Normas - Segurança - Da - Informação - Versão 2 - 0 em 21 - 09 - 2012 PDF

1
Julho / 2012
GOVERNO DO ESTADO DA BAHIA
Secretaria da Administrao da Bahia

Normas de
Segurana da
Informao
Verso 2.0

2

GOVERNO DO ESTADO DA BAHIA
Jaques Wagner
CONSELHO DE INFORMTICA GOVERNAMENTAL CIGOV
Componentes:
Governador do Estado presidente
Secretrio da Casa Civil vice-presidente
Secretrio da Administrao
Secretrio da Fazenda
Secretrio do Planejamento
Secretrio da Cincia, Tecnologia e Inovao
Secretrio da Indstria, Comrcio e Minerao
SECRETARIA DA CASA CIVIL
Carlos Palma de Mello
ASSESSORIA DE GESTO ESTRATGICA DE TECNOLOGIAS DE
INFORMAO E COMUNICAO
Renato Falco de Almeida Souza
SECRETARIA DA ADMINISTRAO
Manoel Vitrio da Silva Filho
COORDENAO DE TECNOLOGIAS APLICADAS GESTO PBLICA
Andre Luis Peixinho de Miranda
GRUPO TCNICO DE SEGURANA DA INFORMAO DO FORTIC
Componentes:
CASA CIVIL Mario Henrique Neves Aguiar da Silva
SAEB Francisco Jos Garcia Cousino
Jos Ricardo Palomo Tanajura
Victor Emmanuel Maia Fonseca
Nilma Ricardo
SSP Telma Cristina Reis e Rocha
Egberto Vilas Boas Lemos Filho
SEFAZ Ednilson Gimenes Rosa
Nailton Roque Portela Santos
Jadson Bitencourt Andrade Oliveira
SEPLAN Valdizio Soares dos Santos
Thales Jos Costa de Almeida
PRODEB Elba Lucia de Carvalho Vieira
Rosenildo Santos
EMBASA Jlio Csar Reis e Rocha
Leandro Daumerie de Jesus

3

COLABORAO

Superintendncia de Gesto Pblica SGP
Coordenao de Desenvolvimento de Gesto CDG
Componentes:
Rita de Cssia S e Freitas
Marta Larocca Santana Rodrigues
Adriana de Oliveira e Oliveira
Daniela Svec Silva Bahia Monteiro
Raquel Miranda de Carvalho

Antonio Carlos da Costa Alves Junior
Ricardo Veloso Fontoura

GRUPO TCNICO DE SEGURANA DA INFORMAO DO FORTIC NA
REVISO
Componentes:
CASA CIVIL Mario Henrique Neves Aguiar da Silva
Fadia Abder Rahim Abdalla

SAEB Francisco Jos Garcia Cousino
Lindinalva Silva Santos
Roald Holum Moura

SSP Telma Cristina Reis e Rocha

SEFAZ Ednilson Gimenes Rosa
Nailton Roque Portela Santos

SEPLAN Valdizio Soares dos Santos

PRODEB Elba Lucia de Carvalho Vieira
Rosenildo Santos
EMBASA Jlio Csar Reis e Rocha
Leandro Daumerie de Jesus
SESAB Csar Cardoso

DETRAN Cristiane Maria de Jesus Santos

4

BAHIA. Secretaria da Administrao.
Normas de Segurana da Informao. -- verso 2.0. --
Salvador: SAEB; CDG; CTG, 2012.

68 p.

1. Gesto da Informao Segurana. 2. Normas. I. Ttulo.

CDU 35.076(060.13)(813.8)

Secretaria da Administrao, 2 avenida, 200, tel: 3115-3357
Centro Administrativo da Bahia, CEP 41745-003, Salvador Bahia
Normas de Segurana da Informao Verso 2.0

5

APRESENTAO

A Segurana da Informao um assunto que deve merecer cada vez mais ateno dos Gestores das
Organizaes que fazem parte da Administrao Pblica do Estado da Bahia. No mundo atual, a
informao um dos ativos mais importantes das organizaes e sua proteo se torna cada vez mais
crtica para que elas atinjam seus objetivos da maneira mais eficiente possvel.
Como unidade da SAEB, cabe Coordenao de Tecnologias Aplicada a Gesto Pblica - CTG,
planejar, coordenar, promover, supervisionar, controlar e avaliar as aes de desenvolvimento e
modernizao tecnolgicos do setor pblico.
Neste sentido, este documento foi elaborado para prover a todos os rgos e entidades da
Administrao Pblica do Poder Executivo Estadual um conjunto de Normas que auxiliem na Gesto
da Segurana da Informao em seus ambientes, elevando, assim, o nvel de proteo de suas
informaes e demais ativos crticos.


6

SUMRIO
INTRODUO............................................................................................................ 7
NORMAS DE SEGURANA DA INFORMAO.................................................................. 7
Norma 01 Responsabilidade dos rgos .................................................................... 8
Norma 02 - Classificao da Informao..................................................................... 11
Norma 03 - Uso da Internet ...................................................................................... 16

Norma 04 - Acesso aos Recursos de Tecnologia da Informao ..................................... 21
Norma 05 - Acesso e Utilizao do Correio Eletrnico................................................... 25
Norma 06 - Gerenciamento de Incidentes de Segurana da Informao ......................... 28
Norma 07 - Gerenciamento da Auditoria de Segurana da Informao ........................... 31
Norma 08 - Gesto da Continuidade do Negcio .......................................................... 34
Norma 09 - Gerenciamento de Riscos......................................................................... 37
Norma 10 - Contabilizao de Ativos de Tecnologia da Informao ................................ 41
Norma 11 - Intercmbio de Informaes .................................................................... 44
Norma 12 - Segurana Fsica .................................................................................... 47
Norma 13 - Segurana em Terceirizao e Prestao de Servios .................................. 52
Norma 14 - Desenvolvimento e Manuteno de Aplicaes ........................................... 55
Norma 15 - Distribuio de Hardware e Software ........................................................ 61
Norma 16 - Proteo Contra Cdigo Malicioso ............................................................. 65
CONCLUSO........................................................................................................... 68


7

INTRODUO
O cenrio tecnolgico mundial tem evoludo rapidamente, proporcionando cada vez mais
facilidades, tanto no uso e armazenamento das informaes, quanto na sua transmisso por redes
de computadores privadas ou pela Internet. Essa evoluo, no entanto, traz consigo um aumento
considervel dos riscos aos ambientes tecnolgicos das Organizaes e, consequentemente, s
informaes sob sua responsabilidade. Com isso, medidas devem ser aplicadas para prover
garantias a essas informaes, buscando resguardar aqueles que so considerados os principais
pilares da Segurana da Informao:
Confidencialidade: toda informao, esteja ela em meio eletrnico ou no, deve estar acessvel
somente a quem tem o direito a este acesso. Mecanismos de processos e tecnologia devem ser
implementados buscando satisfazer esta premissa;
Integridade: toda informao trafegada ou armazenada deve ter garantias quanto sua
integridade, assegurando que ela no seja indevidamente alterada ou eliminada;
Disponibilidade: as informaes devem estar sempre disponveis para os usurios que dela
necessitarem e que tenham autorizao para tal acesso;
Autenticidade: devem ser adotados mecanismos que garantam a autenticidade e rastreabilidade
dos usurios na utilizao dos recursos computacionais, de forma a tornar possvel a identificao
dos autores de qualquer ao que seja feita utilizando os sistemas informatizados e meios de
comunicao.
Para assegurar todos estes aspectos, necessrio que seja colocado em prtica um processo de
gesto de segurana da informao. Este processo, baseado na Norma ISO/IEC 27001:2005
(Information Technology - Security Techniques - Information Security Management Systems -
Requirements), o chamado SGSI - Sistema de Gesto da Segurana da Informao (em Ingls,
ISMS - Information Security Management System). O SGSI prev diversas aes, sub-processos,
Normas e Procedimentos de Segurana, praticando a misso de reduzir continuamente os riscos
segurana das informaes e aos ativos crticos de uma Organizao.

NORMAS DE SEGURANA DA INFORMAO
Um dos componentes mais importantes do processo de Gesto de Segurana da Informao o
conjunto de Normas e Procedimentos que ir guiar os gestores e usurios na produo, manuseio
e guarda das informaes da Organizao.
Este documento traz um conjunto bsico de Normas a serem implantadas pelos os rgos e
entidades da Administrao Pblica do Poder Executivo Estadual, buscando elevar o nvel de
Segurana da Informao no Estado da Bahia.
Seu objetivo servir de guia na implementao de processos, mecanismos e procedimentos que
visem o fortalecimento da segurana da informao no ambiente corporativo do Estado.
importante deixar claro que este documento no exaustivo e trata dos principais aspectos
relacionados garantia da segurana dos ativos das Organizaes. Outras normas podem vir a
ser publicadas pela SAEB, assim como Normas especficas podem ser produzidas pelos prprios
rgos e entidades, de forma a complementar este conjunto bsico.


8

Norma 01 Responsabilidades dos rgos
1. Objetivo
Orientar os rgos e entidades da Administrao Pblica do Poder Executivo Estadual,
que compem a administrao direta, autrquica e fundacional, quanto utilizao das
Normas de Segurana da Informao.
2. Definies
Segurana da Informao: conjunto de processos articulados, que busca a proteo
da informao de vrios tipos de ameaas, para garantir a continuidade do negcio,
minimizar o risco, maximizar o retorno sobre os investimentos e ampliar as
oportunidades de negcio;
Incidente de Segurana da Informao: representado por um simples ou por uma
srie de eventos de Segurana da Informao que tenham uma grande probabilidade
de comprometer as operaes do negcio e ameaar a Segurana da Informao;
Ativos de Tecnologia da Informao: estaes de trabalho, servidores ou quaisquer
outros equipamentos eletrnicos relacionados Tecnologia da Informao, alm de
softwares, mdias e servios de TI;
Gesto de Continuidade de Negcios: processo que identifica ameaas em potencial
e os possveis impactos s operaes de negcio caso essas ameaas se concretize,
buscando desenvolver uma cultura organizacional capaz de responder e salvaguardar as
informaes e a reputao do rgo ou entidade;
Gesto de Riscos: atividades coordenadas para direcionar e controlar uma
organizao no que se refere a riscos, incluindo, inclusive, anlise e avaliao,
tratamento, aceitao e comunicao dos riscos.
3. Abrangncia
Esta Norma e todas as outras Normas contidas neste documento se aplicam aos rgos
e entidades da Administrao Pblica do Poder Executivo Estadual, que compem a
administrao direta, autrquica e fundacional. As empresas pblicas e sociedades de
economia mista podero adotar os procedimentos contidos nestas Normas.
4. Diretrizes
4.1 Compete Secretaria da Administrao SAEB, por intermdio da Coordenao de
Tecnologias Aplicadas a Gesto Pblica CTG:
4.1.1 coordenar as atividades de Segurana da Informao, a exemplo de Gesto
de Continuidade de Negcios, Gesto de Incidentes de Segurana da
Informao e Gesto de Riscos, nos nveis estratgico e ttico;

9

4.1.2 promover aes que assegurem que as estratgias relacionadas a Segurana
da Informao estejam alinhadas com os objetivos de negcio de rgos e
entidades do Poder Executivo Estadual;
4.1.3 prospectar as solues de segurana existentes no mercado e avaliar sua
adequao para a Administrao Pblica do Poder executivo Estadual;
4.1.4 avaliar o resultado do nvel de segurana alcanado e propor medidas
corretivas e preventivas;
4.1.5 manter a Alta Administrao dos rgos e entidades da Administrao
Pblica do Poder Executivo informada sobre os assuntos relativos
Segurana da Informao;
4.1.6 coordenar as atividades operacionais relacionadas Segurana da
Informao a nvel do Governo do Estado;
4.1.7 prover suporte metodolgico e apoio ao planejamento das atividades
relacionadas a Segurana da Informao nas Coordenaes de
Modernizaes ou Unidades equivalentes dos rgos e entidades;
4.1.8 verificar, continuamente, se os rgos e entidades da Administrao Pblica
do Poder Executivo Estadual esto atuando em conformidade com as
diretrizes da Poltica e Normas de Segurana da Informao;
4.1.9 promover, periodicamente, programas de conscientizao e capacitao em
Segurana da Informao, bem como monitorar os seus resultados.
4.2 Compete s Diretorias Gerais, por intermdio das Coordenaes de
Modernizao, ou Unidades equivalentes dos rgos e entidades:
4.2.1 fornecer as diretrizes estratgicas do negcio para orientar as atividades de
4.2.2 prover os recursos humanos, materiais e financeiros para as atividades de
4.2.3 acompanhar, periodicamente, a evoluo dos indicadores de Segurana da
Informao adotados no mbito dos respectivos rgos e entidades;
4.2.4 apoiar, sugerir, garantir e implementar em sua rea de atuao as aes de
4.2.5 fazer cumprir a Poltica e Normas de Segurana da Informao;
4.2.6 reportar a ocorrncia de incidentes de Segurana da Informao CTG.
4.3 Para a execuo das atividades de Segurana da Informao, nos rgos e
entidades da Administrao Pblica do Poder Executivo Estadual, devero ser
observadas todas as demais normas disponibilizadas neste documento e o Manual
do Modelo de Gesto da Segurana da Informao, disponvel no site:
http://www.fortic.ba.gov.br.
4.4 Caber a SAEB/CTG analisar e dirimir as dvidas sobre as Normas e os casos
omissos devero ser encaminhados ao FORTIC para exame.

