho de elaborar algum termo de responsabilidade e de confidencialidade na contratao de servios de TI? 14. H alguma metodologia de Gesto de Segurana da Informao e Comunicaes? 15. H alguma recomendao de uma estrutura de Gesto de Segurana da Informao e Comunicaes? 16. H padres de segurana estabelecidos pelo governo brasileiro? 1.
A Segurana da Informao definida pelo Gabinete de Segurana Institucional da Presidncia da Repblica (GSI/PR) como um conjunto de aes aes que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes. Segurana o estado em que se est livre de perigos e
2 de 11
13/05/2013 17:44
incertezas. Nas instituies governamentais, a segurana est relacionada a proteger tudo aquilo que possui valor para o rgo ou entidade da Administrao Pblica Federal, ou seja, os ativos de informao, as pessoas e a sua imagem. 2.
As estratgias fundamentais de proteo utilizadas pela Segurana da Informao so: a) Privilgio mnimo evitar exposies desnecessrias que possam aumentar o nvel de risco de segurana; b) Defesa em profundidade utilizar diversos controles de segurana complementares ao invs de um s; c) Elo mais fraco nas estratgias utilizadas no desenvolvimento de sistemas de proteo, deve-se considerar que a segurana total do sistema igual segurana oferecida pela sua proteo mais frgil; d) Ponto de estrangulamento qualquer tipo de acesso realizado somente por um local; e) Segurana atravs da obscuridade a estratgia de que quanto menos informaes relevantes puder ser divulgada, menor a chance de uma quebra de segurana; deve ser utilizada com outros controles; f) Simplicidade quanto mais simples for um sistema, mais fcil de torn-lo seguro.
3.
3 de 11
13/05/2013 17:44
As principais disciplinas relacionadas SIC so: Segurana em Recursos Humanos: tem como objetivo reduzir os riscos de erro humano, roubo, fraude, uso, acesso e divulgao indevidos dos ativos de informao; estabelecer responsabilidades sobre a Segurana da Informao; abranger a fase de recrutamento, inclui contratos de trabalho, durao do trabalho e desligamento de pessoal; estudar os motivos que levam as pessoas a realizar quebras de SIC; Segurana Fsica e do Ambiente: busca a proteo do acesso s reas restritas, dos equipamentos de segurana e dos controles gerais; Gerenciamento de Operaes e Comunicaes: diz respeito a atividades, processos, procedimentos e recursos que visam disponibilizar e manter servios, sistemas e infraestrutura que os suporta, satisfazendo os acordos de nveis de servio; Segurana no Desenvolvimento de Aplicaes: tem como objetivo desenvolver um software sem vulnerabilidades, que funcione de forma esperada e que no comprometa a segurana de outros requisitos do software, do seu ambiente e as informaes manipuladas por ele; Auditoria e Conformidade: atividade estruturada que tem por objetivo examinar criteriosamente a situao dos controles de Segurana da Informao; Infraestrutura de TI: est relacionada segurana das instalaes prediais (energia, climatizao e acesso fsico), computadores e equipamentos, software, redes e telecomunicaes, sistemas de armazenamento e recuperao de dados (arquivos e storage) e aplicaes computacionais; Governana de TI: critrios de Segurana da Informao relacionados ao gerenciamento de todos os aspectos da tecnologia da informao e comunicao que se relacionam diretamente com os objetivos de negcio; Criptografia e infra-estrutura de chaves pblicas: conjunto de tcnicas que visam garantir o sigilo e integridade de informaes e sistemas; Gesto de Continuidade no Servio Pblico: este processo fornece uma estrutura para que se desenvolva uma resilincia organizacional que seja capaz de responder efetivamente e salvaguardar os interesses das partes interessadas, a reputao e a marca da organizao, suas atividades, servios e ativos de informao no caso de um impacto na instituio; Tratamento e Classificao da Informao: Gesto de Ativos de Informao: 4.
4 de 11
13/05/2013 17:44
Os rgos e entidades integrantes do SISP, de acordo com as instrues propostas pelo Gabinete de Segurana Institucional GSI/PR, devem: Elaborar a poltica de Segurana da Informao e de Comunicaes e demais normas; Criar Grupo de Trabalho para elaborao da Poltica de Segurana da Informao e Comunicaes e das Normas de SIC; Implementar normas para Gesto de Segurana da Informao e Comunicaes; Promover em conjunto com DSIC/GSI/PR a capacitao em Segurana da Informao e Comunicaes; Adotar os padres de SIC de dados governamentais observando os 5.
