Académique Documents
Professionnel Documents
Culture Documents
Quali§z
DepaÉamento:
PROCEDIMENTO OPERACTONAL PADRÂO
Título:
POP 098
Revisão:00
2. REFERET{CIA
ABNT NBR 27001:2013 - Tecnologia da informaçâo - Técnicas de segurança - Sistemas de gestilo da segurança da inÍormação -
NBR 27002: 2013 - Temologia da infonnação - Técnicas de segurança - CódQo de prática para conúoles de segurança da informação
(08t12t2013).
ISO 749&2 - lnformation Processing S§ems - Open Systems lnterconnection - Basic ReÍerence lvlodel - Part 2: Security Architecture
(15/021989).
DOCUilENTOS RE1ÁCIOilADOS
N.A
ABRANGÊNCIA
RESPOT{SABILIDADES
É de responsabilidade de todas as pessoas que acessarem a rede Qudity Centralde Esterilização, cumprirem esse procedimento.
6. AUTORIDADE
O supaior imediato tem zutoddade definitla para asseguÍer o cumprirento deste procedincnto operacional
7. DEFTNTçÂO
conba desastes, erÍos (intencionais ou ntu) e manipulação não autuizada, objeüvardo a redução da pnobabilidade e do impacto de
incidentes de segurança. Todos esses controles necessitam ser estdelecidos, implementados, monitorados, analisados criticarnente e
nrlhorados para que asseguÍem que os objetivos do negócio e a seguÍança da inbrmação da organização sejam atendidos (item 0.1
A segurança da inÍonnação é a proteção da inÍormação de vários üpos de aÍneaças para garanür a conünuidade do negócio,
nÍnimizando os riscos e maximizando o retomo sobre os investimentos e as oportunidades de negocio. A segurança da informação é
obüda como resultado da implementação de um conjunto de controles, comprcendendo políticas, processos, prccedimentos, esbuturas
(k
o$G\ilru-
PROCEDIMENTO OPERACIOHIT PAORIO N": POP 098
DI
Quality
Título:
Departamento:
DIRETRTZES PARA A SEGURANçA E CONFIDEI{CIALIDADE DE STSTEHAS DE
T.t
TNFORTAçÔES E REDES
Revisâo:00
Página: 2 /5
Em particular, os controles necessitam ser estabelecidos, implementados, monitorados, analisados e conünuarnente rnelhorados, com o
infuito de atender aos obletivos do nEócio e de segurança da organização. A ident'ficaçao de conholes adequados requer um
planejarento detalhado.
lncidente de Segurança: Conesponde a qualquer evento adverso mlacionado à segunança; por exemplo, ataques de nega@ de
serviços (Denial of SeMce - DoS), roubo de informa$es, vazamento e obtenção de acesso não autorizado a informaçoes.
Aüvo: Qua§uer coisa que tenha valor para a organização e para os seus negocrbs. Alguns exemplos: banco de dados, softwares,
equipamentos (computadores e notebooks), seMdores, elernentos de redes (roteadores, switdres, enbe outros), pesso€ls, prooessos e
serviços.
Ameaça: Qualquer evento que exploe vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para
um sistema ou organização.
Vulnerabilidade: Qualquer Íraqueza gue possa ser explorada e comprorneter a segurança de sistemas ou informaçoe;s. Fragilidade de
um atirro ou grupo de ativos que pode ser explorada por uma ou mais aÍneaças. Vulnenabilidades são falhas que permitem o surgimento
de deficiências na segurança geral do computador ou da rede. Configur@s inconetas no compúador ou na segurança tamMm
permitem a criaçâo de vulnerabilidades. A partir dessa Íalha, as aÍneaças exploram as vulnerabilidades, que, quando concreüzadas
Risco: combinação da probabilidade (chance da anBaça se concretizar) de um evento ocoÍrer e de suas consequências para a
organização. Algo que pode oconer e seus eíeitos nos objeüvos da organizaçâo.
FREQUÊI{CIA
N.A
9. EPI
N.A
S't
PROCEDIÍÚENTO OPERACIONAL PADRAO No: POP 098
o
Fon:e Éa
o
Destino de
rníornacáo , infurmeção
ol rl o
r:e'::o::;i c
6--lr**@ @ :*"**@
@
(d) ModifcaçÀo
@
(ê) F.briceção
lntemtpção: Quando um ativo é desúuido ou tomase indisponível ou inutiliável, caracGrizando um ataque conba a
disponibilklade. Por exenplo, a desÍuição de um disco rigirJo.
lnterceptaçâo: Quando um alirro é acessado por uma parte não autorizada (pessoa, progÍama ou compúador), caracterizando um
ataque conúa a confidencialidade. Por exemplo, cópia não autorizada de arquivos ou pÍWramas.
Itlodificação: Quando um ativo é acessado por uÍna pade não autorizada (pessoa, progÍama ou computador) e ainda alterado,
carr{erizando um ataque contra a integddade. Por exemplo, mudar os valores em um arquivo de dados.
Fabricação: Quando uma paile nâo aúorizada (pessoa, programa ou computador) inserc objetos Íalsificados em um ativo,
carrterizando um ataque contra a autenücidade. Por exemplo, a adiçáo de regishos em um aquivo.