10

5. Documentos Relacionados
NBR ISO / IEC 27002:2005 - Cdigo de Prtica para a Gesto da Segurana da
Informao.
Manual do Modelo de Gesto da Segurana da Informao.
6. Data de Reviso
10/07/2012

11

Norma 02 - Classificao da Informao
1. Objetivo
Estabelecer diretrizes que garantam que todas as informaes, independente de seus
meios de armazenamento ou transmisso, recebam nveis adequados de proteo e
sejam classificadas com clara indicao do assunto, fundamento da classificao,
indicao do prazo do sigilo e identificao da autoridade que a classificou, respeitando
o princpio da observncia da publicidade como preceito geral e do sigilo como exceo,
conforme a Lei Federal n 12.527, de 18 de Novembro de 2011 (Lei de Acesso
Informao Pblica).
2. Definies
Informao: dados, processados ou no, que podem ser utilizados para produo e
transmisso de conhecimento, contidos em qualquer meio, suporte ou formato;
Documento: unidade de registro de informaes, qualquer que seja o suporte ou
formato;
Informao Sigilosa: informao submetida temporariamente restrio de acesso
pblico em razo de sua imprescindibilidade para a segurana da sociedade e do
Estado, e aquelas abrangidas pelas demais hipteses legais de sigilo;
Informao Pessoal: informao relacionada pessoa natural identificada ou
identificvel, relativa intimidade, vida privada, honra e imagem;
Proprietrio da Informao: aquele que gera ou adquire a informao;
Custodiante da Informao: aquele que armazena, processa, veicula e trata a
informao, mediante orientao dada pela classificao dada informao e assume,
em conjunto com o proprietrio da informao, a responsabilidade pela proteo desta;
Usurio: qualquer colaborador seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa ou utiliza informaes
custodiadas ou de propriedade da Administrao Pblica Estadual em local ou jornada
de trabalho deste ltimo;
Tratamento da informao: conjunto de aes referentes produo, recepo,
classificao, utilizao, acesso, reproduo, transporte, transmisso, distribuio,
arquivamento, armazenamento, eliminao, avaliao, destinao ou controle da
informao.
3. Abrangncia
Esta Norma se aplica a todos os usurios das informaes custodiadas ou de
propriedade da Administrao Pblica do Poder Executivo Estadual.

12

4. Diretrizes
4.1 A informao em poder dos rgos e entidades, observado o seu teor e em razo
de sua imprescindibilidade segurana da sociedade ou do Estado, poder ser
classificada no grau Ultrassecreto, Secreto ou Reservado
4.2 Para a classificao da informao em grau de sigilo, dever ser observado o
interesse pblico da informao e utilizado o critrio menos restritivo possvel,
considerados:
a gravidade do risco ou dano segurana da sociedade e do Estado; e
o prazo mximo de classificao em grau de sigilo ou o evento que defina
seu termo final.
4.3 So passveis de classificao no grau Ultrassecreto, Secreto ou Reservado as
informaes consideradas imprescindveis segurana da sociedade ou do Estado,
cuja divulgao ou acesso irrestrito possa:
pr em risco a defesa e a integridade do territrio estadual;
prejudicar ou pr em risco a conduo de negociaes ou as relaes
internacionais do Estado, ou as que tenham sido fornecidas em carter
sigiloso por outros Estados e organismos internacionais;
pr em risco a vida, a segurana ou a sade da populao;
oferecer elevado risco estabilidade financeira, econmica ou monetria do
Estado;
prejudicar ou causar risco a planos ou operaes estratgicos dos rgos de
Segurana do Estado;
prejudicar ou causar risco a projetos de pesquisa e desenvolvimento
cientfico ou tecnolgico, assim como a sistemas, bens, instalaes ou reas
de interesse estratgico do Estado;
por em risco a segurana de instituies ou de altas autoridades nacionais,
estaduais ou estrangeiras e seus familiares;
comprometer atividades de inteligncia, de investigao ou de fiscalizao
em andamento, relacionadas com preveno ou represso de infraes.
4.4 Os prazos mximos de restrio de acesso informao, conforme a classificao
prevista, devem vigorar, a partir da data de sua produo, nos seguintes
parmetros:
Ultrassecreta: 25 (vinte e cinco) anos;
Secreta: 15 (quinze) anos;
Reservada: 5 (cinco) anos.
4.5 O prazo de sigilo das informaes classificadas no grau Ultrassecreto poder ser
prorrogado por uma nica vez e por perodo determinado no superior a vinte e
cinco anos, enquanto seu acesso ou divulgao puder ocasionar ameaa externa
integridade do territrio nacional ou grave risco s relaes internacionais do
Estado.

13

4.6 As informaes que puderem colocar em risco a segurana do Governador e Vice
Governador do Estado e respectivos cnjuges e filhos(as) devero ser,
automaticamente, consideradas como Reservadas e ficar sob sigilo at o trmino
do mandato em exerccio ou do ltimo mandato, em caso de reeleio.
4.7 As informaes que no forem classificadas como Ultrassecretas, Secretas ou
Reservadas devero ser consideradas, automaticamente, como Pblicas,
independentemente de sua classificao explcita, resguardadas as excees
legalmente previstas como sigilo, a exemplo de:
sigilo fiscal, bancrio, de operaes e servios no mercado de capitais,
comercial, profissional, industrial e segredo de justia;
informaes referentes a projetos de pesquisa e desenvolvimento cientficos
ou tecnolgicos cujo sigilo seja imprescindvel segurana da sociedade e
do Estado;
4.8 Transcorrido o prazo de classificao ou consumado o evento que defina o seu
termo final, a informao dever ser considerada automaticamente classificada
como Pblica, respeitadas as excees previstas nesta norma.
5. Recomendaes para Classificao
5.1 Informao "pessoal" no considerada uma classificao, mas uma designao
para uma informao relacionada pessoa natural identificada ou identificvel
relativa intimidade, vida privada, honra e imagem, significando que a informao
direcionada e que somente o destinatrio e as pessoas expressamente
autorizadas por ele podem ter acesso.
5.2 Toda informao deve possuir um rtulo com a sua classificao. As informaes
no rotuladas sero classificadas, automaticamente, como Pblicas, ressalvadas
as excees previstas nesta norma.
5.3 A classificao das informaes deve ser feita para determinar as medidas de
proteo necessrias, visando atender as diretrizes da Lei de Acesso Informao
Pblica e otimizar os custos com a sua proteo e disponibilizao.
5.4 A classificao deve ser realizada no momento em que a informao gerada ou
adquirida, conforme as seguintes competncias:
Grau Ultrassecreto: Governador e Vice Governador do Estado;
Grau Secreto: alm dos previstos no item 5.5.1, tambm, os Secretrios de
Estado e as autoridades com as mesmas prerrogativas, Comandantes da
Polcia Militar e os titulares mximos de autarquias, fundaes ou empresas
pblicas e sociedades de economia mista;
Grau Reservado: alm dos previstos nos itens 5.5.1 e 5.5.2, tambm
aqueles que exeram funes de direo, comando ou chefia, no nvel DAS-
2A ou superior, do Grupo-Direo e Assessoramento Superior ou hierarquia
equivalente, de acordo com regulamentao especfica de cada rgo ou
entidade.
5.5 A competncia prevista nos itens 5.5.1 e 5.5.2 poder ser delegada expressamente
pela autoridade responsvel a agente pblico, inclusive em misso no exterior,
vedada a subdelegao.


14

5.6 O proprietrio pode solicitar apoio tcnico Coordenao de Tecnologias Aplicadas
Gesto Pblica CTG, exercendo o papel de Escritrio de Segurana da
Informao, caso existam dificuldades ou dvidas acerca da classificao a ser dada
a uma informao.
5.7 A informao deve receber tratamento adequado sua classificao durante todo o
seu ciclo de vida.
5.8 A inexistncia de classificao explcita no exime o proprietrio, os custodiantes e
os usurios das suas responsabilidades quanto a avaliar o nvel de sensibilidade da
informao.
5.9 Os rgos e entidades da Administrao Pblica Estadual devero reavaliar as
informaes classificadas no grau ultrassecreta e secreto, no prazo mximo de dois
anos.
5.10 Enquanto no transcorrido o prazo de reavaliao previsto no item 5.9,
ser mantida a classificao da informao, observados os prazos e disposies
desta norma.
5.11 As informaes classificadas no grau ultrassecreto e secreto no
reavaliadas no prazo previsto no item 5.9 sero consideradas, automaticamente, de
acesso pblico.
5.12 As informaes classificadas no grau ultrassecreto, secreto e reservado
devero conter:
cdigo de indexao de documento;
categoria na qual se enquadra a informao;
indicao de dispositivo legal que fundamenta a classificao;
data da produo, data da classificao e prazo da classificao.
5.13 expressamente proibida aos usurios a utilizao, repasse e/ou
divulgao indevida de toda e qualquer informao de propriedade da
Administrao Pblica Estadual, exceto nas hipteses previstas na Lei Federal n
12.527, de 18 de Novembro de 2011.
5.14 Antes que informaes custodiadas ou de propriedade da Administrao Pblica
Estadual sejam disponibilizadas a terceiros, estes devem ser orientados e
supervisionados quanto aos aspectos da segurana da informao. A
Administrao Pblica Estadual deve garantir que o compromisso de sigilo seja
parte integrante do contrato.
5.15 Informaes Reservadas, Secretas ou Ultrassecretas no devem ser
descartadas como lixo comum. Documentos impressos ou em mdia eletrnica,
que contenham informao com esses nveis de classificao, devem ser
destrudos antes de serem descartados, de forma que torne impossvel a sua
recuperao.
6. Competncias
6.1 Usurio:

15

Aplicar o tratamento adequado informao, de acordo com os nveis definidos
nesta norma.
6.2 Autoridades previstas no item 5.5 desta norma:
Classificar as informaes, conforme as diretrizes desta norma.
6.3 Proprietrio da Informao:
Determinar o nvel de criticidade e a classificao correta das informaes
utilizadas nos ativos sob sua responsabilidade, de forma a subsidiar as decises
de classificao a serem aplicadas pelos entes competentes.
6.4 Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG:
Orientar o proprietrio da informao quanto a classificao da informao;
Observar o cumprimento desta Norma.
Informao.
Lei Federal n 12.527, de 18 de Novembro de 2011 Lei Federal de Acesso
Informao Pblica;

2. Data de Reviso
10/07/2012


16

Norma 03 - Uso da Internet
1. Objetivo

Estabelecer as diretrizes de proteo relativas ao uso da Internet e de outras redes
pblicas de computadores, com o objetivo de reduzir o risco a que esto expostos os
Ativos de Tecnologia da Informao da Administrao Pblica Estadual, tendo em vista
que a Internet tem sido veculo de muitas aes prejudiciais s organizaes, gerando
perdas financeiras, perdas de produtividade, danos aos sistemas e imagem da
organizao, entre outras conseqncias.

2. Definies

Criptografia: tcnica utilizada para tornar a informao original ilegvel, permitindo
que somente o destinatrio (detentor da chave de criptografia) a decifre.
Internet: consiste de milhares de redes de computadores interconectadas
mundialmente e que pela sua abrangncia e facilidade de uso, tem sido usada como
plataforma para a prestao de um crescente nmero de servios.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica
Estadual em local ou jornada de trabalho para este ltimo.
Ativos de Tecnologia da Informao: estaes de trabalho, servidores, softwares,
mdias e quaisquer equipamentos eletrnicos relacionados Tecnologia da Informao,
bem como as conexes com a Internet, hardware e software.
Incidente de Segurana da Informao: indicado por um simples ou por uma
de comprometer as operaes do negcio e ameaar a Segurana da Informao.

3. Abrangncia

Esta Norma se aplica a todos os usurios que fazem uso da Internet, permanente ou
temporariamente, atravs dos recursos computacionais disponibilizados pela
Administrao Pblica Estadual, bem como os que utilizam a Internet como meio de
comunicao atravs de conexo com a rede interna da Administrao Pblica Estadual.


17

4. Diretrizes
4.1 Toda rea de transferncia de dados em computadores da Administrao Pblica
Estadual acessvel pela Internet e disponvel publicamente para gravao deve ser
limpa regularmente.
4.2 A informao obtida na Internet de forma livre e gratuita deve ser confirmada por
fontes fidedignas antes de ser efetivamente usada.
4.3 A Administrao Pblica Estadual pode examinar, sem aviso prvio, o contedo de
cache de navegadores Web, favoritos, histrico de sites visitados, configuraes dos
softwares e outras informaes armazenadas ou transmitidas pelos seus
computadores.
4.4 Os Ativos de Tecnologia da Informao da Administrao Pblica Estadual, incluindo
as conexes com a Internet, hardware e software, devem ser empregados na
consecuo dos seus objetivos, sendo vedada a sua utilizao para outros fins,
exceto para os casos explicitamente permitidos por esta norma.
4.5 Controles de Acesso a Servios da Internet
4.5.1 A permisso de acesso Internet deve ser seletiva em relao aos servios
disponibilizados, tais como stios Web e Correio Eletrnico, e ser concedida
exclusivamente queles usurios que necessitem deste acesso para o seu
trabalho, sendo removida quando no for mais necessria.
4.5.2 O acesso seletivo Internet deve ser disponibilizado por meio de listas
positivas ou negativas, cabendo a cada unidade definir a sua regra.
4.5.3 A permisso de acesso Internet deve ser concedida atravs de uma Conta
de Usurio que possibilite identificar, individualmente, seu proprietrio,
podendo o histrico de acesso, inclusive o contedo, ser monitorado, sem
necessidade de notificao prvia, devendo ser armazenado por um perodo
mnimo de 90 (noventa) dias.
4.5.4 No permitido suprimir, omitir ou mascarar a identificao da Conta de
Usurio a qualquer servio da Internet, exceto para os servios que
permitem conexo annima, no sendo permitido tambm o uso de
mecanismos de dissimulao do usurio, como re-mailers, IP Spoofing e
tradutores de URL.
4.5.5 A Administrao Pblica Estadual pode, sem aviso prvio, restringir o acesso
a servios da Internet, tais como stios Web, redes de dados ponto-a-ponto
e download de arquivos.
4.5.6 A possibilidade de acessar qualquer servio da Internet no implica em
autorizao para acess-lo.
4.6 Conexes de Rede com a Internet
4.6.1 vedada a conexo entre qualquer rede de dados da Administrao Pblica
Estadual e a Internet atravs de servios de telecomunicaes no
autorizados pela rea de TIC do rgo.
4.6.2 vedada a utilizao de dispositivos de acesso Internet no autorizados,
em equipamentos pertencentes Administrao Pblica Estadual.

