Política de segurança

por marcos.valente — publicado 29/10/2001 01h00, última modificação 26/09/2002 15h58
Proposta inicial da Política de Segurança adotada pelo Programa Interlegis.

1         INTRODUÇÃO

 

O Programa INTERLEGIS está formando a Comunidade Virtual do Poder Legislativo e, dentre as várias funcionalidades disponibilizadas destaca-se o compartilhamento e troca de informações, em suas várias modalidades (e-mails, consultas a bancos de dados, publicação de páginas na Internet, etc.), valendo-se para tanto de uma rede privada denominada Rede Nacional do Interlegis – RNI e da Internet.

Outros serviços serão compartilhados, como Educação à Distância, Videoconferências, Sistemas Aplicativos (inclusive com desenvolvimento cooperativo), dentre outros, com maior ou menor acesso pela sociedade como um todo, ou seja, alguns deles serão privativos para os integrantes da Comunidade e outros serão de domínio público.

Na medida em que dados e informações, processos de apoio, sistemas aplicativos e redes de computadores constituem-se em importante ativo desta instituição, devem ser os mesmos adequadamente protegidos.

Cada vez mais as organizações e comunidades, seus sistemas de informação e redes de computadores são colocados à prova por diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo ou inundação. Problemas causados por vírus[1], trojan horses[2], hackers[3], spam[4] e denial of service[5], entre outros, estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.

De conhecimento mais restrito, mas de maior ocorrência e prejuízo, acontecem os acessos indevidos e danos, acidentais ou não, do pessoal interno às organizações e comunidades.

Segurança de informações caracteriza-se pela preservação da confidencialidade (garantia de que a informação é acessível somente por pessoas autorizadas), integridade (garantia da exatidão e completeza), e da disponibilidade (garantia de que as pessoas autorizadas tenham acesso aos recursos sempre que necessário).

Frente à importância dos membros desta comunidade (casas legislativas, parlamentares e servidores de níveis federal, estadual e municipal), da necessidade de uma imagem impecável e um trabalho íntegro e transparente aos cidadãos faz-se necessária e inadiável a implantação e consolidação de uma Política de Segurança da Informação, firmemente embasada em políticas, diretrizes, normas e procedimentos, obtidas pela avaliação de riscos, legislação vigente e o conjunto de princípios, objetivos e requisitos particulares da Comunidade Virtual do Poder Legislativo.

 


2         COMPROMISSO

 

O Diretor Nacional do Interlegis valida e apóia a implantação da Política de Segurança de Informações na Comunidade Virtual do Poder Legislativo.

 

3         OBJETIVO

 

Prover à Comunidade Virtual do Poder Legislativo orientação e apoio para segurança de informações, mediante o estabelecimento de políticas, diretrizes, normas, procedimentos, estruturas organizacionais e funções de hardware e software.

 

4         ESCOPO

 

A Política de Segurança da Informação proposta neste documento é aplicável a todos os bens e serviços disponibilizados pelo Programa Interlegis nas Assembléias Legislativas, nas Câmaras Municipais e na Sede do Interlegis, bem como aos Parlamentares, servidores das Casas Legislativas, consultores, terceirizados e qualquer pessoa que de alguma forma esteja envolvida com a Comunidade Virtual do Poder Legislativo.

O presente documento não tem como objetivo qualquer ingerência sobre as políticas, normas e diretrizes e procedimentos das casas legislativas que integram a Comunidade.

 

5         DEFINIÇÕES

5.1.   Programa Interlegis

Conjunto de recursos técnicos e de atividades sistematizadas que estão fomentando a formação da Comunidade Virtual do Poder Legislativo - Interlegis.

5.2.   Interlegis - Comunidade Virtual do Poder Legislativo

É formada pelas Casas Legislativas e Parlamentares das esferas Municipal, Estadual e Federal aderidos ao Programa Interlegis, ou seja, Senado Federal, Câmara dos Deputados, Tribunal de Contas da União, Assembléias Legislativas e Câmaras Municipais.

