Académique Documents
Professionnel Documents
Culture Documents
COMERCIAL
PS-GRADUAO EM SEGURANA DA INFORMAO
FLORIANPOLIS, 2009
banca
examinadora da Faculdade Senac de
Florianpolis como requisito parcial para a
obteno do ttulo de Especialista em
Segurana da Informao.
Orientador: Prof. Hlio A. Ferenhof, MBA, PMP
FLORIANPOLIS, 2009
banca
examinadora da Faculdade Senac de
Florianpolis como requisito parcial para a
obteno do ttulo de Especialista em
Segurana da Informao.
Aprovada em _____/_____/2009
_____________________________________________________
Aujor Tadeu C. Andrade
_____________________________________________________
Prof. Jos Mariano (Avaliador 1)
____________________________________________________
Prof. xxxxxxx (Avaliador 2)
FLORIANPOLIS, 2009
Dedicatria
AGRADECIMENTOS
RESUMO
A proteo e a preservao da informao so importantes em todas as reas e
numa instituio de ensino superior, que possui um departamento de pesquisa
voltada para o desenvolvimento de patentes, no poderia ser diferente. O presente
trabalho visa a elaborao de um plano estratgico de segurana da informao,
baseado na norma NBR ISO/IEC 17799:2005, que proteja ou, no mnimo, diminua
os riscos que esto expostos os ativos intelectuais desenvolvidos no Departamento
de Engenharia Qumica e Engenharia de Alimentos da Universidade Federal de
Santa Catarina. O desenvolvimento deste Projeto Integrador foi baseado em
documentos de diversas fontes incluindo entrevistas e pesquisa de campo. Ao final
do trabalho foram gerados documentos estratgicos que permitiro a tomada de
deciso dos dirigentes do EQA no sentido de aumentar a segurana das
informaes geradas pelo Departamento. Apesar de abranger um escopo bem
especfico, fornece indicativos para o desenvolvimento de outros trabalhos
semelhantes em outras reas da Segurana da Informao.
ABSTRACT
The protection and preservation of information are important in all areas and at an
institution of higher education, which has a research department focused on the
development of patents, it could be different. The present study aims to develop a
strategic plan for information security, based on standard ISO / IEC 17799:2005, to
protect or at least lessen the risks faced by intellectual assets developed at the
Department of Chemical and Engineering Food Federal University of Santa Catarina.
The development of this project integrator was based on documents from various
sources including interviews and field research. At the end of the working papers
have been generated that will allow the decision of the leaders of the EQA to
increase the security of information generated by the Department. Although covering
a very specific scope, provides indicative figures for the development of other similar
work in other areas of Information Security.
LISTA DE TABELAS
Tabela 2-1: Grande rea da Engenharia Qumica ....................................................41
Tabela 2-2: Sistemas operacionais. ..........................................................................53
Tabela 2-3: Principais Aplicativos..............................................................................54
Tabela 4-1: Nveis de permisso e classificao dos usurios. ................................75
Tabela 4-2: Sistemas operacionais utilizados. ..........................................................76
Tabela 4-3: Aplicativos ..............................................................................................77
Tabela 4-4: Oramento para implantao do projeto ................................................82
Tabela 4-5: Anlise da viabilidade econmica / financeira........................................83
LISTA DE FIGURAS
Figura 2-1: Sistema de monitoramento por imagens das reas externas .................27
Figura 2-2: Restrio de acesso no bloco E..............................................................27
Figura 2-3: Mapa da UFSC .......................................................................................29
Figura 2-4: Relatrio da COPERVE ..........................................................................33
Figura 2-5: Grfico da demanda candidato/vaga do EQA.........................................34
Figura 2-6: Fluxograma da pesquisa.........................................................................36
Figura 2-7: Oramento 2009 - UFSC ........................................................................42
Figura 2-8: Rede lgica do EQA................................................................................51
Figura 3-1: Cabeamento externo exposto ao tempo e ataques fsicos .....................61
Figura 3-2: Switch no gerencivel instalado de forma irregular...............................61
Figura 3-3: Edificao com estrutura de madeira......................................................62
Figura 3-4: Falta de controle o acesso fsico.............................................................63
Figura 3-5: Ponto de rede da impressora sem proteo e em local pblico..............63
Figura 3-6: Exemplo de instalao incorreta de cabeamento eltrico e de dados ....64
Figura 3-7: Exemplo de um dos access points irregulares ........................................65
Figura 4-1: Modelo de estrutura de equipe de projeto de segurana ........................72
Figura 4-2: Topologia da rede utilizando NAT ...........................................................80
APUFSC
CAPES
CERT.br
CERTI
CESUSC
CNPq
CONLUTAS
COPERVE
COPPE
CTC-UFSC
CUT
DIT
DRH
DSIC
DSST
EMBRACO
EQA
FAPESC
FASUBRA
FATMA
FEESC
FEPESE
FINEP
FUNJAB
GSIPR
IBAMA
IF-SC
MEC
Ministrio da Educao
NDA
NIT
NPD
PETROBRAS
PMF
RJU
Sadia
Sadia S/A
SENAI
SINTUFSC
UDESC
UFSC
UNISUL
UNIVALI
SUMRIO
1
INTRODUO...................................................................................................15
1.1
ESPECIFICAO DO PROBLEMA............................................................15
1.2
OBJETIVOS................................................................................................16
1.2.1
1.2.2
Objetivos Especficos...........................................................................16
1.3
JUSTIFICATIVA ..........................................................................................17
1.4
FUNDAMENTAO TERICA...................................................................17
1.4.1
1.4.2
Segurana da Informao....................................................................19
1.5
METODOLOGIA .........................................................................................21
1.5.1
1.5.2
1.5.3
1.5.4
1.6
1.6.1
2
DIAGNSTICO..................................................................................................26
2.1
2.1.1
Macro Ambiente...................................................................................30
2.1.1.1
2.1.1.2
2.1.1.3
2.1.1.4
Foras Tecnolgicas.....................................................................31
2.1.1.5
2.1.1.6
Foras Culturais............................................................................32
2.1.1.7
2.1.1.8
Foras Demogrficas....................................................................33
2.1.2
2.1.2.1
2.1.2.2
2.1.2.3
2.1.2.4
2.1.2.5
2.1.2.6
2.1.3
2.2.1
Ambiente Organizacional.....................................................................41
2.2.1.1
2.2.1.2
2.2.1.3
2.2.2
2.2.2.1
2.2.2.2
2.2.2.3
2.2.2.4
2.2.2.5
2.2.2.6
2.2.3
2.2.3.1
2.2.3.2
2.2.3.3
2.2.3.4
2.2.4
2.2.4.1
2.2.4.2
Aplicativos.....................................................................................54
2.2.5
ANLISE ...........................................................................................................55
3.1
3.1.1
Principais Oportunidades.....................................................................55
3.1.2
3.2
3.2.1
Pontos Fortes.......................................................................................56
3.2.1.1
3.2.1.2
3.2.1.3
3.2.1.4
Equipes de Profissionais...............................................................57
3.2.1.5
Estrutura Fsica.............................................................................57
3.2.1.6
Estrutura Lgica............................................................................58
3.2.2
3.3
4
Pontos Fracos......................................................................................58
3.2.2.1
3.2.2.2
3.2.2.3
3.2.2.4
Equipes de Profissionais...............................................................59
3.2.2.5
Estrutura Fsica.............................................................................59
3.2.2.6
Estrutura Lgica............................................................................59
4.1.1
4.1.2
4.1.3
4.1.4
Direito de Acesso.................................................................................69
4.2
ADMINISTRAO DE SEGURANA.........................................................69
4.2.1
4.2.2
4.2.3
4.2.4
4.2.5
4.2.6
4.3
4.3.1
4.3.2
4.3.3
Aplicativos............................................................................................76
4.3.4
Criptografia de Comunicao...............................................................78
4.3.5
4.3.6
4.3.7
4.3.8
4.4
5
MONITORAMENTO E CONTROLE............................................................83
5.2
5.3
CONSIDERAES FINAIS...............................................................................84
6.1
CONCLUSO .............................................................................................84
6.2
LIMITAES ..............................................................................................85
6.3
REFERNCIAS.........................................................................................................87
GLOSSRIO.............................................................................................................90
APNDICES .............................................................................................................97
Apndice I - Plano de Gerenciamento dos Riscos.................................................98
Apndice II - Proposta de Poltica de Segurana. ...............................................121
Apndice III - Plano de contingncia do EQA ......................................................130
Apndice IV - Relao de responsveis por reas ..............................................146
Apndice V - Relao de fornecedores ...............................................................147
ANEXOS .................................................................................................................148
Anexo I Ofcio do SENAC solicitando autorizao para pesquisar o EQA........149
Anexo II - Portaria 337/GR/2007..........................................................................150
Anexo III - Termos de Confidencialidade (Mestrandos e Doutorandos)...............152
Anexo IV - Termo de Confidencialidade (Pesquisadores) ...................................153
Anexo V - Dispositivos legais de carter Federal ................................................155
Anexo VI - Legislao especfica de carter Federal...........................................168
Anexo VII - Legislao especfica de carter Estadual/Distrital ...........................171
Anexo VIII - Legislao especfica de carter Municipal......................................172
Anexo IX - Normas tcnicas ................................................................................173
15
1 INTRODUO
1.1
ESPECIFICAO DO PROBLEMA
16
so armazenadas na forma de mdia magntica e papel, que por sua vez, podem ser
transformadas em um artigo, um registro de patente, um relatrio tcnico, uma
publicao acadmica (monografia, dissertao ou tese) ou outro tipo de publicao.
Da mesma forma, existem informaes administrativas, tais como oramentos,
normas ou documentos internos, que so gerados e mantidos pelos colaboradores
do Departamento. Sem grandes preocupaes, a entidade apresenta uma poltica
ineficiente de contingenciamento e de segurana (fsica e lgica), desses ativos de
informao.
Este Plano Estratgico em Segurana da Informao, utilizando-se de
conceitos, metodologias e tcnicas especficas, baseadas na NBR ISO/IEC
17799:2005 (ABNT, 2005) e na Cartilha de Segurana para Internet (CERT.br,
2006), se prope a minimizar as principais vulnerabilidades existentes no
Departamento em estudo.
1.2
OBJETIVOS
17
1.3
JUSTIFICATIVA
1.4
FUNDAMENTAO TERICA
18
Gerenciamento
procedimentos
de
operaes
operacionais
comunicaes:
responsabilidades,
anlise
planejamento
de
e
19
de
mdias,
troca
de
informaes
softwares
entre
organizaes;
Aquisio,
desenvolvimento
manuteno
de
sistemas
de
Ativos
de
software:
desenvolvimento e utilitrios;
aplicativos,
sistemas,
ferramentas
de
20
tcnicos
(no-break,
ar-condicionado),
moblia
acomodaes;
21
1.5
METODOLOGIA
22
de
Segurana
da
Informao,
tais
como
Portaria
23
24
Conforme sugerido por Merriam (1998), a anlise dos dados foi iniciada
enquanto se fazia a coleta dos mesmos, atravs de anotaes em um dirio de
campo das observaes e reflexes sobre o que estava se passando.
A categorizao dos dados foi realizada baseada na Grounded Theory, de
Glaser & Straus (1967), que ressalta duas estratgias importantes.
A primeira o mtodo constante de comparao, na qual o pesquisador
simultaneamente codifica e analisa os dados coletados para criar conceitos. Atravs
de constantes comparaes de incidentes especficos nos dados, o pesquisador
refina estes conceitos, identifica as propriedades, explora a relao entre os dados e
as integra em uma teoria coerente.