18

4.6.3 Toda comunicao entre computadores remotos e as redes da Administrao
Pblica Estadual, atravs da Internet ou outra rede pblica, deve ser
autenticada e criptografada, usando solues tecnolgicas autorizadas pelo
rgo responsvel pela rede, com exceo do acesso aos stios Web pblicos
da Administrao Pblica Estadual.
4.6.4 Toda a comunicao entre as redes da Administrao Pblica Estadual e a
Internet ou qualquer outra rede pblica deve necessariamente passar por
firewall, configurado com poltica restritiva, com monitoramento bi-direcional
dos fluxos de comunicao e com proteo contra ataques cibernticos.
4.7 Uso Aceitvel da Internet
4.7.1 permitido o acesso a sites que sejam fontes de informao necessria
execuo das atividades da Administrao Pblica Estadual.
4.7.2 permitido o uso de servios pessoais prestados atravs da Internet, tais
como banco on-line, reservas de passagens, servios de rgos pblicos,
entre outros, limitados ao estritamente necessrio, nos horrios
estabelecidos pelas reas de tecnologia da informao dos rgos e
entidades da Administrao Pblica Estadual.
4.7.3 No devem ser usados os recursos de Salvar Senha ou Lembrar Senha,
disponveis na maioria das aplicaes (Outlook, Internet Explorer, etc),
devendo ser desmarcada sempre que for apresentada esta opo. Senhas
no devem ser includas em nenhum outro processo de autenticao
automtica disponvel.
4.7.4 Quando estiver usando a Internet e verificar que o site acessado contm
contedo imprprio, o usurio deve abandonar o site e abrir um incidente
de Segurana da Informao.
4.7.5 No permitido o uso de aplicaes ponto-a-ponto (peer-to-peer) para
distribuio de arquivos, tais como Kazaa, Napster, Emule e correlatos.
4.7.6 No permitido o uso de jogos on-line.
4.7.7 Ressalvados os interesses da Administrao Pblica Estadual, no
permitido:
a) o acesso a contedos imprprios, que so aqueles relativos
pornografia, racismo, violncia, incitao ao dio, invaso de
computadores, jogos, entre outros;
b) o uso de servios de mensagem instantnea, tais como ICQ, Messenger,
Google Talk, MSN, Skype entre outros, seja por software especfico ou
via Web;
c) o acesso a sites e servios de relacionamento, tais como Orkut, Gazzag,
Facebook, MySpace, Twitter e correlatos;
d) o uso de servios de udio e vdeo em tempo real, tais como rdio on-
line, TV on-line e telefonia IP;
e) a sondagem, investigao ou teste de vulnerabilidade em computadores
e sistemas da Administrao Pblica Estadual ou de qualquer outra

19

organizao, exceto quando autorizada pela rea de tecnologia da
informao do respectivo rgo ou entidade da Administrao Pblica;
f) o uso ou a posse de ferramentas de hardware e software para
sondagem, anlise de vulnerabilidade, monitoramento de rede,
comprometimento de sistemas, ataques e captura de dados, exceto
quando autorizado pela rea de tecnologia da informao do respectivo
rgo ou entidade da Administrao Pblica Estadual.
4.8 Criptografia
4.8.1 Recomenda-se que toda a informao classificada como sigilosa, transmitida
pela Internet, deve ser criptografada, conforme padres de criptografia
homologados pela rea de tecnologia da informao do respectivo rgo ou
entidade da Administrao Pblica Estadual.
4.8.2 Informaes que so alvo tpico de criminosos, tais como senhas de contas
bancrias, nmeros de cartes de crdito, senhas de sistemas, entre outras,
no devem ser publicadas na Internet ou transmitidas via Correio Eletrnico
sem criptografia.
4.9 Legalidade
4.9.1 Sempre que as transaes atravs da Internet ultrapassarem as fronteiras
nacionais, devem ser observadas as legislaes internacionais pertinentes.
4.9.2 A propriedade intelectual deve ser respeitada em qualquer atividade e
sempre que os recursos computacionais da Administrao Pblica Estadual
estiverem sendo usados. A reproduo ou encaminhamento de qualquer
contedo protegido por direitos de propriedade requer a autorizao do
proprietrio dos direitos autorais.
4.9.3 Sempre que informaes obtidas da Internet forem usadas em documentos
internos, a fonte deve ser citada.
4.9.4 A indicao de direitos reservados deve ser presumida para todo contedo
disponvel na Internet, a menos que contenha informao contrria.
4.9.5 Usurios dos servios de Internet da Administrao Pblica Estadual no
devem obter, armazenar ou transmitir contedo ilegal, tais como software
no licenciado, pornografia infantil, senhas, informaes bancrias
extraviadas, entre outros.
4.10 Download de Arquivos
4.10.1 Ressalvado os interesses da Administrao Pblica Estadual, no
permitido o download de filmes, msicas, vdeo clips ou contedos
semelhantes relacionados a entretenimento.
4.10.2 O download de arquivos com grande volume de dados deve considerar as
limitaes da conexo com a Internet e, sempre que possvel, deve ser
executado fora do horrio normal de expediente.
4.10.3 O download de softwares deve obedecer aos contratos estabelecidos com
os fornecedores, quando aplicvel.

20

4.10.4 Todo arquivo obtido em fontes externas Administrao Pblica Estadual
deve ser submetido verificao de software antivrus antes de ser
utilizado.
5. Competncias

5.1.1 disseminar e observar o cumprimento desta Norma.

5.2 rea de Tecnologia da Informao do rgo ou Entidade:
5.2.1 prover os recursos necessrios ao cumprimento desta Norma;
5.2.2 avaliar e homologar novos servios de Internet antes de serem utilizados.

6. Documentos relacionados
Informao.
Norma 02 - Classificao da Informao.
Norma 16 - Proteo Contra Cdigo Malicioso.
Norma 05 - Acesso e Utilizao do Correio Eletrnico.
Norma 11 - Intercmbio de Informaes.
Norma 04 - Acesso aos Recursos de Tecnologia da Informao.
Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.
7. Data de Reviso
10/07/2012

21

Norma 04 - Acesso aos Recursos de Tecnologia da Informao
1. Objetivo

Estabelecer as diretrizes e responsabilidades para o acesso aos recursos de Tecnologia
da Informao disponibilizados pela Administrao Pblica do Poder Executivo Estadual.

2. Definies

Autenticao: processo de verificao que confirma se uma entidade ou um objeto
quem ou o que afirma ser, incluindo, em alguns exemplos, a confirmao da origem e
da integridade das informaes, tal como a verificao de uma assinatura digital ou da
identidade de um utilizador ou de um computador.
Conta Genrica: credencial de acesso rede que no identifica o usurio que a utiliza.
Conta de Usurio: credencial de acesso rede ou sistemas, de uso pessoal,
intransfervel e de responsabilidade de seu usurio designado.
Credencial de Acesso: elemento utilizado para autenticar um usurio perante
recursos de Tecnologia da Informao, tais como nome de usurio e senha, certificado
digital, informao biomtrica ou equivalentes.
Estao de Trabalho: todos os computadores e equipamentos correlatos da
Administrao Pblica Estadual, inclusive dispositivos mveis.
Login/Logon: processo de autenticao com o objetivo de permitir o uso de um
sistema computacional ou recursos de rede de forma segura.
Logoff: processo de encerramento do uso de um sistema computacional ou recursos de
rede, removendo as credenciais de acesso.
Recursos de Tecnologia da Informao: estaes de trabalho, servidores, redes,
sistemas, servios, banco de dados e dispositivos de interconexo.
Rede: estaes de trabalho, servidores e outros dispositivos interligados que
compartilham informaes ou recursos da Administrao Pblica Estadual.
Smartcard: dispositivo porttil utilizado para incrementar a segurana do processo de
logon.
Token: dispositivo porttil utilizado para incrementar a segurana do processo de
logon.
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica


22

3. Abrangncia

Esta Norma se aplica a todos os usurios de informaes ou recursos de Tecnologia da
Informao disponibilizados pela Administrao Pblica Estadual.
4. Diretrizes
4.1 Concesso de Acesso
4.1.1 A licena para a utilizao dos recursos de Tecnologia da Informao uma
concesso da Administrao Pblica Estadual aos usurios que necessitem
deles para desempenhar suas funes. A utilizao poder ser monitorada
em tempo real e a licena poder ser suspensa a qualquer momento por
deciso do Gestor da rea do usurio, da rea de tecnologia da informao
do rgo ou entidade ou da Coordenao de Tecnologias Aplicadas Gesto
Pblica - CTG, de acordo com os exclusivos critrios destes, visando evitar
perda de produtividade e riscos de segurana.
4.1.2 O acesso consulta ou utilizao dos recursos de Tecnologia da Informao
permitido aps a identificao do usurio, somente por meio de suas
prprias credenciais de acesso.
4.1.3 As credencias de acesso aos recursos de Tecnologia da Informao so
pessoais, intransferveis e de responsabilidade exclusiva do usurio, exceto
para aqueles recursos que no suportarem a criao de credenciais
individuais.
4.1.4 Toda solicitao, alterao, bloqueio e desbloqueio de acesso aos recursos de
Tecnologia da Informao ou aos sistemas deve ser documentada.
4.1.5 O Gestor da rea do usurio deve informar rea de tecnologia da
informao do rgo ou entidade ou ao administrador do recurso de
Tecnologia da Informao todos os direitos de acesso que o usurio deve
possuir.
4.1.6 Todos os direitos de acesso aos recursos de Tecnologia da Informao devem
ter prazo de vigncia definido.
4.1.7 expressamente proibida qualquer tentativa de acesso no autorizado aos
recursos de Tecnologia da Informao.
4.1.8 A utilizao de contas genricas deve ser limitada ao estritamente
necessrio.
4.1.9 Os rgos e entidades da Administrao Pblica Estadual que disponibilizem
o acesso a recursos de Tecnologia da Informao ao cidado devem
desenvolver e comunicar regulamento especfico para o bom uso desses
recursos.
4.2 Conexo de Equipamentos
4.2.1 Somente dispositivos autorizados pela rea de tecnologia da informao do
rgo ou entidade podero ter acesso aos recursos de rede da Administrao
Pblica Estadual.

23

4.3 Gerenciamento de Senhas
4.3.1 A elaborao de senhas para acesso rede ou aos sistemas deve ser
realizada conforme procedimento estabelecido pela rea de tecnologia da
informao do rgo ou entidade, o qual deve prever troca peridica de
senhas, senhas de difcil deduo e bloqueio automtico da sesso por
inatividade.
4.3.2 Todas as contas de usurio devem ter suas senhas alteradas no primeiro
logon na rede, para assegurar sua confidencialidade.
4.3.3 Os critrios para elaborao, manuteno e gerenciamento dos acessos
devem levar em considerao a criticidade das informaes e as
necessidades dos processos de negcio envolvidos.

4.4 Anlise Crtica
4.4.1 Os direitos de acesso dos usurios rede e aos sistemas devem ser
revisados periodicamente.
4.4.2 Os direitos de acesso dos usurios em afastamento definitivo da organizao
devem ser revogados.
4.4.3 Os direitos de acesso dos usurios em afastamento temporrio devem ser
suspensos no perodo da ausncia.
4.4.4 Os direitos de acesso dos usurios em transferncia de rea devem ser
revistos.

5. Competncias

5.1.1 administrar os acessos rede e aos sistemas da Administrao Pblica
Estadual;
5.1.2 elaborar procedimento de gerenciamento de senhas em consonncia com a
criticidade das informaes e as necessidades dos processos de negcio
envolvidos.
5.2 Gestor da rea do Usurio
5.2.1 comunicar rea de tecnologia da informao do rgo ou entidade todas as
movimentaes de pessoal que impliquem em concesso, mudana ou
revogao de acessos;
5.2.2 comunicar rea de tecnologia da informao do rgo ou entidade sempre
que tomar cincia de direitos de acesso desnecessrios execuo das
atividades por parte de seus subordinados ou de terceiros.
5.3 Usurio
5.3.1 manter sigilo da senha de acesso rede e aos sistemas, sendo de sua total
e exclusiva responsabilidade qualquer operao realizada sob suas

24

credenciais de acesso;
5.3.2 no compartilhar com terceiros sua credencial de acesso rede ou aos
sistemas;
5.3.3 informar ao seu Gestor quando forem identificados direitos de acesso
desnecessrios execuo das suas atividades profissionais;
5.3.4 bloquear sua estao de trabalho ou efetuar logoff da rede sempre que se
ausentar de sua rea de trabalho;
5.3.5 comunicar, imediatamente, rea de tecnologia da informao do rgo ou
entidade qualquer ocorrncia de perda ou avaria de dispositivos adicionais
de autenticao, tais como tokens, smartcards e outros.