5.3.   Segurança da Informação

É caracterizada pela preservação da:

·         Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas

·         Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

·         Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

5.4.   Ativo

Tudo para o qual a organização determina um valor e conseqüentemente exige proteção.

5.5.   Ativo de informação

Patrimônio composto por todos os dados e informações gerados e manipulados nos processos da organização.

5.6.    Ativo de processamento

Patrimônio composto por todos os elementos de hardware, software básico e aplicativo  necessários à execução dos processos da organização, tanto produzidos internamente quanto adquiridos.

5.7.    Controle de acesso

São restrições de acesso a um ativo da organização.

5.8.    Direito de acesso

Privilégio associado a uma pessoa, cargo, ou processo para ter acesso a um ativo.

5.9.    Responsabilidade

Obrigações e deveres da pessoa que tem direito de acesso a um ativo.

5.10.  Custódia

Responsabilidade de se guardar um ativo para terceiros. A custódia não permite automaticamente o direito de acesso ao ativo, nem a capacidade de conceder direito de acesso a outros.

5.11.  Vulnerabilidade

São fragilidades associadas aos ativos que os tornam suscetíveis as ameaças.

5.12.  Ameaça

São agentes ou condições causadoras de incidentes contra ativos. Exploram as vulnerabilidades, ocasionando perda de confidencialidade, integridade ou disponibilidade.

5.13.  Análise de Riscos

É o processo de identificar ativos e ameaças, priorizando o tratamento das vulnerabilidades que podem ser exploradas pelas ameaças, identificando as medidas de segurança apropriadas para evitar o impacto indesejado.

5.14.  Classificação da Informação

É o processo de identificar e definir níveis e critérios de proteção adequados para as informações de forma a garantir sua confidencialidade, integridade e disponibilidade, de acordo com a importância para a organização.

5.15.  Superior

Gerente, Coordenador ou Supervisor responsável por uma unidade organizacional.

 


6         TERMINOLOGIA

6.1.    Deve

Quando usado este termo, é estabelecido um requerimento mandatório, ou seja, é obrigatório atender ao que é determinado.

6.2.    Recomenda

Quando usado este termo, é estabelecido um requerimento opcional.

 

7         RESPONSÁVEIS

7.1.   Comitê de Segurança de Informações

É o responsável pela aprovação, revisão e modificação da Política de Segurança de Informações no Interlegis.

Deve ser constituído por um representante de cada região geográfica do Brasil, escolhido entre os Administradores Estaduais, três Administradores Municipais e dois representantes da sede do Interlegis.

O Comitê deverá estabelecer os critérios para escolha dos seus membros.

Os primeiros membros serão nomeados pela Diretoria do Interlegis.

7.2.   Administrador Central

É o responsável por coordenar a  implantação da Política de Segurança de Informações no Interlegis, bem como pelo suporte aos assuntos relacionados com segurança da informação.

7.3.   Administrador Estadual

É o responsável na sede da Assembléia Legislativa de seu Estado pelo suporte e foco em assuntos relacionados com segurança da informação, bem como pela coordenação da implementação de controles da segurança de informação naquele local.

7.4.   Administrador Municipal

É o responsável na sede Câmara Municipal de sua cidade pelo suporte e foco em assuntos relacionados com segurança da informação, bem como pela coordenação da implementação de controles da segurança de informação naquele local.

7.5.   Parlamentar

Ocupante de cargo eletivo, diretamente vinculado ao Poder Legislativo, em qualquer uma de suas esferas, compreendendo os Senadores, Deputados Federais, Deputados Estaduais e Vereadores.

7.6.   Usuário

Pessoa autorizada e reconhecida por software de controle de acessos, com direitos de acesso a ativo disponibilizado pelo Interlegis.

7.7.   Proprietário

Superior, ou seu representante, que tenha poder de decisão para identificar e classificar as informações geradas por sua área de gerência.

7.8.   Custodiante

Pessoa autorizada pelo proprietário, responsável pela gestão dos ativos disponibilizados pelo Interlegis.

