N

Quali§z
DepaÉamento:
PROCEDIMENTO OPERACTONAL PADRÂO

Título:
POP 098

Revisão:00

DTRETRTZES PARA A SEGURANçA E CONFTDENCIALIDADE DE Página: í/5

TI
SISTEMAS DE INFORTAÇOES E REDES
Elaborado por: Revisado por: .-ÂDrovado Dor:
Vitor Faustin , ff KátiÀaYid Nishimori
T.t Garantia da Qualidade
2 t t_*_1!)_ JA-'z-t-yl= [ry,i1"
1. OBJErÍVo
Prover orientação da Dire$o e apoio para a segurança da infonnação de acordo com os rcquisitos do negócio e com as leis e
regulamentaçoes relevantes.

2. REFERET{CIA

ABNT NBR 27001:2013 - Tecnologia da informaçâo - Técnicas de segurança - Sistemas de gestilo da segurança da inÍormação -

Requisitos (08/1 2/201 3).

NBR 27002: 2013 - Temologia da infonnação - Técnicas de segurança - CódQo de prática para conúoles de segurança da informação

(08t12t2013).

ISO 749&2 - lnformation Processing S§ems - Open Systems lnterconnection - Basic ReÍerence lvlodel - Part 2: Security Architecture

(15/021989).

DOCUilENTOS RE1ÁCIOilADOS
N.A

ABRANGÊNCIA

Este procedimento se aplica a todos os departarnentos da Empresa Qudi§ Central de Esterilização

RESPOT{SABILIDADES

É de responsabilidade de todas as pessoas que acessarem a rede Qudity Centralde Esterilização, cumprirem esse procedimento.

6. AUTORIDADE

O supaior imediato tem zutoddade definitla para asseguÍer o cumprirento deste procedincnto operacional

7. DEFTNTçÂO

PSI: Políüca de Segurança da lnformaçfo

Tl: Tecnologia da lnfurmação

Segurança da informação: Segurança da lnÍormaçâo compreende a proteçfu das inbrm@s, sistemas, recuÍsos e demais ativos

conba desastes, erÍos (intencionais ou ntu) e manipulação não autuizada, objeüvardo a redução da pnobabilidade e do impacto de

incidentes de segurança. Todos esses controles necessitam ser estdelecidos, implementados, monitorados, analisados criticarnente e

nrlhorados para que asseguÍem que os objetivos do negócio e a seguÍança da inbrmação da organização sejam atendidos (item 0.1

da norma ABNT NBR ISO/IEC 27002:2013).

A segurança da inÍonnação é a proteção da inÍormação de vários üpos de aÍneaças para garanür a conünuidade do negócio,
nÍnimizando os riscos e maximizando o retomo sobre os investimentos e as oportunidades de negocio. A segurança da informação é
obüda como resultado da implementação de um conjunto de controles, comprcendendo políticas, processos, prccedimentos, esbuturas

organizacionais e fun@s de hardware e softrare.

(k
o$G\ilru-
 PROCEDIMENTO OPERACIOHIT PAORIO N": POP 098

DI
Quality
Título:

Departamento:
DIRETRTZES PARA A SEGURANçA E CONFIDEI{CIALIDADE DE STSTEHAS DE

T.t
TNFORTAçÔES E REDES
Revisâo:00

Página: 2 /5

Em particular, os controles necessitam ser estabelecidos, implementados, monitorados, analisados e conünuarnente rnelhorados, com o

infuito de atender aos obletivos do nEócio e de segurança da organização. A ident'ficaçao de conholes adequados requer um
planejarento detalhado.

lncidente de Segurança: Conesponde a qualquer evento adverso mlacionado à segunança; por exemplo, ataques de nega@ de
serviços (Denial of SeMce - DoS), roubo de informa$es, vazamento e obtenção de acesso não autorizado a informaçoes.
Aüvo: Qua§uer coisa que tenha valor para a organização e para os seus negocrbs. Alguns exemplos: banco de dados, softwares,
equipamentos (computadores e notebooks), seMdores, elernentos de redes (roteadores, switdres, enbe outros), pesso€ls, prooessos e

serviços.

Ameaça: Qualquer evento que exploe vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para

um sistema ou organização.

Vulnerabilidade: Qualquer Íraqueza gue possa ser explorada e comprorneter a segurança de sistemas ou informaçoe;s. Fragilidade de

um atirro ou grupo de ativos que pode ser explorada por uma ou mais aÍneaças. Vulnenabilidades são falhas que permitem o surgimento

de deficiências na segurança geral do computador ou da rede. Configur@s inconetas no compúador ou na segurança tamMm
permitem a criaçâo de vulnerabilidades. A partir dessa Íalha, as aÍneaças exploram as vulnerabilidades, que, quando concreüzadas

resultam em danos para o computador, para a organização ou para os dados pessoais.