A segunda o mtodo da amostragem terica, na qual o pesquisador
seleciona novos casos de estudo com o potencial dos mesmos em ajudar a expandir
ou refinar os conceitos e teorias j criados previamente.
A Grounded Theory permite captar a essncia do fenmeno, dando sentido
aos dados coletados atravs do agrupamento de conceitos que parecem pertencer
ao mesmo fenmeno (STRAUSS e CORBIN, 1990, p.65). Isso exige a comparao
constante dos dados, um movimento de ir e vir entre pedaos concretos de dados e
conceitos abstratos, entre o raciocnio indutivo e dedutivo, entre a descrio e a
interpretao (MERRIAM, 1998).
A validade dos dados, ou seja, o quanto as descobertas so coerentes com a
realidade, foi assegurada atravs da ratificao dos dados levantados pelos
entrevistados. Contudo, apesar do rigor metodolgico, adverte-se que esse mtodo
no exclui a possibilidade de vieses na interpretao dos dados (MERRIAM, 1998).
25
1.6
OBJETIVO DO ESTUDO
atendendo
exigncias
atuais
do
mercado
de
trabalho.
Mais
26
2 DIAGNSTICO
27
28
2.1
29
30
O Municpio de Florianpolis
Ministro da Educao;
Secretrio da Educao;
Reitor;
Vice Reitor;
Pr Reitores;
Diretor do CTC;
Chefe do EQA.
31
ANDES;
APUFSC;
CONLUTAS;
CUT;
FASUBRA;
SINTUFSC.
Polticas
definidas
pelo
Ministrio
da
Educao,
polticas
tcnico-
32
O ambiente de trabalho, por ser regido pelo Regime Jurdico nico (RJU),
identifica certa ingerncia no comportamento dos funcionrios na ptica da
obedincia das normas, portarias e legislao que regem o ambiente organizacional
do Departamento.
Uma Universidade sugere a sensao de liberdade, sem restries, o que
dificulta a implantao de qualquer norma ou poltica restritiva.
Com relao segurana da informao, por ser um ambiente acadmico
(universitrio) a organizao no possui uma grande preocupao ou cuidado com a
segurana de suas informaes. Isto pode ser comprovado com os ndices baixos
de patentes realizados no Brasil em relao a outros pases.
33
34
12
10
Candidato/vaga
0
1999
2000
2001
2002
2003
2004
Ano
2005
2006
2007
Eng. Qumica
Eng. Alimentos Curso
2008
2009
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
Eng. Alimentos
8,18
7,16
8,44
8,38
10,2
8,58
8,04
7,2
5,73
5,27
4,52
Eng. Qumica
6,69
6,2
7,09
8,58
8,24
8,49
11,62
9,69
9,56
10,47
11,08
Eng. Alimentos
2009
Eng. Qumica
35
36
CESUSC;
COPPE;
37
IF-SC;
SENAI;
UDESC;
UNISUL;
UNIVALI;
e outras.
Ministrio da Educao;
Empresas parceiras.
38
Fundaes:
Empresas:
Petrobras;
Embraco;
Sadia;
CNPq;
FINEP;
CAPES.
39
Relatrios de consultoria;
Patentes.
40
2.2
41
ambiente
organizacional corresponde
um
modelo
clssico
de
PROGRAMA
IES
UF
UNICAP
PE
CONCEITO
M
D
F
3
-
Engenharia de Processos
UFCG
PB
Engenharia de Processos
Engenharia de Processos
Engenharia de Processos
Engenharia de Processos Qumicos e
Bioqumicos
Engenharia de Processos
UFSM
UNIVILLE
UNIT-SE
CEUN-IMT
RS
SC
SE
SP
3
3
3
3
3
4
5
6
UFAL
AL
Engenharia Qumica
Engenharia Qumica
Engenharia Qumica
Engenharia Qumica
Engenharia Qumica
UFBA
UFBA
UFC
UFSC
FURB
BA
BA
CE
SC
SC
3
4
5
3
4
4
5
-
8
9
10
25
26
Ranking
1
42
Administrativo: Bloco E.
43
Neste bloco esto as coordenadorias dos cursos de graduao e psgraduao onde so processados os documentos dos acadmicos
(conceito, histrico, programa, atestado de freqncia, memorandos,
portarias, etc.).
44
Catlise ambiental;
Reatores heterogneos;
Processos sol-gel;
Materiais cermicos;
Otimizao
energtica
controle
de
emisses
em
Bioinformtica;
Engenharia metablica;
Engenharia de tecidos;
Neuroengenharia;
Laboratrio
de
Tecnologias
Integradas
INTELAB.
45
Produtos naturais;
Processos de alimentos;
Problemas ambientais;
o Laboratrios:
Processos Biotecnolgicos;
Processos Biotecnolgicos:
Produo
de
aromas
biotecnolgicos;
Produo de biopolmeros;
pigmentos
via
processos
46
Catlise enzimtica;
Recuperao
avanada
de
petrleo
por
processos
biolgicos.
o Laboratrios:
Laboratrio
de
Engenharia
Bioqumica
de
Tratamento
Biolgico
de
ENGEBIO;
Laboratrio
Resduos - LTBR
47
o Projetos de Pesquisa:
48
Processo I (acadmico):
Processo II (administrativo):
49
Backup.
50
Segurana patrimonial;
Controle de armazenamento;
51
52
53
CIFS;
VPN.
Sistema
Licenciamento
Aplicao
Software proprietrio
Servidores
Microsoft Windows XP
Software proprietrio
Estaes de trabalho
Software Livre
Servidores
Ubuntu
Software Livre
Estaes de trabalho
54
2.2.4.2 Aplicativos
Software
Licenciamento
Aplicao
Autocad
Software proprietrio
Desenho tcnico
Broffice.org
Software livre
CFX
Software proprietrio
Estatstica
Software proprietrio
Auxiliar em mtodos
estatsticos
F-secure
Software proprietrio
Antivrus
Matemtica
Software proprietrio
Auxiliar clculos de
engenharia
Matlab
Software proprietrio
Microsoft Office
Software proprietrio
Pr-engineer
Software proprietrio
Desenho tcnico
55
Patrocinadores;
3 ANLISE
3.1
ANLISE EXTERNA
56
3.2
ANLISE INTERNA
Pr-reitoria de ps-graduao;
Coordenadoria de ps-graduao;
As leis:
o
57
Os profissionais do NPD/UFSC;
A equipe do NDA/EQA/UFSC;
Os profissionais do DIT/UFSC;
Switches gerenciveis;
58
Recuperao de falhas;
Atualizaes.
Por ser uma repartio pblica, onde os funcionrios so regidos pelo RJU,
um fator complicador fazer com que respeitem a poltica de segurana na sua
integralidade.
59
3.3
SITUAO ATUAL
Em
visitas
realizadas
ao
EQA,
os
autores
identificaram
algumas
60
61
62
63
64
65
66
4.1
ETAPA CONCEITUAL
informaes,
tanto
em
meio
fsico
quanto
eletrnico,
possuem
67
68
69
4.2
ADMINISTRAO DE SEGURANA
70
71
Estabilidade emocional.
Equipe do projeto:
Caso a equipe seja grande, as tarefas devem ser divididas em funo das
especializaes dos membros;
72
No
deve
se
envolver
com
as
tarefas
relacionadas
com
operacionalizao da segurana;
A Equipe do projeto (Figura 4-1) dever ser composta com elementos das
seguintes reas:
Administrao de segurana:
o
73
Administrao de dados:
o
Responsvel pela:
Administrao
dos
ativos
de
informao
residentes
nos
computadores;
Produo:
o
Responsvel
pelo
processamento
de
todos
os
servios
de
informtica;
o
Deve
possuir
profundos
conhecimentos
dos
protocolos
de
Desenvolvimento de aplicaes:
o
74
Auditoria:
o
atravs
da
adeso
das
partes
normas
procedimentos estabelecidos;
o
Usurios:
o
Ser
consultado
nos
assuntos
que
envolvam
necessidades
Treinamento:
o
Atividades de apoio:
o
Administrao patrimonial;
Transportes;
Comunicaes;
Outras.
75
Consultoria externa:
o
De consultores de segurana.
4.3
Tipo de usurio
Descrio
A quem se aplica
Administrador
domnio
Membro do corpo
tcnico/administrativo,
responsvel pela
administrao da rede
Administrador
estao de
trabalho
Membro do corpo
tcnico/administrativo
responsvel pela
administrao das
estaes de trabalho
Administrador
Local Servidor
Membro do corpo
tcnico/administrativo
76
Tipo de usurio
Descrio
A quem se aplica
administrao de domnio
responsvel pela
administrao do servidor
Usurio de
domnio
Usurio estao
de trabalho
Sistema
Permisses Aplicveis
Administrador Domnio
Microsoft Windows XP
Usurios do domnio
Administrador estao de trabalho
Administrador Domnio
Ubuntu Linux
Usurios do domnio
Administrador estao de trabalho
Administrador de domnio
Administrador local servidor
Administrador de domnio
Administrador local servidor
4.3.3 Aplicativos
77
Sistema
Microsoft Office
Permisses Aplicveis
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
BrOffice.org
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
Matlab
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
Matemtica
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
Estatstica
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
CFX
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
Autocad
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
Pr-engineer
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
F-secure
Administrador Domnio
Usurios do domnio
Administrador estao de trabalho
78
79
atravs
da
utilizao
de
mdias
removveis
e/ou
80
81
4.4
82
Rubrica
Hardware
34490.52.35
34490.52.35
34490.52.35
34490.52.35
34490.52.35
34490.52.35
34490.52.35
34490.52.35
Servios
3339.36.06
33390.39.95
3339.36.06
33390.39.08
Software
33390.30.47
33390.39.01
33390.39.01
33390.39.01
Total
Descrio
Oramento Oramento
Ideal (R$) Mnimo (R$)
Firewall
Access point
Switch
No-break
Gerador de energia
Material para cabeamento estruturado
Patch panel Cat 5e
Servidor
15.000,00
3.000,00
15.000,00
8.000,00
50.000,00
5.000,00
30.000,00
15.000,00
600,00
20.000,00
15.000,00
35.000,00
20.000,00
-
15.000,00
10.000,00
40.000,00
266.000,00
10.000,00
72.600,00
Software - S.O.
Software - Antivrus
Software - Criptografia
Software - Pacote Office
2.000,00
30.000,00
83
Oramento 2009
Oramento do Projeto
Ideal
Mnimo
266.000,00
72.600,00
UFSC
1.220.231.946,00
0,02%
0,01%
UFSC (TI)
730.000,00
36,44%
9,95%
EQA
100.000,00
266,00%
72,60%
Constatou-se que:
a) O oramento destinado ao EQA, para a rea de TI, baixo diante das
necessidades do projeto;
b) O valor do Oramento Mnimo representa 72,6% do oramento do
EQA, 9,95% do oramento destinado s Aes de Informtica da
UFSC e apenas 0,01% do oramento total da UFSC, todos para 2009,
e poderia ser implementado em at dois anos;
c) O valor do Oramento Ideal representa 266% do oramento do EQA
para 2009, o que o torna invivel para este ano, mas por representar,
36,44% do oramento das Aes de Informtica da UFSC, e apenas
0,02% do oramento total, caberia o estudo de suplementao da
verba oramentria, em TI, para o EQA;
Quanto ao ROI, por se tratar de uma instituio de ensino superior federal,
que no visa lucro e sim o desenvolvimento acadmico e a produo de patentes, o
que deve ser enfatizado a questo da segurana dos projetos e da imagem da
instituio, caso ocorra perda ou vazamento de dados sigilosos ou sensveis.
