Boas Praticas Em Seguranca Da Informacao

www.tcu.gov.br

SED

IPIS

C/ C

EDO

C

TRIBUNAL DE CONTAS DA UNIOSecretaria-Geral de Controle Externo

Secretaria Adjunta de Fiscalizao

Diretoria de Auditoria da Tecnologia da InformaoBraslia, 2003

SEGURANA DASEGURANA DASEGURANA DASEGURANA DASEGURANA DAINFORMAOINFORMAOINFORMAOINFORMAOINFORMAO

Brasil. Tribunal de Contas da Unio.Boas prticas em segurana da informao / Tribunal de Contas

da Unio. Braslia : TCU, Secretaria Adjunta de Fiscalizao,2003.

70p.

1. Segurana da informao 2. Auditoria, Tecnologia dainformao I. Ttulo.

TRIBUNAL DE CONTAS DA UNIO

Negcio: Controle Externo da Administrao Pblica e da gesto dos recursos pblicos federaisMisso: Assegurar a efetiva e regular gesto dos recursos pblicos, em benefcio da sociedadeViso: Ser instituio de excelncia no controle econtribuir para o aperfeioamento da Administrao Pblica

MINISTROS

Valmir Campelo, PresidenteAdylson Motta, Vice-PresidenteMarcos Vinicios Rodrigues VilaaIram SaraivaHumberto SoutoWalton Alencar RodriguesGuilherme PalmeiraUbiratan AguiarBenjamin Zymler

MINISTROS-SUBSTITUTOS

Lincoln Magalhes da RochaAugusto Sherman CavalcantiMarcos Bemquerer Costa

MINISTRIO PBLICO

Lucas Rocha Furtado, Procurador-GeralJatir Batista da Cunha, Subprocurador-GeralPaulo Soares Bugarin, Subprocurador-GeralUbaldo Alves Caldas, Subprocurador-GeralMaria Alzira Ferreira, ProcuradoraMarinus Eduardo Vries Marsico, ProcuradorCristina Machado da Costa e Silva, Procuradora

Apresentao

notria a dependncia das organizaes atuais aos sistemas informatizados. Cresce a quantidade ea complexidade de sistemas computacionais que controlam os mais variados tipos de operaes e o prpriofluxo de informaes das organizaes. Com efeito, a Administrao Pblica brasileira, reflexo da prpriasociedade em geral, est cada vez mais adotando o computador como ferramenta indissocivel na buscada excelncia na produo de bens e na prestao de servios.

A informatizao crescente reclama especial ateno das organizaes, uma vez que a utilizao datecnologia da informao para a manipulao e armazenamento de dados introduz novos riscos e aumentaa fragilidade de algumas atividades. Assim, torna-se imperativa a ateno de todos os gestores pblicospara as questes relacionadas segurana da tecnologia da informao.

Grande parte dos rgos e entidades sob a jurisdio do TCU j utiliza maciamente a tecnologia dainformao para automatizar sua operao e registrar, processar, manter e apresentar informaes. Como intuito de incrementar e aperfeioar as atividades de auditoria desenvolvidas pelo corpo tcnico doTribunal, enfrentando a dificuldade de exercer o controle externo de entidades informatizadas, aprovei acriao do Projeto da Auditoria da Tecnologia da Informao em fevereiro deste ano. Os objetivos desseProjeto so: pesquisar, desenvolver e disseminar ferramentas, tcnicas e documentos para apoiar a Auditoriada Tecnologia da Informao, bem como, manter um ncleo especializado para apoiar os auditores doTribunal e disseminar as boas prticas em tecnologia da informao para os fiscalizados.

O Tribunal de Contas da Unio, ciente da importncia de seu papel pedaggico junto aos administradorespblicos e da utilidade de apresentar sua forma de atuao s unidades jurisdicionadas e prefeituras, elaborouesta publicao com intuito de despertar a ateno para os aspectos da segurana da tecnologia da informaonas organizaes governamentais. Espera-se que esse trabalho seja uma boa fonte de consulta e que o Tribunal,mais uma vez, colabore para o aperfeioamento da Administrao Pblica.

Valmir CampeloPresidente

Introduo 9

Controles de Acesso Lgico 11

Poltica de Segurana de Informaes 27

Plano de Contingncias 35

Anexos 41

Sumrio

Na sociedade da informao, ao mesmo tempo que as informaes so consideradas o principalpatrimnio de uma organizao, esto tambm sob constante risco, como nunca estiveram antes. Comisso, a segurana de informaes tornou-se um ponto crucial para a sobrevivncia das instituies.

Na poca em que as informaes eram armazenadas apenas em papel, a segurana erarelativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso fsicoquele local. Com as mudanas tecnolgicas e o uso de computadores de grande porte, a estruturade segurana j ficou um pouco mais sofisticada, englobando controles lgicos, porm aindacentralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectamo mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidadede desenvolvimento de equipes e mtodos de segurana cada vez mais sofisticados. Paralelamente,os sistemas de informao tambm adquiriram importncia vital para a sobrevivncia da maioria dasorganizaes modernas, j que, sem computadores e redes de comunicao, a prestao de serviosde informao pode se tornar invivel.

O objetivo desta publicao apresentar, na forma de captulos, boas prticas em segurana dainformao, a qualquer pessoa que interaja de alguma forma com ambientes informatizados, desdeprofissionais de informtica envolvidos com segurana de informaes at auditores, usurios edirigentes preocupados em proteger o patrimnio, os investimentos e os negcios de sua organizao,em especial, os gestores da Administrao Pblica Federal. Esta primeira publicao conta com trscaptulos: controles de acesso lgico, poltica de segurana de informaes e plano de contingncias. nossa inteno publicar novas edies, incluindo captulos sobre assuntos correlatos, como controlesorganizacionais, controles sobre bancos de dados, ambiente cliente/servidor, entre outros.

Diretoria de Auditoria da Tecnologia da Informao

Introduo

Neste captulo sero apresentados conceitos im-portantes sobre controles de acesso lgico a seremimplantados em instituies que utilizam ainformtica como meio de gerao, armazena-mento e divulgao de informaes, com o objetivode prover segurana de acesso a essas informaes.

1.1. O que so controles deacesso?

Os controles de acesso, fsicos ou lgicos, tmcomo objetivo proteger equipamentos, aplica-tivos e arquivos de dados contra perda, modifica-o ou divulgao no autorizada. Os sistemascomputacionais, bem diferentes de outros tiposde recursos, no podem ser facilmente controla-dos apenas com dispositivos fsicos, como cade-ados, alarmes ou guardas de segurana.

1.2. O que so controles deacesso lgico?

Os controles de acesso lgico so um conjun-to de procedimentos e medidas com o objetivo

de proteger dados, programas e sistemas contratentativas de acesso no autorizadas feitas porpessoas ou outros programas de computador.

O controle de acesso lgico pode ser encara-do de duas formas diferentes : a partir do recur-so computacional que se quer proteger e a par-tir do usurio a quem sero concedidos certosprivilgios e acessos aos recursos.

A proteo aos recursos computacionais ba-seia-se nas necessidades de acesso de cada usu-rio, enquanto que a identificao e autenticaodo usurio (confirmao de que o usurio real-mente quem ele diz ser) feita normalmenteatravs de um identificador de usurio (ID) e umasenha durante o processo de logon no sistema.

1.3. Que recursos devem serprotegidos?

A proteo aos recursos computacionaisinclui desde aplicativos e arquivos de dados atutilitrios e o prprio sistema operacional.