Informao.
Norma 03 - Uso da Internet.
7. Data de Reviso
10/07/2012


25

Norma 05 - Acesso e Utilizao do Correio Eletrnico
1. Objetivo

Definir as diretrizes de acesso e utilizao segura do Correio Eletrnico disponibilizado
pela Administrao Pblica Estadual
2. Definies

E-mail: forma reduzida para E(lectronic) Mail - Correio Eletrnico.
Hiperlink: palavras ou endereos em destaque de uma pgina da Internet ou
mensagem de Correio Eletrnico que, ao serem clicadas, efetuam o direcionamento
para outra parte do texto da mensagem ou pgina da Internet.
fornecedor, prestador de servio ou terceiro em geral, que utiliza os recursos de
Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local
ou jornada de trabalho para este ltimo.
Webmail: um interface da Internet que permite consultar e enviar Correio Eletrnico
(E-mail).
3. Abrangncia

Esta Norma se aplica a todos os usurios que utilizam o servio de Correio Eletrnico
disponibilizado pela Administrao Pblica Estadual.
4. Diretrizes
4.1 O servio de Correio Eletrnico corporativo uma concesso da Administrao
Pblica Estadual, sendo assim, seu uso permitido somente para as atividades
profissionais de seus usurios, no sendo permitido enviar ou arquivar mensagens
no relacionadas s atividades profissionais, que contenham:
4.1.1 assuntos que provoquem assdio, perturbao a outras pessoas ou que
prejudiquem a imagem da organizao;
4.1.2 temas difamatrios, discriminatrios, material obsceno, ilegal ou antitico;
4.1.3 fotos, imagens, sons ou vdeos que no tenham relao com as atividades
profissionais da organizao.
4.2 As permisses de acesso a servios de e-mail particulares, tais como webmail,
podem ser estabelecidas e gerenciadas pela rea de tecnologia da informao do
rgo ou entidade e pelas reas de negcio, em funo dos interesses da
Administrao Pblica;

26

4.3 O acesso ao Correio Eletrnico corporativo se d pelo conjunto Identificao do
Usurio e Senha, que pessoal e intransfervel.
4.4 O endereo de e-mail disponibilizado ao usurio de uso pessoal e intransfervel e
de responsabilidade do mesmo. Portanto, terminantemente proibido suprimir,
modificar ou substituir a identidade do remetente ou destinatrio de uma
mensagem do Correio Eletrnico.
4.5 Havendo indcios de que mensagens veiculadas pelo correio eletrnico possam
ocasionar quebra de segurana ou violao de quaisquer das vedaes constantes
deste ou de outro ato normativo, a rea de tecnologia da informao do rgo ou
entidade responsvel pela administrao do Servio de Correio Eletrnico adotar,
imediatamente, medidas para a apurao dessas irregularidades, utilizando-se dos
meios e procedimentos legalmente previstos.
4.6 A disponibilizao do Correio Eletrnico pode ser suspensa a qualquer momento por
deciso do Gestor da rea do usurio ou da rea de tecnologia da informao do
rgo ou entidade.
4.7 As concesses e revogaes de acesso ao servio de Correio Eletrnico devem ser
autorizadas pelo Gestor da rea do usurio por meio de uma solicitao de servio
rea de tecnologia da informao do rgo ou entidade.
4.8 Os anexos das mensagens de Correio Eletrnico podero ser bloqueados quando
oferecerem riscos Segurana da Informao.
4.9 A abertura de mensagens de remetentes desconhecidos, externos Administrao
Pblica Estadual, deve ser avaliada, especialmente quando houver dvidas quanto
natureza do seu contedo, como arquivos anexados no esperados ou hiperlinks
para endereos externos no relacionados s atividades profissionais em curso.
4.10 A quantidade de destinatrios deve ser limitada por mensagem, com o objetivo de
coibir a prtica de Spam. Cabe rea de tecnologia da informao do rgo ou
entidade estabelecer tal limite, bem como acordar com as reas de negcio as
eventuais excees, de acordo com os interesses da Administrao Pblica.
4.11 Todas as mensagens originrias de usurios da Administrao Pblica Estadual
devero conter a assinatura do remetente em formato padronizado, alm de um
aviso legal, tambm padronizado, referenciando a confidencialidade da
informao. Esses padres devem ser definidos pela Coordenao de Tecnologias
Aplicadas Gesto Pblica - CTG.
4.12 Limites de armazenamento das caixas de Correio Eletrnico devem ser
estabelecidos pela rea de tecnologia da informao do rgo ou entidade,
considerando as necessidades dos processos de negcio que o servio de Correio
Eletrnico suporta, bem como limitaes tcnicas aplicveis.
5. Competncias

5.1.1 conceder, suspender e revogar os acessos ao servio de Correio Eletrnico;
5.1.2 administrar as funcionalidades e a segurana do servio de Correio
Eletrnico.

27

5.2 Gestor da rea do Usurio:
5.2.1 comunicar rea de tecnologia da informao do rgo ou entidade todas as
movimentaes de pessoal que impliquem em concesso, mudana ou
revogao de acessos.

5.3 Usurio:
5.3.1 responder pelo uso adequado dos servios e recursos de Correio Eletrnico a
ele disponibilizados, nas suas mais diversas formas de acesso, inclusive por
meio de dispositivos mveis, em consonncia com esta Norma.

Informao.
Norma 03 - Uso da Internet.
7. Data de Reviso
10/07/2012

28

Norma 06 - Gerenciamento de Incidentes de Segurana da
Informao
1. Objetivo
Normatizar o registro e o tratamento de incidentes de Segurana da Informao no
mbito da Administrao Pblica do Poder Executivo Estadual.
2. Definies
Incidentes de Segurana da Informao: so indicados por um simples ou por uma
de comprometer as operaes do negcio e ameaar a Segurana da Informao.
Log: registros que permitem o rastreamento das atividades executadas pelos usurios
e outras funes internas de Sistemas de Informao.
os recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica
3. Abrangncia
Esta Norma se aplica a todos os usurios de informaes ou recursos de Tecnologia da
Informao disponibilizados pela Administrao Pblica Estadual.
4. Diretrizes
4.1 Todo usurio deve registrar incidentes de Segurana da Informao, conforme
orientaes descritas em procedimento especfico constante do Manual do Modelo
de Gesto da Segurana da Informao.
4.2 A rea de tecnologia da informao do rgo ou entidade deve registrar um
incidente de Segurana da Informao para toda falha de segurana identificada
nos recursos de Tecnologia da Informao da Administrao Pblica Estadual.
4.3 As informaes referentes aos responsveis pelo registro de incidentes de
Segurana da informao so sigilosas, entretanto esta identificao obrigatria.
4.4 A Coordenao de Tecnologias Aplicadas Gesto Pblica CTG deve garantir que
planos de ao sejam elaborados para tratamento de incidentes, e monitorar sua
implementao.
4.5 vedado ao usurio intervir no tratamento dos incidentes sem a devida autorizao
ou qualificao.


29

5. Competncias

5.1.1 identificar e documentar incidentes de Segurana da Informao por meio de
anlise dos logs dos recursos de Tecnologia da Informao;
5.1.2 reportar todos os incidentes de Segurana da Informao Coordenao de
Tecnologias Aplicadas Gesto Pblica - CTG, de forma regular;
5.1.3 elaborar Planos de Recuperao de Desastres (PRD) para os processos
crticos;
5.1.4 executar procedimentos e aes corretivas quando necessrio;
5.1.5 informar ao usurio as aes tomadas em relao aos incidentes registrados,
quando aplicvel.

5.2.1 desenvolver campanhas peridicas para fortalecer a cultura de Segurana da
Informao no mbito da Administrao Pblica do Poder Executivo
Estadual;
5.2.2 analisar os incidentes de Segurana da Informao;
5.2.3 monitorar os incidentes de Segurana da Informao;
5.2.4 propor melhorias no processo de gesto de incidentes de Segurana da
Informao;
5.2.5 gerar indicadores de incidentes de Segurana da Informao;
5.2.6 manter a Alta Administrao do rgo ou entidade ciente dos tipos de
incidentes de Segurana da Informao identificados.

5.3 Gestor da rea do Usurio:
5.3.1 apoiar a Coordenao de Tecnologias Aplicadas Gesto Pblica CTG na
soluo dos incidentes de Segurana da Informao;
5.3.2 executar as aes corretivas/preventivas estabelecidas para o tratamento
dos incidentes;
5.3.3 elaborar e implementar, em conjunto com a rea de tecnologia da
informao do rgo ou entidade, planos de contingncia para diferentes
tipos de incidentes de segurana, visando reduzir os impactos,
restabelecendo os processos de negcio afetados, o mais rpido possvel.

5.4 Usurio:
5.4.1 registrar incidentes de Segurana da Informao.

30

Informao.
7. Data de Reviso
10/07/2012

31

Norma 07 - Gerenciamento da Auditoria de Segurana da
Informao
1. Objetivo
Definir as diretrizes do processo de Auditoria de Segurana da Informao, no mbito
da Administrao Pblica do Poder Executivo Estadual.
2. Definies
Alta Administrao: dirigente mximo dos rgos e entidades da Administrao
Pblica Estadual, chefes de gabinete, superintendentes e diretores. A Alta
Administrao dos rgos e entidades tambm pode ser proprietria, custodiante ou
usuria da informao.
Custodiante da Informao: aquele que armazena, processa, veicula e trata a
informao, mediante orientao dada pelo proprietrio da informao e assume, em
conjunto com ele, a responsabilidade pela proteo da informao.
Proprietrio da Informao: aquele que gera ou adquire a informao.
fornecedor, prestador de servio ou terceiro em geral que acessa ou utiliza informaes
ou sistemas de informao disponibilizados pela Administrao Pblica Estadual em
local ou jornada de trabalho para este ltimo.
3. Abrangncia
Esta Norma se aplica a todos os processos de negcio da Administrao Pblica do
Estado da Bahia.
4. Diretrizes
4.1 Toda Auditoria de Segurana da Informao deve estar autorizada de acordo com a
legislao vigente.
4.2 A necessidade de Auditoria de Segurana da Informao deve ser verificada
regularmente, produzindo um relatrio de diretrizes de auditoria. Essa verificao
deve contemplar, entre outros:
4.2.1 anlise dos documentos que compem a Poltica de Segurana da
Informao;
4.2.2 resultados de auditorias anteriores;
4.2.3 indicadores de Segurana da Informao;
4.2.4 anlise dos incidentes de Segurana da Informao registrados;
4.2.5 informaes relativas a anlises de risco.

32

4.3 Requisitos e atividades de Auditoria de Segurana da Informao devem ser
planejados para minimizar o risco de interrupo dos processos de negcio
envolvidos, devendo o planejamento contemplar, dentre outros:
4.3.1 reas, usurios, processos e sistemas que sero auditados;
4.3.2 controles de Segurana da Informao que sero auditados;
4.3.3 estratgia de comunicao com todos os envolvidos;
4.3.4 identificao dos auditores;
4.3.5 independncia dos auditores em relao s atividades auditadas;
4.3.6 cronograma de execuo da auditoria.
4.4 Os auditores devem ter acesso apenas leitura de software e dados, s sendo
permitido outros acessos por meio de cpias isoladas e estes devem ser apagados
ao final da auditoria, ou dada a devida proteo quando houver a obrigao ou
necessidade de armazenar tais cpias.
4.5 Quando o acesso a dados sensveis for indispensvel para os objetivos da auditoria,
mecanismos adicionais devem ser implementados para garantia de sua
confidencialidade.
4.6 Mecanismos que garantam o registro de todas as atividades da auditoria devem ser
implementados, de forma a produzir uma trilha de referncia.
4.7 O acesso s ferramentas de auditoria deve ser restrito e controlado, visando
prevenir uso no autorizado.
4.8 O processo de auditoria deve produzir relatrios contendo, dentre outros, os dados
da rea, do usurio, o processo ou sistema auditado, os controles verificados,
evidncias para conformidades e justificativas para no conformidades. Os dados
destes relatrios devem alimentar o processo de Gesto de Indicadores de
Segurana da Informao.
4.9 Um plano com aes preventivas e corretivas deve ser elaborado com base no
relatrio gerado pelo processo de auditoria.
4.10 O resultado de auditorias de segurana da informao deve ser caracterizado
como informao sigilosa quando esse puder comprometer a segurana dos
processos de negcio do rgo ou entidade a que se refere.
4.11 Uma anlise crtica dos resultados da auditoria deve ser conduzida, com o objetivo
de determinar aes de melhoria para possveis ajustes na Poltica de Segurana
da Informao.
5. Competncias
5.1 Auditor:
5.1.1 planejar a Auditoria de Segurana da Informao em conjunto com a
Coordenao de Tecnologias Aplicadas Gesto Pblica - CTG;

33

5.1.2 conduzir auditorias, elaborar relatrios com os resultados e apresentar
recomendaes de aes preventivas e corretivas.
5.2 reas de Negcio do rgo ou Entidade:
5.2.1 elaborar e implementar planos de ao para preveno e correo de no
conformidades observadas durante o processo de auditoria.

5.3.1 prover os recursos necessrios para a execuo da auditoria;
5.3.2 garantir a segurana dos dados gerados pelo processo de auditoria;
5.3.3 apoiar a implementao dos planos de ao relativos auditoria, gerados
pelas reas de negcio.

