CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO

Transcrição

1 1/12 ELABORADO CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO APROVADO Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO EDIÇÃO DATA ALTERAÇÕES EM RELAÇÃO À REVISÃO ANTERIOR Exclusão do item 6. APROVAÇÃO. Exclusão do formulário.05 - Solicitação de Inclusão/Exclusão/Alteração de Acesso ao Sistema de Informação do item 5. CONTROLE DE REGISTROS. Inclusão do formulário.f12 - Declaração de aceitação da Documentação do Sistema de gestão da segurança da informação no ANEXO III e no item 5. CONTROLE DE REGISTROS. ATUALIZAÇÃO: Responsabilidade da Assessoria de Informática e Comunicação - ASI DISTRIBUIÇÃO: Responsabilidade da Assessoria de Controles Internos - ASC ARQUIVAMENTO: Responsabilidade da Assessoria de Controles Internos - ASC 1

2 2/12 ÍNDICE 1. OBJETIVO RESPONSABILIDADES CONCEITUAÇÃO Política de Segurança da Informação - PSI Usuários Prestadores de Serviço Recursos de tecnologia Internet Intranet Extranet Ambiente Web Site Estações de trabalho Dispositivos USB Data Center Dispositivos Móveis - Celulares e Smartphones DISPOSIÇÕES GERAIS Políticas de Contingencia Ambiente de Homologação Governança de TI Política de Classificação da Informação Política de Senhas Política de Transferência de Informações Estações de trabalho Política de Uso Aceitável Política de Controle de Acesso Gestão de Incidentes Plano de Recuperação de Desastre Política para o uso de controles criptográficos Procedimentos operacionais para a Tecnologia da Informação e Comunicação Política de Desenvolvimento Seguros e Aquisição de Sistemas Considerações finais CONTROLE DE REGISTROS REFERÊNCIAS BIBLIOGRÁFICAS ANEXOS ANEXO I -.F10 - Termo de Custódia do Notebook ANEXO II -.F11 - Termo de Custódia de Aparelho Celular ANEXO III -.F12 - Declaração de aceitação da Documentação do Sistema de Gestão da Segurança da Informação

3 3/12 1. OBJETIVO Definir o tratamento que deve ser dado às informações armazenadas, processadas ou transmitidas no ambiente convencional ou no ambiente de tecnologia da entidade. As orientações aqui apresentadas são os princípios fundamentais e representam como a entidade exige que a informação seja utilizada. 2. RESPONSABILIDADES Esta política se aplica a todos os usuários (empregados, prestadores de serviços e estagiários) que utilizam as informações da entidade. 3. CONCEITUAÇÃO 3.1 Política de Segurança da Informação - PSI É o conjunto de diretrizes e normas que expressa o pensamento da alta administração da entidade em relação ao uso da informação por todos aqueles que têm acesso a esse bem. Segurança da Informação é a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios (NBR ISO ). 3.2 Usuários Estão incluídas no grupo de usuários todas as pessoas que utilizam os sistemas de informação (empregados, prestadores de serviços e estagiários). 3.3 Prestadores de Serviço São todas as pessoas que prestam serviços a entidade que não pertencem ao quadro funcional da empresa. São considerados prestadores de serviços: terceiros, consultores, auditores entre outros. 3.4 Recursos de tecnologia São considerados recursos de tecnologia: servidores, estações de trabalho, tablets, sistemas, banco de dados, mídia em geral, bem como quaisquer outros equipamentos/serviços necessários para o funcionamento da rede corporativa. 3

4 4/ Internet É o ambiente virtual onde diferentes computadores de várias partes do mundo se comunicam através de protocolos padrões, permitindo a troca de informações e o compartilhamento de conhecimentos. Existem vários serviços disponibilizados na Internet, sendo o correio eletrônico e o ambiente gráfico www (World Wide Web) os mais conhecidos. 3.6 Intranet É um ambiente semelhante ao da Internet, porém restrito ao ambiente de tecnologia da entidade. 3.7 Extranet É o ambiente com o mesmo conteúdo da Intranet, porém extensivo ao ambiente da rede corporativa da entidade, pela Internet. Esse ambiente está logicamente restrito aos usuários da entidade. 3.8 Ambiente Web É o conjunto dos ambientes Internet, Intranet, Extranet. 3.9 Site É o local virtual onde se encontram as informações relativas a um endereço do Ambiente Web Estações de trabalho São computadores, e seus periféricos, para uso dos usuários. Incluindo também os notebooks Dispositivos USB É um tipo de conexão "ligar e usar" que permite a conexão de periféricos sem a necessidade de desligar o computador. Modem 3G/4G: É um dispositivo sem fio, com saída USB para conexão em outro dispositivo tais como Tablets (com suporte 3G/4G), notebooks, netbooks, desktops, etc. objetivando conexão com a internet. O modem 3G/4G recebe e decodifica o sinal digital de alta velocidade transmitido pelas operadoras de celulares para aparelhos portáteis (celulares, smartphones e notebooks) compatíveis com a tecnologia 3G/4G. 4