As estratgias fundamentais de proteo de Segurana da Informao so: Privilgio mnimo qualquer usurio deve ter acesso somente ao necessrio para a realizao do seu trabalho; Defesa em profundidade utilizar diversos controles de segurana complementares; Elo mais fraco a segurana total do sistema igual segurana oferecida pela sua proteo mais frgil; Ponto de estrangulamento qualquer tipo de acesso deve ser realizado somente por um local; Segurana atravs da obscuridade a estratgia de que quanto menos informaes relevantes puder ser divulgada, menor a chance de uma quebra de segurana; deve ser utilizada com outros controles; Simplicidade quanto mais simples for um sistema, mais fcil de torn-lo seguro. 6.
5 de 11
13/05/2013 17:44
Sim. O Tribunal de Contas da Unio, em seus Acrdos 1603/2008 e 2308/2010, recomenda que sejam estabelecidas polticas de Segurana da Informao e Comunicaes, bem como normatizaes especficas que complementem a PoSIC do rgo ou entidade da APF. A recomendao registrada no item 9.1.3 do Acrdo n 1.603/2008-TCU-Plenrio aos rgos governantes superiores foi a seguinte: 9.1.3 orientem sobre a importncia do gerenciamento da Segurana da Informao, promovendo, inclusive mediante normatizao, aes que visem estabelecer e/ou aperfeioar a gesto da continuidade do negcio, a gesto de mudanas, a gesto de capacidade, a classificao da informao, a gerncia de incidentes, a anlise de riscos, a rea especfica para gerenciamento da Segurana da Informao, a poltica de Segurana da Informao e os procedimentos de controle de acesso. Alm desses acrdos existem outros especficos de vrias instituies governamentais que passaram por processo de auditoria e que devem implementar questes relacionadas SIC.
7.
Para facilitar acesso e fortalecer a cultura de Segurana o Departamento de Segurana da Informao e Comunicaes do Gabinete Institucional da Presidncia da Repblica (http://dsic.planalto.gov.br/legislacaodsic) disponibiliza em seu site uma compilao da legislao vigente a fim de subsidiar trabalhos de operadores, tcnicos e juristas da rea de Segurana da Informao. 8.
6 de 11
13/05/2013 17:44
As Normas da famlia ISO/IEC 27000, descritas abaixo, tratam da Gesto de Segurana da Informao, podendo ser utilizadas por qualquer rgo ou entidade da Administrao Pblica Federal, direta e indireta: ISO 27001 estabelece um Sistema de Gesto de Segurana da Informao. ISO 27002 o Cdigo de Prticas para a Gesto da Segurana da Informao. ISO 27003 ser o guia de implementao de um sistema de gesto de Segurana da Informao (SGSI). ISO 27004 incidir sobre mecanismos de medio e de relatrio de um SGSI. ISO 27005 descreve a gesto de riscos em Segurana da Informao. A ISO 27011 descrever o guia de gesto de Segurana da Informao para organizaes de telecomunicaes, sendo baseada na 27002. As demais normas da famlia ISO/IEC 27000 esto em fase de desenvolvimento: A ISO 27007 ser o guia de auditoria de um SGSI. A ISO 27012 ser o guia de Segurana da Informao para o governo eletrnico. A ISO 27032 guiar a cybersegurana. A ISO 27034 abordar a segurana de aplicaes. A ISO 27037 mostrar tcnicas de segurana na gesto de Segurana da Informao, setor a setor. Alm das normas da famlia 27000 ainda existem as seguintes: ISO/IEC 15408 (Common Criteria) essa norma tem por objetivo avaliar a segurana da TI. Ela dividida em trs partes: a) intruduo e modelo geral; b) componentes funcionais de segurana e c) componentes de garantia de segurana. NBR 15999 trata-se da gesto de continuidade dos negcios (GCN). dividida em duas partes: 1) Cdigo de Prtica, onde so estabelecidos o processo, princpios e terminologia do GCN e 2) Requisitos de gesto. Guia de Boas Prticas em Segurana da Informao do TCU este guia serve para auxiliar os rgos e entidades da APF na gesto de Segurana da Informao e Comunicaes. [Neto, 2010] 9.
7 de 11
13/05/2013 17:44