Analisando por este ponto de vista o valor do Oramento Ideal ser baixo, diante das
perdas potenciais.
5.1
PLANOS DE SEGURANA
MONITORAMENTO E CONTROLE
84
5.2
RESPOSTA EMERGENCIAL
5.3
PLANO DE CONTINGNCIA
6.1
CONSIDERAES FINAIS
CONCLUSO
85
informaes que seriam relevantes ao trabalho teve de ser cuidadosa, para que
fosse extrado apenas o conhecimento tcito que respondesse aos questionamentos
pertinentes ao planejamento, sem expor dados confidenciais que comprometessem
ainda mais a segurana do Departamento ou da Universidade.
De posse deste material restou apenas montar o quebra-cabea que se
formou o que exigiu algumas semanas de anlises e discusses.
O resultado final, sintetizado neste trabalho, confirmou a necessidade do EQA
em implantar um plano estratgico de segurana da informao. Ficou evidente que
o principal obstculo a cultura interna, resistente s regras ou limitaes,
caracterstica de um ambiente acadmico e, principalmente, estatutrio. Apesar de
ser um fator de uma soluo complexa possvel de ser solucionado, atravs da
mudana da cultura e do comportamento dos envolvidos.
6.2
LIMITAES
86
6.3
TRABALHOS FUTUROS
Infraestrutura
de
rede:
Para
que
sejam
eliminadas
as
87
REFERNCIAS
ABNT. (Brasil). Tecnologia da Informao Cdigo de prtica para a gesto da
segurana da informao NBR ISO/IEC 17799:2005. Rio de Janeiro, 2005. 52 p.
CAPES. Tabela Grande rea da Engenharia Qumica. Santa Catarina, Nov 2009.
Disponvel
em:
http://conteudoweb.capes.gov.br/conteudoweb/ProjetoRelacaoCursosServlet?acao=
pesquisarGrandeArea. Acesso em 01 nov. 2009.
88
89
YIN, Robert K. Case Study Research: Design and Methods. 2 Ed. Thousand Oaks,
CA: SAGE Publications, 1994.
90
GLOSSRIO
Access Point - Referido com o acrnimo AP (Ponto de Acesso) um dispositivo
em uma rede sem fio que realiza a interconexo entre todos os dispositivos mveis.
Em geral se conecta a uma rede cabeada servindo de ponto de acesso para uma
outra rede, como por exemplo a Internet.
91
Help Desk - Termo em ingls que designa o servio de apoio a usurios para
suporte e resoluo de problemas tcnicos em informtica, telefonia e tecnologias
de informao. Este apoio pode ser tanto dentro de uma empresa (profissionais que
cuidam da manuteno de equipamentos e instalaes dentro da empresa), quanto
externamente (prestao de servios aos usurios).
IEEE 802 - uma norma que tem como objetivo definir uma padronizao para
92
93
94
SMTP - Acrnimo de Simple Mail Transfer Protocol o protocolo padro para envio
de e-mails atravs da Internet.
Software - a parte lgica do computador, aquela que no se pode ver nem tocar,
mas opera constantemente.
95
96
VLAN - Acrnimo de Virtual LAN (Rede Local Virtual) uma rede logicamente
independente. Vrias VLANs podem co-existir em um mesmo comutador (switch),
desde que esta funcionalidade exista.
VoIP - Acrnimo de Voice Over IP (Voz Sobre IP) a tecnologia que torna possvel
estabelecer conversaes telefnicas em uma rede IP (incluindo a Internet),
tornando a transmisso de voz mais um servio suportado pela rede de dados.
VPN - Acrnimo de Virtual Private Network (Rede Particular Virtual) uma rede de
comunicaes privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituies, construda em cima de uma rede de comunicaes
pblica (como por exemplo, a Internet). O trfego de dados transportado pela
rede pblica utilizando protocolos padro, no necessariamente seguro. VPNs
seguras usam protocolos de criptografia por tunelamento que fornecem a
confidencialidade, autenticao e integridade necessrias para garantir a
privacidade
das
comunicaes
requeridas.
Quando
adequadamente
97
APNDICES
98
1.
2.
Riscos considerados
Riscos internos
Riscos fsicos
Riscos externos
Riscos tcnicos
Riscos legais
99
3.
Avaliao de impacto
Grau de impacto
b.
Muito grande
Grande
Moderado
Pequeno
Muito pequeno
c.
Peso
Avaliao de probabilidade
Referencial
Probabilidade
0.95
Provavelmente ocorrer
0.75
0.5
0.25
0.1
100
d.
e.
Priorizao de Riscos
Baixo Risco
de 0.1 a 0.75
f.
de 2.0 a 4.75
2.0
3.0
4.0
5.0
0.95
0.95
1.9
2.85
3.8
4.75
0.75
0.75
1.5
2.25
3.75
0.5
0.5
1.5
2.5
0.25
0.25
0.5
0.75
1.25
0.1
0.1
0.2
0.3
0.4
0.5
101
g.
Seq. Evento
Probabilidade
15 Perda de informao
0,95
10 Interrupo do acesso rede
0,75
Ataque de negao de servio de grande
1
impacto
0,50
31 Vandalismo contra equipamento do EQA
0,25
Impossibilidade de acesso ao
7
conhecimento tcito
0,10
12 Falta de energia (blackout)
0,10
13 Desastres naturais
0,10
24 Sinistro ocasionado pelo fogo
0,10
Sem registro, documentao dos
25 processos e fluxo da informao, rede,
documentao da estrutura
0,95
17 Furto de informao
0,75
22 Ambiente e Cultura da organizao
0,75
30 Indisponibilidade de suporte tcnico
0,75
Apropriao indevida da informao
8
(espionagem industrial)
0,50
Senha fraca utilizada em equipamento
26
servidor
0,50
Instalao no autorizada de ativos de
29 rede (switch, hub e ponto de acesso
wireless)
0,50
Ataque de negao de servio de mdio
2
impacto
0,25
Vazamento de informao (acesso fsico
16
ou lgico)
0,25
Rastreabilidade dos desktops do
32 Departamento devido a utilizao de IPs
vlidos (IPs pblicos)
0,25
Acesso a contedo indevido (alto
4 impacto): Pedofilia, Racismo, documentos
confidenciais
0,10
Acesso a contedo indevido (mdio
5
impacto): Sexo, pornografia e pedofilia
0,95
11 Uso indevido de recursos
0,95
Uso inadequado dos recursos
14
computacionais
0,95
Usurios acessando informaes e
21
recursos sem o devido treinamento
0,75
Ataques a rede atravs de varreduras no
28
sistema (sniffer)
0,75
Impacto
5
5
Matriz
4,75
3,75
5
5
2,50
1,25
5
5
5
5
0,50
0,50
0,50
0,50
4
4
4
4
3,80
3,00
3,00
3,00
2,00
2,00
2,00
1,00
1,00
1,00
0,40
3
3
2,85
2,85
2,85
2,25
2,25
102
Seq. Evento
Probabilidade
18 Violao de direitos autorais
0,50
19 Contratos (SLA ou Terceirizao)
0,50
Pirataria (Obteno de benefcio com
20
software no homologado)
0,50
Descontinuidade da poltica interna devido
23
a mudana da direo em cargos eletivos
0,50
27 Ataques utilizando Engenharia Social
0,50
3 Ataques DoS de baixo impacto: FTP
0,25
Ataque fsico: Acesso no autorizado a
9
ambientes restritos
0,75
Acesso a contedo indevido (baixo
6
impacto): outros contedos
0,95
4.
Impacto
3
3
Matriz
1,50
1,50
1,50
3
3
3
1,50
1,50
0,75
1,50
0,95
R$ 1.000,00
Fatores considerados
Retrabalho;
1 analista, por R$ 60,00/h;
1 tcnico, por R$ 25,00/h;
Trabalho estimado: de 30 min a 2 horas.
Probabilidade de ocorrncia
5%
R$ 50,00
R$ 1.000,00
Fatores considerados
Retrabalho;
1 analista, por R$ 60,00/h;
1 tcnico, por R$ 25,00/h;
Trabalho estimado: de 30 min a 2 horas.
Probabilidade de ocorrncia
20%
R$ 200,00
R$ 250,00
Fatores considerados
Retrabalho;
1 tcnico, por R$ 25,00/h;
Trabalho estimado: de 30 min a 1 hora.
103
Probabilidade de ocorrncia
25%
R$ 62,50
R$ 100,00
Fatores considerados
Retrabalho;
1 tcnico, por R$ 25,00/h;
Trabalho estimado: de 30 min a 2 horas.
Probabilidade de ocorrncia
30%
R$ 30,00
R$ 1.000,00
Fatores considerados
Retrabalho;
1 tcnico, por R$ 25,00/h;
Trabalho estimado: de 30 min a 2 horas.
Probabilidade de ocorrncia
10%
R$ 10,00
3 meses
Custo do risco
R$ 500.000,00
Fatores considerados
Probabilidade de ocorrncia
30%
R$ 150.000,00
3 meses
Custo do risco
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
104
R$ 50.000,00
3 meses
Custo do risco
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$ 50.000,00
9 - Concentrao de informao
Tempo do atraso caso ocorra 5 anos
Custo do atraso
R$ 200.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$ 100.000,00
R$ 250.000,00
Fatores considerados
Probabilidade de ocorrncia
10%
R$ 25.000,00
11 - Ataque fsico
Tempo do atraso caso ocorra 15 dias
Custo do atraso
R$ 50.000,00
Fatores considerados
Probabilidade de ocorrncia
10%
R$ 5.000,00
R$ 20.000,00
105
Fatores considerados
Probabilidade de ocorrncia
50%
R$ 10.000,00
R$ 5.000,00
Fatores considerados
Probabilidade de ocorrncia
50 %
R$ 2.500,00
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
10%
R$ 10.000,00
15 - Desastres naturais
Tempo do atraso caso ocorra 3 dias
Custo do atraso
R$ 250.000,00
Fatores considerados
Probabilidade de ocorrncia
1%
R$ 2.500,00
R$ 5.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
106
R$ 2.500,00
R$ 500.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$250.000,00
R$ 300.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$ 150.000,00
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$50.000,00
R$ 200.000,00
Fatores considerados
107
recurso tcnico.
Probabilidade de ocorrncia
50%
R$100.000,00
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$50.000,00
R$ 500.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$250.000,00
R$ 500.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$250.000,00
R$ 1.000.000,00
108
Fatores considerados
Probabilidade de ocorrncia
10%
R$100.000,00
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
75%
R$ 75.000,00
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
80%
R$80.000,00
R$ 250.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$ 125.000,00
109
R$ 50.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$25.000,00
R$ 20.000,00
Fatores considerados
Probabilidade de ocorrncia
50%
R$10.000,00
R$ 300.000,00
Fatores considerados
Probabilidade de ocorrncia
70%
R$210.000,00
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
10%
110
R$ 10.000,00
R$ 100.000,00
Fatores considerados
Probabilidade de ocorrncia
90%
R$90.000,00
5.
Item
Risco
15
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 80.000,00
Risco
68
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Reconfigurar o proxy;
Fazer campanha de conscientizao entre os usurios (AUP).