Risco: combinação da probabilidade (chance da anBaça se concretizar) de um evento ocoÍrer e de suas consequências para a
organização. Algo que pode oconer e seus eíeitos nos objeüvos da organizaçâo.

Ahque: Qualquer açfu que comprometa a segurança de unn organizaçfu.

lmpacto: consequência avaliada de um evento em particular.

FREQUÊI{CIA

N.A

9. EPI

N.A

í0. DESCRTçÃO DA ATTV|DADE

10.í Modelos de Ataque:

o lnterrupÉo
o lnterceptação
o Modifica@
. Fabricação

S't
 PROCEDIÍÚENTO OPERACIONAL PADRAO No: POP 098

DTRETRTZES PARAA SEGURAI{çA E CONFTDET{CTALTDADE DE STSTEIúAS DE

Título: Reüsão: ü)
rr{FoRnAçÔES E REDES

Departamento: T.t Página: 315

o
Fon:e Éa
o
Destino de
rníornacáo , infurmeção

(.) Fluxo Normd

ol rl o
r:e'::o::;i c

6--lr**@ @ :*"**@
@
(d) ModifcaçÀo
@
(ê) F.briceção

lntemtpção: Quando um ativo é desúuido ou tomase indisponível ou inutiliável, caracGrizando um ataque conba a
disponibilklade. Por exenplo, a desÍuição de um disco rigirJo.

lnterceptaçâo: Quando um alirro é acessado por uma parte não autorizada (pessoa, progÍama ou compúador), caracterizando um

ataque conúa a confidencialidade. Por exemplo, cópia não autorizada de arquivos ou pÍWramas.

Itlodificação: Quando um ativo é acessado por uÍna pade não autorizada (pessoa, progÍama ou computador) e ainda alterado,
carr{erizando um ataque contra a integddade. Por exemplo, mudar os valores em um arquivo de dados.
Fabricação: Quando uma paile nâo aúorizada (pessoa, programa ou computador) inserc objetos Íalsificados em um ativo,
carrterizando um ataque contra a autenücidade. Por exemplo, a adiçáo de regishos em um aquivo.

10.2 Formas de Ataque:

Ataquec passivos:
10.2.1 Resuttam na liberação de dados:
Ataques bmeados em escutm e monitoramento de transmissões, com o infuito de obter informa@es que estão sendo

transmiüdas. A escuta de uma conversa telebnica é um exemplo dessa categoria. Ataques dessa categoria são diÍiceis de

detectar porque não envolvem alteraSes de dados; todaüa, são possíveis de prcvenir com a utilização de cdptografia.

Ataquee ativoo:
10.2.2 Resultam na alteração ou destruição dos dados:
Envolvem Ínodificação de dados, oia@ de objetos fulsificados ou nega@ de serviço, e possuem propdedades opostas às

dos ataques passivos. São ataques de difícil pevenção, por caus€r da nece§dade de proteção completa de todas as
facilidades de comunicação e processÍrÍnento, durante o tempo todo. Sendo assim, é possível detectâlos e aplicar uma
rnedida para recuperaçâ: de prejuizos causados.

í0.3 ArquiEtura de Segurança

. Proteção de dados contra modificaçoes não autorizadas;
 PROCEDTTENTO OPERACTONAI plOmO No: POP 098

DTRETRZES PARA A SEGURAilçA E COilFTDENCTALTDADE DE STSTEmAS DE

Titulo: Revisão: ü)

'I
TNFORTAçÕES E REDES
Quali§
Deparlamento: T.l Página: 415

. Proteger os dados conba perddroubo/furto;

o Proteção de dados contra a diwlgaÉo nto autorizada;

o Garantir a idenüdde do rernetente coneto dos dados;

o Garanür a idenüdde coneta do destinatário dos dados.

A arquitefura de segurança propsta pelo rndelo ISA: (interconexão de sistema abertos)definido na nonna lS0 749&2, estabelece

os seguintes objetircs ou requisitos de seguÍança:

a Proteção de dados contra modific@s não autorizadas;

a Proteger os dados conba perdalfurto/oubo;

. ProteÉo de dados contra a divulgrrão não autorizada;

o Garantir a idenüdade do rernetente coneto dos dados;

. Garanür a identidade coneta do destinat*io dos dados.

