Post on 05-Dec-2014
description
DSIC/GSIPR
SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA
ADMINISTRAÇÃO PÚBLICA FEDERAL
V Seginfo – Rio de Janeiro
GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA – GSIPR
DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - DSIC
DSIC/GSIPR
Secretaria de Assuntos Militares
Secretaria Nacional Anti-Drogas
Agência Brasileirade Inteligência
Secretaria de Acompanhamento
e EstudosInstitucionais
Secretaria-Executiva
GSI-PR
Departamento deSegurança daInformação e
Comunicações
Secretaria Executiva do
Conselho de DefesaNacional
Presidente doConselho Nacional
Anti-Drogas
Câmara de RelaçõesExteriores e deDefesa Nacional
Gabinete de Segurança Institucional
DSIC/GSIPR
Coordenação da Inteligência Federal e
atividades de Segurança da Informação.
DSICDecreto 5.772 de 08 de maio de 2006
Decreto 6.931 de 11 de agosto de 2009
(Lei nº 10.683, de 29 de maio de 2003)
Planejar e Coordenar a execução das atividades de Segurança da Informação e
Comunicações na Administração Pública Federal.
DSIC/GSIPR
Centro de Pesquisas e Desenvolvimento para a
Segurança das Comunicações (CEPESC)
Coordenação-Geral do Sistema de Segurança e
Credenciamento (CGSISC)
Coordenação-Geral de Tratamento de Incidente
de Redes (CGTIR)
Assessoria Jurídica
Coordenação-Geral de Gestão de SIC
(CGGSIC)
Comitê Gestor de Segurança da
Informação (CGSI)Diretor
Grupo de Apoio Técnico (GAT)Gabinete
DSIC/GSIPR
Tamanho do Problema
- 39 ministérios- ≅≅ 6.000 entidades públicas
− ≅≅ 1.000.000 servidores federais - Executivo
Administração direta 225.412 Empresas Públicas 23.036Autarquias e Fundações 328.217 Soc. Economia Mista 12.068MPU 8.384 Militares 325.683
≅ 320 principais redes do governo federal
≅≅ 12.000 sites domínio .gov.br (+ de 6 milhões páginas)
DSIC/GSIPR
Incidentes em redes na APF – CTIR - 2010
- ≅≅ 4.480.000 de incidentes em 2009 (uma rede)
- ≅≅ 1% dos incidentes são tentativas de invasão
- ≅≅ 2100 tentativas por hora em todas as redes
- ≅≅ 200 malwares analisados por mês
DSIC/GSIPR
60%25%
7%2% 6% ROUBO DE INFO BANCÁRIAS
ROUBO DE INFO PESSOAIS
ROUBO DE INFO DO INFOSEG
BOTNET
OUTROS
Objetivos dos “Malwares”
Fonte: CTIR Gov 2009
Tratamento de Incidentes na APF - CTIR
DSIC/GSIPR
ASSINADOS
Portugal Espanha Rússia (troca de
informações e SIC) França (atualizado)
NEGOCIAÇÃO
Israel * USA Luxemburgo Itália * Rep. Tcheca Ucrânia Noruega Alemanha *
ACORDOS DE COOPERAÇÃO
Credenciamento – SISC
DSIC/GSIPR
SEGURANÇA DOS: recursos humanos; sistemas de informação e comunicação; áreas e instalações; materiais.
NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SICCAPACITAÇÃO SERVIDORES PÚBLICOSACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES
SIGILOSASTRATAMENTO DE INCIDENTES DE REDESANÁLISE E GESTÃO DE RISCOSCONTINUIDADE DE NEGÓCIOSCONTROLE DE ACESSOCRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIAPROTEÇÃO DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃOESTRATÉGIA DE SEGURANÇA CIBERNÉTICAAPURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE
SEGURANÇA
ABRANGÊNCIA DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
DSIC/GSIPR
Normativas de Gestão de SIC-APF
• IN GSI 01, de 13 de junho de 2008 – Gestão SIC APF
• NC 01, de 14 de outubro de 2008 – Normalização
• NC 02, de 15 de outubro de 2008 – Metodologia
• NC 03, de 03 de julho de 2009 – POSIC
• NC 04, de 17 de agosto de 2009 - GRSIC
• NC 05, de 17 de agosto de 2009 – ETIR
• NC 06, de 11 de novembro de 2009 – GCN
• NC 07, de 14 de abril de 2010 – CASIC
• NC 08, de 24 de agosto de 2010 – Gestão de ETIR
• Normas em estudo: Manual do Gestor de SIC (2010); e Uso de
criptografia na APF (2010).