111
Custo
R$ 2.500,00
Risco
Concentrao de informao
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 25.000,00
Risco
10
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 200.000,00
Risco
11
Ataque fsico
Classificao Alto
Etapa
Inicial
112
Gatilho
Resposta
Descrio
Custo
R$ 50.000,00
Risco
12
Classificao Alto
Etapa
Intermediria
Gatilho
Resposta
Descrio
Custo
R$ 150.000,00
Risco
13
Classificao Mdio
Etapa
Intermediria
Gatilho
Logs de registro;
Servios detectados no(s) servidor(es) incompatvel com atividade do
usurio;
Uso excessivo de banda para download no autorizado.
Resposta
Descrio
Custo
R$ 3.000,00
Risco
113
14
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 250.000,00
Risco
15
Desastres Naturais
Classificao Baixa
Etapa
Intermediaria
Gatilho
Resposta
Descrio
Custo
R$ 350.000,00
Risco
16
Classificao Alto
Etapa
Intermediria
Gatilho
Resposta
Descrio
Custo
R$ 50.000,00
114
Risco
17
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 150.000,00
Risco
18
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 100.000,00
Risco
19
Classificao Alto
115
Etapa
Final
Gatilho
Resposta
SLA, Contrato
Descrio
Custo
R$ 15.000,00
Risco
20
Pirataria (obteno
homologados)
de
benefcios
com
produtos
no
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 50.000,00
do
problema
de
Risco
21
Classificao Alto
Etapa
Intermediaria
Gatilho
Resposta
Descrio
Custo
R$ 50.000,00
Risco
22
Classificao Alto
116
Etapa
Final
Gatilho
Resposta
Descrio
Custo
R$ 50.000,00
Risco
23
Classificao Alto
Etapa
Final
Gatilho
Descontinuidade de polticas
Resposta
Descrio
Custo
R$ 50.000,00
Risco
24
Classificao Mdio
Etapa
Inicial
Gatilho
Fumaa
Resposta
Descrio
Custo
R$ 5.000,00
Risco
117
25
fluxo
da
Classificao Baixo
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 5.000,00
Risco
26
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 1.000,00
Risco
27
Classificao Alto
Etapa
Intermediria
Gatilho
Resposta
Descrio
Custo
R$ 1.000,00
Risco
118
28
Classificao Alto
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 1.000,00
Risco
29
Classificao Alto
Etapa
Intermediria
Gatilho
Resposta
Descrio
Custo
R$ 1.000,00
Risco
30
Classificao Alto
Etapa
Intermediria
Gatilho
Resposta
Descrio
Custo
R$ 40.000,00
Risco
119
31
Classificao Baixo
Etapa
Inicial
Gatilho
Resposta
Descrio
Custo
R$ 50.000,00
Classificao Alto
Etapa
Intermediaria
Gatilho
Resposta
Descrio
Custo
R$ 250.000,00
6.
Reservas de Contingncia
120
7.
8.
9.
Modificado por
15/06/09 Sandro
dos Ajuste de custos
Santos Souza
18/06/09 Jorge A. Coelho
Identificao de
novo risco (n 23)
______________________________ ___________________________
Sr. Sandro dos Santos - Ger. do Projeto Sr. lvaro Toubes Prata - Sponsor
121
Grupo JRRS
Gestores de Segurana da Informao da UFSC
Esta poltica aplicvel ao EQA
Escopo da Poltica:
Nmero da Poltica:
Data de efetivao:
Corporativo
UFSC-EQA-001/09
11/07/2009
Verso: 2.2
Contedo da Poltica
JUSTIFICATIVA:
Uma poltica de segurana um instrumento para proteger a organizao
contra ameaas segurana da informao que a ela pertence ou que est sob sua
responsabilidade. Uma ameaa segurana compreendida neste contexto como a
quebra de uma ou mais de suas trs propriedades fundamentais:
- CONFIABILIDADE;
- INTEGRIDADE;
- DISPONIBILIDADE.
Desta forma a poltica de segurana atribui direitos e responsabilidades a
usurios de estaes computacionais do EQA bem como todo acesso a rede/EQA.
ASPECTOS PRELIMINARES:
A poltica de segurana deve cobrir os seguintes aspectos:
- abrangncia e escopo de atuao da poltica;
- definies fundamentais;
- normas e regulamentos aos quais a poltica est subordinada;
- quem tem autoridade para sancionar, implementar e fiscalizar o
cumprimento da poltica;
- meios de distribuio da poltica;
- como e com que freqncia a poltica revisada;
- definio de uma poltica de senhas;
- direitos e responsabilidades dos usurios;
- direitos e responsabilidades da administrao da rede;
- aes previstas em caso de violao da poltica.
122
Escopo e aplicabilidade
Esta poltica endereada ao EQA, seus departamentos, incluindo alunos e
funcionrios em todos os nveis e formas de contratao.
Nvel de aplicabilidade e aceitao
Todas as pessoas as quais esta poltica for endereada devem aceit-la e
empreg-la em sua totalidade (100% de aderncia).
Circunstncias Especiais e Excees
Quando no se puder atender a aplicabilidade e aceitao desta, dever ser
informado ao comit de segurana por escrito o motivo de no aceitao da mesma
para que se possa determinar o correto nvel de exceo. Gestores e diretores no
esto autorizados a modificar ou criar excees a esta poltica.
Termo
SI
ASD
HTTP
FTP
SSL
WTLS
SGBD
Cluster
TLS
PGP
RFID
DMZ
IDS
IPS
VLAN
123
Papis e responsabilidades
Os papis e responsabilidades no desenvolvimento desta poltica incluem:
Papel
Descrio
Detalhes
Patrocinador
Stack holder, ou responsvel UFSC
financeiro
Proponente
rgo solicitante da poltica
Departamento tcnico
EQA
Desenvolvedor Grupo desenvolvedor da poltica
Grupo JRRS
Revisor
Responsvel pela reviso da Departamento tcnico
poltica
EQA
Aprovador
Responsvel pela aprovao da Departamento tcnico
poltica
EQA
Implementador Responsvel pela implementao Departamento tcnico
da poltica
EQA
do
do
do
do
Segurana de dados
Gerencia de risco
Engenheiro de redes
Descrio
ASD
Define, implanta, controla e
ajusta
polticas
de
segurana
Responsvel pela guarda e
processamento dos dados
da UFSC
ASD
Responsvel
pela
infraestrutura das redes da
UFSC
Detalhes
ASD
Ncleo de Desenvolvimento
e Assessoramento Tcnico
(NDA)
Ncleo de Processamento
de Dados (NPD)
ASD
Ncleo de Processamento
de Dados (NPD)
124
125
Regras e aes
A poltica de uso aceitvel tem sua abrangncia a instalaes computacionais do
Departamento/EQA e devero ser respeitadas pelos seus respectivos usurios;
A fiscalizao caber a administrao da rede do EQA;
126
Local de armazenamento
O Departamento apresenta os seus repositrios de informaes dispersos na
organizao e sem nenhum critrio de armazenamento, sem um sistema de
redundncia, controle de acesso etc..
Recomenda-se que a organizao possua um centro de armazenamento das
informaes para facilitar o controle e acesso. Deve possuir um sistema de
armazenamento profissional obtido atravs de storages ou outra soluo similar,
bem como a definio do local no ambiente organizacional que seja possvel
restringir o acesso e que seja seguro contra ataques e a riscos de enchente, fogo,
engenharia social, etc.
Soluo proposta
A soluo para este cenrio ampla e deve ser aplicada nos seguintes pontos:
A Poltica de Segurana deve ser revisada/implementada no sentido de
impedir o armazenamento de informao sensvel nos desktops,
smartphones e notebooks, e sim diretamente no servidor de arquivos e de
SGBD. Neste ltimo ser utilizada criptografia nativa (ex:PGP), para
cifragem dos dados. Toda informao ser classificada e sua propriedade
127
definida.
A Poltica de Segurana dever conter tambm formas de responsabilizao
dos usurios, inclusive os terceirizados, e definir a quem caber a guarda e
custdia da informao classificada como privada e confidencial.
Deve prever a periodicidade de reviso do plano de segurana, os critrios
para a segurana fsica da informao e a capacitao dos responsveis
pela sua guarda, visando principalmente evitar ataque de Engenharia Social;
Para garantir a autenticidade, cada usurio ser validado atravs de uma
chave privada, armazenada num token de uso pessoal. Esta chave ser
utilizada para acesso aos dados do servidor de arquivos e ao SGBD. Desta
forma o sistema tentar garantir a confidencialidade das informaes apenas
para as pessoas autorizadas;
Nas estaes e notebooks dos pesquisadores, os dados devero ser
armazenados utilizando criptografia. A chave privada ser armazenada em
token ou smart card e, por medida de segurana, uma cpia desta chave
ser armazenada no EQA. Desta forma, caso o desktop ou o notebook
sejam furtados e as suas informaes no sero roubadas;
Para garantir que as informaes no sero interceptadas por pessoas no
autorizadas, todo o trfego da rede cabeada, dever ser criptografado
utilizando o protocolo TLS/SSL e o trfego da rede wireless dever ser
criptografado utilizando o protocolo WTLS;
Para os sistemas telefnicos implementar o protocolo secvoice para evitar
escutas telefnicas (grampos);
O acesso fsico aos ambientes de pesquisa e desenvolvimento acadmico
ser controlado, utilizando-se biometria, atravs de SC RFID, smart card ou
token;
Os servidores de banco de dados e de aplicao devero ter criptografia na
camada de aplicao. Ambos no sero visveis pela internet e somente
sero acessados de forma indireta pelos servidores localizados na DMZ. O
acesso remoto ser atravs do protocolo SSL. Os servidores de FTP e
HTTP, que no contenham dados sensveis sero deslocados para a DMZ.
Disponibilizar o storage numa zona militarizada (firewall, IDS, IPS, Vlan
securty, etc..) juntamente com os outros servidores crticos.
Utilizar criptografia assimtrica para o sistema de e-mail do departamento.
128
Documentao de apoio
Abaixo uma relao de documentos para apoio:
Documento
ISO 27001
Origem
International Organization
for Standardization e
International
Electrotechnical Commision.
ISO 17799
International Organization
for Standardization e
International
Electrotechnical Commision.
NS110709_v1.0 Equipe JRRS
Aplicabilidade
Padro para sistema de gerncia
da segurana da informao
Sanes
As sanes adotadas nesta poltica so suportadas pela norma interna UFSCNI-001.
Para maiores detalhes consulte a norma disponvel na Intranet corporativa, na
seo normas de segurana e sanes.
129
Histrico de Alteraes
Modificado por
Verso
Data
Nome
Funo
1.0
10-07-2009
Coordenao de Segurana da
Informao
Controle de Aprovaes
Aprovado por
Verso
Data
Nome
Funo
1.0
10-07-2009
Rossano Cancelier
CEO
Controle de Revises
Verso
Nome
Data
Descrio
1.0
10-07-2009
Criao da poltica
Referncias
ISO 27001, ISO 17799
Recursos
N/A
Equipe:
Jorge Antnio Coelho de Sousa
Roberto Rivelino Dias
Rossano Cancelier
Sandro dos Santos Souza
130
1. Objetivo
O objetivo deste Plano de Contingncia visa assegurar o processo de
desenvolvimento contnuo das pesquisas do Departamento de Engenharia Qumica
e Engenharia de Alimentos (EQA) em caso de incidentes, envolvendo falhas de
hardware e/ou de software, destruio ou perda de documentos, devido a desastres
naturais ou por falha humana, dentre outros, que possam provocar indisponibilidade
ou interrupo desta atividade.
Este Plano tem como escopo precpuo a salvaguarda das informaes,
desenvolvidas e armazenadas nos laboratrios do EQA, inerentes aos projetos de
pesquisa.