1. Controles de Acesso Lgico

Abaixo sero apresentados os motivos pelosquais esses recursos devem ser protegidos.

Aplicativos (programas fonte e objeto)

O acesso no autorizado ao cdigo fonte dosaplicativos pode ser usado para alterar suas funese a lgica do programa. Por exemplo, em umaplicativo bancrio, pode-se zerar os centavos detodas as contas correntes e transferir o total dos cen-tavos para uma determinada conta, beneficiandoilegalmente esse correntista.

Arquivos de dados

Bases de dados, arquivos ou transaes de ban-cos de dados devem ser protegidos para evitar queos dados sejam apagados ou alterados sem autori-zao, como por exemplo, arquivos com a configu-rao do sistema, dados da folha de pagamento, da-dos estratgicos da empresa.

Utilitrios e sistema operacional

O acesso a utilitrios, como editores, compilado-res, softwares de manuteno, monitorao e diag-nstico deve ser restrito, j que essas ferramentas po-dem ser usadas para alterar aplicativos, arquivos dedados e de configurao do sistema operacional, porexemplo.

O sistema operacional sempre um alvo bastan-te visado, pois sua configurao o ponto chave detodo o esquema de segurana. A fragilidade do siste-ma operacional compromete a segurana de todo oconjunto de aplicativos, utilitrios e arquivos.

Arquivos de senha

A falta de proteo adequada aos arquivos quearmazenam as senhas pode comprometer todo osistema, pois uma pessoa no autorizada, ao obteridentificador (ID) e senha de um usurio privilegia-do, pode, intencionalmente, causar danos ao siste-ma. Essa pessoa dificilmente ser barrada por qual-quer controle de segurana instalado, j que se fazpassar por um usurio autorizado.

Arquivos de log

Os arquivos de log so usados para registraraes dos usurios, constituindo-se em timas fon-tes de informao para auditorias futuras. Os logsregistram quem acessou os recursoscomputacionais, aplicativos, arquivos de dados eutilitrios, quando foi feito o acesso e que tipo deoperaes foram efetuadas.

Um invasor ou usurio no autorizado pode tentaracessar o sistema, apagar ou alterar dados, acessaraplicativos, alterar a configurao do sistemaoperacional para facilitar futuras invases e depois alte-rar os arquivos de log para que suas aes no possamser identificadas. Dessa forma, o administrador do sis-tema no ficar sabendo que houve uma invaso.

1.4. O que os controles de acessolgico pretendem garantir emrelao segurana deinformaes?

Os controles de acesso lgico so implantadoscom o objetivo de garantir que:

apenas usurios autorizados tenham acessoaos recursos;

os usurios tenham acesso apenas aos recur-sos realmente necessrios para a execuo de suastarefas;

o acesso a recursos crticos seja bemmonitorado e restrito a poucas pessoas;

os usurios estejam impedidos de executartransaes incompatveis com sua funo ou almde suas responsabilidades.

O controle de acesso pode ser traduzido, ento,em termos de funes de identificao e autentica-o de usurios; alocao, gerncia emonitoramento de privilgios; limitao,monitoramento e desabilitao de acessos; e pre-veno de acessos no autorizados.

1.5. Como os usurios soidentificados e autenticados?

Os usurios dos sistemas computacionais soidentificados e autenticados durante um proces-so, chamado Logon. Os processos de logon sousados para conceder acesso aos dados eaplicativos em um sistema computacional e orien-tam os usurios durante sua identificao e au-tenticao.

Normalmente esse processo envolve a entra-da de um ID (identificao do usurio) e uma se-nha (autenticao do usurio). A identificao de-fine para o computador quem o usurio e a

senha um autenticador, isto , ela prova ao com-putador que o usurio realmente quem ele dizser.

1.5.1. Como deve ser projetado um processode logon para ser considerado eficiente?

O procedimento de logon deve divulgar o m-nimo de informaes sobre o sistema, evitandofornecer, a um usurio no autorizado, informa-es detalhadas. Um procedimento de logon efi-ciente deve:

informar que o computador s deve seracessado por pessoas autorizadas;

evitar identificar o sistema ou suas aplicaesat que o processo de logon esteja completamen-te concludo;

durante o processo de logon, evitar o forneci-mento de mensagens de ajuda que poderiam auxi-liar um usurio no autorizado a completar esse pro-cedimento;

validar a informao de logon apenas quandotodos os dados de entrada estiverem completos.Caso ocorra algum erro, o sistema no deve indicarqual parte do dado de entrada est correta ouincorreta, como por exemplo, ID ou senha;

limitar o nmero de tentativas de logon semsucesso ( recomendado um mximo de trs tenta-tivas), e ainda:

a) registrar as tentativas de acesso invlidas;

b) forar um tempo de espera antes de permi-tir novas tentativas de entrada no sistema ou rejei-tar qualquer tentativa posterior de acesso sem au-torizao especfica;

c) encerrar as conexes com o computador.

limitar o tempo mximo para o procedimentode logon. Se excedido, o sistema dever encerrar oprocedimento;

mostrar as seguintes informaes, quando o pro-cedimento de logon no sistema finalizar com xito:

a) data e hora do ltimo logon com sucesso;

b) detalhes de qualquer tentativa de logon semsucesso, desde o ltimo procedimento realizadocom sucesso.

1.5.2. O que identificao do usurio?

A identificao do usurio, ou ID, deve sernica, isto , cada usurio deve ter uma identi-ficao prpria. Todos os usurios autorizadosdevem ter um ID, quer seja um cdigo de carac-teres, carto inteligente ou qualquer outro meiode identificao. Essa unicidade de identificaopermite um controle das aes praticadas pelosusurios atravs dos logs.

No caso de identificao a partir de caracte-res, comum estabelecer certas regras de com-posio, como por exemplo, quantidade mnimae mxima de caracteres, misturando letras, n-meros e smbolos.

1.5.3 O que autenticao do usurio?

Aps a identificao do usurio, deve-se proce-der sua autenticao, isto , o sistema deve con-firmar se o usurio realmente quem ele diz ser. Ossistemas de autenticao so uma combinao dehardware, software e procedimentos que permitemo acesso de usurios aos recursos computacionais.

Na autenticao, o usurio deve apresentaralgo que s ele saiba ou possua, podendo at en-volver a verificao de caractersticas fsicas pes-soais. A maioria dos sistemas atuais solicita umasenha (algo que, supostamente, s o usurio co-nhece), mas j existem sistemas mais modernosutilizando cartes inteligentes (algo que o usu-rio possui) ou ainda caractersticas fsicas (algo in-trnseco ao usurio), como o formato da mo, daretina ou do rosto, impresso digital e reconhe-cimento de voz.

1.5.4. Como orientar os usurios em relaos senhas?

Para que os controles de senha funcionem, osusurios devem ter pleno conhecimento das polti-cas de senha da organizao e devem ser orienta-dos e estimulados a segui-las fielmente. Todos osusurios devem ser solicitados a:

manter a confidencialidade das senhas;

no compartilhar senhas;

evitar registrar as senhas em papel;

selecionar senhas de boa qualidade, evitandoo uso de senhas muito curtas ou muito longas, queos obriguem a escrev-las em um pedao de papelpara no serem esquecidas (recomenda-se tamanhoentre seis e oito caracteres);

alterar a senha sempre que existir qualquer in-dicao de possvel comprometimento do sistemaou da prpria senha;

alterar a senha em intervalos regulares ou combase no nmero de acessos (senhas para usuriosprivilegiados devem ser alteradas com maiorfreqncia que senhas normais);

evitar reutilizar as mesmas senhas;

alterar senhas temporrias no primeiro acesso aosistema;

no incluir senhas em processos automticosde acesso ao sistema (por exemplo, armazenadasem macros).