O Art. 5 da Instruo Normativa GSI/PR n 01 as competncias dos rgos e entidades da Administrao Pblica Federal, direta e indireta, em seu mbito de atuao: coordenar as aes de Segurana da Informao e Comunicaes; aplicar as aes corretivas e disciplinares cabveis nos casos de quebra de segurana; propor programa oramentrio especfico para as aes de Segurana da Informao e Comunicaes; nomear Gestor de Segurana da Informao e Comunicaes; instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais; instituir Comit de Segurana da Informao e Comunicaes; aprovar Poltica de Segurana da Informao e Comunicaes e demais normas de Segurana da Informao e Comunicaes; remeter os resultados consolidados dos trabalhos de auditoria de Gesto de Segurana da Informao e Comunicaes para o GSI. 10.
Segundo o Art. 7 da Instruo Normativa GSI/PR n 01 o Gestor de Segurana da Informao e Comunicaes deve: promover cultura de Segurana da Informao e Comunicaes; acompanhar as investigaes e as avaliaes dos danos decorrentes de quebras de segurana; propor recursos necessrios s aes de Segurana da Informao e Comunicaes; coordenar o Comit de Segurana da Informao e Comunicaes e a equipe de tratamento e resposta a incidentes em redes computacionais; realizar e acompanhar estudos de novas tecnologias, quanto a possveis impactos na Segurana da Informao e Comunicaes; manter contato direto com o DSIC para o trato de assuntos relativos Segurana da Informao e Comunicaes; Propor normas relativas Segurana da Informao e Comunicaes. 11.
8 de 11
13/05/2013 17:44
No! De acordo com o Art. 5 da IN 04, a gesto de processos de TI, incluindo gesto de Segurana da Informao, no pode ser objeto de contratao. Salvo quando o servio for prestado por empresas pblicas de Tecnologia da Informao que tenham sido criadas para este fim especfico, devendo acompanhar o processo a justificativa da vantajosidade para a APF. 12.
Sim! O requisitante dever definir os requisitos de Segurana, com apoio da Tecnologia da Informao e, se for o caso, da Coordenao de Segurana da Informao da SLTI. 13.
De acordo com o Art. 14, inciso II, alnea g, na Estratgia de Contratao, deve-se indicar o termo de compromisso, contendo declarao de manuteno de sigilo e cincia das normas de segurana vigentes no rgo ou entidade, a ser assinado pelo representante legal do fornecedor e seus empregados diretamente envolvidos na contratao. 14.
9 de 11
13/05/2013 17:44
Sim! A NC 02 estabelece a metodologia de Gesto de Segurana da Informao e Comunicaes que deve ser seguida pelos rgo e entidades da Administrao Pblica Federal, direta e indireta. A metodologia baseia-se no processo de melhoria contnua denominado PDCA (Plan-Do-Check-Act) estabelecido pela ABNT NBR ISO/IEC 27001:2006. Plan (Planejar) O Gestor de Segurana da Informao e Comunicaes deve planejar aes de Segurana da Informao e Comunicaes a serem implementadas, levando em considerao os requisitos estabelecidos pelo planejamento do rgo ou entidade, como tambm as diretrizes determinadas pela autoridade decisria. Do (Fazer) Nesta fase o Gestor de Segurana da Informao e Comunicaes deve implementar as aes de segurana definidas na fase de planejamento. Check (Checar) O Gestor de Segurana da Informao e Comunicaes deve avaliar e analisar criticamente as aes implementadas. Act (Agir) Nesta fase, o Gestor de Segurana da Informao e Comunicaes, baseando-se no monitoramento realizado anteriormente, deve melhorar continuamente as aes de segurana. 15.
Sim. O GSI recomenda que tenha pelo menos: o Comit de Segurana da Informao e Comunicaes; o Gestor de Segurana da Informao e Comunicaes; e a Equipe de Tratamento e Respostas a Incidentes. A Coordenao-Geral de Segurana da Informao da SLTI/MP recomenda que a estrutura de SIC do rgo ou entidade esteja definida no organograma institucional em um nvel estratgico tendo a participao de todas as reas da organizao. necessrio que essa estrutura de SIC trate o tema nos nveis estratgicos (Comit de Segurana), ttico (diretorias) e operacional (grupos de trabalho e equipes de SIC especficas como segurana de TI, segurana patrimonial, etc.
10 de 11
13/05/2013 17:44
16.
Sim. A e-PING (Arquitetura de Interoperabilidade do Governo Eletrnico) possui no seu Documento de Referncia especificaes para serem adotados pelos rgos e entidades da Administrao Pblica Federal. Adicionar comentrio
11 de 11
13/05/2013 17:44

SISP - Segurança Da Informação e Comunicações

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

SISP - Segurança Da Informação e Comunicações

Diunggah oleh

Hak Cipta:

Format Tersedia

Segurana da Informao

Portal do SISP SISP : Segurana da Informao : Segurana da Informao e Comunicaes

Anda mungkin juga menyukai