7.9.   Terceirizado

Funcionário de empresa de prestação de serviços contratada pelo Interlegis.

 

8         RESPONSABILIDADES

8.1.   Responsabilidades gerais

Todos integrantes do Interlegis devem:

a.   Observar rigorosamente esta Política de Segurança de Informações;

b.  Observar rigorosamente as leis que regulamentam as atividades do funcionalismo público federal, estadual e municipal;

c.   Observar rigorosamente as leis que regulamentam os aspectos de propriedade intelectual;

d.  Proteger ativos contra acesso, modificação, destruição ou divulgação não autorizada;

e.  Assegurar que os ativos colocados à sua disposição sejam utilizados apenas para as finalidades aprovadas pelo Interlegis;

f.     Desenvolver planos alternativos que visem garantir a continuidade das atividades em caso de indisponibilidade de processos de operação crítica.

8.2.   Responsabilidades do Comitê de Segurança de Informações

O Comitê de Segurança de Informações deve:

a.   Aprovar, revisar e modificar a Política de Segurança de Informações do Interlegis;

b.  Definir estratégias para a implantação da Política de Segurança de Informações do Interlegis;

c.   Apurar os incidentes de segurança e caso fique comprovado que o incidente foi ocasionado pelo não cumprimento dos preceitos estabelecidos nesta Política, bem como nas normas e procedimentos dela decorrentes, e que houve dolo do(s) recurso(s) humano(s) envolvido(s), recomendar a aplicação das penalidades previstas no regulamento da(s) Casa(s) Legislativa(s) envolvida(s), no contrato de terceirização, bem como na legislação municipal, estadual ou federal pertinente.

d.  Aprovar iniciativas para aumentar o nível de segurança da informação no Interlegis.

8.3.   Responsabilidades do Administrador Central

O Administrador Central deve:

a.   Propor ao Comitê de Segurança de Informações alterações na Política de Segurança de Informações do Interlegis;

b.  Definir e gerenciar a implantação de programas de educação e conscientização sobre segurança de informações no Interlegis;

c.   Participar na definição de normas para utilização dos ativos.

d.  Interagir com os administradores estaduais e municipais, bem como com os Grupos Técnicos estabelecidos, quanto aos assuntos de segurança de informações;

e.  Manter a documentação sobre as políticas, diretrizes, normas e procedimentos, divulgando-as aos níveis necessários;

f.     Criar e manter os privilégios e a área de atuação dos administradores estaduais e municipais;

g.  Definir requerimentos para relatórios de controle e monitoração;

h.   Administrar os mecanismos e controles de segurança dos ativos sob sua guarda, como especificados pelos proprietários;

i.     Prover e administrar salvaguardas físicas e procedimentos para proteger os ativos sob sua custódia;

j.     Assegurar que os ativos de processamento sejam utilizados por pessoas e locais autorizados;

k.   Assegurar que tentativas de acesso não autorizadas a ativos ou áreas restritas sejam detectadas em tempo hábil;

l.     Administrar os produtos de segurança utilizados;

m. Manter os diretórios de usuários dos sistemas, criando, alterando e eliminando os usuários, segundo solicitações dos superiores ou da área de recursos humanos;

n.   Manter os grupos de usuários e recursos;

o.  Atuar como contingência e suporte de primeiro nível aos administradores estaduais e municipais;

p.  Administrar o acesso aos recursos corporativos (ex: correio eletrônico);

q.  Atuar no desenvolvimento de relatórios de auditoria e alerta;

r.    Revisar aplicações em desenvolvimento quanto aos aspectos de segurança.