5.4.1 identificar necessidades de Auditoria da Segurana da Informao;
5.4.2 observar e apoiar a elaborao e a implementao dos planos de ao para
preveno e correo de no conformidades observadas durante o processo
de auditoria;
5.4.3 conduzir anlises crticas com vistas ao aprimoramento da Poltica de
Segurana da Informao, em articulao com a AGETIC.
Informao.
7. Data de Reviso
10/07/2012


34

Norma 08 - Gesto da Continuidade do Negcio
1. Objetivo

Estabelecer, no mbito da Administrao Pblica do Poder Executivo Estadual, as regras
e os princpios que regulamentam a Gesto da Continuidade do Negcio GCN, que
so: manter o negcio em funcionamento, definir o papel de cada elemento que
administrar a situao do GCN e conscientizar todos os usurios sobre suas
responsabilidades no processo.
2. Definies
Continuidade do Negcio: capacidade estratgica e ttica do rgo ou entidade de se
planejar e responder a incidentes e interrupes de negcios para conseguir continuar
suas operaes em um nvel aceitvel e previamente definido.
Gesto da Continuidade do Negcio: processo de gesto que identifica ameaas em
potencial e os possveis impactos s operaes de negcio caso essas ameaas se
concretizem. Este processo fornece um framework para que se construa uma resilincia
organizacional que seja capaz de responder efetivamente e salvaguardar a reputao e
a marca do rgo ou entidade e suas atividades de valor agregado.
Resilincia Organizacional: capacidade do rgo ou entidade de reagir a um
incidente de Segurana da Informao que provoque a interrupo das operaes
crticas, a tempo de reduzir ou eliminar os danos desta interrupo, incluindo a
capacidade estratgica e ttica para planejar e responder a incidentes e interrupes do
negcio com a finalidade de continuar as operaes do negcio a um nvel pr-definido
e aceitvel.
Partes Interessadas: aqueles que possuem um interesse permanente nos resultados
de uma organizao.
fornecedor, prestador de servio ou terceiro em geral que tenha acesso a informaes
ou recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica
3. Abrangncia
Esta Norma se aplica a todos os usurios e processos da Administrao Pblica
Estadual, bem como, aos sistemas informatizados e meios convencionais de
processamento, comunicao e armazenamento de informaes.
4. Diretrizes
4.1 A Gesto da Continuidade de Negcio (GCN) na Administrao Pblica Estadual
deve:
4.1.1 sistematizar o entendimento integral de todos os aspectos e fenmenos
relacionados Continuidade do Negcio, incluindo:

35

a) identificao das ameaas potenciais e os respectivos impactos nas
operaes do negcio do rgo ou entidade;
b) definio da estratgia de recuperao a ser utilizada caso ocorra um
incidente;
c) gerenciamento de incidente adverso que interrompa um processo ou
atividade crtica;
d) planejamento da continuidade e da recuperao das operaes e
sistemas aps uma interrupo;
e) estabelecimento de procedimentos de retorno normalidade, quando
aplicvel.
f) incorporar a Gesto da Continuidade de Negcio ao desenvolvimento de
novos produtos e servios crticos do rgo ou entidade e ao processo
de gerncia de mudanas para produtos e servios existentes;
g) estabelecer um programa efetivo para planejamento, resposta a
incidentes e interrupes nos processos de negcio;
h) prover a continuidade das operaes do negcio em um nvel aceitvel;
i) aumentar o poder de recuperao da organizao contra o rompimento
ou interrupo de sua habilidade de fornecer seus produtos e servios;
j) orientar aes de preveno e mitigao dos riscos operacionais;
k) prover a organizao de uma metodologia para a elaborao de planos
de continuidade de negcios que possibilite o restabelecimento da sua
habilidade de fornecer seus produtos e servios crticos;
l) fixar normas e padres de continuidade, compondo assim, um programa
completo e consistente para a organizao, devendo ser aceito e
seguido inclusive pelas empresas prestadoras de servio;
m) estabelecer um programa de treinamento e conscientizao dos
usurios;
n) estabelecer um programa de administrao de crises.

5. Competncias

5.1.1 viabilizar e acompanhar a Gesto da Continuidade de Negcio (GCN) no
mbito da Administrao Pblica Estadual.
5.2 Alta Administrao e Comit dos Gestores de Tecnologias de Informao e
Comunicao do Estado da Bahia - FORTIC:
5.2.1 prover apoio estratgico Gesto da Continuidade de Negcio.

36

5.3 Gestores das reas de Negcio do rgo ou Entidade:
5.3.1 atualizar, manter e implementar os Planos de Continuidade de Negcios.
5.4 Usurios:
5.4.1 conhecer os planos existentes e as situaes em que sero utilizados, alm
dos procedimentos em que sua participao esteja prevista.
ABNT NBR ISO/IEC 27001:2006 - Tecnologia da Informao - Tcnicas de
Segurana Sistemas de Gesto de Segurana da Informao - Requisitos.
Segurana - Cdigo de prtica para a Gesto da Segurana da Informao.
ISO/IEC Guide 73:2002 - Risk management - Vocabulary - Guidelines for use in
standards.
Gesto da Continuidade do Negcio BS 25999-1- Code of practice for business
continuity management.
Normas de Controle de TI, Cobit Control Objectives for Information and related
Technology.
NBR15999-1 - Gesto de Continuidade de Negcios - Parte 1: Cdigo de prtica.
Norma ISO 22301 Gesto de Continuidade de Negcios.
segurana - Gesto de Riscos de Segurana da Informao.
7. Data de Reviso
10/07/2012.


37

Norma 09 - Gerenciamento de Riscos
1. Objetivo
Estabelecer as diretrizes do processo de Gesto de Riscos no mbito da Segurana da
Informao para a Administrao Pblica Estadual.
2. Definies
Alta Administrao: dirigente mximo dos rgos e entidades da Administrao
Pblica Estadual, chefes de gabinete, superintendentes e diretores.
Anlise de Riscos: processo de compreender a natureza do risco e determinar o seu
nvel.
Avaliao de Riscos: processo de comparar os resultados da anlise de riscos com os
critrios de risco para determinar se o risco e/ou sua magnitude aceitvel ou
tolervel.
Controle: qualquer processo, poltica, dispositivo, prtica ou outras aes que
modifiquem o risco, podendo ser de natureza administrativa, tcnica, de gesto ou
legal.
Risco: combinao de consequncias de um evento e a probabilidade de ocorrncia
associada.
Risco Residual: risco remanescente aps o seu tratamento.
Tratamento de Riscos: processo de seleo e implementao de medidas para
modificar riscos.
3. Abrangncia
Esta Norma se aplica a todos os processos de negcio que fazem parte do escopo da
Gesto de Riscos da Administrao Pblica Estadual.
4. Diretrizes
4.1 Deve ser estabelecida uma metodologia para Gesto de Riscos, contemplando a
definio do contexto, anlise e avaliao, tratamento, aceitao e comunicao de
riscos.
4.2 O processo de Gesto de Riscos deve ser apoiado por uma ferramenta para
otimizao de suas atividades.
4.3 A Gesto de Riscos deve ser um processo contnuo, atravs de constante
monitoramento e anlise crtica dos riscos para os processos de negcio.

38

4.4 Deve ser definido um perodo para o ciclo de anlises de risco.
4.5 Anlises crticas devem ser conduzidas com o objetivo de melhoria do prprio
processo de gerenciamento de riscos.
4.6 Definio do Contexto de Riscos
4.6.1 Deve ser definido um contexto para toda anlise de riscos, contemplando,
entre outros:
a) objetivos estratgicos da Administrao Pblica Estadual;
b) formalizao do escopo da anlise de riscos;
c) avaliao de requisitos de Segurana da Informao;
d) incidentes de Segurana da Informao;
e) poltica de Segurana da Informao;
f) resultados de anlises de riscos anteriores;
g) monitorao do ambiente externo, identificando ameaas, riscos e
vulnerabilidades.
4.7 Anlise de Riscos
4.7.1 Uma anlise dos relacionamentos existentes entre os processos de negcio,
seus sistemas e servios, e, respectivos ativos, deve ser conduzida em
sintonia com o contexto definido, para estabelecer as prioridades da anlise
de riscos.
4.7.2 As anlises de riscos devem ser executadas como projetos. Cada projeto
deve ter um termo de abertura com a cincia da Alta Administrao do
rgo ou entidade e um responsvel definido.
4.7.3 As anlises de riscos devem ser planejadas, contemplando uma avaliao do
escopo da anlise, definio de cronograma, estratgia de comunicao e
estimativa de custos.
4.7.4 As anlises de riscos devem gerar relatrios operacionais e executivos com o
objetivo de auxiliar a fase de avaliao de riscos.
4.8 Avaliao de Riscos
4.8.1 Com base nas informaes obtidas na fase de anlise de riscos, devem ser
estabelecidos critrios de risco - considerando o que so riscos aceitveis e
inaceitveis e ndices de riscos e de conformidade pretendidos.
4.8.2 Com base nos critrios de risco estabelecidos, os riscos aceitveis devem ser
aceitos formalmente pela Alta Administrao e os riscos no aceitveis
devem ser tratados.

39

4.9 Tratamento e Comunicao de Riscos
4.9.1 O tratamento de riscos deve ser planejado, atravs da definio:
a) dos controles a serem implementados e de seus responsveis;
b) da identificao de premissas e restries, quando aplicveis;
c) da definio de um cronograma de implementao.
4.9.2 Antes da implementao de qualquer controle, dever ser feita uma anlise
de impacto no ambiente que sofrer a mudana.
4.9.3 Todos os controles no implementados devem ser formalmente
documentados e justificados.
4.9.4 Ao final da fase de tratamento, relatrios devem ser elaborados
contemplando:
a) o escopo das implementaes;
b) a equipe envolvida no processo;
c) os controles implementados;
d) os ndices de risco e conformidade pr e ps implementaes;
e) os riscos residuais.
4.10 O resultado das Anlises e Avaliaes de Risco de segurana da informao deve
ser classificado como informao sigilosa, quando esse puder comprometer a
segurana dos processos de negcio do rgo ou entidade a que se refere.
5. Competncias
5.1 Alta Administrao do rgo ou Entidade
5.1.1 estabelecer e formalizar os critrios de aceitao dos riscos e os objetivos
dos ndices de risco e de conformidade.

5.2.1 analisar os resultados provenientes das anlises de riscos executadas nos
ativos sob sua responsabilidade, definindo planos de ao para aplicao dos
controles recomendados, quando aplicvel;
5.2.2 aceitar ou tratar os riscos conforme os critrios estabelecidos pela Alta
Administrao do rgo ou entidade.

5.3.1 viabilizar a implementao dos controles sob sua competncia.

40

5.4.1 estabelecer o contexto de riscos em conjunto com as reas envolvidas;
5.4.2 executar periodicamente os processos de anlise, avaliao e comunicao
de riscos;
5.4.3 observar e apoiar a implementao das aes necessrias para tratamento
dos riscos no aceitos;
5.4.4 conduzir anlises crticas com vistas ao aprimoramento do processo de
gerenciamento de riscos.
NBR ISO / IEC 31000:2009 - Gesto de Riscos - Princpios e diretrizes.
NBR ISO / IEC 27005:2010 - Gesto de Riscos de Segurana da Informao.
7. Data de Reviso
10/07/2012

41

Norma 10 - Contabilizao de Ativos de Tecnologia da
Informao
1. Objetivo
Definir as diretrizes para a contabilizao adequada dos Ativos de Tecnologia da
Informao no mbito da Administrao Pblica do Poder Executivo Estadual.
2. Definies
Ativos de Tecnologia da Informao: estaes de trabalho, servidores, softwares,
mdias e quaisquer equipamentos eletrnicos relacionados Tecnologia da Informao.
Estao de Trabalho: todos os microcomputadores e equipamentos correlatos da
Administrao Pblica Estadual, inclusive dispositivos mveis.
Freeware: programa disponvel publicamente, segundo condies estabelecidas pelos
autores, sem custo de licenciamento para uso.
Incidente de Segurana da Informao: indicado por um simples ou por uma srie
de eventos de Segurana da Informao que tenham uma grande probabilidade de
comprometer as operaes do negcio e ameaar a Segurana da Informao.
Mdias Removveis/Reutilizveis: incluem fitas, discos, memrias flash, discos
removveis, CD, DVD, mdia impressa, entre outros.
Shareware: programa disponvel publicamente para avaliao e uso experimental,
mas, cujo uso em regime pressupe que o usurio pagar uma licena ao autor.
Shareware distinto de freeware, no sentido de que um software shareware
comercial, embora em termos e preos diferenciados em relao a um produto
comercial convencional.
Software Livre: denominao dada a determinado software cujo cdigo-fonte de
domnio pblico e, em geral, gratuito.
fornecedor, prestador de servio ou terceiro em geral que utiliza Ativos de Tecnologia
da Informao disponibilizados pela Administrao Pblica Estadual em local ou jornada
de trabalho para este ltimo.
3. Abrangncia
Esta Norma se aplica a todos os usurios dos Ativos de Tecnologia da Informao
disponibilizados pela Administrao Pblica Estadual.

42

4. Diretrizes
4.1 As informaes e os Ativos de Tecnologia da Informao de propriedade da
Administrao Pblica Estadual devem ser utilizados exclusivamente para os seus
interesses, podendo ser monitorados a qualquer tempo.
4.2 Os Ativos de Tecnologia da Informao devem ser inventariados e identificados de
forma nica.
4.3 Os Ativos de Tecnologia da Informao devem ser classificados em funo de sua
relevncia para o processo de negcio a que se destinam. Esta relevncia deve ser
considerada em eventuais anlises de riscos.
4.4 Os Ativos de Tecnologia da Informao devem ser, sempre que possvel,
relacionados a um usurio, responsvel por sua utilizao.
4.5 A entrada e a sada de Ativos de Tecnologia da Informao das dependncias dos
rgos e entidades da Administrao Pblica Estadual devem ser acompanhadas
pelos devidos documentos de movimentao.
4.6 O padro de configurao (hardware e software) dos Ativos de Tecnologia da
Informao definido pela rea de tecnologia da informao dos rgos e
entidades e no deve ser modificado sem sua autorizao.
4.7 Os itens que compem conjuntos de ativos no podem ser modificados sem a
autorizao da rea de tecnologia da informao dos rgos e entidades.
4.8 Somente softwares licenciados e homologados devem ser utilizados.
4.9 Os inventrios (hardware e software) devem ser atualizados apropriadamente
sempre que Ativos de Tecnologia da Informao forem descartados.
4.10 As mdias contendo as cpias de segurana devem ser catalogadas e armazenadas
por tempo compatvel com as necessidades dos processos de negcio.
4.11 A utilizao de software que no seja de propriedade da Administrao Pblica
Estadual ou licenciado para a mesma, pode, alm de configurar crime de pirataria
conforme Lei N 9.609, de 19 de fevereiro de 1998, interferir na contabilizao
dos ativos.
5. Competncias
5.1.1 contabilizar os Ativos de Tecnologia da Informao de forma a garantir sua
conformidade com esta Norma.
5.2.1 observar o cumprimento desta Norma.