Vale lembrar tambm que utilizar a mesma se-nha para vrios sistemas no uma boa prtica, poisa primeira atitude de um invasor, quando descobrea senha de um usurio em um sistema vulnervel, tentar a mesma senha em outros sistemas a queo usurio tem acesso.

1.5.5. Que tipos de senhas devem ser evitadas?

Os usurios devem evitar senhas compostas deelementos facilmente identificveis por possveisinvasores, como por exemplo :

nome do usurio;

identificador do usurio (ID), mesmo queseus caracteres estejam embaralhados;

nome de membros de sua famlia ou deamigos ntimos;

nomes de pessoas ou lugares em geral;

nome do sistema operacional ou da mqui-na que est sendo utilizada;

nomes prprios;

datas;

nmeros de telefone, de carto de crdito,de carteira de identidade ou de outros documentospessoais;

placas ou marcas de carro;

palavras que constam de dicionrios em qual-quer idioma;

letras ou nmeros repetidos;

letras seguidas do teclado do computador(ASDFG, YUIOP);

objetos ou locais que podem ser vistos a par-tir da mesa do usurio (nome de um livro na estan-te, nome de uma loja vista pela janela);

qualquer senha com menos de 6 caracteres.

Alguns softwares so capazes de identificar se-nhas frgeis, como algumas dessas citadas acima, apartir de bases de dados de nomes e seqncias decaracteres mais comuns, e ainda bloquear a escolhadessas senhas por parte do usurio. Essas bases dedados normalmente fazem parte do pacote desoftware de segurana e podem ser atualizadas pelogerente de segurana com novas incluses.

1.5.6. Como escolher uma boa senha?

Geralmente so consideradas boas senhasaquelas que incluem, em sua composio, letras(maisculas e minsculas), nmeros e smbolosembaralhados, totalizando mais de seis caracteres.Porm, para ser boa mesmo, a senha tem que serdifcil de ser adivinhada por outra pessoa, mas defcil memorizao, para que no seja necessrioanot-la em algum lugar. Tambm convenienteescolher senhas que possam ser digitadas rapida-mente, dificultando que outras pessoas, a uma certadistncia ou por cima de seus ombros, possam iden-tificar a seqncia de caracteres.

Um mtodo bastante difundido hoje em dia selecionar uma frase significativa para o usurio eutilizar os primeiros caracteres de cada palavra quea compe, inserindo smbolos entre eles. tambmrecomendvel no utilizar a mesma senha para v-rios sistemas. Se um deles no for devidamente pro-tegido, a senha poder ser descoberta e utilizadanos sistemas que, a priori, estariam seguros. Outroconselho : adquira o hbito de trocar sua senha comfreqncia. Troc-la a cada 60/90 dias considera-do uma boa prtica.

Se voc realmente no conseguir memorizar suasenha e tiver que escrev-la em algum pedao depapel, tenha pelo menos o cuidado de noidentific-la como sendo uma senha. No pregueesse pedao de papel no prprio computador, noguarde a senha junto com a sua identificao deusurio e nunca a envie por e-mail ou armazene emarquivos do computador.

1.5.7. Como deve ser feita a concesso desenhas aos usurios?

A concesso de senhas deve ser feita de maneiraformal, considerando os seguintes pontos:

solicitar aos usurios a assinatura de uma decla-rao, a fim de manter a confidencialidade de sua se-nha pessoal (isso pode estar incluso nos termos e con-dies do contrato de trabalho do usurio);

garantir, aos usurios, que esto sendofornecidas senhas iniciais seguras e temporrias,forando-os a alter-las logo no primeiro logon. Ofornecimento de senhas temporrias, nos casos deesquecimento por parte dos usurios, deve serefetuado somente aps a identificao positiva dorespectivo usurio;

fornecer as senhas temporrias aos usurios deforma segura. O uso de terceiros ou mensagens decorreio eletrnico desprotegidas (nocriptografadas) deve ser evitado.

1.5.8. O que a instituio pode fazer paraproteger e controlar as senhas de acesso aseus sistemas?

O sistema de controle de senhas deve ser configu-rado para proteger as senhas armazenadas contra usono autorizado, sem apresent-las na tela do compu-tador, mantendo-as em arquivos cripto-grafados eestipulando datas de expirao (normalmente se reco-menda a troca de senhas aps 60 ou 90 dias). Algunssistemas, alm de criptografar as senhas, ainda guar-dam essas informaes em arquivos escondidos queno podem ser vistos por usurios, dificultando, assim,a ao dos hackers.

Para evitar o uso freqente das mesmas senhas,o sistema de controle de senhas deve manter um his-trico das ltimas senhas utilizadas por cada usurio.Deve-se ressaltar, entretanto, que a troca muitofreqente de senhas tambm pode confundir o usu-rio, que poder passar a escrever a senha em algumlugar visvel ou escolher uma senha mais fcil, com-prometendo, assim, sua segurana.

O gerente de segurana deve desabilitar contasinativas, sem senhas ou com senhas padronizadas.At mesmo a senha temporria fornecida ao usu-rio pela gerncia de segurana deve ser gerada deforma que j entre expirada no sistema, exigindouma nova senha para os prximos logons. Portan-to, deve haver um procedimento que force a trocade senha imediatamente aps a primeira autentica-o, quando o usurio poder escolher a senha queser utilizada dali por diante.

Ex-funcionrios devem ter suas senhas bloque-adas. Para isso, devem existir procedimentos admi-nistrativos eficientes que informem o gerente desegurana, ou o administrador dos sistemas, daocorrncia de demisses ou desligamentos de fun-

cionrios. Esses procedimentos, na prtica, nemsempre so seguidos, expondo a organizao a ris-cos indesejveis.

Tambm devem ser bloqueadas contas de usu-rios aps um determinado nmero de tentativasde acesso sem sucesso. Esse procedimento diminuios riscos de algum tentar adivinhar as senhas. Atin-gido esse limite, s o administrador do sistema po-der desbloquear a conta do usurio, por exemplo.

1.5.9. Existem outras formas de autenticaodo usurio, alm do uso de senhas?

Sim. A autenticao dos usurios pode ser feitaa partir de tokens, ou ainda, sistemas biomtricos.

1.5.10. O que so tokens?

A idia de fornecer tokens aos usurios como for-ma de identific-los bastante antiga. No nosso dia-a-dia estamos freqentemente utilizando tokens paraacessar alguma coisa. As chaves que abrem a porta dasua residncia ou seu carto com tarja magntica parautilizar o caixa eletrnico do banco so exemplos detokens. O carto magntico ainda uma token espe-cial, pois guarda outras informaes, como por exem-plo, sua conta bancria.

Token pode ser definida, ento, como um objetoque o usurio possui, que o diferencia das outras pes-soas e o habilita a acessar algum objeto. A desvanta-gem das tokens em relao s senhas que as tokens,por serem objetos, podem ser perdidas, roubadas oureproduzidas com maior facilidade.

1.5.11. O que so cartes magnticosinteligentes?

Os cartes inteligentes so tokens que con-tm microprocessadores e capacidade de mem-ria suficiente para armazenar dados, a fim de di-ficultar sua utilizao por outras pessoas que noseus proprietrios legtimos.