8.4.   Responsabilidades dos Administradores Estaduais

Os Administradores Estaduais devem:

a.   Propor ao Administrador Central alterações na Política de Segurança de Informações do Interlegis;

b.  Dar suporte aos usuários da Assembléia Legislativa de seu Estado no assunto segurança de informações, no âmbito do Interlegis;

c.   Atuar como ponto focal na Assembléia Legislativa com relação à criação, modificação e exclusão de usuários, estabelecimento de direitos de acessos, proteção de ativos, violações de segurança e auditoria no que tange aos ativos disponibilizados pelo Interlegis.

d.  Conceder direito de acesso aos ativos disponibilizados pelo Interlegis e por ele administrados, quando devidamente autorizado pelos proprietários;

e.  Encaminhar à administração central os requerimentos de acesso a recursos corporativos oferecidos pelo Interlegis;

f.     Administrar os mecanismos de controle e segurança dos ativos sob sua guarda;

g.  Prover e administrar salvaguardas físicas e procedimentos para proteger ativos providos pelo Interlegis sob sua custódia;

h.   Assegurar que os ativos de processamento sob sua custódia sejam utilizados por pessoas e locais autorizados;

i.     Assegurar que a conexão da rede local da Assembléia Legislativa com a rede do Interlegis, quando for o caso, esteja devidamente protegida quanto a acessos não autorizados, de ambos os segmentos;

j.     Atuar como contingência e suporte de primeiro nível aos administradores municipais;

k.   Assegurar que os membros do Interlegis cumpram os procedimentos de segurança no âmbito de sua Casa Legislativa;

l.     Assegurar a educação e a conscientização dos membros do Interlegis no âmbito de sua Casa Legislativa;

m. Autorizar os membros do Interlegis a acessarem ativos que precisem para exercer suas atividades no âmbito de sua Casa Legislativa;

n.   Revisar as autorizações concedidas periodicamente para mantê-las atualizadas;

o.  Suportar os membros do Interlegis no reporte de violações de segurança;

p.  Participar ativamente na solução de problemas de segurança envolvendo sua Casa Legislativa;

q.  Identificar e designar autoridade e responsabilidade de proprietário para os ativos, no âmbito de sua Casa Legislativa;

r.    Conduzir auto-avaliações para assegurar a aderência às Diretrizes bem como identificar eventuais riscos e exposições;

s.   Estabelecer planos de ação para minimizar riscos e exposições identificados.

8.5.   Responsabilidades dos Administradores Municipais

Os Administradores Municipais devem:

a.   Propor ao Administrador Central alterações na Política de Segurança de Informações do Interlegis;

b.  Dar suporte aos usuários Câmara Municipal no assunto segurança de informações, no âmbito do Interlegis;

c.   Atuar como ponto focal na Câmara Municipal com relação à criação, modificação e exclusão de usuários, estabelecimento de direitos de acessos, proteção de ativos, violações de segurança e auditoria no que tange aos ativos disponibilizados pelo Interlegis.

d.  Conceder direito de acesso aos ativos disponibilizados pelo Interlegis e por ele administrados, quando devidamente autorizado pelos proprietários;

e.  Encaminhar à administração central os requerimentos de acesso a recursos corporativos oferecidos pelo Interlegis;

f.     Administrar os mecanismos de controle e segurança dos ativos sob sua guarda;

g.  Prover e administrar salvaguardas físicas e procedimentos para proteger ativos providos pelo Interlegis sob sua custódia;

h.   Assegurar que os ativos de processamento sob sua custódia sejam utilizados por pessoas e locais autorizados;

i.     Assegurar que a conexão da rede local da Câmara Municipal com a rede do Interlegis, quando for o caso, esteja devidamente protegida quanto a acessos não autorizados, de ambos os segmentos;

j.     Assegurar que os membros do Interlegis cumpram os procedimentos de segurança no âmbito de sua Casa Legislativa;

k.   Assegurar a educação e a conscientização dos membros do Interlegis no âmbito de sua Casa Legislativa;

l.     Autorizar os membros do Interlegis a acessarem ativos que precisem para exercer suas atividades no âmbito de sua Casa Legislativa;

m. Revisar as autorizações concedidas periodicamente para mantê-las atualizadas;

n.   Suportar os membros do Interlegis no reporte de violações de segurança;

o.  Participar ativamente na solução de problemas de segurança envolvendo sua Casa Legislativa;

p.  Identificar e designar autoridade e responsabilidade de proprietário para os ativos, no âmbito de sua Casa Legislativa;

q.  Conduzir auto-avaliações para assegurar a aderência às Diretrizes bem como identificar eventuais riscos e exposições;

r.    Estabelecer planos de ação para minimizar riscos e exposições identificados.