DSIC/GSIPR
Cultura e Capacitação
ATIVIDADE METODOLOGIA ALVOREALIZADO
(até 25/04/2010)
SensibilizaçãoPalestras e Congressos
1.000.000 25.517
ConscientizaçãoSeminários e Colóquios
100.000 4.606
CapacitaçãoOficinas eCursos de Fundamentos
10.000595150*
EspecializaçãoCursos pós-graduação
1.00080193**
• * Realizando o II CFGSIC a distância
• ** Realizando desde 05MAI2010 o CEGSIC semi presencial
DSIC/GSIPR
São dois os princípios básicos que devem ser observados para se garantir a Segurança da Informação e Comunicações bem como das
infraestruturas críticas do País no Ciberespaço
(I) reduzir as vulnerabilidades do país impedindo ou dificultando ataques cibernéticos; e,
(II) em caso de ataque, garantir uma rápida recuperação e funcionamento dos sistemas de informação e infraestruturas críticas atacadas
(recursos humanos, legislação, tecnologia, políticas etc.)
Princípios
DSIC/GSIPR
Estratégia de Segurança Cibernética
A arte de assegurar a existência e a continuidade da Sociedade da
Informação de uma nação garantindo e protegendo, no espaço cibernético,
seus ativos de informação e suas infraestruturas críticas.
Proposta
DSIC/GSIPR
Decreto nº 4.801/03
Fica criada a Câmara de Relações Exteriores e Defesa Nacional, do Conselho de Governo, com a finalidade de
formular políticas públicas e diretrizes de matérias relacionadas com a área das relações exteriores e defesa
nacional do Governo Federal, aprovar, promover a articulação e acompanhar a implementação dos
programas e ações estabelecidos, no âmbito de ações cujo escopo ultrapasse a competência de um único
Ministério, inclusive aquelas pertinentes a:
...
XI - segurança cibernética. (Incluído pelo Decreto nº 7.009, de 2009)
Proposta
DSIC/GSIPR
• Ativos de informação: são os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.
• Infraestruturas Críticas: são as instalações, serviços, bens e sistemas que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da Sociedade;
• Infraestruturas Críticas da Informação: é o subconjunto de ativos de informação que afetam diretamente a consecução e a continuidade da missão do Estado e a segurança da Sociedade.
Conceitos – DSIC/GSIPR
DSIC/GSIPR
CONSCIENTIZAÇÃO
Segurança da Informação e Comunicações: ações que objetivam viabilizar e assegurar a disponibilidade (acessível e utilizável), a integridade (sem modificação ou destruição não autorizada ou acidental) , a confidencialidade (disponível somente para autorizados)e a autenticidade (produzida, expedida, modificada ou destruída por determinada pessoa física, ou sistema, órgão ou entidade) das informações (Instrução Normativa nº 01/GSI, 13 de junho de 2000)
Quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e das comunicações (Instrução Normativa nº 01/GSI, 13 de junho de 2000)
Mudança de Comportamento
DSIC/GSIPR
Mudança de Comportamento
VOCÊ SABE O QUE É ISSO?
DSIC/GSIPR
Mudança de Comportamento
E AGORA VOCÊ SABE?
DSIC/GSIPR
Mudança de Comportamento
Lei nº 11.829/08 – altera o ECA
Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra forma de registro que contenha cena de sexo explícito
ou pornográfica envolvendo criança ou adolescente:
Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.
§ 2o Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes a ocorrência das condutas
descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicação for feita por:
I – agente público no exercício de suas funções;
§ 3o As pessoas referidas no § 2o deste artigo deverão manter sob sigilo o material ilícito referido.
DSIC/GSIPR
Mudança de Comportamento
Mais exemplos para reflexão:
1) Seu notebook foi identificado quando adentrou órgão público?
Por que?........
E o seu smartphone?
2) Quando você se ausenta de sua estação de trabalho, ela permanece logada?....
DSIC/GSIPR
Mudança de Comportamento
QUEBRA DE SEGURANÇA QUE COMPROMETA A DICA IMPLICA EM RESPONSABILIDADE:
• ADMINISTRATIVA• CIVIL
• PENAL
DSIC/GSIPR
• Falta de cultura padronizada em Segurança da Informação e Comunicações;
• Falta de coordenação de ações conjuntas, de estabelecimento e exigência de padrões e normas nacionais;
• Falta de legislação adequada;
• Indefinição das Fronteiras (Redes de Comunicações Transnacionais);
•Necessidade emergente de repensar e rever o conceito de Segurança das infraestruturas críticas – em especial da segurança cibernética; e
• Continuidade das ações de governo.
Desafios para 2011
DSIC/GSIPR
Lema:
DSIC/GSIPR
OBRIGADO !
gerson.charbel@planalto.gov.br
(61) 3411-1321
http://dsic.planalto.gov.br
www.twitter.com/dsic_br