43

5.3 Usurio:
5.3.1 utilizar os Ativos de Tecnologia da Informao em conformidade com esta
Norma;
5.3.2 notificar, atravs de abertura de incidente de Segurana da Informao,
sempre que identificar dano, roubo, perda ou modificaes indevidas em um
Ativo de Tecnologia da Informao.
7. Data de Reviso
10/07/2012

44

Norma 11 - Intercmbio de Informaes
1. Objetivo
Definir as diretrizes de segurana na troca de informaes e softwares internamente
aos rgos e entidades da Administrao Pblica Estadual e/ou com quaisquer
entidades externas.
2. Definies
Criptografia: tcnica utilizada para tornar a informao original ilegvel, permitindo
que somente o destinatrio (detentor da chave de criptografia) a decifre.
Informao Sigilosa: informao submetida temporariamente restrio de acesso
pblico em razo de sua imprescindibilidade para a segurana da sociedade e do
Estado, e aquelas abrangidas pelas demais hipteses legais de sigilo.
Mdias Removveis/Reutilizveis: incluem fitas, discos, memrias flash, discos
removveis, CD, DVD, mdia impressa, entre outros.
fornecedor, prestador de servio ou terceiro em geral que utiliza informaes ou
sistemas de informao de propriedade da Administrao Pblica Estadual, em local ou
jornada de trabalho deste ltimo.
Virtual Private Network (VPN): Rede virtual privada com uso de criptografia para
garantir a confidencialidade das informaes trafegadas em uma rede pblica.
3. Abrangncia
Esta Norma se aplica a todos os usurios de informaes ou sistemas de informao de
propriedade da Administrao Pblica Estadual.
4. Diretrizes
4.1 Diretrizes Gerais
4.1.1 A troca de informaes entre os usurios deve ser suportada por acordos
formalizados e documentados, contendo, quando aplicvel, clusulas de
preservao da privacidade de dados pessoais, direitos autorais, preservao
de bens patrimoniais, sigilo e no divulgao.
4.1.2 Salvo nos casos previstos em lei, todo usurio deve assinar um termo de
sigilo e confidencialidade com o Governo do Estado da Bahia.
4.1.3 As informaes classificadas como sigilosas gravadas em mdia removvel
devem utilizar soluo de criptografia.
4.1.4 Toda informao sigilosa deve receber o tratamento adequado conforme
descrito na Norma de Classificao da Informao.

45

4.1.5 Procedimentos de recepo de fac-smiles, impresso de documentos,
abertura de correio e distribuio de correspondncia devem ser
estabelecidos de forma a prevenir o acesso no autorizado informao.
4.1.6 Aes de conscientizao dos usurios devem incluir a observncia das
necessidades de segurana ao se efetuar conversaes, inclusive as
telefnicas, sobre assuntos restritos e confidenciais em locais pblicos, em
escritrios abertos ou mesmo em reunies realizadas em sala sem a devida
adoo dos requisitos de segurana.
4.1.7 Mecanismos devem ser implementados para proteger as informaes
associadas aos sistemas de informao dos negcios, entre outros:
a) proteo contra interceptao e gravao de chamadas telefnicas ou de
teleconferncias, garantido a confidencialidade das chamadas;
b) o acesso rede corporativa ou a Intranet, por meio da Internet, deve
utilizar soluo de criptografia (VPN - Virtual Private Network);
c) procedimento de reteno de cpias de segurana das informaes
mantidas nos sistemas, bem como sua recuperao e contingncia;
d) restrio de acesso a informaes de trabalho compatvel s atividades do
usurio atravs do gerenciamento de perfis de acesso;
e) proteo contra cdigo malicioso, conforme Norma de Proteo Contra
Cdigo Malicioso;
f) procedimentos para o uso de comunicao sem fio, levando em conta os
riscos particulares envolvidos;
g) as mensagens confidenciais, enviadas pelo Correio Eletrnico, devem
utilizar soluo de criptografia.
4.2 Mdias em Trnsito
4.2.1 Devem ser adotados transporte e servio de mensageiro confivel e
preferencialmente estabelecer um contrato de sigilo e confidencialidade com
esse servio.
4.2.2 As embalagens de mdias removveis devem ser suficientes para proteger os
contedos contra danos fsicos.
4.2.3 Mecanismos de proteo contra danos fsicos durante o transporte das
mdias removveis devem ser adotados, considerando as recomendaes do
fabricante das mdias.
4.2.4 A entrega dos documentos e das mdias removveis, contendo informaes
sigilosas, deve ser registrada em recibo ou sistema eletrnico especfico.

46

5. Competncias
5.1.1 prover recursos para garantir a troca adequada de software, de
informaes armazenadas e transmitidas por meio eletrnico.
5.2.1 apoiar as reas envolvidas no cumprimento das diretrizes desta norma.
5.3 Usurio:
5.3.1 cumprir as diretrizes desta norma.
Norma 05 - Acesso e Utilizao do Correio Eletrnico.
7. Data de Reviso
10/07/2012

47

Norma 12 - Segurana Fsica
1. Objetivo
Estabelecer diretrizes para prevenir o acesso fsico no autorizado, a fim de evitar dano
e interferncia s informaes, ativos e instalaes fsicas da Administrao Pblica do
Poder Executivo Estadual.
2. Definies
rea Segura: incluem-se nesta classificao especial as reas protegidas que
contenham informaes, dispositivos ou servios imprescindveis aos negcios, tais
como sala de servidores, sala de operao, cofre, salas e armrios com informaes
sensveis associadas a interesses relevantes dos rgos e entidades e locais com
equipamentos e infraestrutura de conectividade (switches, roteadores, dispositivos de
armazenamento, quadro de telefonia, quadro de cabeamento, entre outros).
rea Protegida: corresponde s dependncias dos rgos e entidades, onde
escritrios, salas e instalaes de processamento de informaes so utilizados pela
Administrao Pblica Estadual.
rea Pblica: corresponde ao permetro externo s dependncias dos rgos e
entidades, tais como ruas, avenidas e reas circunvizinhas e instalaes prediais,
quando as dependncias do rgo ou entidade esto em salas ou andares de prdios
comerciais.
3. Abrangncia
Esta Norma se aplica a todas as dependncias e usurios da Administrao Pblica
Estadual.
4. Diretrizes
4.1 Permetros de Segurana
4.1.1 Em reas Pblicas:
a) as regras de controle de acesso fsico no se aplicam s reas pblicas.
4.1.2 Em reas Protegidas:
a) devem ser localizados de forma a evitar o acesso do pblico, com
indicaes mnimas do seu propsito e sem sinais bvios da presena de
atividades de processamento de informao;
b) convm que as paredes externas possuam construo slida. As portas
externas devem ser protegidas de forma apropriada, com mecanismos de
controle, travas etc., contra acessos no autorizados; uma rea de
recepo ou outro meio de controle de acesso fsico deve ser usado,
devendo o acesso ser restrito apenas ao pessoal autorizado;

48

c) barreiras fsicas devem, se necessrio, ser estendidas da laje do piso at
a laje superior para prevenir acessos no autorizados ou contaminao
ambiental como as causadas por fogo e inundaes;
d) todas as portas de incndio devem possuir dispositivo para fechamento
automtico;
e) devem ser afixados avisos (normalmente nas entradas, sadas e
corredores de acesso), facilmente visveis, informando sobre o controle
de acesso para as pessoas e alertando sobre as restries ao acesso
pblico, de tal forma que desestimule as invases.
4.1.3 Em reas Seguras:
a) barreiras e permetros adicionais para controlar o acesso fsico podem ser
necessrios em reas com diferentes requisitos de segurana dentro de
um mesmo permetro de segurana;
b) devem ser afixados avisos, normalmente na respectiva porta, facilmente
visveis, alertando sobre as restries ao acesso s reas seguras,
indicando que somente pessoal autorizado tem acesso, de tal forma que
desestimule as invases.
4.2 Controles de Entrada Fsica
4.2.1 Procedimentos de controle de acesso fsico devem ser implementados de
forma a restringir o acesso s reas protegidas e seguras. Os procedimentos
de controle de acesso devem, quando necessrio, contemplar, entre outros:
a) a utilizao de dispositivos de identificao pessoal;
b) monitorao de acessos;
c) restries de horrios de acesso e permanncia;
d) controle de acesso de terceiros;
e) movimentao de ativos.
4.2.2 O pessoal autorizado deve ter acesso fsico somente aos ativos
imprescindveis para a realizao dos seus trabalhos.
4.2.3 O acesso de visitantes deve se dar somente aps identificao individual e
autorizao de entrada por parte da pessoa e/ou setor que ser visitado.
4.3 Segurana em Escritrios, Salas e Instalaes de Processamento
4.3.1 A escolha da localizao, os projetos de engenharia e arquitetura das
instalaes devem levar em considerao as possibilidades de danos
causados por fogo, inundaes, exploses, manifestaes civis e outras
formas de desastres naturais ou causados pelo homem. Tambm devem ser
levados em considerao as regulamentaes e padres de segurana e
sade, bem como serem tratadas quaisquer ameaas originadas em
propriedades vizinhas.

49

4.3.2 Portas e janelas devem ser mantidas fechadas quando no utilizadas e
devem ser instaladas protees extras, principalmente quando essas portas
e janelas se localizarem em andar trreo.
4.3.3 Sistemas de deteco de intrusos, tais como alarmes e sistemas de vdeo
vigilncia, devem ser instalados e testados regularmente, de forma a cobrir
todas as portas e janelas acessveis.
4.3.4 Equipamentos de contingncia e meios magnticos de reserva devem ser
guardados a uma distncia segura para evitar danos que podem se originar
de um desastre na rea protegida.
4.3.5 As portas de entrada devem permanecer trancadas nos perodos de
inatividade.
4.3.6 Uma poltica de mesa limpa deve ser implementada, visando eliminar
riscos de acesso no autorizado a informaes em mdias no mgnticas,
tais como documentos sensveis deixados em impressoras ou mesas de
trabalho.
4.4 Trabalho em reas Seguras
4.4.1 A existncia das informaes ou das atividades dentro de reas seguras
deve ser de conhecimento restrito a pessoal autorizado e apenas quando
necessrio.
4.4.2 reas seguras devem estar fechadas e trancadas adequadamente de forma a
impedir acessos no autorizados. Quando desocupadas, devem ser mantidas
fisicamente fechadas e verificadas periodicamente.
4.4.3 Somente pessoas imprescindveis realizao dos trabalhos rotineiros ou de
manuteno devem ter acesso s reas seguras, mediante autorizao.
4.4.4 Deve-se evitar trabalho sem monitoramento nas reas seguras para prevenir
oportunidades de atividades maliciosas, devendo o pessoal de servios de
suporte terceirizados ter acesso controlado a estas reas.
4.4.5 Materiais combustveis ou perigosos devem ser guardados de forma
adequada a uma distncia apropriada de uma rea segura. Suprimentos
volumosos, tais como material de escritrio, no devem ser guardados em
reas seguras, a menos que sejam imprescindveis.
4.4.6 Qualquer equipamento de gravao, fotogrfico, vdeo ou som somente deve
ser utilizado com autorizao.
4.5 Instalao e Proteo dos Equipamentos
4.5.1 Os Ativos de Tecnologia da Informao devem ser posicionados fisicamente e
protegidos, a fim de se reduzir o risco decorrente de ameaas potenciais e
oportunidades de acesso no autorizado.
4.5.2 O consumo de alimentos, bebidas e fumo deve acontecer apenas nas
instalaes definidas para esse fim.

50

4.5.3 Os Ativos de Tecnologia da Informao crticos devem ser protegidos por
equipamentos contra falhas de energia e outras anomalias na alimentao
eltrica.
4.5.4 As reas consideradas pela Administrao Pblica Estadual como sendo de
alto risco devem possuir planos de continuidade operacional que
estabeleam as atividades necessrias para contingncia e restaurao dos
Ativos de Tecnologia da Informao, de forma a garantir a disponibilidade
dos servios, mesmo em momentos de crise.
4.5.5 Normas Tcnicas Brasileiras devem ser seguidas no que concerne ao
cabeamento de redes, telecomunicaes e instalaes eltricas.
4.5.6 O cabeamento de dados e as instalaes eltricas devem ser protegidos
contra interceptao ou dano.
4.5.7 Os pontos de rede de dados devem ser controlados, devendo-se documentar
todos os pontos existentes e evitar a existncia de pontos ativos sem
utilizao.
5. Competncias
5.1.1 garantir que os Ativos de Tecnologia da Informao estejam fisicamente
protegidos contra ameaas sua segurana, conforme as diretrizes desta
Norma.
5.2.1 realizar auditorias peridicas visando o cumprimento das diretrizes desta
Norma;
5.2.2 tratar os incidentes de segurana abertos em funo de no conformidades
observadas;
5.2.3 promover a cultura de Segurana do Ambiente nos rgos e entidades.
5.3 Usurio:
5.3.1 observar e cumprir todas as diretrizes desta Norma;
5.3.2 reportar quaisquer no conformidades atravs de abertura de incidente de
segurana.
Informao.