8.6.   Responsabilidades dos Parlamentares

Os Parlamentares devem:

a.   Entender e seguir os procedimentos de segurança especificados pelo proprietário e pelo supridor dos serviços utilizados;

b.  Acessar e utilizar os ativos de processamento somente quando autorizado e apenas para atividades aprovadas pelo Interlegis;

c.   Assegurar-se que as senhas para acesso aos ativos de processamento e de informações estejam de acordo com os procedimentos estabelecidos e que as mesmas sejam protegidas e confidenciais, não devendo ser compartilhada;

d.  Informar imediatamente ao um Administrador qualquer violação dos procedimentos de segurança;

e.  Exercer efetivo controle sobre os ativos de informação, utilizando as facilidades existentes;

f.     Efetuar cópias de segurança dos arquivos armazenados em suas estações de trabalho;

g.  Garantir a execução de rotinas antivírus, conforme os padrões estabelecidos.

8.7.   Responsabilidades dos Usuários

Os usuários devem:

a.   Entender e seguir os procedimentos de segurança especificados pelo proprietário e pelo supridor dos serviços utilizados;

b.  Acessar e utilizar os ativos de processamento somente quando autorizado e apenas para atividades aprovadas pelo Interlegis;

c.   Assegurar-se que as senhas para acesso aos ativos de processamento e de informações estejam de acordo com os procedimentos estabelecidos e que as mesmas sejam protegidas e confidenciais, não devendo ser compartilhada;

d.  Informar imediatamente ao Administrador qualquer violação dos procedimentos de segurança;

e.  Exercer efetivo controle sobre os ativos de informação, utilizando as facilidades existentes;

f.     Efetuar cópias de segurança dos arquivos armazenados em suas estações de trabalho;

g.  Garantir a execução de rotinas antivírus, conforme os padrões estabelecidos.

8.8.   Responsabilidades dos Proprietários

Os proprietários devem:

a.   Identificar e definir as informações críticas e os requerimentos de confidencialidade, integridade, disponibilidade e autenticidade dos seus ativos de informação;

b.  Definir mecanismos de controle para softwares aplicativos desenvolvidos para sua Casa Legislativa;

c.   Comunicar os requerimentos de segurança ao Administrador e ao custodiante;

d.  Classificar e rever periodicamente a classificação dos ativos sob sua propriedade;

e.  Autorizar, quando devidos, acessos aos ativos de informação sob sua propriedade;

f.     Monitorar usuários e terceirizados quanto ao cumprimento dos requerimentos de segurança;

g.  Participar do processo de avaliação e aceitação de risco;

h.   Participar nas decisões relacionadas a qualquer violação de segurança dos ativos sob sua propriedade.

8.9.   Responsabilidades dos Custodiantes

Os custodiantes devem:

a.   Prestar assistência técnica ao Proprietário na definição dos procedimentos operacionais e de controle, referentes a manuseio, armazenamento e disposição final dos ativos;

b.  Controlar e proteger os ativos sob sua custódia;

c.   Realizar, verificar e manter cópias de segurança (backups) dos ativos de informação sob sua custódia;

d.  Comunicar ao Administrador e ao Proprietário qualquer incidente de segurança que possa comprometer a segurança dos ativos sob sua custódia.