2. Organizao
A organizao deste Plano de Contingncia composta por diversos grupos,
com funes e caractersticas distintas.
Estes grupos sero responsveis pelas diversas fases e etapas de implantao
e ativao do Plano de Contingncia.
a) Comit de Segurana
Grupo responsvel por exercer a coordenao geral do Plano de
Contingncia;
Garantir que a restaurao das atividades de pesquisa ocorra dentro do prazo
estipulado no Plano de Contingncia conforme a criticidade de cada projeto;
Este grupo composto por membros das seguintes reas:
o Pesquisa;
o Informtica;
o Auditoria;
o Segurana da Informao.
b) rea de Pesquisa
Grupo responsvel pela coordenao das atividades do Plano de
Contingncia relacionadas com a rea de pesquisa;
Este grupo composto por representantes das pesquisas desenvolvidas no
EQA:
o Coordenadores dos CPGENQ, CPGEA;
o Coordenadores de pesquisa.
c) Apoio Administrativo
Grupo responsvel pela coordenao das atividades administrativas,
necessrias para a execuo do Plano de Contingncia;
Este grupo composto por membros das seguintes reas:
o NDA (Ncleo de Desenvolvimento e Assessoramento tcnico) - TI;
o Coordenadores dos cursos:
CPGENQ;
CPGEA;
o Coordenador dos cursos de Pesquisa.
131
d) Aplicativos
Grupo responsvel pelo desenvolvimento das aplicaes necessrias
execuo do Plano de Contingncia;
Este grupo composto por membros das seguintes reas:
o NPD (Ncleo de Processamento de Dados) TI;
o NDA TI:
Supervisor do NDA;
o Coordenadores de pesquisa.
e) Hardware
Grupo responsvel pela coordenao do hardware necessrio ao Plano de
Contingncia;
Este grupo composto por membros das seguintes reas:
o NDA TI;
o NPD TI:
Tcnicos e Supervisor do NPD.
f) Software
Grupo responsvel pela manuteno e execuo do software necessrio ao
Plano de Contingncia;
Este grupo composto por membros das seguintes reas:
o NDA TI;
o NPD TI;
g) Operao
Grupo responsvel pela operacionalizao do hardware e software
necessrios ao Plano de contingncia;
Este grupo composto por membros das seguintes reas:
o NDA TI;
o NPD TI.
h) Comunicaes
Coordenar e executar os procedimentos necessrios manuteno e
operacionalizao do Plano de Contingncia;
Este grupo composto por membros das seguintes reas:
o NDA-TI;
o NPD-TI;
o Setor de telefonia/Proinfra/UFSC.
i) Microinformtica
Este grupo responsvel pela execuo dos procedimentos necessrios
manuteno e operacionalizao da estrutura de microinformtica necessria
ao Plano de Contingncia;
Entende-se microinformtica as seguintes atividades de manuteno, suporte
de equipamentos operacionais tal como, desktops, notebooks, PDAs,
Smartphones e dispositivos portteis;
Este grupo composto por membros das seguintes reas:
o NDA-TI;
o NPD-TI;
o Operao;
132
3. Responsabilidades
Comit de Segurana
Permanentes
Coordenar as atividades dos demais grupos;
Revisar periodicamente o plano de contingncia;
Distribuir cpia do plano de contingncia aos demais grupos;
Informar aos demais grupos o status do plano de contingncia;
Organizar e coordenar a execuo dos testes do plano de contingncia;
Dar apoio a todos os grupos envolvidos no plano de contingncia.
Na ativao da contingncia
Registrar os incidentes;
Coordenar a ativao do plano de contingncia;
Coordenar as atividades dos demais grupos.
Durante a contingncia
Coordenar as atividades dos demais grupos;
Resolver conflitos entre os grupos;
Solucionar problemas imprevistos.
Retorno normalidade
Coordenar as atividades de retorno normalidade;
Registrar as situaes no previstas
rea de Pesquisa
Permanentes
Registrar as caractersticas de cada pesquisa desenvolvida no EQA;
Definir o grau de importncia e criticidade de cada pesquisa;
Registrar os recursos necessrios cada pesquisa;
Manter o Comit de Segurana informado sobre cada pesquisa em
desenvolvimento;
Informar ao Comit de Segurana qual a estrutura mnima necessria
para cada pesquisa em desenvolvimento.
Na ativao da contingncia
Seguir as orientaes do Comit de Segurana;
Ativar o plano de contingncia, caso o incidente esteja relacionado sua
rea de responsabilidade.
Durante a contingncia
Executar o plano de contingncia, caso o incidente esteja relacionado
sua rea de responsabilidade;
Monitorar as atividades em execuo sob sua responsabilidade;
Manter os demais grupos informados quanto s etapas executadas.
Retorno normalidade
Preparar e ativar a estrutura de retorno normalidade, caso o incidente
ocorrido esteja relacionado sua rea de responsabilidade;
Relatar ao Comit de Segurana as situaes que no foram previstas no
plano de contingncia.
133
Apoio Administrativo
Permanentes
Manter atualizados os meios de comunicao dos envolvidos no plano de
contingncia, tais como: nmeros de telefone (celular e fixo), endereos (de
e-mail, residencial e profissional);
Divulgar, aos membros do plano de contingncia, os meios de
comunicao de todos os envolvidos;
Manter reserva de recursos financeiros suficiente para operacionalizar o
plano de contingncia.
Na ativao da contingncia
Seguir as orientaes do Comit de Segurana;
Ativar o plano de contingncia, caso o incidente esteja relacionado sua
rea de responsabilidade;
Fornecer local apropriado para instalao do Centro de Operaes do
Plano de Contingncia;
Prover o local do Centro de Operaes com meios de comunicao
adequados s necessidades do grupo;
Durante a contingncia
Fornecer material de escritrio bsico (lpis, caneta, papel, mesa, cadeira e
armrio), para atividades no tecnolgicas;
Fornecer meios de transporte adequados s necessidades de locomoo
dos membros do grupo.
Retorno normalidade
Apoiar administrativamente os demais grupos nas rotinas de retorno
normalidade.
Aplicativos
Permanentes
Manter atualizadas todas as rotinas que compem o plano de contingncia;
Desenvolver as rotinas destinadas aos servios crticos;
Manter atualizadas, e em lugar seguro, cpias da documentao dos
sistemas de aplicativos de servios crticos;
Prever e desenvolver rotinas para atender a todas as condies de retorno
normalidade, para as rotinas de contingncia.
Na ativao da contingncia
Dar apoio necessrio para a ativao do plano de contingncia.
Durante a contingncia
Dar apoio e auxlio tcnico para a soluo de problemas imprevistos;
Efetuar as correes necessrias nos sistemas de aplicativos de
contingncia.
Retorno normalidade
Apoiar tecnicamente os demais grupos nas rotinas de retorno
normalidade.
134
Hardware
Permanentes
Manter atualizada e informar, aos grupos que participam do plano de
contingncia, a relao dos equipamentos existentes e a situao de cada
um;
Pesquisar e providenciar um centro de processamento de dados alternativo
com as caractersticas mnimas necessrias execuo do plano de
contingncia;
Analisar e propor as melhores alternativas de contingncia para o hardware
utilizado pelos pesquisadores do EQA.
Na ativao da contingncia
Comunicar aos grupos que participam do plano de contingncia quaisquer
avarias que possam afetar as pesquisas em desenvolvimento no EQA,
fornecendo a previso para correo do problema;
Efetuar os contatos com os fornecedores de peas e suprimentos para
garantir a reposio dos componentes danificados.
Durante a contingncia
Providenciar o reparo/substituio da instalao/hardware danificado;
Providenciar o(s) equipamento(s) alternativo(s) e ativ-lo(s);
Contatar os fornecedores visando a reposio das peas e suprimentos
danificados.
Retorno normalidade
Concluir a correo ao(s) equipamento(s) danificado(s) e comunicar a
todos os grupos que participam do plano de contingncia, visando o retorno
normalidade.
Software
Permanentes
Manter atualizada e informar, aos grupos que participam do pano de
contingncia, a relao de todos os softwares disponveis na instalao,
identificando sua utilizao e usurios principais;
Instalar e manter atualizado(s) equipamento(s) alternativo(s), com o(s)
sistema(s) operacional(is) utilizado(s) pelos pesquisadores do EQA;
Planejar e colocar em prtica o esquema de cpias de contingncia para
todos os softwares crticos que sero necessrios ao plano de
contingncia.
Na ativao da contingncia
Ativar o(s) hardware(s) com o(s) sistema(s) operacional(is) necessrio(s)
ao plano de contingncia;
Instalar o(s) software(s) crtico(s) necessrio(s) ao plano de contingncia.
Durante a contingncia
Apoiar e resolver situaes imprevistas relacionadas ao(s) software(s)
crtico(s).
Retorno normalidade
Desinstalar o(s) software(s) utilizado(s) na ativao da contingncia;
Relatar as situaes imprevistas e as solues adotadas, visando
aprimorar o plano de contingncia.
135
Operao
Permanentes
Manter atualizado o esquema de operacionalizao dos programas de
pesquisa crticos do EQA;
Providenciar local livre de riscos e guardar as cpias de segurana dos
sistemas e aplicativos necessrios ao plano de contingncia;
Estabelecer procedimentos detalhados de operao para ser utilizado
durante o plano de contingncia;
Providenciar local alternativo para entrada dos dados, durante a
contingncia;
Desenvolver procedimentos alternativos para o caso de panes parciais do
servidor que atende os projetos de pesquisa;
Na ativao da contingncia
Comunicar ao grupo responsvel pelo hardware, ocorrncia de pane que
possa configurar uma emergncia.
Durante a contingncia
Operar o(s) sistema(s) crtico(s) da rea de pesquisa no equipamento
alternativo designado pelo Comit de Segurana;
Manter o esquema de cpia de segurana para os arquivos e sistemas que
esto funcionando em regime de contingncia.
Retorno normalidade
Operar a(s) rotina(s) introduzir os dados no sistema e que foram coletados
na forma alternativa.
Comunicaes
Permanentes
Manter atualizada e informar, aos grupos que participam do pano de
contingncia, a relao e caractersticas dos meios de comunicao
disponveis na instalao, identificando sua utilizao e usurios principais;
Instalar e manter atualizado(s) as caractersticas e configurao do(s)
equipamento(s) alternativo(s) comunicaes, que sero utilizados durante o
plano de contingncia;
Analisar e propor melhorias alternativas para os equipamentos de
comunicao que apresentarem falha ou fadiga;
Instalar e testar os equipamentos de comunicao alternativos que sero
utilizados no plano de contingncia.
Na ativao da contingncia
Comunicar aos grupos que participam do plano de contingncia quaisquer
avarias nos equipamentos de comunicao que possam afetar as
pesquisas em desenvolvimento no EQA, fornecendo a previso para
correo do problema;
Efetuar os contatos com os fornecedores de peas e suprimentos para
garantir a reposio dos componentes ou equipamentos danificados.
Durante a contingncia
Ativar os equipamentos de comunicao alternativos, nas reas mais
sensveis do EQA, visando no interromper completamente as
comunicaes;
Monitorar os equipamentos alternativos, para que as comunicaes no
sejam completamente interrompidas;
136
Retorno normalidade
Relacionar os equipamentos danificados e quais peas sero necessrias
repor;
Identificar e relatar situaes no previstas no plano de contingncia;
Microinformtica
Permanentes
Manter atualizada e informar, aos grupos que participam do plano de
contingncia, a relao dos equipamentos existentes e seus respectivos
usurios;
Na ativao da contingncia
Comunicar aos grupos do plano de contingncia quaisquer avarias o mal
funcionamento dos equipamentos de comunicao.