51

7. Data de Reviso
10/07/2012

52

Norma 13 - Segurana em Terceirizao e Prestao de
Servios
1. Objetivo
Estabelecer diretrizes para implementar e manter o nvel apropriado de Segurana da
Informao e de entrega de servios nos acordos firmados entre o Governo do Estado
da Bahia e terceiros.
2. Definies
Incidente de Segurana da Informao: indicado por um simples ou por uma srie
de eventos de Segurana da Informao que tenham uma grande probabilidade de
comprometer as operaes do negcio e ameaar a Segurana da Informao.
Parceiro: qualquer entidade pblica ou privada, organizaes no governamentais ou
instituies sem fins lucrativos com a qual se estabelea uma relao de cooperao
mtua.
Terceiro: qualquer parceiro, fornecedor ou prestador de servio que acesse
informaes ou utilize recursos de Tecnologia da Informao disponibilizados pela
3. Abrangncia
Esta Norma se aplica a todos os acordos celebrados entre o Governo do Estado da
Bahia e terceiros.
4. Diretrizes
4.1 Contratos firmados entre o Governo do Estado e prestadores de servio devem
incluir acordos que definam os nveis de entrega de servios, contemplando, entre
outros:
4.1.1 definio explcita das responsabilidades e direitos legais do Governo do
Estado, da Prestadora de Servios e dos profissionais envolvidos;
4.1.2 definio explcita dos direitos de propriedade dos produtos gerados;
4.1.3 aceite obrigatrio de toda a Poltica de Segurana da Informao do
contratante;
4.1.4 acordos de confidencialidade entre ambas as partes;
4.1.5 acordos de confidencialidade entre o terceiro e seus funcionrios e
subcontratados;
4.1.6 limitao do acesso apenas aos ativos e informaes necessrios execuo
de suas atividades;

53

4.1.7 nveis de segurana durante os perodos de transio;
4.1.8 nvel de capacidade tcnica, logstica e administrativa necessria do terceiro
para prestar os servios contratados;
4.1.9 planos para garantir os nveis de continuidade de servios acordados aps
falhas severas nos servios ou desastres;
4.1.10 acordos de nvel de servio (SLA), com indicadores adequados natureza
do contrato;
4.1.11 informao de que os servios prestados podero ser auditados.
4.2 Os servios de terceiros, prestados ao Governo do Estado devem ser monitorados e
analisados criticamente de forma regular, a fim de garantir a aderncia entre os
termos de Segurana da Informao e as condies dos acordos, alm de permitir o
gerenciamento adequado de problemas e Incidentes de Segurana da Informao.
4.3 Devem ser executadas auditorias peridicas nos servios de terceiros,
contemplando:
4.3.1 nveis de desempenho de servio para verificar aderncia aos acordos;
4.3.2 relatrios de servios produzidos por terceiros;
4.3.3 registros dos incidentes de Segurana da Informao e de sua respectiva
anlise crtica, tanto pelo terceiro quanto pelo rgo ou entidade, como
requerido pelos acordos e por quaisquer procedimentos e diretrizes que os
apiam;
4.3.4 trilhas de auditoria do terceiro e registros de eventos de segurana,
problemas operacionais, falhas, investigao de falhas e interrupo
relativas ao servio.
4.4 Um processo de gerenciamento de mudanas deve ser elaborado para os servios
prestados por terceiros a fim de garantir que modificaes em recursos de
Tecnologia da Informao sejam processadas, levando-se em considerao o grau
de importncia dos sistemas e processos de negcio envolvidos. Este processo deve
contemplar:
4.4.1 melhoria dos servios correntemente oferecidos;
4.4.2 desenvolvimento de quaisquer novas aplicaes ou sistemas;
4.4.3 modificaes ou atualizaes das polticas e procedimentos;
4.4.4 novos controles para resolver os incidentes de Segurana da Informao e
melhoria da segurana;
4.4.5 mudanas e melhorias em redes;
4.4.6 uso de novas tecnologias;
4.4.7 adoo de novos produtos ou novas verses;
4.4.8 novas ferramentas e ambientes de desenvolvimento;

54

4.4.9 mudanas de localizao fsica dos recursos de servios;
4.4.10 mudanas de fornecedores;
4.4.11 mudanas de contratos.
5 Competncias
5.1.1 administrar os contratos sob sua responsabilidade;
5.1.2 monitorar e aprovar periodicamente as atividades dos prestadores de
servios, quanto qualidade e eficincia;
5.1.3 avaliar regularmente o direito de acesso dos prestadores de servio sob sua
responsabilidade;
5.1.4 comunicar infraes aos acordos de segurana estabelecidos por meio de
incidentes de Segurana da Informao;
5.1.5 auditar periodicamente os servios de terceiros.
5.2.1 definir, junto as reas envolvidas, os nveis de entrega de servios
adequados e os requisitos necessrios para garantia da segurana das
informaes;
5.2.2 implementar um processo de gerenciamento de mudanas em recursos de
Tecnologia da Informao para servios de terceiros.
6 Documentos Relacionados
Informao.
Norma 12 - Segurana Fsica.
7 Data de Reviso
10/07/2012

55

Norma 14 - Desenvolvimento e Manuteno de Aplicaes
1. Objetivo

Estabelecer as diretrizes que regulamentam a segurana para o processo de
desenvolvimento e manuteno de software no mbito da Administrao Pblica do
Poder Executivo Estadual.
2. Definies
Artefato de Software: item criado como parte da definio, manuteno ou utilizao
de um processo de software, incluindo, entre outros, descries de processos, planos,
procedimentos, especificaes, projetos de arquitetura, projeto detalhado, cdigo,
documentao para o usurio.
Base de Dados: conjunto de dados organizados de forma a servir de base para que o
usurio processe e recupere informaes.
Gesto de Configurao: conjunto de procedimentos tcnicos e gerenciais que so
definidos para identificao de Ativos de Tecnologia da Informao e para a gesto de
suas alteraes.
Rastreabilidade: capacidade de acompanhamento e registro de todos os eventos e
movimentaes ocorridas, desde a criao da informao at o seu descarte.
Usurio: qualquer colaborador, seja ele servidor pblico, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que utiliza os servios de rede ou
sistemas de informao disponibilizados pela Administrao Pblica Estadual em local
3. Abrangncia
Esta Norma se aplica a todos os usurios envolvidos nos processos de desenvolvimento
e manuteno de software no mbito da Administrao Pblica Estadual.
4. Diretrizes
4.1 Disposies Gerais
4.1.1 Pelo menos 1 (uma) metodologia deve ser estabelecida para todo
desenvolvimento ou manuteno, com base nas melhores prticas de
mercado, contemplando, entre outros:
a) planejamento;
b) anlise de requisito;
c) projeto;

56

d) codificao;
e) reviso;
f) compilao;
g) teste.
4.1.2 Todo desenvolvimento ou manuteno de software deve ser formalmente
autorizado.
4.1.3 Para todo desenvolvimento ou manuteno de software deve ser realizada
uma anlise de impacto.
4.1.4 Toda alterao de escopo de desenvolvimento ou manuteno de software
deve ser documentada e formalmente autorizada.
4.1.5 Todas as ferramentas de desenvolvimento devem ser homologadas e
licenciadas.
4.1.6 Todo projeto de software deve conter um documento de especificao de
segurana que descreva seus objetivos de segurana, os quais devem, entre
outros, contemplar:
a) o ecanismo de autenticao do usurio, que deve utilizar senhas com
mtrica mnima e exigir do usurio a troca peridica da senha;
b) o mecanismo de autenticao do usurio, que deve bloquear o acesso
aps nmero definido de tentativas de login com falha;
c) a verificao da senha por meio de mecanismo que impea fraudes de
repetio, interceptao ou quebra de integridade na comunicao entre
o cliente e o servidor;
d) a escolha da senha por novos usurios sem a interferncia do pessoal de
apoio ou o recebimento pelos mesmos, de uma senha inicial que precise
ser trocada;
e) o armazenamento da senha pelo sistema, de forma criptografada e
irreversvel;
f) a uniformidade do controle de acesso em todo o sistema, utilizando-se
uma nica rotina de verificao;
g) a realizao do controle de acesso na camada mais prxima possvel dos
dados;
h) o registro, pelo sistema, dos eventos significativos para a segurana,
principalmente, inicio e fim do mecanismo de auditoria;
i) o registro, pelo sistema, das falhas de login, indicando o nmero de
tentativas;
j) o registro, pelo sistema, da criao e remoo de usurios, bem como
da atribuio e da remoo de direitos do usurio;

57

k) a proteo da trilha de auditoria contra remoo e alterao por parte
de todos os usurios, exceto dos administradores de auditoria;
l) a capacidade de tolerncia do sistema falhas e retorno a operao;
m) a inexistncia, em aplicaes web, de dados sensveis em campos
ocultos ou cookies;
n) a realizao das verificaes e validaes de segurana no servidor, em
aplicaes web;
o) o acesso aos desenvolvedores apenas aos cdigos fontes necessrios
para a alterao, quando autorizados pelo superior imediato;
p) a maior semelhana possvel do ambiente de homologao ao ambiente
de produo;
q) a exigncia de que os aplicativos s passem do desenvolvimento para a
homologao aps verificao da existncia e adequao de sua
documentao;
r) a existncia de documentao de instalao, configurao e operao do
sistema, ressaltando os aspectos de segurana, que deve ser mantida
atualizada.
4.1.7 Preferencialmente deve ser utilizado o mdulo corporativo de acesso a
sistemas, provido pela Administrao Pblica Estadual.
4.1.8 Requisitos funcionais, no funcionais e de domnio devem ser especificados e
documentados, bem como as manutenes necessrias, considerando os
requisitos de segurana definidos no desenvolvimento do sistema.
4.1.9 A especificao dos requisitos deve ser elaborada em conjunto com a rea
de negcio solicitante da demanda.
4.1.10 Um mecanismo de controle de verso deve ser implementado durante o
processo de desenvolvimento e manuteno de software.
4.1.11 Deve existir um programa de conscientizao em Segurana da Informao
para todos os usurios envolvidos nos processos de desenvolvimento de
aplicaes.
4.1.12 Devem existir mecanismos de verificao de vulnerabilidades no cdigo
fonte durante o processo de desenvolvimento e manuteno de software.
4.1.13 Incidentes de segurana devem ser abertos quando vulnerabilidades forem
identificadas durante o processo de desenvolvimento e manuteno de
software.
4.1.14 O acesso aos cdigos fontes deve ser controlado e restrito aos
desenvolvedores envolvidos, em seus respectivos projetos.
4.1.15 Os cdigos fontes no devem conter identificaes e/ou senhas de acesso
s bases de dados, sejam elas de teste, de homologao ou de produo.

58

4.1.16 Ambientes de desenvolvimento e testes, de homologao e de produo
devem ser isolados entre si.
4.1.17 Um processo de gesto de configurao deve ser implementado e deve
abranger todo o processo de desenvolvimento e manuteno.
4.2 Todo software que implique em manipulao de dados deve ser desenvolvido com
controle de acesso lgico. Mecanismos adicionais que possibilitem a rastreabilidade
das operaes efetuadas devem ser considerados em casos de manipulao de
dados sensveis.
4.3 Desenvolvimento Terceirizado
4.3.1 Todos os contratos com terceiros devem contemplar clusulas de sigilo e
confidencialidade.
4.3.2 Os produtos desenvolvidos externamente devem obedecer a padres e
metodologias homologadas, alm de atender aos requisitos funcionais, no
funcionais, de domnio e de segurana definidos.
4.3.3 O contrato de desenvolvimento de produtos com terceiros deve prever, no
mnimo, os artefatos de software a serem entregues em cada fase, a
validao, o procedimento de aceite final e o perodo de garantia.
4.4 Testes
4.4.1 Procedimentos de testes no software devem ser definidos e utilizados para
todo desenvolvimento ou manuteno realizados, e devem contemplar, entre
outros, controles tais como:
a) validao de dados de entrada;
b) controle de processamento interno;
c) integridade de mensagens;
d) validao de dados de sada.
4.4.2 Os testes devem validar os mecanismos de segurana especificados no
desenvolvimento ou na manuteno do software.
4.4.3 Os testes de aceitao do software devem ser realizados por uma equipe
diferente da equipe desenvolvedora, que deve ser composta por usurios da
rea de desenvolvimento e da rea de negcio solicitante.
4.4.4 A utilizao de dados de produo em ambiente de testes deve ser
autorizada formalmente.
4.4.5 As informaes contidas na base de dados de ambiente de produo, se
utilizadas para testes, devem sofrer alteraes, de modo a preservar sua
confidencialidade.
4.5 Aceitao de Software

59

4.5.1 Os artefatos de software, provenientes de desenvolvimento ou manuteno,
devem ser homologados antes de serem utilizados em ambiente de
produo.
4.6 Mudanas Tcnicas no Ambiente de Produo
4.6.1 As atualizaes de configurao no ambiente de produo devem ser
realizadas, inicialmente, em ambiente de teste e, todo software deve ser
analisado criticamente, considerando os seguintes aspectos:
a) anlise crtica dos procedimentos de controle e integridade do software,
garantindo que os mesmos no foram comprometidos pelas mudanas
efetuadas no ambiente de produo;
b) reviso do planejamento e do oramento anual para suporte, garantindo
investimentos para revises e testes de softwares resultantes das
modificaes do ambiente de produo;
c) reviso do Plano de Continuidade dos Negcios para contemplar
mudanas necessrias resultantes das modificaes do ambiente de
produo.
4.7 Implantao
4.7.1 Os produtos homologados devem ser implantados em ambiente de
produo, por meio de procedimentos tcnicos definidos pela rea de
tecnologia da informao do rgo ou entidade e aceite da rea cliente.
4.7.2 Planos de Continuidade Operacional devem ser desenvolvidos pelas reas de
negcio do rgo ou entidade para garantir a continuidade dos processos
envolvidos nas implantaes de software ou outras mudanas relacionadas.
4.7.3 A implantao de novo software deve ser realizada de acordo com o
calendrio definido pelas reas de negcio do rgo ou entidade, com a
participao da respectiva rea de tecnologia da informao.
5. Competncias
5.1.1 homologar os procedimentos e metodologias de desenvolvimento externo;
5.1.2 definir treinamentos necessrios para os desenvolvedores;
5.1.3 analisar os impactos das solicitaes de desenvolvimento e modificaes e
autorizar ou realizar o desenvolvimento ou a manuteno;
5.1.4 definir procedimentos de testes e implantao de software;
5.1.5 realizar testes no software desenvolvido ou modificado;
5.1.6 homologar software e ferramentas de desenvolvimento de software;
5.1.7 disponibilizar ferramenta para atualizar software no ambiente de produo.