10.4 Serviçoo de Segurança

Categorias de servips de segurança:

. Confidencialidade;

r Autenticidade;

o lntegddade;

o Não repúdio;

o Conbrmidade;

. Conüole de acesso;

o Disponibilidade.

Confidencialldade: Compreende a proteção de dados fansnúüdos contra ataques passiros, isto é, conúa acessos não autorizados,

enrotvendo rnedid* como controle de acesso e criptografia. A perda da confidencialidade ocone quando há uma quebra de sigilo
de uma determinada inforn+ão (exemplo: a senha de um usuário ou administrador de sistema) permiündo que sejam oxpostas
inform@s restritas as quais seriam acessí\,eis apenas por um determinado grupo de usuários.

Autenücidade: Está preocupada em garanür que uma comunicação é autênüca, ou seja, origem e desüno podem verificar a
idenüdade da ouba parte envolüda na comunicação, com o obleüvo de confirmar que a oufa pade é realrnente quem alega ser. A
origem e o desüno tipicamente são usuários, disposiüvos ou pÍocessos.

lnbgridade: Trata da garanüa conúa ataques aüvos por meio de altera@es ou remoçÕes não autorizadas. É rebvante o uso de um
esquema que permita a verificação da integddade dos dados armazenados e em transmissâo. A integddade pode ser considerada

sob dois aspectos: serviço sem recuperaçâo ou com recuperaçfu. Uma vez que os ataques ativos são considerados no contexto, a

deteoção, em vez da prevenção, é o que importa; entiio, se o comprorneürnento da integddade é detectado, pod+se reportâlo e o

mecanismo de recuperação é imediatamente acionado. A integridade também é um pré-equisito para ouÍos serviços de segurança.

Por exemplo, se a integridade de um sistema de controle de acesso a um Sistema Operacional for üolada, também será violada a

confidencialidade de seus arquivos. A perda de integridade surge no mornento em que uma determinada informaçâo fica exposta ao

manuseio poÍ uma pessoa não autorizada, que efetua alterações que não forarn aprovadas e não estão sob o controle do
proprie'tário (corporatirc ou privado) da inbrma$o.

?e"
 PROCEDIÍIIENTO OPERACIONAL PADRAO No: POP 098

EI
Quality
Título:

Departarnento:
DTRETRTZES PARA

T.t
A SEGURANçA E CO}|F|DEI{CTALIDADE DE S|STEIúAS DE
TNFORTAçÔES E REDES
Reüsão: 00

Pá4ina: 515

ilão rcpúdio: Conpreende o servip que preüne uma origem ou destino de negar a hansmissão de mensagens, isto é, quando
dada mensagem é enüda, o destino pode provar que eta foi realmente enüada por determinada origem, e üce-versa.

Conformidade: Dever de cumprir e fazer curprir regularnentos intemos e extemos impostos às ativrldades da organização. Estar

em conbrmidade é estar de acordo, seguindo e fazendo cumpdr leis e regulamentos intemos e extemos.

Controle de aceso: Trata de limitar e controlar o acesso lógio/fisico aos atiros de uma organizaçâo por meio dos processos de
identificação, autentic@ e autodzaçfu, com o objetiw de protegeros recursos contra Ínessos não autorizados.

Disponibilidade: Determina que ÍecuÍsos estejam disponíveis para .rcesso por entidades aulorizadas, sempre gue solicitados,
representando a proteção contra perdas ou degmdaçoes. A perda de disponibilidade acontece quando a inÍormaçâo deixa de estar

acessível por quem necessita dela. Seria o caso da perda de cornunicação com um sistema importrante para a empÍesa, que
aconteceu com a queda de um servidor ou de uma aplicação critica de negócio, que apresentou uma falha devido a um eÍÍo
causado por moüvo intemo ou extemo ao equiparnento ou por ação não autodzada de pessoas com ou sem má intenção.

í0.5 Conúoler
Políticas de sêgurança, termos de respnsabilidade, controles dos usuários e treinamentos.

Anüvírus, backup e contole de acesso lógico.

Senhas, íechaduras e contoles biométricos.

CFTV.

Baneiras, porbs, cartazes de'proibida a enbada'.

í0.6 Contoles para segurança da inbrmação

Políüca de Uso Aceitávelda lntemet POP 100.

Política de Uso Aceitável das estações de tabalho em rede POP 099.

í1. HISTÓRrcO DAS REUSÔES

Revisáo Alteração Data Responsável

00 Emissão lnicial 21t0212017 Vitor Faustino