O primeiro carto inteligente, patenteado em1975, foi o de Roland Moreno, considerado o paido carto inteligente. Comparado ao carto mag-ntico, que um simples dispositivo de memria,o carto inteligente no s pode armazenar infor-maes para serem lidas, mas tambm capaz deprocessar informaes. Sua clonagem mais di-fcil e a maioria dos cartes inteligentes ainda ofe-rece criptografia.

Normalmente o usurio de carto inteligenteprecisa fornecer uma senha leitora de carto paraque o acesso seja permitido, como uma medida deproteo a mais contra o roubo de cartes.

As instituies bancrias, financeiras e governa-mentais so os principais usurios dessa tecnologia,em funo de seus benefcios em relao seguran-a de informaes e pela possibilidade de reduode custos de instalaes e pessoal, como por exem-plo, a substituio dos guichs de atendimento aopblico nos bancos por caixas eletrnicos. Os car-tes inteligentes tm sido usados em diversas apli-caes: cartes bancrios, telefnicos e de crdito,dinheiro eletrnico, segurana de acesso, carteirasde identidade.

1.5.12. O que so sistemas biomtricos?

Os sistemas biomtricos so sistemas autom-ticos de verificao de identidade baseados em ca-ractersticas fsicas do usurio. Esses sistemas tmcomo objetivo suprir deficincias de segurana dassenhas, que podem ser reveladas ou descobertas, edas tokens, que podem ser perdidas ou roubadas.

Os sistemas biomtricos automticos so umaevoluo natural dos sistemas manuais de reconhe-cimento amplamente difundidos h muito tempo,como a anlise grafolgica de assinaturas, a anli-se de impresses digitais e o reconhecimento devoz. Hoje j existem sistemas ainda mais sofistica-dos, como os sistemas de anlise da conformaodos vasos sangneos na retina.

1.5.13. Que caractersticas humanas podemser verificadas por sistemas biomtricos?

Teoricamente, qualquer caracterstica huma-na pode ser usada como base para a identificaobiomtrica. Na prtica, entretanto, existem algu-mas limitaes. A tecnologia deve ser capaz demedir determinada caracterstica de tal forma queo indivduo seja realmente nico, distinguindoinclusive gmeos, porm no deve ser invasiva ouferir os direitos dos indivduos.

Um dos problemas enfrentados pelos siste-mas biomtricos atuais sua alta taxa de erro, emfuno da mudana das caractersticas de umapessoa com o passar dos anos, ou devido a pro-blemas de sade ou nervosismo, por exemplo.

A tolerncia a erros deve ser estabelecida compreciso, de forma a no ser grande o suficiente paraadmitir impostores, nem pequena demais a ponto denegar acesso a usurios legtimos. Abaixo sero apre-sentadas algumas caractersticas humanas verificadaspor sistemas biomtricos existentes:

Impresses digitais so caractersticas nicas econsistentes. Nos sistemas biomtricos que utilizamessa opo, so armazenados de 40 a 60 pontos paraverificar uma identidade. O sistema compara a impres-so lida com impresses digitais de pessoas autoriza-das, armazenadas em sua base de dados. Atualmente,esto sendo utilizadas impresses digitais em algunssistemas governamentais, como por exemplo, o siste-ma de previdncia social na Espanha e o de registro deeleitores na Costa Rica;

Voz os sistemas de reconhecimento de vozso usados para controle de acesso, porm no soto confiveis quanto s impresses digitais, emfuno dos erros causados por rudos do ambientee problemas de garganta ou nas cordas vocais daspessoas a eles submetidas;

Geometria da mo tambm usada em sis-temas de controle de acesso, porm essa caracters-tica pode ser alterada por aumento ou diminuiode peso ou artrite;

Configurao da ris e da retina os sistemas queutilizam essas caractersticas se propem a efetuaridentificao mais confivel do que os sistemas que ve-rificam impresses digitais. Entretanto, so sistemasinvasivos, pois direcionam feixes de luz aos olhos daspessoas que se submetem sua identificao;

Reconhecimento facial atravs determogramas - o termograma facial uma imagemcaptada por uma cmera infravermelha que mostraos padres trmicos de uma face. Essa imagem nica e, combinada com algoritmos sofisticados decomparao de diferentes nveis de temperaturadistribudos pela face, constitui-se em uma tcnicano invasiva, altamente confivel, no sendoafetada por alteraes de sade, idade ou tempera-tura do corpo. So armazenados ao todo 19.000pontos de identificao, podendo distinguir gmeosidnticos, mesmo no escuro. O desenvolvimentodessa tecnologia tem como um de seus objetivosbaratear seu custo para que possa ser usada em umnmero maior de aplicaes de identificao e au-tenticao.

1.6. Como restringir o acesso aosrecursos informacionais?

O fato de um usurio ter sido identificado eautenticado no quer dizer que ele poderacessar qualquer informao ou aplicativo semqualquer restrio. Deve-se implementar um con-trole especfico restringindo o acesso dos usuriosapenas s aplicaes, arquivos e utilitrios im-prescindveis para desempenhar suas funes naorganizao. Esse controle pode ser feito pormenus, funes ou arquivos.

1.6.1. Para que servem os controles de menu?

Os controles de menu podem ser usados pararestringir o acesso de diferentes categorias de usu-rios apenas queles aplicativos ou utilitrios indis-pensveis a cada categoria.

Por exemplo, em um sistema de folha de pa-gamento, poder ser apresentado um menu ini-cial com trs opes diferentes : funcionrio, ge-rente e setor de recursos humanos. Nesse caso,o administrador do sistema dever conceder aces-so a cada uma das opes de acordo com a fun-o desempenhada pelo usurio. Portanto, o fun-cionrio s ter acesso a dados da sua folha depagamento pessoal, enquanto que o gerentepoder ter acesso a algumas informaes da fo-lha de seus funcionrios. O setor de recursoshumanos, para poder alimentar a base de dadosde pagamento, obter um nvel diferente de aces-so e sua interao com o sistema ser feita a par-tir de menus prprios para a administrao depessoal. Os menus apresentados aps a seleode uma das opes (funcionrio, gerente ou setorde recursos humanos) sero, portanto, diferentes.

1.6.2.. Para que servem os controles defunes de aplicativos?

No que diz respeito s funes internas dosaplicativos, os respectivos proprietrios deverodefinir quem poder acess-las e como, atravs deautorizao para uso de funes especficas ou res-trio de acesso a funes de acordo com o usu-rio (menus de acesso predefinidos), horrio ou tipode recursos (impressoras, fitas backup).

1.6.3. Como proteger arquivos?

A maioria dos sistemas operacionais possuimecanismos de controle de acesso que definem aspermisses e os privilgios de acesso para cada re-curso ou arquivo no sistema. Quando um usurio

tenta acessar um recurso, o sistema operacionalverifica se as definies de acesso desse usurio e dorecurso desejado conferem. O usurio s consegui-r o acesso se essa verificao for positiva.

Para garantir a segurana lgica, pode-se especi-ficar dois tipos de controle, sob ticas diferentes :

O que um sujeito pode fazer; ou

O que pode ser feito com um objeto.

1.6.4. O que so direitos e permisses de acesso?

Definir direitos de acesso individualmentepara cada sujeito e objeto pode ser uma manei-ra um tanto trabalhosa quando estiverem envol-vidas grandes quantidades de sujeitos e objetos.A forma mais comum de definio de direitos deacesso, nesse caso, a matriz de controle de aces-so. Nessa matriz pode-se fazer duas anlises :uma em relao aos sujeitos; outra, em relaoaos objetos.