60

5.2.1 autorizar a utilizao de dados de produo no ambiente de testes;
5.2.2 elaborar procedimentos de homologao, homologar e dar aceite aos
produtos desenvolvidos pela rea de tecnologia da informao do rgo ou
entidade;
5.2.3 elaborar Planos de Continuidade Operacional para garantir a continuidade
dos processos envolvidos nas implantaes de software ou outras mudanas
relacionadas.
5.3.1 analisar os incidentes de Segurana da Informao, recomendar e
acompanhar as aes necessrias;
5.4 FORTIC Comit de Gestores de Tecnologia da Informao e Comunicao
do Estado da Bahia:
5.4.1 estabelecer as metodologias para desenvolvimento de software.
Informao.
ISO/IEC 15408 Common Criteria - Evaluation Criteria for Information Technology
Security.
Norma 10 - Contabilizao de Ativos de Tecnologia da Informao.
Norma 02 - Classificao da de Informao.
7. Data de Reviso
10/07/2012

61

Norma 15 - Distribuio de Hardware e Software
1. Objetivo
Estabelecer diretrizes para a aquisio, distribuio e gerenciamento de hardware e
software no mbito da Administrao Pblica do Poder Executivo Estadual.
2. Definies

Biblioteca de Software Definitivo: repositrio no qual as verses autorizadas e
definitivas de todos os tens de software em produo esto armazenadas e protegidas.
Depsito de Hardware Definitivo: rea separada para o armazenamento de todos os
itens definitivos de hardware sobressalente.
Freeware: programa disponvel publicamente, segundo condies estabelecidas pelos
autores, sem custo de licenciamento para uso.
Processo de Gesto de Mudanas: processo que assegura que mtodos e
procedimentos padronizados sejam utilizados para um tratamento rpido e eficiente de
todas as mudanas, de modo a minimizar o impacto de quaisquer incidentes
relacionados recursos de Tecnologia da Informao.
Shareware: programa disponvel publicamente para avaliao e uso experimental, cujo
uso em regime pressupe que o usurio pagar uma licena ao autor.
Software Livre: denominao dada a determinado software cujo cdigo-fonte de
domnio pblico e, em geral, gratuito.
3. Abrangncia
Esta Norma se aplica a todos os usurios, processos de negcio, sistemas, servios e
Ativos de Tecnologia da Informao da Administrao Pblica Estadual.
4. Diretrizes
4.1 Aquisio de Hardware e Software
4.1.1 Toda aquisio de hardware ou software deve ser precedida de um
levantamento das necessidades do processo de negcio a que se destinam,
tais como: capacidade de processamento, flexibilidade, estrutura de dados,
entre outros.
4.1.2 Antes da aquisio de hardware ou software crticos e, quando possvel,
havendo concordncia do fornecedor, deve ser conduzida uma POC - Proof of
Concept (Prova de Conceito).

62

4.1.3 Todos os itens adquiridos devem ser inventariados conforme norma
especfica (Norma de Contabilizao de Ativos de Tecnologia da Informao)
e, quando vivel, ser apoiado por uma ferramenta de automao.
4.1.4 Perodos de vida til devem ser definidos para cada tipo de hardware,
contemplando as necessidades do processo de negcio a que se destina e o
retorno de investimento (ROI) durante seu ciclo de vida.
4.1.5 Planos de atualizao de hardware e software devem ser elaborados
considerando seu perodo de vida til, os requisitos funcionais e tcnicos dos
processos de negcio e, de acordo com o direcionamento tecnolgico da
4.2 Distribuio de Hardware e Software
4.2.1 Deve ser estabelecido um processo de gesto de mudanas que contemple
todas as atividades de distribuio de hardware e software, tais como:
adio, modificao e remoo, com o objetivo de controlar os riscos de
impacto aos processos de negcio (paralisao ou queda de desempenho
prolongadas ou no programadas). Este processo deve contemplar, entre
outros:
a) planejamento das mudanas em conjunto com as reas de negcio do
rgo ou entidade e outras partes relevantes;
b) documentao de todas as mudanas (requisio de mudana);
c) formalizao da aceitao de mudanas;
d) identificao de medidas de reverso ou remediao se a mudana no
for bem sucedida;
e) atualizao dos inventrios de hardware e software;
f) instalao de um ambiente de testes para a homologao de mudanas
crticas antes de aplic-las em ambiente de produo;
g) anlise de impacto integridade dos dados (modificaes em arquivos de
dados feitas pelo sistema ou aplicao sem interveno direta do
usurio);
h) proteo integridade de hardware e software durante instalao,
manejo e transporte;
i) treinamento a usurios e administradores e documentao
correspondente.
4.2.2 Deve ser implementada uma biblioteca de sofware definitivo com o objetivo
de garantir que somente verses autorizadas estejam sendo utilizadas,
devendo conter:
a) verses originais, definitivas e autorizadas de todo software e cdigos
fonte, quando aplicvel;
b) repositrio para o armazenamento seguro de todas as cpias master dos
softwares e suas respectivas licenas e direitos de propriedade;

63

c) estrito controle de licenas com o objetivo de eliminar os softwares no
autorizados;
d) informaes relativas suporte tcnico, direitos de atualizao, entre
outras condies contratuais;
e) documentao e manuais relacionados.
4.2.3 O processo de distribuio de software deve, quando cabvel, ser apoiado
por uma ferramenta da automao.
4.2.4 Deve ser implementado um depsito de hardware definitivo com o objetivo
de proteger equipamentos sobressalentes, que devem ser mantidos no
mesmo nvel que os seus correspondentes do ambiente de produo e
podem ser utilizados por outros sistemas ou para recuperao de incidentes
de grande impacto.
4.2.5 O depsito de hardware definitivo deve conter os respectivos manuais e
demais documentos atualizados para cada equipamento.
5. Competncias
5.1.1 elaborar e manter os inventrios de hardware e software;
5.1.2 estabelecer os perodos de vida til de hardware e software;
5.1.3 elaborar o plano de atualizao de hardware e software;
5.1.4 implementar o processo de gesto de mudanas para apoiar a distribuio
de hardware e software;
5.1.5 avaliar, aprovar e implementar ou negar as requisies de mudana em
cooperao com as reas de negcio envolvidas;
5.1.6 promover a melhoria contnua do processo de gesto de mudanas;
5.1.7 distribuir os tens de hardware e software;
5.1.8 implementar a biblioteca de sofware definitivo e o depsito de hardware
definitivo.
5.2.1 requerer as mudanas de acordo com os procedimentos definidos no
processo de gesto de mudanas.
NBR ISO / IEC 20000:2005 - Cdigo de Prtica para a Gesto de Servios de TI.
Informao.

64

NBR ISO / IEC 31000:2009 - Gesto de Riscos - Princpios e diretrizes.
ITIL Information Technology Infrastructure Library.
Norma 10 - Contabilizao de Ativos de Tecnologia da Informao.
Norma 09 - Gerenciamento de Riscos.
Norma 14 - Desenvolvimento e Manuteno de Aplicaes.
7. Data de Reviso
10/07/2012


65

Norma 16 - Proteo Contra Cdigo Malicioso
1. Objetivos

Estabelecer diretrizes para a proteo dos recursos de Tecnologia da Informao da
Administrao Pblica do Poder Executivo Estadual contra ao de cdigo malicioso,
programas imprprios e acesso no autorizado.
2. Definies
Cdigo Malicioso: termo genrico que se refere a todos os tipos de programa
especificamente desenvolvidos para executar aes danosas em recursos de Tecnologia
da Informao, tais como vrus, cavalo de tria, spyware, worms, entre outros.
Firewall: sistema de segurana de computadores usado para restringir acesso de/para
uma rede, alm de realizar a filtragem de pacotes com base em regras previamente
configuradas.
Log: arquivo que contm informaes sobre eventos de qualquer natureza em um
sistema computacional, anlise forense para a elucidao de incidentes de segurana,
auditoria de processos, cumprimento de exigncias legais para a manuteno de
registro do histrico de acessos ou eventos e para a resoluo de problemas
(debugging).
Programas Imprprios: programas utilitrios utilizados para explorar vulnerabilidades
ou burlar a segurana dos recursos de Tecnologia da Informao.
fornecedor, prestador de servio ou terceiro em geral que utiliza os recursos de
Tecnologia da Informao disponibilizados pela Administrao Pblica Estadual em local
3. Abrangncia
Esta Norma se aplica a todos os usurios e recursos de Tecnologia da Informao da
4. Diretrizes
4.1 Os recursos de Tecnologia da Informao devem estar providos de sistemas de
deteco e bloqueio de cdigos maliciosos, preveno e deteco de acesso no
autorizado, tais como programas antivrus, programas de anlise de contedo de
Correio Eletrnico e firewall.
4.2 Havendo correes ou atualizaes para os sistemas de deteco e bloqueio de
cdigos maliciosos, as mesmas devem ser implementadas, a fim de se evitar que

66

estes sistemas fiquem vulnerveis a cdigos maliciosos ou a qualquer tentativa de
acesso no autorizado.
4.3 As atualizaes e as correes para os sistemas de deteco e bloqueio de
programas maliciosos devem ser homologadas antes de aplicadas ao ambiente de
produo.
4.4 obrigatrio o uso de sistemas de deteco e bloqueio de cdigos maliciosos em
todos os recursos de Tecnologia da Informao.
4.5 Arquivos ou mdias que so utilizados nos equipamentos computacionais devem ser
verificados automaticamente, quanto contaminao por cdigo malicioso, antes
de sua utilizao.
4.6 Os sistemas de deteco e bloqueio de cdigos maliciosos devem prover
monitoramento, em tempo de execuo, dos arquivos e programas, quanto
contaminao por cdigo malicioso.
4.7 Os arquivos contaminados por cdigo malicioso devem ser imediatamente
descontaminados pelo software antivrus, isolados ou removidos do sistema. Em
caso de persistncia do problema, o equipamento deve ser isolado at que seja
sanado o problema para no afetar o ambiente de produo.
4.8 Padres e procedimentos para instalao, configurao, utilizao e atualizao de
sistemas de deteco e bloqueio de cdigos maliciosos devem ser estabelecidos
pela rea de tecnologia da informao do rgo ou entidade.
4.9 Somente mdias magnticas e produtos de origem confivel devem ser utilizados
nos equipamentos computacionais.
5. Competncias
5.1.1 auxiliar no processo de conscientizao dos usurios quanto s melhores
prticas de preveno contra cdigos maliciosos;
5.1.2 garantir a instalao dos sistemas de deteco e bloqueio de programas
maliciosos nos equipamentos computacionais, mantendo-os atualizados,
conforme disponibilizao do fabricante;
5.1.3 monitorar os logs dos sistemas de deteco e bloqueio de cdigos
maliciosos, preveno e deteco de acesso no autorizado, com objetivo de
atuar de forma proativa na identificao de ameaas.
5.2 Usurio:
5.2.1 utilizar somente programas homologados;
5.2.2 observar se o programa de antivrus est instalado, atualizado e ativo no
equipamento computacional.

67


Informao.
7. Data de Reviso
10/07/2012


68

CONCLUSO
H uma percepo visvel do aumento no nmero de ataques e exploraes de
vulnerabilidades de segurana, realizado por grupos que tm como alvo corporaes de
todos os tipos e, em especial, Organizaes Governamentais de diversos pases,
incluindo o Brasil. A adoo de deste conjunto de Normas servir como guia aos
gestores dos diversos rgos e entidades da Administrao Pblica do Poder Executivo
Estadual para o fortalecimento da Segurana da Informao no mbito do Governo da
Bahia, e essencial no combate a aes que possam causar grandes prejuzos
financeiros e polticos ao Estado.
Este documento pretende ser o incio de um grande processo de normatizao e
organizao da Gesto da Segurana da Informao no Estado da Bahia com o objetivo
de elevar o nvel de segurana dos ativos dos rgos e entidades que compem a
Administrao Pblica do Poder Executivo Estadual, e dever receber novas verses
com diretrizes revistas e atualizadas, em um processo contnuo de melhoria da
sistemtica de segurana do Estado.

Normas - Segurança - Da - Informação - Versão 2 - 0 em 21 - 09 - 2012 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Normas - Segurança - Da - Informação - Versão 2 - 0 em 21 - 09 - 2012 PDF

Transféré par

Droits d'auteur :

Formats disponibles

1

Vous aimerez peut-être aussi