5 5/ Data Center É um ambiente projetado para abrigar servidores e outros componentes como sistemas de armazenamento de dados (storages) e ativos de rede (switches, roteadores) Dispositivos Móveis - Celulares e Smartphones É um aparelho de comunicação que permite a transmissão bidirecional de voz e dados utilizáveis em uma determinada área geográfica. 4. DISPOSIÇÕES GERAIS A informação utilizada pela entidade é um bem que tem valor. Ela deve ser protegida, cuidada e gerenciada adequadamente com o objetivo de garantir a sua disponibilidade, integridade, confidencialidade, legalidade e auditabilidade, independentemente do meio de armazenamento, processamento ou transmissão que esteja sendo utilizado. Todos os usuários de recursos de informação devem conhecer a Política de Segurança da Informação da entidade no momento de sua contratação. 4.1 Políticas de Contingência Definir os requisitos e as regras de segurança para a continuidade operacional dos recursos de informação utilizados pela organização, ou seja, prover procedimentos, controles e regras que possibilitem a continuidade das operações, mantendo suas instalações, minimizando perdas de negócios e impactos na entrega de serviços aos seus funcionários e participantes. Outras informações da Política de Contingência estão descritas na norma GE Política de Contingência. 4.2 Ambiente de Homologação Garantir a integridade do Sistema de Informação no ambiente de produção antes da liberação de suas atualizações/manutenções. O ambiente de homologação é um ambiente onde o cliente deverá testar as funcionalidades do sistema de informação da instituição que serão posteriormente colocadas em produção ou refeitas, caso não venha ocorrer a aprovação por parte deste cliente. Outras informações do Ambiente de Homologação estão descritas na norma GE Ambiente de Homologação. 5

6 6/ Governança de TI Definir padrões de processos, políticas, regras, papéis e responsabilidades para controlar a formulação da estratégia de TI e assegurar o alinhamento entre os requisitos do negócio e a TI na organização. Outras informações da Governança de TI estão descritas na norma GE Governança de TI. 4.4 Política de Classificação da Informação O objetivo deste documento é garantir que as informações sejam protegidas adequadamente. Outras informações da Política de Classificação da Informação estão descritas na norma GE Política de Classificação da Informação. 4.5 Política de Senhas O objetivo deste documento é descrever as regras para garantir o gerenciamento e uso seguro de senhas. Outras informações da Política de Senhas estão descritas na norma GE Política de Senhas. 4.6 Política de Transferência de Informações O objetivo deste documento é garantir a segurança da informação e do software em caso de troca dentro e fora da organização. Outras informações da Política de Transferência de Informações estão descritas na norma GE Política de Transferência de Informações. 4.7 Política de Uso Aceitável O objetivo deste documento é definir regras claras para o uso do Sistema de Informação e outros ativos de informações na Celpos. Outras informações da Política de Uso Aceitável estão descritas na norma GE Política de Uso Aceitável. 4.8 Política de Controle de Acesso O objetivo deste documento é definir regras para acesso a diversos sistemas, equipamentos, instalações e informações com base nos requisitos comerciais e de segurança para obtenção de acesso. 6