Na primeira abordagem, cada sujeito recebeuma permisso (ou capacidade) que define todos osseus direitos de acesso. As permisses de acessoso, ento, atributos, associados a um sujeito ouobjeto, que definem o que ele pode ou no fazercom outros objetos. Essa abordagem, no entanto, pouco utilizada, j que, na prtica, com grandesquantidades de sujeitos e objetos, a visualizaoexata de quem tem acesso a um determinadoobjeto no to clara, comprometendo, assim, agerncia de controle de acesso.

Na segunda abordagem, os direitos de acessoso armazenados com o prprio objeto formandoa chamada lista de controle de acesso (ACL - AccessControl List).

1.6.5. O que so listas de controle de acesso?

Enquanto a permisso de acesso define o queum objeto pode ou no fazer com outros, a lista decontrole de acesso define o que os outros objetosou sujeitos podem fazer com o objeto a ela associ-ado. As listas de controle de acesso nada mais sodo que bases de dados, associadas a um objeto, quedescrevem os relacionamentos entre aquele objetoe outros, constituindo-se em um mecanismo de ga-rantia de confidencialidade e integridade de dados.

A definio das listas de controle de acessodeve ser sempre feita pelos proprietrios dos re-cursos, os quais determinam o tipo de proteoadequada a cada recurso e quem efetivamenteter acesso a eles.

A gerncia das listas de controle de acesso, naprtica, tambm complicada. Para reduzir os pro-blemas de gerenciamento dessas listas e o espao dememria ou disco por elas ocupado, costuma-seagrupar os sujeitos com caractersticas semelhantesou direitos de acesso iguais. Dessa forma, os direi-tos de acesso so associados a grupos, e no a su-jeitos individualizados. Vale ressaltar que um sujei-to pode pertencer a um ou mais grupos, de acordocom o objeto a ser acessado.

1.7 Como monitorar o acesso aosrecursos informacionais?

O monitoramento dos sistemas de informao feito, normalmente, atravs de registros de log,trilhas de auditoria ou outros mecanismos capazesde detectar invases. Esse monitoramento essen-cial equipe de segurana de informaes, j que praticamente impossvel eliminar por completo to-dos os riscos de invaso por meio da identificaoe autenticao de usurios.

Na ocorrncia de uma invaso, falha do sistemaou atividade no autorizada, imprescindvel reu-nir evidncias suficientes para que possam ser toma-das medidas corretivas necessrias aorestabelecimento do sistema s suas condies nor-mais, assim como medidas administrativas e/ou ju-diciais para investigar e punir os invasores.

A forma mais simples de monitoramento acoleta de informaes, sobre determinados eventos,em arquivos histricos, mais conhecidos como logs.Com essas informaes, a equipe de segurana capaz de registrar eventos e detectar tentativas deacesso e atividades no autorizadas aps suaocorrncia.

1.7.1. O que so logs?

Os logs so registros cronolgicos de atividadesdo sistema que possibilitam a reconstruo, revisoe anlise dos ambientes e atividades relativas a umaoperao, procedimento ou evento, acompanha-dos do incio ao fim.

Os logs so utilizados como medidas dedeteco e monitoramento, registrando atividades,falhas de acesso (tentativas frustradas de logon ou

de acesso a recursos protegidos) ou uso do siste-ma operacional, utilitrios e aplicati-vos, e deta-lhando o que foi acessado, por quem e quando.Com os dados dos logs, pode-se identificar e cor-rigir falhas da estratgia de segurana. Por conte-rem informaes essenciais para a deteco deacesso no autorizado, os arquivos de log devemser protegidos contra alterao ou destruio porusurios ou invasores que queiram encobrir suasatividades.

1.7.2. O que deve ser registrado em logs?

Devido grande quantidade de dados ar-mazenada em logs, deve-se levar em conside-rao que seu uso pode degradar o desempe-nho dos sistemas. Sendo assim, aconselhvelbalancear a necessidade de registro deatividades crticas e os custos, em termos dedesempenho global dos sistemas. Normalmen-te, os registros de log incluem:

identificao dos usurios;

datas e horrios de entrada (logon) e sadado sistema (logoff);

identificao da estao de trabalho e, quan-do possvel, sua localizao;

registros das tentativas de acesso (aceitas erejeitadas) ao sistema;

registros das tentativas de acesso (aceitas erejeitadas) a outros recursos e dados.

Ao definir o que ser registrado, preciso consi-derar que quantidades enormes de registros podemser inviveis de serem monitoradas. Nada adianta terum log se ele no periodicamente revisado. Paraauxiliar a gerncia de segurana na rdua tarefa deanlise de logs, podem ser previamente definidas tri-lhas de auditoria mais simples e utilizados softwaresespecializados disponveis no mercado, especficospara cada sistema operacional.

1.8. Outros controles de acesso lgico

Outro recurso de proteo bastante utilizadoem alguns sistemas o time-out automtico, isto ,a sesso desativada aps um determinado temposem qualquer atividade no terminal ou computador.Para restaur-la, o usurio obrigado a fornecernovamente seu ID e senha. Em alguns sistemasoperacionais, o prprio usurio, aps sua habilita-o no processo de logon, pode ativar e desativaressa funo de time-out. Nesse sentido, os usuri-os devem ser orientados a:

encerrar as sesses ativas, a menos que elaspossam ser protegidas por mecanismo de bloqueio(por exemplo, proteo de tela com senha);

no caso de terminal conectado a computadorde grande porte, efetuar a desconexo quando asesso for finalizada (no apenas desligar o terminal,mas utilizar o procedimento para desconexo).

Como controle de acesso lgico, a gerncia desegurana pode ainda limitar o horrio de uso dosrecursos computacionais de acordo com a real ne-cessidade de acesso aos sistemas.

Pode-se, por exemplo, desabilitar o uso dos re-cursos nos fins de semana ou noite.

usual tambm limitar a quantidade de sessesconcorrentes, impedindo que o usurio consigaentrar no sistema ou na rede a partir de mais de umterminal ou computador simultaneamente. Isso re-duz os riscos de acesso ao sistema por invasores,pois se o usurio autorizado j estiver conectado, oinvasor no poder entrar no sistema. Da mesmaforma, se o invasor estiver logado, o usurio auto-rizado, ao tentar se conectar, identificar que suaconta j est sendo usada e poder notificar o fato gerncia de segurana.

1.9. Onde as regras de controle deacesso so definidas?

As regras de controle e direitos de acesso paracada usurio ou grupo devem estar claramente de-finidas no documento da poltica de controle deacesso da instituio, o qual dever ser fornecidoaos usurios e provedores de servio para que to-mem conhecimento dos requisitos de segurana es-tabelecidos pela gerncia.

1.9.1. O que considerar na elaborao dapoltica de controle de acesso?

A poltica de controle de acesso deve levar em conta:

os requisitos de segurana de aplicaes espe-cficas do negcio da instituio;

a identificao de toda informao referente saplicaes de negcio;

as polticas para autorizao e distribuio deinformao (por exemplo, a necessidade de conhe-cer os princpios e nveis de segurana, bem comoa classificao da informao);

a compatibilidade entre o controle de acessoe as polticas de classificao da informao dos di-ferentes sistemas e redes;

a legislao vigente e qualquer obrigaocontratual considerando a proteo do acesso adados ou servios;

o perfil de acesso padro para categorias deusurios comuns;

o gerenciamento dos direitos de acesso emtodos os tipos de conexes disponveis em um am-biente distribudo conectado em rede.

