Manual
De Segurança Informática
A
A
PPRROOVVAAÇÇÃÃOODDOOD
D
OOCCUUMMEENNTTOOFunção Nome e Assinatura Data
Elaborado por GS André Duarte 02/02/2013 Aprovado por RG Luís Brito 03/02/2013
Conteúdo
1. INTRODUÇÃO... 4
2. Politica de Segurança... 4
2.1 Fluxo Interno de Segurança ... 5
2.2 Fluxo Externo de Segurança ... 5
3. Organização e Recursos ... 6
3.1. Arquitectura da Rede ... 6
3.2. ISP – Internet Sevice Provider... 7
3.3. Recursos Gerais da Empresa... 7
3.3.1. Localizados na Empresa... 7
3.3.2. Localizados no Exterior da Empresa... 7
4. Restrições Internet - Correio electronico ... 8
5. Restrições de utilização de aplicações informáticas ... 8
6. Correio electronico ... 8
1.
INTRODUÇÃO
O manual de segurança informática pretende dar a conhecer aos colaboradores e demais partes interessadas, os recursos informáticos que a organização dispõe, como se organiza e como opera no espaço interno e externo.
Este manual tem como principais objectivos apresentar as ferramentas e protocolos da Empresa que permitem garantir condições e níveis de confiança elevados para a troca de informações digitais.
Este manual pretende também introduzir noções básicas de segurança da informação, e principais ameaças sobre a propriedade intelectual.
2.
Politica de Segurança
As políticas de segurança implementadas integram um conjunto de operações que visam a protecção dos dados e dos equipamentos que se encontram disponiveis na nossa Organização.
Assim podemos considerar que a politica de segurança inclui um conjunto de aspetos dinamicos , procedimentos e processos para que os riscos possam ser corrigidos e assim manter a integridade da informação.
Não consideramos ser possível definir uma política de segurança única, mas sim uma linha com conteúdos e definições gerais, sendo estas alteráveis continuamente de modo a que o processo de segurança informática se vá adequando às realidades atuais.
Será no entanto possível estabelecer (duas) grandes áreas de Segurança, no âmbito da gestão dos recursos informáticos
Segurança Interna :
1) Classificação dos bens (Imobilizado, gestão de infra estruturas – PS.04)
2) Segurança dos utilizadores, (p.e. no que diz respeito à proteção de dados – ver requisitos legais que respeitamos, ponto 6 a seguir)
3) Segurança dos servidores, computadores e rede (instalados em locais com condições adequadas)
4) Segurança fisica ( ver arquitectura de rede , ponto 3.1. deste manual)
5) Manutenção Interna (Ações preventivas de manutenção do sistema informático)
c. Lei 2/ 94 – estabelece os mecanismos de controlo e fiscalização do Sistema de Informação Schengen
d. Lei 68/ 98 – entidade nacional na Instância Comum de Controlo da EUROPOL
e. Lei 36/ 2003 – regula o estatuto e competências do membro nacional da EUROJUST
f. Lei 43/ 2004 – Lei da organização e funcionamento da CNPD
Segurança Externa:
1) Internet e correio electronico
2) Acesso fisico às instalações e ao sistema informatico
3) Entrada e saida dos recurso humanos afetos à Organização
4) Ligações e acessos Remotos por VPN
2.1 Fluxo Interno de Segurança
No ambito do controlo do fluxo interno de segurança, são realizados registos através de logs , das seguintes protecções :
• Controlo dos equipamentos afetos aos colaboradoes ( imobilizado ) • Criação de senhas e autenticação controlada por aplicação
• Varios niveis de acesso aos dados • Protecção contra virus
• Protecção dos conteudos Internet e correio eletronico • Protecção no layer fisico ( DMZ )
• Backups e atualizações de segurança • Procedimentos legais
2.2 Fluxo Externo de Segurança
• Controlo do acesso fisico às instalações especialmente à area dos servidores • Serviço de Firewall e gestão de conteudos Internet ( SOAPP)
• Monitorização dos acessos Internet tal como a informação feita por upload ou download • Copias de segurança no exterior (BCP Millenium)
• Controlo na entrada e na saida dos colaboradores ( manual do colaborador )
3. Organização e Recursos
3.1. Arquitectura da Rede
Operador
Recursos Gerais d Empresa
Terminais Individuais na Empresa ou no
A ligação com Internet é hoje um recurso fundamental para uma Organização. Assim temos neste momento um link de 100Mbits em fibra optica disponibilizada pela Vodafone.
A gestão de segurança é feita internamente com recursos próprios da empresa.
3.3. Recursos Gerais da Empresa
Os recursos gerais de Informatica são os seguintes :
• SOAPP – Servidor Internet • Fileserver_01 – Servidor Projeto • Vault – Servidor vias comunicação
• Daf_Server – Servidor Area administrativa Financeira • Iprop_server –Servidor c/ dados dos utilizadores
• Domainc – domain controller , master browser – global catalog • Bdc-prosp – Utilitarios –dados gerais
• Sqlserver – DB , Gesto , PHC , sqlserver
• Plotagens e impressão - Plotter OCE , Multifunções Toshiba • Router linksys – wi-fi interno
• Pcs e portateis
3.3.1. Localizados na Empresa
Está disponível aos colaboradores o serviço de helpdesk onde se inclui a Reparação e Manutenção dos equipamentos afetos aos colaboradores da Organização.
Aos colaboradores localizados no exterior, mantem o serviço de manutenção que é realizado de modo remoto, atraves de um acesso seguro ( VPN Prospectiva ) como tambem através do Teamviewer.
O serviço de reparação esta contemplado embora o equipamento tenha que ser entregue na Sede.
4. Restrições Internet - Correio electronico
A restrição à Internet é hoje uma preocupação atual por parte das Organizações.
Assim encontra-se definido o que é permitido e o que é condicionado ou negado aos utilizadores. Estas ações decorrem através do SOAPP, (Servidor) que faz a gestão dos conteúdos e das classificações atribuidas a cada portal internet, permitindo ou negado segundo a politica definida por computador.
Como exemplo o que é negado :
• Facebook • Youtube • Poker online
Como exemplo o que é permitido :
• Sapo • BES • BCP • Financas
5. Restrições de utilização de aplicações informáticas
Aos colaboradores está vedado a permissão de instalação de softwares informáticos. Qualquer atualização de software ou nova instalação será sempre realizada pelo gestor informático ou a um colaborador por este designado.
6. Correio electronico
A segurança do correio eletronico é feita através de dois serviços: • Servidor de correio eletronico alojado na Dominios.pt
(Aqui é feito um controlo de grande parte do spam e open relay electronico, tal como um controlo das black lists e white lists)
7. Sumario
A
A
NNEEXXOOI
I
C
C
OONNTTRROOLLOODDAASSAALLTTEERRAAÇÇÕÕEESSDDOOMMAANNUUAALLEdição Data Capitulo Página Alterada Motivo
01 14/12/2012 Todos Todas Redação Inicial
02 03/02/2013 --- Pág.8
Proibição de instalação de software por colaboradores em
recursos da empresa.
A
A
NNEEXXOOII
I
I
D
D
EEFFIINNIIÇÇÕÕEESS,
,
S
S
IIGGLLAASSEEA
A
BBRREEVVIIAATTUURRAASSBlack list - Base de dados onde consta endereços, perigosos
White List – Base de dados onde consta endereços e entidades, fidedigna VPN – Virtual Private Netword – rede ponto a ponto privada e segura
DMZ – DeMilitarized Zone – Zona que protege a rede interna do exterior (Firewall ) SPAM – Lixo eletrónico, publicidade em massa