 

8.10.  Responsabilidades dos Terceirizados

Os terceirizados devem:

a.   Entender e seguir os procedimentos de segurança especificados pelo proprietário e pelo supridor dos serviços utilizados;

b.  Acessar e utilizar os ativos de processamento somente quando autorizado e apenas para atividades aprovadas pelo Interlegis;

c.   Assegurar-se que as senhas para acesso aos ativos de processamento e de informações estejam de acordo com os procedimentos estabelecidos e que as mesmas sejam protegidas e confidenciais, não devendo ser compartilhada;

d.  Informar imediatamente ao Administrador qualquer violação dos procedimentos de segurança;

e.  Exercer efetivo controle sobre os ativos de informação, utilizando as facilidades existentes;

f.     Efetuar cópias de segurança dos arquivos armazenados em suas estações de trabalho;

g.  Garantir a execução de rotinas antivírus, conforme os padrões estabelecidos.

 

9         DIRETRIZES DE SEGURANÇA

9.1.   A Política de Segurança da Informação é aplicável a todos os bens e serviços disponibilizados pelo Interlegis nas Assembléias Legislativas, nas Câmaras Municipais e na Sede do Interlegis, bem como aos Parlamentares, servidores das Casas Legislativas, consultores, terceirizados e qualquer pessoa que de alguma forma esteja envolvida com o Interlegis.

9.2.   Esta Política deve ser revisada e atualizada periodicamente, ou no máximo a cada 2 (dois) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata.

9.3.   Esta Política deve ser comunicada oficialmente a todos os recursos humanos integrantes do Interlegis, visando garantir que todas as pessoas tenham consciência da mesma e a pratiquem na Comunidade.

9.4.   Deve ser criada e implementada uma estrutura organizacional responsável pela Gestão da Segurança da Informação no Interlegis.

9.5.   Devem constar dos contratos de terceirização requisitos de segurança para acesso aos ativos disponibilizados pelo Interlegis.

9.6.   Todo ativo deve ser inventariado e identificado um proprietário responsável.

9.7.   Todo ativo deve ser classificado para indicar sua importância, prioridade e nível de proteção requerido.

9.8.   Responsabilidades de segurança de informações devem ser atribuídas na fase de recrutamento dos recursos humanos contratados pelo Interlegis, incluídas nos contratos e monitorados durante a vigência destes contratos.

9.9.   Todos os recursos humanos integrantes do Interlegis devem ser treinados nos procedimentos de segurança e no uso correto dos ativos disponibilizados pelo Interlegis, de forma a minimizar possíveis riscos de segurança.

9.10.  Todos os incidentes que afetam a segurança das informações devem ser reportados aos Administradores o mais rapidamente possível.

9.11.  Todos os recursos humanos integrantes do Interlegis devem estar conscientes dos procedimentos para notificação dos diversos tipos de incidentes (violação da segurança, ameaças, fragilidades ou mau funcionamento) que possam ter impactos na segurança dos ativos organizacionais.

9.12.  Todos os incidentes de segurança devem ser apurados e caso fique comprovado que este incidente foi ocasionado pelo não cumprimento dos preceitos estabelecidos nesta Política, bem como nas normas e procedimentos dela decorrentes, e que houve dolo do(s) recurso(s) humano(s) envolvido(s), deverão ser aplicadas as penalidades previstas no regulamento da(s) Casa(s) Legislativa(s) envolvida(s), no contrato de terceirização, bem como na legislação municipal, estadual ou federal pertinente.

9.13.  Os ativos críticos ou sensíveis devem ser mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas aos riscos identificados e controle de acesso.

9.14.  Todo ativo de processamento deve ser fisicamente protegido contra ameaças à sua segurança e perigos ambientais.

9.15.  Todo ativo deve ser protegido de divulgação, modificação, furto ou roubo por pessoas não autorizadas e adotados controles de forma a minimizar sua perda ou dano.

9.16.  Devem ser definidos todos os procedimentos e responsabilidades pela gestão e operação dos ativos de processamento das informações.

9.17.  Devem ser feitas projeções de demanda de uso de ativos de processamento visando reduzir o risco de sobrecarga.

9.18.  Devem ser adotadas todas as medidas necessárias visando prevenir e detectar a introdução de software malicioso nos ativos.