Ataquec passivos:
10.2.1 Resuttam na liberação de dados:
Ataques bmeados em escutm e monitoramento de transmissões, com o infuito de obter informa@es que estão sendo
transmiüdas. A escuta de uma conversa telebnica é um exemplo dessa categoria. Ataques dessa categoria são diÍiceis de
detectar porque não envolvem alteraSes de dados; todaüa, são possíveis de prcvenir com a utilização de cdptografia.
Ataquee ativoo:
10.2.2 Resultam na alteração ou destruição dos dados:
Envolvem Ínodificação de dados, oia@ de objetos fulsificados ou nega@ de serviço, e possuem propdedades opostas às
dos ataques passivos. São ataques de difícil pevenção, por caus€r da nece§dade de proteção completa de todas as
facilidades de comunicação e processÍrÍnento, durante o tempo todo. Sendo assim, é possível detectâlos e aplicar uma
rnedida para recuperaçâ: de prejuizos causados.
'I
TNFORTAçÕES E REDES
Quali§
Deparlamento: T.l Página: 415
A arquitefura de segurança propsta pelo rndelo ISA: (interconexão de sistema abertos)definido na nonna lS0 749&2, estabelece
. Confidencialidade;
r Autenticidade;
o lntegddade;
o Não repúdio;
o Conbrmidade;
. Conüole de acesso;
o Disponibilidade.
Confidencialldade: Compreende a proteção de dados fansnúüdos contra ataques passiros, isto é, conúa acessos não autorizados,
enrotvendo rnedid* como controle de acesso e criptografia. A perda da confidencialidade ocone quando há uma quebra de sigilo
de uma determinada inforn+ão (exemplo: a senha de um usuário ou administrador de sistema) permiündo que sejam oxpostas
inform@s restritas as quais seriam acessí\,eis apenas por um determinado grupo de usuários.
Autenücidade: Está preocupada em garanür que uma comunicação é autênüca, ou seja, origem e desüno podem verificar a
idenüdade da ouba parte envolüda na comunicação, com o obleüvo de confirmar que a oufa pade é realrnente quem alega ser. A
origem e o desüno tipicamente são usuários, disposiüvos ou pÍocessos.
lnbgridade: Trata da garanüa conúa ataques aüvos por meio de altera@es ou remoçÕes não autorizadas. É rebvante o uso de um
esquema que permita a verificação da integddade dos dados armazenados e em transmissâo. A integddade pode ser considerada
sob dois aspectos: serviço sem recuperaçâo ou com recuperaçfu. Uma vez que os ataques ativos são considerados no contexto, a
deteoção, em vez da prevenção, é o que importa; entiio, se o comprorneürnento da integddade é detectado, pod+se reportâlo e o
mecanismo de recuperação é imediatamente acionado. A integridade também é um pré-equisito para ouÍos serviços de segurança.
Por exemplo, se a integridade de um sistema de controle de acesso a um Sistema Operacional for üolada, também será violada a
confidencialidade de seus arquivos. A perda de integridade surge no mornento em que uma determinada informaçâo fica exposta ao
manuseio poÍ uma pessoa não autorizada, que efetua alterações que não forarn aprovadas e não estão sob o controle do
proprie'tário (corporatirc ou privado) da inbrma$o.
?e"
PROCEDIÍIIENTO OPERACIONAL PADRAO No: POP 098
EI
Quality
Título:
Departarnento:
DTRETRTZES PARA
T.t
A SEGURANçA E CO}|F|DEI{CTALIDADE DE S|STEIúAS DE
TNFORTAçÔES E REDES
Reüsão: 00
Pá4ina: 515
ilão rcpúdio: Conpreende o servip que preüne uma origem ou destino de negar a hansmissão de mensagens, isto é, quando
dada mensagem é enüda, o destino pode provar que eta foi realmente enüada por determinada origem, e üce-versa.
Conformidade: Dever de cumprir e fazer curprir regularnentos intemos e extemos impostos às ativrldades da organização. Estar
em conbrmidade é estar de acordo, seguindo e fazendo cumpdr leis e regulamentos intemos e extemos.
Controle de aceso: Trata de limitar e controlar o acesso lógio/fisico aos atiros de uma organizaçâo por meio dos processos de
identificação, autentic@ e autodzaçfu, com o objetiw de protegeros recursos contra Ínessos não autorizados.
Disponibilidade: Determina que ÍecuÍsos estejam disponíveis para .rcesso por entidades aulorizadas, sempre gue solicitados,
representando a proteção contra perdas ou degmdaçoes. A perda de disponibilidade acontece quando a inÍormaçâo deixa de estar
acessível por quem necessita dela. Seria o caso da perda de cornunicação com um sistema importrante para a empÍesa, que
aconteceu com a queda de um servidor ou de uma aplicação critica de negócio, que apresentou uma falha devido a um eÍÍo
causado por moüvo intemo ou extemo ao equiparnento ou por ação não autodzada de pessoas com ou sem má intenção.
í0.5 Conúoler
Políticas de sêgurança, termos de respnsabilidade, controles dos usuários e treinamentos.
CFTV.