A Política de Segurança da Informação e Comunicações (POSIC) é o documento mais impor- tante de uma organização quando se trata de Segurança da Informação. Nela estão todas as diretrizes, recomendações e deveres de todos. O profissional de segurança deve conhecer
Se gu ra nç a d e R ed es e S is te m as
q
Outras políticas associadas à POSIC tratam de assuntos mais específicos, como por exemplo: 1 Política de Uso Aceitável (PUA).
1 Política de Controle de Acesso (PCA). 1 Plano de Continuidade de Negócio (PCN).
1 Política de senhas.Política de Salvaguarda (backup).
Esse assunto não faz parte diretamente do escopo deste curso, porém é importante conhecer todas as políticas e legislações do órgão em que se está implantando uma solução de segurança, pois elas podem impactar diretamente no que pode ou não ser feito, nas punições para o descumprimento da política e nos responsáveis pelas informações e recursos computacionais. A norma ABNT NBR ISO/IEC 27001 possui um capítulo inteira- mente dedicado às políticas de segurança.
No âmbito do Governo Federal, o Gabinete de Segurança Institucional (GSI) da Presidência da República, através do Departamento de Segurança da Informação e Comunicações, publicou uma série de instruções normativas com o objetivo de orientar a administração pública em diversas questões da Segurança da Informação.
q
Normas DSIC/GSIPR:
1 Norma Complementar nº 01/IN01/DSIC/GSIPR: Atividade de Normatização.
1 Norma Complementar nº 02/IN01/DSIC/GSIPR: Metodologia de Gestão de Segurança da Informação e Comunicações.
1 Norma Complementar nº 03/IN01/DSIC/GSIPR: Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Adminis- tração Pública Federal.
1 Norma Complementar nº 04/IN01/DSIC/GSIPR e seu anexo, Diretrizes para o Processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) nos órgãos e entidades da Administração Pública Federal.
1 Norma Complementar nº 05/IN01/DSIC/GSIPR e seu anexo, Disciplina e Criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da Administração Pública Federal.
1 Norma Complementar nº 06/IN01/DSIC/GSIPR: Diretrizes para a Gestão de Continui- dade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunica- ções, nos órgãos e entidades da Administração Pública Federal, direta e indireta (APF). Em especial foi publicada a Instrução Normativa IN01-GSI/PR, que define orientações para a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, e algumas Normas Complementares:
1 Norma Complementar nº 01/IN01/DSIC/GSIPR: atividade de normatização, que tem como objetivo estabelecer critérios e procedimentos para a elaboração, atualização, alte- ração, aprovação e publicação de normas complementares sobre gestão de segurança da informação e comunicações, no âmbito da Administração Pública Federal.
1 Norma Complementar nº 02/IN01/DSIC/GSIPR: metodologia de Gestão de Segurança da Informação e Comunicações utilizada pelos órgãos e entidades da Administração Pública Federal.
Para aqueles que desejarem continuar seus estudos em políticas de segurança, visto que não é o objetivo principal deste curso, o instituto SANS (sans.org) oferece um modelo padrão de política de segurança que poderá ser adaptado e utilizado em qualquer ambiente computacional.
w
Ca pí tu lo 1 - F un da m en to s d e s eg ur an ça
1 Norma Complementar nº 03/IN01/DSIC/GSIPR: estabelece diretrizes, critérios e proce- dimentos para a elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Adminis- tração Pública Federal.
1 Norma Complementar nº 04/IN01/DSIC/GSIPR: estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) considerando prioritariamente os objetivos estratégicos, os processos e requisitos legais e a estrutura dos órgãos ou entidades da Administração Pública Federal.
1 Norma Complementar nº 06/IN01/DSIC/GSIPR: estabelece diretrizes para Gestão da Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal.
1 Norma Complementar nº 07/IN01/DSIC/GSIPR: estabelece diretrizes para implemen- tação de controles de acesso relativos à Segurança da Informação e Comunicações, abrangendo a criação de contas de usuários, rede corporativa de computadores e ativos de informação. Essa norma contempla inclusive um anexo com um modelo de termo de responsabilidade a ser utilizado pelos utilizadores dos meios computacionais da entidade. 1 Norma Complementar nº 08/IN01/DSIC/GSIPR: disciplina o gerenciamento de Inci-
dentes de Segurança em Redes de Computadores realizado pelas equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais (ETIR) nos órgãos e entidades da APF (Administração Pública Federal).
1 Norma Complementar nº 09/IN01/DSIC/GSIPR: estabelece orientações para o uso de recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e Comunicações, nos órgãos ou entidades da Administração Pública Federal, informando principalmente as responsabilidades tanto dos gestores de Segurança da Informação quanto do agente público que utilize esse recurso.
Mesmo para empresas privadas ou outras entidades, as normas podem servir como um bom embasamento para a criação da política de segurança, do grupo de resposta a incidentes de segurança ou do processo de gestão de riscos. Para a comodidade do aluno, o item 6 consta a NC 03, que trata de diretrizes para a elaboração de uma política de segurança (POSIC). É possível encontrar na web diversas políticas de segurança completas publicadas por órgãos públicos brasileiros. Um exemplo seria a Portaria/Incra/P/N° 70, de 29/03/2006 (DOU nº 62, de 30 de março de 2006).
Exercício de fixação 4 e
Políticas de segurança
O que é política de segurança? Ela existe na sua organização? As normas do DSIC/
GSIPR são públicas e podem ser obtidas no site do DSIC:
http://dsic.planalto.gov.br/
w
Se gu ra nç a d e R ed es e S is te m as