Durante a contingncia
Identificar e substituir os equipamentos de microinformtica que possam
prejudicar os projetos de pesquisa do EQA.
Retorno normalidade
Relatar ao Comit de Segurana os equipamentos que apresentaram pane
durante o plano de contingncia;
Tentar recuperar e por em produo, os equipamentos que apresentaram
pane.
4. Plano de ao
Controles a ser mantidos:
Equipamentos
Manter atualizado o inventrio dos equipamentos crticos que podem, em
caso de falha, prejudicar as atividades dirias do EQA;
Testar periodicamente os equipamentos alternativos que sero utilizados
em caso de falha dos equipamentos principais;
Softwares
Manter atualizado o inventrio dos softwares crticos, incluindo os principais
usurios;
Desenvolver e manter um esquema de atualizao peridica dos softwares
crticos alternativos.
Infraestrutura de apoio
Verificar periodicamente o local alternativo escolhido para continuar o
desenvolvimento das pesquisas do EQA;
Aplicativos
Manter atualizado o inventrio dos aplicativos crticos e seus respectivos
usurios.
Treinamento
Executar periodicamente o programa de simulaes peridicas para teste
de plano de contingncia;
Documentao
Desenvolver e manter esquema de atualizao das documentaes dos
softwares e sistemas crticos.
137
Procedimentos de retorno
Na tabela abaixo esto os procedimentos de retorno que devero ser
executados com relao aos principais eventos identificados no levantamento de
riscos, e que possibilitaro o retorno normalidade.
Evento:
Perda de informaes.
Descrio:
Contingncia:
RTO:
6 horas.
RPO:
1 dia.
Evento:
Descrio:
Contingncia:
RTO:
30 minutos.
RPO:
N/A.
Evento:
138
Descrio:
Contingncia:
RTO:
15 minutos.
RPO:
1 dia.
Evento:
Descrio:
Contingncia:
RTO:
1 dia.
RPO:
1 dia.
Evento:
Descrio:
Contingncia:
139
1 dia.
RPO:
N/A.
Evento:
Descrio:
Contingncia:
RTO:
30 minutos.
RPO:
30 minutos.
Evento:
Desastre natural.
Descrio:
140
Contingncia:
RTO:
1 dia.
RPO:
1 dia.
Evento:
Descrio:
Contingncia:
RTO:
1 minuto.
RPO:
1 dia.
Evento:
Furto de informao.
Descrio:
Contingncia:
RTO:
6 horas.
RPO:
1 dia.
Evento:
Descrio:
141
RTO:
1 hora.
RPO:
1 hora.
Evento:
Descrio:
Contingncia:
RTO:
6 horas.
RPO:
1 dia.
Evento:
Descrio:
Contingncia:
RTO:
1 hora.
RPO:
N/A.
Evento:
Descrio:
Contingncia:
RTO:
N/A.
RPO:
N/A.
142
5. Operacionalizao do Plano
Manuais de Contingncia
a) Quem mantm e atualiza:
WEB
Normas da ABNT
Manuais
Artigos/Paper
CPUs
Storage
Ativos de rede
e) Descrio dos softwares necessrios
Sistemas operacionais:
Microsoft Windows XP
Ubuntu
Brlix
Aplicativos
Microsoft Office
Broffice
Matlab
Adobe acrobat
Matemtica
Estatstica
f) Descrio dos aplicativos necessrios
CFX
Autocad
Pro-engineer
Relao de Pessoal
A relao de todas as pessoas envolvidas neste Plano de Contingncia pode ser
encontrada nos seguintes documentos, que integram este Plano de Contingncia:
Apndice IV: Relao de responsveis por reas;
143
144
Pro-engineer
Software de comunicao
Browsers (IE8.0, Firefox 3.0, Opera 10);
software fone (x-lite);
SMS messenger
f) Microcomputadores
CPU padro desktop:
Processador: AMD ou Intel 1,5 a 2 Ghz;
Memria RAM: 512 Mb;
Disco rgido: 100 Mb;
Sistema operacional: Windows XP ou Ubuntu;
Aplicativos: MS Office ou BrOffice.org, Statistica;
Todos com conexo a internet.
CPU padro Servidor:
Processador: Intel 2 a 3 Ghz;
Memria RAM: de 2 a 4 Gb;
Disco rgido: de 500 Gb a 1 Tb;
Sistema operacional: Windows Server ou Distribuio Linux Server 64
bits;
Aplicativos: Especficos ao servio, por exemplo o aplicativo CFX,
Autocad etc.;
Todos com conexo internet
8. Relao de fornecedores
Consulte o Apndice V.
9. Relao de aplicativos
Sistemas Operacionais:
Ubuntu 9.04;
Windows XP SP3;
BRlix 1.2;
OpenSuse 9.12
Aplicativos:
Microsoft Office;
BrOffice.org;
OpenOffice;
Adobe Acrobat;
CFX;
145
Pro-engineer;
Software de comunicao:
Browsers (Internet Explorer 8.0, Firefox 3.0, Opera 10);
software fone (x-lite);
SMS Messenger.
10. Apndices
146
Nome
Telefone
convencional
Telefone
residencial
Telefone
residencial
Cargo
Lotao/Curso/Pesquisa
Coordenadores dos
cursos
CPGENQ/CPGEA
Coordenadores de
pesquisa
Supervisor NDA
Secretria do grupo de
pesquisas LCP/EQA Laboratrio de controle
de processos
Supervisor NPD
147
Contato
Telefone
convencional
Telefone
residencial
Objeto fornecido
Usurio
148
ANEXOS
149
150
151
X
- opinar pela convenincia e promover a proteo das criaes
desenvolvidas no mbito da Universidade;
V
- opinar quanto convenincia de divulgao das criaes
desenvolvidas no mbito da Universidade, passveis de proteo intelectual;
VI - acompanhar o processamento dos pedidos e a manuteno dos
ttulos de propriedade intelectual da Universidade;
VII - identificar e incentivar, no ambiente produtivo, oportunidades de
realizao de projetos de inovao que podero ser executados em conjunto
com a Universidade;
VIII - opinar quanto celebrao de contratos e convnios envolvendo a
inovao e a pesquisa cientfica e tecnolgica e que incluam clusulas de
propriedade intelectual e de segredo;
IX - divulgar amplamente os resultados obtidos com os projetos de inovao
desenvolvidos no mbito da Universidade, resguardando o dever de segredo
previsto em contratos ou convnios firmados;
X - estabelecer o seu Regimento Interno, a ser aprovado pelo Pr-Reitor de
Pesquisa.
Art. 3 A direo do Ncleo de Inovao Tecnolgica ser exercida,
cumulativamente, pelo Diretor do Departamento de Propriedade Intelectual ou
pelo Diretor do Departamento de Projetos, indicado pelo Pr-Reitor de
Pesquisa e designado pelo Reitor.
Art. 4 O Diretor ser responsvel pela superviso de todas as atividades do
Ncleo de Inovao Tecnolgica.
Art.5 O Ncleo de Inovao Tecnolgica poder usar a marca ou a
designao de UFSC INOVAR.
Art. 6 Fica criado o Comit Consultor Ad Hoc para manifestar-se sobre
projetos, propriedade intelectual, transferncia de tecnologia e incentivo
inovao da Universidade.
1 Os consultores Ad Hoc sero indicados pelo Diretor do Ncleo de
Inovao Tecnolgica e designados pelo Pr-Reitor de Pesquisa.
2 As funes de membro do Comit Consultor Ad Hoc sero consideradas
misso de servio relevante.
Art. 7 Esta portaria normativa entrar em vigor na data da sua publicao no
Boletim Oficial da Universidade.
152
153
154
155
Mandamento Legal
Direito privacidade.
Constituio
Federal, art.
inciso XII.
Constituio
Federal, art.
inciso XIV.
Direito privacidade
comunicaes.
5,
5,
Constituio
Federal, art. 5,
inciso XXXIII e art.
37, 3, inciso II.
Constituio
Federal, art. 5,
inciso XXXIV.
Constituio
Federal, art. 23,
incisos III e IV.
das
Resguardo
do
sigilo
profissional em caso de ofcio
que
exige
a
ampla
confidncia no interesse de
quem
confidencia,
como
advogados, padres, mdicos,
psiclogos, etc.
Direito informao e ao
acesso
aos
registros
pblicos.
Direito de petio e de
obteno de certides em
reparties pblicas.
Dever do Estado de proteger
os documentos e obras.
Constituio
Federal, art. 216,
2.
Obrigao da Administrao
Pblica de promover a gesto
documental.
Constituio
Federal, art.
caput.
Vinculao da Administrao
Pblica aos princpios da
legalidade, impessoalidade,
moralidade, publicidade e
eficincia.
37,
Constituio
Federal, art. 37,
6 e Cdigo Civil,
art. 43.
Responsabilidade objetiva do
Estado e das pessoas de
direito privado prestadoras de
servios pblicos pelos danos
causados
a
terceiros,
assegurado o direito de
Aspecto da SI
Sigilo das informaes
relacionadas intimidade
ou vida privada de
algum.
Sigilo
dos
dados
telemticos
e
das
comunicaes privadas.
Sigilo das informaes
relacionadas intimidade
ou vida privada de
algum.
Disponibilidade
das
informaes constantes
nos rgos pblicos.
Disponibilidade
das
informaes constantes
nos rgos pblicos.
Proteo da integridade,
da autenticidade e da
disponibilidade
das
informaes pelo Estado.
Proteo da integridade,
da
autenticidade,
da
disponibilidade e do sigilo
das
informaes
constantes nos rgos e
entidades integrantes da
Administrao Pblica.
Quanto melhor a gesto
das informaes, mais
eficiente ser o rgo ou
entidade,
da
a
necessidade
de
implantao
de
uma
Poltica de Segurana da
Informao.
Responsabilidade
objetiva do Estado por
dano decorrente da m
gesto das informaes
pelos rgos e entidades
da Administrao Pblica
156
Dispositivo
Constituio
Federal, art. 37,
7.
Consolidao das
Leis do Trabalho
CLT,
art.
482,
alnea g.
Mandamento Legal
regresso
contra
o
responsvel nos casos de
dolo ou culpa.
Lei
dispor
sobre
os
requisitos e as restries ao
ocupante de
cargo
ou
emprego da administrao
direta
e
indireta
que
possibilite
o
acesso
a
informaes privilegiadas.
Resciso de contrato de
trabalho de empregado que
viola segredo da empresa.
Cdigo de Conduta
da
Alta
Administrao, art.
5, 4.
Carter
sigiloso
das
informaes pertinentes
situao
patrimonial
da
autoridade pblica.
Cdigo de Conduta
da
Alta
Administrao,
art.14, inciso II.
Proibio
da
autoridade
pblica de prestar consultoria
valendo-se de informaes
no divulgadas publicamente
a respeito de programas ou
polticas do rgo ou da
entidade da Administrao
Pblica Federal a que esteve
vinculado ou com que tenha
tido relacionamento direto e
relevante nos seis meses
anteriores ao trmino do
exerccio de funo pblica.
Proibio de alterao de
documentos que devam ser
encaminhados
para
providncias.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
alnea h do inciso
XV da Seo II.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
alnea l do inciso
XV da Seo II.
Proibio de retirar
repartio documento
qualquer outro bem.
da
ou
Aspecto da SI
e pessoas de direito
privado prestadoras de
servios pblicos.