1.9.2. Que cuidados devem ser tomados nadefinio das regras de controle de acesso?

Ao especificar as regras de controle de acesso,devem ser considerados os seguintes aspectos:

diferenciar regras que sempre devem ser cum-pridas das regras opcionais ou condicionais;

estabelecer regras baseadas na premissa Tudodeve ser proibido a menos que expressamente per-mitido ao invs da regra Tudo permitido a me-nos que expressamente proibido;

diferenciar as permisses de usurios que soatribudas automaticamente por um sistema de in-

formao daquelas atribudas por um administrador;

priorizar regras que necessitam da aprovaode um administrador antes da liberao daquelasque no necessitam de tal aprovao.

1.9.3. Que tipo de regras de controle deacesso devem ser formalizadas na poltica?

O acesso aos sistemas de informao deveser controlado atravs de um processo formal, oqual dever abordar, entre outros, os seguintestpicos:

utilizao de um identificador de usurio (ID)nico, de forma que cada usurio possa ser iden-tificado e responsabilizado por suas aes;

verificao se o usurio obteve autorizaodo proprietrio do sistema de informao ou ser-vio para sua utilizao;

verificao se o nvel de acesso concedido aousurio est adequado aos propsitos do neg-cio e consistente com a poltica de segurana daorganizao;

fornecimento, aos usurios, de documento es-crito com seus direitos de acesso. Os usurios de-vero assinar esse documento, indicando que en-tenderam as condies de seus direitos de acesso;

manuteno de um registro formal de todasas pessoas cadastradas para usar cada sistema deinformaes;

remoo imediata dos direitos de acesso deusurios que mudarem de funo ou sarem da or-ganizao;

verificao peridica da lista de usurios, comintuito de remover usurios inexistentes e IDs emduplicidade;

incluso de clusulas nos contratos de funcio-nrios e prestadores de servio, que especifiquem assanes a que estaro sujeitos em caso de tentativade acesso no autorizado.

1.10.Quem o responsvel peloscontroles de acesso lgico?

A responsabilidade sobre os controles deacesso lgico pode ser tanto do gerente doambiente operacional como dos proprietrios (ougerentes) de aplicativos. O gerente do ambienteoperacional deve controlar o acesso rede, aosistema operacional e seus recursos e, ainda, aosaplicativos e arquivos de dados. responsvel,assim, por proteger os recursos do sistema contrainvasores ou funcionrios no autorizados.

Enquanto isso, os proprietrios dosaplicativos so responsveis por seu controle deacesso, identificando quem pode acessar cada umdos sistemas e que tipo de operaes podeexecutar. Por conhecerem bem o sistemaaplicativo sob sua responsabilidade, osproprietrios so as pessoas mais indicadas paradefinir privilgios de acesso de acordo com asreais necessidades dos usurios.

Dessa forma, as responsabilidades sobre segu-rana de acesso so segregadas entre o gerente doambiente operacional de informtica e os gerentesde aplicativos.

1.11. Em que os usurios podemajudar na implantao doscontroles de acesso lgico?

A cooperao dos usurios autorizados essen-cial para a eficcia da segurana. Os usurios devemestar cientes de suas responsabilidades para a ma-nuteno efetiva dos controles de acesso, conside-rando, particularmente, o uso de senhas e a segu-rana dos equipamentos de informtica quecostumam utilizar.

1.12. Referncias bibliogrficas

1. ABNT. NBR ISO/IEC 17799 - Tecnologia da informao: cdigo de prtica para a gesto da seguranada informao. Rio de Janeiro: ABNT, 2001.

2. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books,2000. 218p.

Neste Captulo sero apresentados conceitosrelativos poltica de segurana de informaes,bem como questes que demonstram aimportncia de sua elaborao, implementao edivulgao.

2.1. O que visa a segurana deinformaes?

A segurana de informaes visa garantir aintegridade, confidencialidade, autenticidade edisponibilidade das informaes processadas pelaorganizao. A integridade, a confidencialidade e aautenticidade de informaes esto intimamenterelacionadas com os controles de acesso abordadosno Captulo 1.

2.1.1. O que integridade de informaes?

Consiste na fidedignidade de informaes.Sinaliza a conformidade de dados armazenadoscom relao s inseres, alteraes eprocessamentos autorizados efetuados. Sinaliza,ainda, a conformidade dos dados transmitidos

pelo emissor com os recebidos pelo destinatrio.A manuteno da integridade pressupe agarantia de no violao dos dados com intuitode alterao, gravao ou excluso, seja elaacidental ou proposital.

2.1.2. O que confidencialidade deinformaes?

Consiste na garantia de que somente pessoasautorizadas tenham acesso s informaesarmazenadas ou transmitidas por meio de redes decomunicao. Manter a confidencialidadepressupe assegurar que as pessoas no tomemconhecimento de informaes, de forma acidentalou proposital, sem que possuam autorizao paratal procedimento.

2.1.3. O que autenticidade de informaes?

Consiste na garantia da veracidade da fonte dasinformaes. Por meio da autenticao possvelconfirmar a identidade da pessoa ou entidade quepresta as informaes.

2. Poltica de Segurana de Informaes

2.1.4. O que disponibilidade de informaes?

Consiste na garantia de que as informaesestejam acessveis s pessoas e aos processosautorizados, a qualquer momento requerido,durante o perodo acordado entre os gestores dainformao e a rea de informtica. Manter adisponibilidade de informaes pressupe garantira prestao contnua do servio, sem interrupesno fornecimento de informaes para quem dedireito.

2.2. Por que importante zelarpela segurana de informaes?

Porque a informao um ativo muitoimportante para qualquer organizao, podendoser considerada, atualmente, o recurso patrimonialmais crtico. Informaes adulteradas, nodisponveis, sob conhecimento de pessoas de m-f ou de concorrentes podem comprometersignificativamente, no apenas a imagem daorganizao perante terceiros, como tambm oandamento dos prprios processos organizacionais. possvel inviabilizar a continuidade de umaorganizao se no for dada a devida ateno segurana de suas informaes.

2.3. O que poltica de seguranade informaes - PSI?

Poltica de segurana de informaes umconjunto de princpios que norteiam a gesto desegurana de informaes e que deve ser observadopelo corpo tcnico e gerencial e pelos usuriosinternos e externos.

As diretrizes estabelecidas nesta polticadeterminam as linhas mestras que devem serseguidas pela organizao para que sejamassegurados seus recursos computacionais e suasinformaes.

2.4. Quem so os responsveis porelaborar a PSI?

recomendvel que na estrutura daorganizao exista uma rea responsvel pelasegurana de informaes, a qual deve iniciar oprocesso de elaborao da poltica de segurana deinformaes, bem como coordenar suaimplantao, aprov-la e revis-la, alm de designarfunes de segurana.

Vale salientar, entretanto, que pessoas de reascrticas da organizao devem participar doprocesso de elaborao da PSI, como a altaadministrao e os diversos gerentes e proprietriosdos sistemas informatizados. Alm disso, recomendvel que a PSI seja aprovada pelo mais altodirigente da organizao.

2.5. Que assuntos devem serabordados na PSI?

A poltica de segurana de informaes deveextrapolar o escopo abrangido pelas reas desistemas de informao e recursos computacionais.Ela no deve ficar restrita rea de informtica. Aocontrrio, ela deve estar integrada viso, misso,ao negcio e s metas institucionais, bem como aoplano estratgico de informtica e s polticas daorganizao concernentes segurana em geral.