9.19.  Devem ser estabelecidos procedimentos de rotina para a execução de cópias de segurança e para a disponibilização dos recursos de reserva, conforme definido no Plano de Contingência.

9.20.  Devem ser estabelecidos procedimentos e responsabilidades específicas para o gerenciamento dos ativos disponibilizados pelo Interlegis fora da Sede Administrativa.

9.21.  As mídias onde estão armazenados ativos de informação devem ser controladas e fisicamente protegidas.

9.22.  As trocas de ativos entre o Interlegis e outras organizações devem ser controladas e estar em conformidade com toda a legislação pertinente.

9.23.  O acesso a ativo disponibilizado pelo Interlegis deve ser autorizado e controlado.

9.24.  A concessão de direitos de acesso a ativos deve ser controlado por procedimentos formais.

9.25.  Os recursos humanos integrantes do Interlegis devem estar cientes de suas responsabilidades para a manutenção efetiva dos controles de acesso, considerando particularmente o uso de senhas e a segurança dos ativos sob sua responsabilidade.

9.26.  O acesso aos serviços disponibilizados na Rede Nacional Interlegis devem ser controlados.

9.27.  As funcionalidades de segurança dos sistemas operacionais devem ser usadas para restringir o acesso aos ativos.

9.28.  Os ativos devem ser monitoradas visando detectar divergências entre a política de controle de acesso e os registros de eventos monitorados, fornecendo evidências no caso de incidentes de segurança.

9.29.  Quando for utilizada computação móvel, os riscos de trabalhar em um ambiente desprotegido devem ser considerados e a proteção adequada aplicada.

9.30.  Todos requisitos de segurança, incluindo a necessidade de acordos de contingência, devem ser identificados na fase de levantamento de requisitos de um projeto de sistema de informação, justificados, acordados, implementados durante o desenvolvimento e documentados.

9.31.  Devem ser criados e implementados controles apropriados e trilhas de auditoria ou registros de atividades nos sistemas de informação desenvolvidos pelo Interlegis ou por terceiros.

9.32.  Recomenda-se o uso de técnicas e sistemas criptográficos para proteção de ativos que são considerados de risco e para os quais outros controles não fornecem proteção adequada.

9.33.  Os ambientes de desenvolvimento e suporte devem ser rigidamente controlados.

9.34.  Um processo de gestão da continuidade do negócio deve ser implementado e testado periodicamente, visando reduzir, para um nível aceitável, a interrupção causada por desastres ou falhas de segurança, por meio da combinação de ações de prevenção e recuperação.

9.35.  O projeto, a operação, o uso e a gestão de sistemas de informação devem estar sujeitos aos contratos, regulamentos e a legislação vigente.

9.36.  A segurança dos sistemas de informação deve ser analisada criticamente a intervalos regulares.

9.37.  Quando razões tecnológicas ou determinações superiores tornarem impossível o uso apropriado de controles mínimos adequados à garantia da segurança dos ativos, devem ser implementadas medidas alternativas que minimizem os riscos, além de documentá-los e definir um plano de ação para corrigi-los ou eliminá-los.

9.38.Estas diretrizes devem ser regulamentadas por meio de normas e procedimentos.

 



[1] Programa estranho ao sistema de computador capaz de copiar e instalar a si mesmo, geralmente concebido para provocar efeitos nocivos ou estranhos à funcionalidade do sistema ou aos dados nele armazenados. 

[2] Programa com função aparentemente ou realmente útil, que contém funções (escondidas) adicionais e que explora secretamente as autorizações legítimas do sistema de computador, ocasionando perda de segurança.

[3] Indivíduo hábil em enganar os mecanismos de segurança de sistemas de computação e conseguir acesso não autorizado aos recursos destes, geralmente a partir de uma conexão remota em uma rede de computadores; violador de um sistema de computação. 

[4]              Envio indiscriminado e não solicitado de mensagens de correio eletrônico.

[5]              Negação de serviço – impedimento de acesso autorizado aos recursos ou retardamento de operações críticas por um certo período de tempo.