Necessidade
de
regulamentao
do
acesso a informaes
privilegiadas.
Proteo
das
informaes
sigilosas
acessadas no exerccio
de
emprego
pblico
(empresas pblicas e
sociedades de economia
mista).
Sigilo das informaes
fiscais e tributrias das
autoridades
pblicas
(sigilo perante terceiros e
no
em
face
da
Administrao Pblica)..
Proteo
das
informaes privilegiadas
produzidas ou acessadas
no exerccio de cargo ou
funo pblica.
Proteo da integridade
das informaes pblicas.
Proteo
da
disponibilidade
das
informaes pblicas.
157
Dispositivo
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
inciso X da Seo
I.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
inciso VII da Seo
I.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
inciso IX da Seo
I.
Decreto
n
1.171/94 (Cdigo
de
tica
do
Servidor Pblico),
alnea e do inciso
XIV da Seo II.
Cdigo
de
Propriedade
Industrial, art. 75.
Cdigo de Defesa
do
Consumidor,
arts. 43 e 44.
Mandamento Legal
Deixar o servidor pblico ou
qualquer pessoa espera de
soluo que compete ao
setor em que exera suas
funes,
permitindo
a
formao de longas filas, ou
qualquer outra espcie de
atraso na prestao do
servio,
no
caracteriza
apenas atitude contra a tica
ou ato de desumanidade,
mas principalmente grave
dano moral aos usurios dos
servios pblicos.
Obrigao moral de conferir
publicidade
aos
atos
administrativos,
salvo
os
sigilosos.
O
pedido
de
patente
originrio do Brasil cujo
objeto interesse defesa
nacional ser processado em
carter sigiloso.
Direito
de
acesso
do
consumidor
s
suas
informaes
pessoais
arquivadas em bancos de
dados e direito de retificao
das informaes incorretas.
Pena de deteno de um a
seis meses ou multa por
crime
de
violao
de
Aspecto da SI
Proteo
da
disponibilidade
das
informaes pblicas.
Proteo
da
disponibilidade
das
informaes pblicas e
garantia da publicidade
das
informaes
de
interesse da coletividade.
Proteo da integridade
do patrimnio pblico, a
exemplo
de
equipamentos, materiais,
reas e instalaes.
Disponibilidade
comunicaes.
das
Garantia da integridade e
disponibilidade
das
informaes
dos
consumidores arquivadas
em bancos de dados.
Proteo
do
integridade
disponibilidade
sigilo,
e
das
158
Dispositivo
Mandamento Legal
correspondncia
fechada
dirigida a outrem, sonegao
ou
destruio
de
correspondncia, e violao
de comunicao telegrfica,
radioeltrica ou telefnica.
Pena de deteno de trs
meses a dois anos pelo crime
de
desvio,
sonegao,
subtrao, supresso ou
revelao de contedo de
correspondncia comercial,
abusando da condio de
scio ou empregado.
Pena de 1 a 4 anos e multa
por crime de divulgao de
documento
confidencial
contido ou no nos sistemas
ou bancos de dados da
Administrao Pblica.
Pena de trs meses a um
ano, ou multa por crime de
violao
de
segredo
profissional.
Pena de dois a quatro anos
por crime de violao de
direito autoral mediante cabo,
fibra tica, satlite, ondas ou
qualquer outro sistema.
Pena de dois a seis anos, e
multa
por
crime
de
falsificao de documento
pblico.
Pena de um a cinco anos, e
multa
por
crime
de
falsificao de documento
particular.
Pena de 2 a 6 anos e multa
por crime de supresso,
destruio ou ocultao de
documento
pblico
ou
particular.
Pena de trs meses a um
ano, ou multa por crime de
falsa identidade.
Aspecto da SI
informaes de carter
pessoal
veiculadas
atravs dos meios de
comunicao.
Proteo do sigilo e da
disponibilidade
das
informaes
dos
estabelecimentos
comerciais.
Proteo da integridade e
autenticidade
dos
documentos pblicos.
Proteo da integridade e
autenticidade
dos
documentos particulares.
Proteo
da
disponibilidade
e
integridade
das
informaes constantes
nos rgos e entidades
pblicos.
Proteo
da
autenticidade.
159
Dispositivo
Cdigo Penal, art.
313-A.
Cdigo Processo
Penal, art. 20.
Cdigo Processo
Penal, art. 207.
Cdigo Processo
Penal, art. 745.
Cdigo Tributrio
Nacional, art. 198.
Cdigo
de
Processo Civil, art.
Mandamento Legal
Pena de 2 a 12 anos e multa
por crime de insero de
dados falsos em sistema
informatizado ou banco de
dados
da
Administrao
Pblica,
alterao
ou
excluso de dados corretos.
Pena de 3 meses a 2 anos e
multa
por
crime
de
modificao ou alterao no
autorizada de sistemas de
informaes.
Pena de um a quatro anos
por
crime
de
extravio,
sonegao ou inutilizao de
livro ou documento de que
tem a guarda em razo do
cargo.
Pena de seis meses a dois
anos, ou multa por crime de
violao de sigilo funcional.
Aspecto da SI
Proteo da integridade e
disponibilidade
das
informaes constantes
nos rgos e entidades
pblicos.
Proteo da integridade e
disponibilidade
das
informaes constantes
nos rgos e entidades
pblicos.
Proteo
da
disponibilidade
das
informaes constantes
nos rgos e entidades
pblicos.
Proteo
das
informaes
sigilosas
acessadas no exerccio
de cargo, funo ou
emprego pblico.
Proteo de informaes
sigilosas.
Proteo
do
sigilo
profissional.
Proteo de informaes
sigilosas relacionadas ao
condenado.
Proteo do sigilo fiscal.
Proteo da privacidade
de seus clientes.
160
Dispositivo
347, inciso II c/c
art.363, inciso IV.
Cdigo
de
Processo Civil, art.
406, inciso II c/c
art.414, 2.
Lei n 6.538/78,
art. 41.
Lei n
art. 13.
7.170/83,
Lei n 7.232/84,
art. 2o, inciso VIII.
Lei n
art. 18.
7.492/86,
Lei n 8.027/90,
artigo 5, inciso I.
Lei n 8.027/90,
artigo 5, pargrafo
nico, inciso V.
Lei n 8.112/90,
art. 116, inciso VIII.
Mandamento Legal
Aspecto da SI
Direito da testemunha de
guardar sigilo profissional.
Proteo da privacidade
de seus clientes.
Proteo da privacidade
de correspondncia.
Proteo
das
informaes
sigilosas
relacionadas segurana
nacional
Sigilo
dos
dados
relacionados
Proteo
das
informaes sigilosas no
mbito das instituies
financeiras ou integrantes
do sistema de distribuio
de ttulos mobilirios.
Proteo
das
informaes privilegiadas
produzidas ou acessadas
no exerccio de cargo ou
funo pblica.
Proteo
das
informaes
sigilosas
acessadas no exerccio
de cargo, funo ou
emprego pblico.
Sigilo das informaes
produzidas
ou
161
Dispositivo
Lei n 8.112/90,
art. 132, inciso IX.
Lei n 8.137/90,
art. 3, inciso I.
Lei n 8.429/92,
art.11, incisos III,
IV e VII..
Lei n
art. 13.
8.429/92,
Lei
8.443/92,
Mandamento Legal
repartio.
Aspecto da SI
conhecidas no exerccio
de cargo ou funo
pblica.
Proteo
das
informaes
sigilosas
acessadas no exerccio
de cargo ou funo
pblica.
Proteo
da
disponibilidade
de
informaes
para
manuteno da ordem
tributria.
Proteo
das
informaes
sigilosas
acessadas no exerccio
de cargo, funo ou
emprego pblico, bem
como
garantia
de
publicidade
das
informaes de interesse
coletivo ou geral que
devem ser divulgadas por
ato oficial.
Disponibilidade
informaes pessoais
agente pblico para
Poder
Pblico
veracidade dos dados.
Proteo
de
do
o
e
das
162
Dispositivo
art. 86, inciso IV.
Lei Complementar
n 75/93, art. 8
incisos II e VIII,
1 e 2.
Lei n 8.625/93,
art. 26, inciso I,
alnea b e inciso II.
Lei n 8.906/94,
art. 7, inciso XIX.
Lei n 9.100/95,
art. 67, incisos VII
e VIII.
Mandamento Legal
funes
especficas
de
controle externo no TCU de
guardar sigilo sobre dados e
informaes
obtidos
em
decorrncia do exerccio de
suas funes e pertinentes
aos
assuntos
sob sua
fiscalizao,
utilizando-os,
exclusivamente,
para
a
elaborao de pareceres e
relatrios destinados chefia
imediata.
Competncia do Ministrio
Pblico da Unio para
requisitar
informaes,
exames,
percias
e
documentos de autoridades
da Administrao Pblica
direta ou indireta e ter acesso
incondicional
a
qualquer
banco de dados de carter
pblico ou relativo a servio
de relevncia pblica, bem
como a responsabilizao
pelo uso dessas informaes.
Competncia do Ministrio
Pblico
de
requisitar
informaes,
exames
periciais e documentos de
autoridades
federais,
estaduais e municipais, bem
como dos rgos e entidades
da
administrao
direta,
indireta ou fundacional, de
qualquer dos Poderes da
Unio, dos Estados, do
Distrito
Federal
e
dos
Municpios
e
requisitar
informaes e documentos a
entidades privadas, para
instruir procedimentos ou
processo em que oficie.
Direito do advogado de
resguardar
o
sigilo
profissional.
Constitui crime de fraude
eleitoral
nas
eleies
municipais as condutas de:
Aspecto da SI
informaes
sigilosas
acessadas no exerccio
de cargo, funo ou
emprego pblico.
Proteo
da
disponibilidade e sigilo
das
informaes
constantes nos registros
pblicos.
Proteo
da
disponibilidade e sigilo
das
informaes
constantes nos registros
pblicos.
Proteo da privacidade
do cliente do advogado.
Proteo da integridade e
autenticidade
dos
sistemas informatizados e
163
Dispositivo
Lei n 9.279/96,
art. 195, inciso XI.
Lei n
art. 10.
9.296/96,
Lei n 9.472/97,
art. 3, inciso V.
Mandamento Legal
(a) obter ou tentar obter,
indevidamente, acesso a
sistema
de
tratamento
automtico de dados utilizado
pelo servio eleitoral, a fim de
alterar
a
apurao
ou
contagem de votos; e (b)
tentar
desenvolver
ou
introduzir comando, instruo
ou programa de computador,
capaz de destruir, apagar,
eliminar, alterar, gravar ou
transmitir dado, instruo ou
programa
ou
provocar
qualquer
outro
resultado
diverso do esperado em
sistema
de
tratamento
automtico de dados utilizado
pelo servio eleitoral.
Constitui
crime
de
concorrncia desleal divulgar,
explorar ou utilizar, sem
autorizao,
de
conhecimentos, informaes
ou
dados
confidenciais,
utilizveis
na
indstria,
comrcio ou prestao de
servios, excludos aqueles
que sejam de conhecimento
pblico
ou
que
sejam
evidentes para um tcnico no
assunto, a que teve acesso
mediante relao contratual
ou empregatcia, mesmo
aps o trmino do contrato.
Pena de dois a quatro anos,
e multa por crime de
interceptao
de
comunicaes telefnicas, de
informtica ou telemtica, ou
quebra de segredo da
Justia, sem autorizao
judicial ou com objetivos no
autorizados em lei.