O contedo da PSI varia, de organizao paraorganizao, em funo de seu estgio de maturi-dade, grau de informatizao, rea de atuao, cul-tura organizacional, necessidades requeridas,requisitos de segurana, entre outros aspectos. Noentanto, comum a presena de alguns tpicos naPSI, tais como:

definio de segurana de informaes e desua importncia como mecanismo que possibilita ocompartilhamento de informaes;

declarao do comprometimento da alta adminis-trao com a PSI, apoiando suas metas e princpios;

objetivos de segurana da organizao;

definio de responsabilidades gerais nagesto de segurana de informaes;

orientaes sobre anlise e gerncia de riscos;

princpios de conformidade dos sistemascomputacionais com a PSI;

padres mnimos de qualidade que essessistemas devem possuir;

polticas de controle de acesso a recursos esistemas computacionais;

classificao das informaes (de uso irrestrito,interno, confidencial e secretas);

procedimentos de preveno e deteco devrus;

princpios legais que devem ser observadosquanto tecnologia da informao (direitos depropriedade de produo intelectual, direitos sobresoftware, normas legais correlatas aos sistemasdesenvolvidos, clusulas contratuais);

princpios de superviso constante dastentativas de violao da segurana de informaes;

conseqncias de violaes de normasestabelecidas na poltica de segurana;

princpios de gesto da continuidade donegcio;

plano de treinamento em segurana deinformaes.

2.6. Qual o nvel de profundidadeque os assuntos abordados na PSIdevem ter?

A poltica de segurana de informaes deveconter princpios, diretrizes e regras genricos eamplos, para aplicao em toda a organizao.Alm disso, ela deve ser clara o suficiente para serbem compreendida pelo leitor em foco, aplicvel ede fcil aceitao. A complexidade e extensoexageradas da PSI pode levar ao fracasso de suaimplementao.

Cabe destacar que a PSI pode ser composta porvrias polticas inter-relacionadas, como a poltica desenhas, de backup, de contratao e instalao deequipamentos e softwares.

Ademais, quando a organizao achar conveni-ente e necessrio que sua PSI seja mais abrangentee detalhada, sugere-se a criao de outros docu-mentos que especifiquem prticas e procedimentose que descrevam com mais detalhes as regras de usoda tecnologia da informao. Esses documentoscostumam dispor sobre regras mais especficas, quedetalham as responsabilidades dos usurios, geren-tes e auditores e, normalmente, so atualizados commaior freqncia. A PSI o primeiro de muitos do-cumentos com informaes cada vez mais detalha-das sobre procedimentos, prticas e padres a se-rem aplicados em determinadas circunstncias,sistemas ou recursos.

2.7. Como se d o processo deimplantao da PSI?

O processo de implantao da poltica de seguran-a de informaes deve ser formal. No decorrer desseprocesso, a PSI deve permanecer passvel a ajustes paramelhor adaptar-se s reais necessidades. O tempodesde o incio at a completa implantao tende a serlongo. Em resumo, as principais etapas que conduzem implantao bem sucedida da PSI so: elaborao,aprovao, implementao, divulgao e manuten-o. Muita ateno deve ser dada s duas ltimas eta-pas, haja vista ser comum sua no observncia. Nor-malmente, aps a consecuo das trs primeirasetapas, as gerncias de segurana acreditam teremcumprido o dever e esquecem da importncia da di-vulgao e atualizao da PSI.

De forma mais detalhada, pode-se citar como asprincipais fases que compem o processo de im-plantao da PSI:

identificao dos recursos crticos;

classificao das informaes;

definio, em linhas gerais, dos objetivos desegurana a serem atingidos;

anlise das necessidades de segurana (iden-tificao das possveis ameaas, anlise de riscos eimpactos);

elaborao de proposta de poltica;

discusses abertas com os envolvidos;

apresentao de documento formal ge-rncia superior;

aprovao;

publicao;

divulgao;

treinamento;

implementao;

avaliao e identificao das mudanas ne-cessrias;

reviso.

2.8. Qual o papel da altaadministrao na elaborao eimplantao da PSI?

O sucesso da PSI est diretamente relacionadocom o envolvimento e a atuao da alta administra-o. Quanto maior for o comprometimento da ge-rncia superior com os processos de elaborao eimplantao da PSI, maior a probabilidade de ela serefetiva e eficaz. Esse comprometimento deve ser ex-presso formalmente, por escrito.

2.9. A quem deve ser divulgada aPSI?

A divulgao ampla a todos os usurios internos eexternos organizao um passo indispensvel paraque o processo de implantao da PSI tenha sucesso. APSI deve ser de conhecimento de todos que interagemcom a organizao e que, direta ou indiretamente, seroafetados por ela. necessrio que fique bastante claro,para todos, as conseqncias advindas do usoinadequado dos sistemas computacionais e deinformaes, as medidas preventivas e corretivas queesto a seu cargo para o bom, regular e efetivo controledos ativos computacionais. A PSI fornece orientaobsica aos agentes envolvidos de como agircorretamente para atender s regras nelaestabelecidas. importante, ainda, que a PSI estejapermanentemente acessvel a todos.

2.10. O que fazer quando a PSI forviolada?

A prpria Poltica de Segurana de Informaesdeve prever os procedimentos a serem adotados paracada caso de violao, de acordo com sua severidade,amplitude e tipo de infrator que a perpetra. A puniopode ser desde uma simples advertncia verbal ouescrita at uma ao judicial.

A Lei n. 9.983, de 14 de julho de 2000, quealtera o Cdigo Penal Brasileiro, j prev penas paraos casos de violao de integridade e quebra de si-gilo de sistemas informatizados ou banco de dadosda Administrao Pblica. O novo art. 313-A tratada insero de dados falsos em sistemas de informa-o, enquanto o art. 313-B discorre sobre a modi-ficao ou alterao no autorizada desses mesmossistemas. O 1 do art. 153 do Cdigo Penal foialterado e, atualmente, define penas quando dadivulgao de informaes sigilosas ou reservadas,contidas ou no nos bancos de dados da Adminis-trao Pblica. O fornecimento ou emprstimo desenha que possibilite o acesso de pessoas no au-torizadas a sistemas de informaes tratado noinciso I do 1 do art. 325 do Cdigo Penal.

Neste tpico, fica ainda mais evidente a impor-tncia da conscientizao dos funcionrios quanto PSI. Uma vez que a Poltica seja de conhecimentode todos da organizao, no ser admissvel queas pessoas aleguem ignorncia quanto s regrasnela estabelecidas a fim de livrar-se da culpa sobreviolaes cometidas.

Quando detectada uma violao, precisoaveriguar suas causas, conseqncias ecircunstncias em que ocorreu. Pode ter sidoderivada de um simples acidente, erro ou mesmodesconhecimento da PSI, como tambm denegligncia, ao deliberada e fraudulenta. Essaaveriguao possibilita que vulnerabilidades atento desconhecidas pelo pessoal da gerncia desegurana passem a ser consideradas, exigindo, sefor o caso, alteraes na PSI.

2.11. Uma vez definida, a PSI podeser alterada?

A PSI no s pode ser alterada, como devepassar por processo de reviso definido e peridicoque garanta sua reavaliao a qualquer mudanaque venha afetar a anlise de risco original, taiscomo: incidente de segurana significativo, novasvulnerabilidades, mudanas organizacionais ou nainfra-estrutura tecnolgica. Alm disso, deve haveranlise peridica da efetividade da poltica,demonstrada pelo tipo, volume e impacto dosincidentes de segurana registrados. desejvel,tambm, que sejam avaliados o custo e o impactodos controles na eficincia do negcio, a fim de queesta no seja comprometida pelo excesso ouescassez de controles.

importante frisar, ainda, que a PSI deve ter umgestor responsvel por sua manuteno e anlisecrtica.