7 7/12 Outras informações da Política de Controle de Acesso estão descritas na norma GE Política de Controle de Acesso. 4.9 Gestão de Incidentes O objetivo deste documento é garantir a detecção rápida de eventos de segurança e fragilidades e rápida reação e resposta a incidentes de segurança. Outras informações da Gestão de Incidentes estão descritas na norma GE Gestão de Incidentes Plano de Recuperação de Desastre O objetivo do Plano de Recuperação de Desastre é definir precisamente como a Celpos irá recuperar sua infraestrutura de TI e serviços de TI dentro dos prazos estabelecidos no caso de um desastre ou outro incidente disruptivo. Outras informações do Plano de Recuperação de Desastre estão descritas na norma GE Plano de Recuperação de Desastre Política para o uso de controles criptográficos O objetivo deste documento é definir as regras para o uso de controles criptográficos, bem como as regras para uso de chaves criptográficas, a fim de proteger a confidencialidade, a integridade, a autenticidade e o não repúdio das informações. Outras informações da Política para o uso de controles criptográficos estão descritas na norma GE Política para o uso de controles criptográficos Procedimentos operacionais para a Tecnologia da Informação e Comunicação O objetivo deste documento é garantir o funcionamento correto e seguro Tecnologia de Informação e Comunicação. Outras informações dos Procedimentos operacionais para a Tecnologia da Informação e Comunicação estão descritas na norma GE Procedimentos operacionais para a Tecnologia da Informação e Comunicação O objetivo do projeto deve ser descrito pelo proprietário do projeto. Outras informações do de Projetos estão descritas na norma -. 7

8 8/ Política de Desenvolvimento Seguros e Aquisição de Sistemas O objetivo deste documento é o de definir as regras básicas para o desenvolvimento seguro de software e sistemas. Outras informações da Política de Desenvolvimento Seguros e Aquisição de Sistemas estão descritas na norma GE Política de Desenvolvimento Seguros e Aquisição de Sistemas Considerações finais A utilização das informações do ambiente de tecnologia ou do ambiente convencional pelos usuários da entidade deve estar de acordo com os documentos institucionais. Todos os usuários devem conhecer e entender esses documentos. A segurança e proteção da informação é uma responsabilidade contínua de cada usuário da entidade em relação às informações que acessa e gerencia. Todos os usuários devem utilizar a informação da entidade, de acordo com as determinações desta Política de Segurança da Informação. O não cumprimento desta política e/ou dos demais instrumentos normativos que complementarão o processo de segurança constitui em falta grave e o usuário está sujeito a penalidades administrativas e/ou contratuais. Situações não previstas, dúvidas, informações adicionais e sugestões devem ser encaminhadas à Assessoria de Informática. 5. CONTROLE DE REGISTROS Todos os registros devem ser: Manuseados com cuidado, para evitar danos, deterioração ou perda; Arquivados e mantidos de forma adequada, a fim de garantir a integridade de suas informações. Cód Identificação Origem.F01 Cronograma de Manutenção Preventiva Armazenamento (área) Proteção (suporte).p02 Arquivo Corrente Pasta Tipo de Recuperação arquivo Indexação Acesso Mag Fis. Ordem Cronológica Restrito à área Tempo de retenção Disposição X 2 Anos Descarte.F10 Termo de Custódia do Notebook Arquivo Corrente Pasta Ordem Cronológica Restrito à área x Indeterminado NA.F11 Termo de Custódia de Aparelho Celular Arquivo Corrente Pasta Ordem Cronológica Restrito à área x Indeterminado NA 8

9 9/12.F12 Declaração de aceitação da Documentação do Sistema de gestão da segurança da informação Arquivo Corrente Pasta Ordem Cronológica Restrito à área x Indeterminado NA - Relatório de Atendimento Técnico - RAT.P01 Sistema - Ordem Cronológica Restrito à área x Indeterminado NA - Relatório de execução dos Backups.P04 Sistema - Ordem Cronológica Restrito à área X Indeterminado NA 6. REFERÊNCIAS BIBLIOGRÁFICAS GE Emissão e Controle de Instrumentos Normativos NBR ISO Sistema de Gestão da Qualidade NBR ISO Sistema de Gestão de Riscos. NBR ISO/IEC Código de Prática para a Gestão de Segurança da Informação NBR ISO/IEC Sistemas de Gestão da Segurança da Informação Pontes, Edison - Política de Normas para Segurança da Informação, Brasport,

10 10/12 7. ANEXOS ANEXO I -.F10 - Termo de Custódia do Notebook 10

11 11/12 ANEXO II -.F11 - Termo de Custódia de Aparelho Celular 11

12 12/12 ANEXO III -.F12 - Declaração de aceitação da Documentação do Sistema de Gestão da Segurança da Informação 12