O usurio de servios de
telecomunicaes tem direito
inviolabilidade e ao segredo
de sua comunicao, salvo
Aspecto da SI
das informaes neles
armazenadas.
Proteo da privacidade
das pessoas jurdicas,
relacionado ao sigilo de
suas informaes.
164
Dispositivo
Lei n 9.472/97,
art. 3, inciso VI.
Lei n 9.472/97,
art. 3, inciso IX.
Lei n
art. 72.
9.504/97,
Lei n
art. 62.
9.605/98,
Lei n 10.683/03,
art. 6.
Mandamento Legal
nas hipteses e condies
constitucional e legalmente
previstas.
O usurio de servios de
telecomunicaes tem direito
no divulgao, caso o
requeira, de seu cdigo de
acesso.
O usurio de servios de
telecomunicaes tem direito
ao
respeito
de
sua
privacidade nos documentos
de cobrana e na utilizao
de seus dados pessoais pela
prestadora do servio.
Pena de 5 a 10 anos pelas
condutas de obter acesso a
sistema
de
tratamento
automtico de dados usado
pelo servio eleitoral, a fim de
alterar a apurao ou a
contagem
de
votos;
desenvolver ou introduzir
comando,
instruo,
ou
programa de computador
capaz de provocar qualquer
outro resultado diverso do
esperado em sistema de
tratamento automtico de
dados usados pelo servio
eleitoral;
causar,
propositadamente,
dano
fsico ao equipamento usado
na votao ou na totalizao
de votos ou a suas partes.
Pena de 1 a 3 anos e multa
pela conduta de destruir,
inutilizar
ou
deteriorar
arquivo, registro, museu,
biblioteca,
pinacoteca,
instalao cientfica ou similar
protegido
por
lei,
ato
administrativo ou deciso
judicial.
Prev a competncia do
GSIPR de coordenar a
atividade de segurana da
informao.
Aspecto da SI
Proteo de informaes
pessoais
de
carter
sigiloso.
Proteo de informaes
pessoais
de
carter
sigiloso.
Proteo da integridade
das
informaes
de
carter eleitoral e dos
equipamentos.
Disponibilidade
e
integridade de dados e
informaes.
Todos os aspectos da
segurana da informao.
165
Dispositivo
Lei n. 10.703/03,
arts. 1 , 2 e 3, de
18 de julho de
2003.
Decreto
n
4.801/03, art. 1,
inciso X.
Decreto
n
5.483/05, arts. 3 e
11.
Decreto
n
5.687/06, arts.10 e
13 do Anexo.
Mandamento Legal
Incumbe aos prestadores de
servios
de
telecomunicaes
na
modalidade pr-paga, em
operao
no
territrio
nacional, manter cadastro
atualizado de usurios. Os
dados
constantes
do
cadastro,
salvo
motivo
justificado,
devero
ser
imediatamente
disponibilizados
pelos
prestadores de servios para
atender
solicitao
da
autoridade judicial, sob pena
de multa de at R$ 10.000,00
(dez mil reais) por infrao
cometida.
Atribuio da Cmara de
Relaes Exteriores e Defesa
Nacional, do Conselho de
Governo,
de
formular
polticas pblicas e diretrizes,
aprovar,
promover
a
articulao e acompanhar a
implementao
dos
programas
e
aes
estabelecidos no mbito da
segurana da informao.
Dever do agente pblico de
apresentar anualmente sua
declarao de bens e valores
que
integram
o
seu
patrimnio e dever de sigilo
por parte da Administrao
Pblica dessas informaes.
Conveno
das
Naes
Unidas contra a Corrupo
aprovada pelo Congresso
Nacional e promulgada pelo
Decreto n 5.687/06, segundo
a
qual,
cada
Estado
signatrio deve esforar-se
para
implementar,
entre
outras, as seguintes medidas:
art.
10:
a)
instaurar
procedimentos
ou
regulamentaes
que
Aspecto da SI
Disponibilidade de dados
cadastrais para fins de
investigao criminal e
sigilo
nas
demais
hipteses.
Todos os aspectos da
segurana da informao.
Disponibilidade
de
informaes pessoais do
agente pblico para o
Poder Pblico e dever de
sigilo por parte da
Controladoria-Geral
da
Unio.
Disponibilidade
das
informaes pblicas ou
administrativas e sigilo
das informaes pessoais
constantes nos registros
pblicos.
166
Dispositivo
Decreto
n
6.029/07, inciso II
do art. 1.
Decreto
n
6.029/07, art. 10.
Decreto
n
6.029/07, art. 13.
Mandamento Legal
permitam ao pblico em geral
obter informao sobre a
organizao,
o
funcionamento
e
os
processos de adoo de
decises
de
sua
administrao pblica, com o
devido respeito proteo da
intimidade e dos documentos
pessoais;
b)
simplificar
procedimentos
administrativos a fim de
facilitar o acesso do pblico
s informaes; c) dar
publicidade s informaes;
- art. 13: a) aumentar a
transparncia e promover a
contribuio da cidadania aos
processos de adoo de
decises; b) garantir o
acesso eficaz do pblico
informao.
O Sistema de Gesto da
tica do Poder Executivo
Federal tem como um de
seus objetivos contribuir para
a implementao de polticas
pblicas
tendo
a
transparncia e o acesso
informao
como
instrumentos
fundamentais
para o exerccio de gesto da
tica pblica.
Nos trabalhos das Comisses
de
tica
devero
ser
observados os princpios da
proteo honra e imagem
do investigado, bem como
proteo identidade do
denunciante, que dever ser
mantida sob reserva se este
o desejar.
Sero classificados como
reservados
os
procedimentos
de
investigao de condutas
antiticas.
Concluda
a
investigao
e
aps
a
Aspecto da SI
Disponibilidade
das
informaes constantes
nos registros pblicos
Sigilo da identidade do
denunciante e sigilo do
processo para proteo
da honra e da imagem do
investigado antes da
prolao da deciso pela
Comisso de tica.
Sigilo
do
processo
administrativo
por
infrao tica antes da
prolao da deciso e
publicidade
aps
o
trmino e aplicao das
167
Dispositivo
Decreto
n
6.029/07, art. 22.
Mandamento Legal
deliberao da Comisso de
tica, o processo deixar de
ser reservado.
Comisso de tica Pblica
manter banco de dados de
sanes aplicadas para fins
de consulta antes de novas
nomeaes.
Aspecto da SI
penalidades.
Disponibilidade,
integridade
e
autenticidade
das
informaes constantes
no banco de dados
mantido pela Comisso
de tica Pblica.
Fonte: GSIPR/DSIC (http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm#quadro1).
168
Assunto
Lei n 7.232, de 29
de outubro de 1984.
Lei n 8.248, de 23
de outubro de 1991
Lei n 9.296, de 24
de julho de 1996.
Lei n 9.472, de 16
de julho de 1997
Lei n 9.507, de 12
de novembro de
1997.
Lei n 9.609, de 19
de
fevereiro
de
1998.
Lei n 9.883, de 07
de dezembro de
1999.
Lei n 8.159/91, de
08 de janeiro de
2001.
Lei
Complementar
105, de 10 de janeiro
de 2001.
Medida Provisria n
2.200-2, de 24 de
agosto de 2001.
Lei n 10.973, de 02
de dezembro de
2004.
Lei n 11.111, de 05
de maio de 2005.
Lei n 11.419, de 19
de dezembro de
2006.
Decreto n 2.295, 04
de agosto de 1997.
Decreto n 2.556, de
20 de abril de 1998.
169
Regulamento
Assunto
Decreto n 3.294, de
15 de dezembro de
1999.
Decreto n 3.505, de
13 de junho de 2000.
Decreto de 18 de
outubro de 2000.
Decreto n 3.714, 03
de janeiro de 2001.
Decreto n 3.996,
31 de outubro
2001.
Decreto n 4.073,
03 de janeiro
2002.
Decreto n 4.376,
13 de setembro
2002.
Decreto n 4.522,
de dezembro
2002.
Decreto n 4.553,
27 de dezembro
2002.
de
de
de
de
de
de
17
de
de
de
Decreto n 4.689, de
07 de maio de 2003.
Decreto n 4.829, de
03 de setembro de
2003.
Decreto de 29 de
outubro de 2003.
Decreto n 5.301, de
09 de dezembro de
2004.
Decreto n 5.450, de
31 de maio de 2005.
Decreto n 5.563, de
11 de outubro de
2005.
170
Regulamento
Assunto
Decreto n 5.584, de
18 de novembro de
2005.
Decreto n 5.772, de
08 de maio de 2006,
art. 8.
Decreto n 6.605, de
14 de outubro de
2008.
Instruo Normativa
n 1 do GSI, de 13
de junho de 2008.
Resoluo n 58 do
INPI, de 14 de julho
de 1998.
Resoluo n 59 do
INPI, de 14 de julho
de 1998.
Resoluo n 338 do
STF, de 11 de abril
de 2007.
Resoluo n 140 do
TST, de 13 de
setembro de 2007.
Resoluo
n
22.718/08 do TSE,
arts. 18 e 19.
171
Assunto
n
09
de
Lei Estadual de
So Paulo n
12.228, de 11 de
janeiro de 2006.
Lei Estadual do
Rio Grande do
Sul n 12.698, de
04 de maio de
2007.
Lei Estadual de
So Paulo n
12.906, de 14 de
abril de 2008.
Decreto Estadual
do Paran n
5.111, de 19 de
julho de 2005.
172
Assunto
Dispe sobre o funcionamento das casas de jogos
por computador conhecidos como Lan Houses, e d
outras providncias, dentre as quais a exigncia de
cadastramento dos menores de 18 anos que
frequentam o local.
173
Assunto
ISO/IEC
TR Esta norma fornece tcnicas para a gesto de segurana na
13335-3:1998.
rea de tecnologia da informao. Baseada na norma
ISO/IEC 13335-1 e TR ISO/IEC 13335-2. As orientaes so
projetadas para auxiliar o incremento da segurana na TI.
ISO/IEC GUIDE Esta norma fornece aos elaboradores de normas
51:1999.
recomendaes para a incluso dos aspectos de segurana
nestes documentos. aplicvel a qualquer aspecto de
segurana relacionado a pessoas, propriedades, ao
ambiente, ou a uma combinao de um ou mais destes (por
exemplo, somente pessoas; pessoas e propriedades;
pessoas, propriedades e o ambiente).
ISO/IEC GUIDE Esta norma fornece definies genricas de termos de gesto
73:2002.
de riscos para a elaborao de normas. Seu propsito ser
um documento genrico de alto nvel voltado para a
preparao ou reviso de normas que incluam aspectos de
gesto de riscos.
ABNT NBR ISO Esta norma equivalente ISO/IEC 17799:2005. Consiste
IEC
17799: em um guia prtico que estabelece diretrizes e princpios
2005.
gerais para iniciar, implementar, manter e melhorar a gesto
de segurana da informao em uma organizao. Os
objetivos de controle e os controles definidos nesta norma
tm como finalidade atender aos requisitos identificados na
anlise/avaliao de riscos.
ABNT NBR
Esta norma usada para fins de certificao e substitui a
ISO/IEC
norma Britnica BS 7799-2:2002. Aplicvel a qualquer
27001:2005.
organizao, independente do seu ramo de atuao, define
requisitos para estabelecer, implementar, operar, monitorar,
revisar, manter e melhorar um Sistema de Gesto de
Segurana da Informao.
Fonte: GSIPR/DSIC (http://dsic.planalto.gov.br/documentos/quadro_legislacao.htm#quadro5).