2.12. Existem normas sobre PSIpara a Administrao PblicaFederal?

O Decreto n. 3.505, de 13.06.2000, instituiu aPoltica de Segurana da Informao nos rgos eentidades da Administrao Pblica Federal. Em li-nhas gerais, os objetivos traados nessa PSI dizemrespeito necessidade de capacitao econscientizao das pessoas lotadas nos rgos eentidades da Administrao Pblica Federal quan-to aos aspectos de segurana da informao; e ne-cessidade de elaborao e edio de instrumentosjurdicos, normativos e organizacionais que promo-

vam a efetiva implementao da segurana da infor-mao. Com relao s matrias que esses instru-mentos devem versar, o Decreto menciona:

padres relacionados ao emprego dosprodutos que incorporam recursos criptogrficos;

normas gerais para uso e comercializao dosrecursos criptogrficos;

normas, padres e demais aspectosnecessrios para assegurar a confidencialidade dosdados;

normas relacionadas emisso de certificadosde conformidade;

normas relativas implementao dossistemas de segurana da informao, com intuitode garantir a sua interoperabilidade, obteno dosnveis de segurana desejados e permanentedisponibilizao dos dados de interesse para adefesa nacional;

Alm disso, o Decreto prev a concepo,especificao e implementao da infra-estrutura dechaves pblicas - ICP a ser utilizada pelos rgos eentidades da Administrao Pblica Federal. Em 28de junho de 2001, foi editada a Medida Provisrian. 2.200, que institui a Infra-estrutura de ChavesPblicas Brasileira - ICP-Brasil para garantir aautenticidade, a integridade e a validade jurdica dedocumentos em forma eletrnica, das aplicaes desuporte e das aplicaes habilitadas que utilizemcertificados digitais, bem como a realizao detransaes eletrnicas seguras.

Os principais objetivos do ICP Brasil so: assegu-rar a confidencialidade, a autenticidade e a integri-dade das mensagens e documentos eletrnicos, eevitar que deixem de ser honrados compromissosassumidos mediante sua utilizao. Pretende-se di-fundir um rigoroso sistema de informtica que ar-mazene e identifique os dados transmitidos eletro-nicamente, as chamadas assinaturas digitais,compostas por chave pblica e chave privada. Almdisso, foi editado, em 31 de outubro de 2001, oDecreto n. 3.996, que dispe sobre a prestao deservios de certificao digital no mbito da Admi-nistrao Pblica Federal.



2. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books,2000. 218p.

3. BRASIL. Decreto n. 3.505, de 13 de junho de 2000. [Institui a Poltica de Segurana da Informaonos rgos e entidades da Administrao Pblica Federal].

4. ______. Decreto n. 3.996, de 31 de outubro de 2001. [Dispe sobre a prestao de servios decertificao digital no mbito da Administrao Pblica Federal].

5. ______. Lei n. 9.983, de 14 de julho de 2000. [Altera o Decreto-Lei n. 2.848, de 7 de dezembro de1940 Cdigo Penal e d outras providncias].

6. ______. Medida Provisria n. 2.200-2, de 24 de agosto de 2001. [Institui a Infra-Estrutura de ChavesPblicas Brasileira ICP-Brasil, transforma o Instituto Nacional de Tecnologia da Informao em

autarquia, e d outras providncias].

Neste Captulo ser apresentada a importnciade definio de estratgias que permitam que umainstituio retorne sua normalidade, em caso deacontecimento de situaes inesperadas.

3.1. O que Plano deContingncias?

Plano de Contingncias consiste num conjuntode estratgias e procedimentos que devem seradotados quando a instituio ou uma rea depa-ra-se com problemas que comprometem o anda-mento normal dos processos e a conseqente pres-tao dos servios. Essas estratgias eprocedimentos devero minimizar o impacto sofri-do diante do acontecimento de situaes inespera-das, desastres, falhas de segurana, entre outras, atque se retorne normalidade. O Plano de Contin-gncias um conjunto de medidas que combinamaes preventivas e de recuperao.

Obviamente, os tipos de riscos a que esto sujei-tas as organizaes variam no tempo e no espao.Porm, pode-se citar como exemplos de riscos mais

comuns a ocorrncia de desastres naturais (enchen-tes, terremotos, furaces), incndios, desabamentos,falhas de equipamentos, acidentes, greves, terroris-mo, sabotagem, aes intencionais.

O Plano de Contingncias pode ser desenvolvi-do por organizaes que contenham ou no siste-mas computadorizados. Porm, para efeito destacartilha, o Plano se aplica s organizaes que, emmenor ou maior grau, dependem da tecnologia dainformao, pois faz-se referncia aos riscos a queessa rea est sujeita, bem como aos aspectos rele-vantes para superar problemas decorrentes.

3.2. Qual a importncia do Planode Contingncias?

Atualmente, inquestionvel a dependnciadas organizaes aos computadores, sejam eles depequeno, mdio ou grande porte. Essa caracters-tica quase generalizada, por si s, j capaz de ex-plicar a importncia do Plano de Contingncias, poisse para fins de manuteno de seus servios, as or-ganizaes dependem de computadores e de infor-

3. Plano de Contingncias

maes armazenadas em meio eletrnico, o quefazer na ocorrncia de situaes inesperadas quecomprometam o processamento ou disponibilida-de desses computadores ou informaes? Ao con-trrio do que ocorria antigamente, os funcionriosno mais detm o conhecimento integral, assimcomo a habilidade para consecuo dos processosorganizacionais, pois eles so, muitas vezes, execu-tados de forma transparente. Alm disso, as infor-maes no mais se restringem ao papel, ao contr-rio, elas esto estrategicamente organizadas emarquivos magnticos.

Por conseguinte, pode-se considerar o Planode Contingncias quesito essencial para as orga-nizaes preocupadas com a segurana de suasinformaes.

3.3. Qual o objetivo do Plano deContingncias?

O objetivo do Plano de Contingncias man-ter a integridade e a disponibilidade dos dados daorganizao, bem como a disponibilidade dosseus servios quando da ocorrncia de situaesfortuitas que comprometam o bom andamentodos negcios. Possui como objetivo, ainda, ga-rantir que o funcionamento dos sistemasinformatizados seja restabelecido no menor tem-po possvel a fim de reduzir os impactos causadospor fatos imprevistos. normal que, em determi-nadas situaes de anormalidade, o Plano prevejaa possibilidade de fornecimento de servios tem-porrios ou com restries, que, pelo menos, su-pram as necessidades imediatas e mais crticas.

Cabe destacar que o Plano um entre vrios re-quisitos de segurana necessrios para que os as-pectos de integridade e disponibilidade sejam pre-servados durante todo o tempo.

3.4. Como iniciar a elaborao doPlano de Contingncias?

Antes da elaborao do Plano de Contingnci-as propriamente dito, importante analisar algunsaspectos:

riscos a que est exposta a organizao, pro-babilidade de ocorrncia e os impactos decorrentes(tanto aqueles relativos escala do dano como aotempo de recuperao);

conseqncias que podero advir da interrup-o de cada sistema computacional;

identificao e priorizao de recursos, siste-mas, processos crticos;

tempo limite para recuperao dos recursos,sistemas, processos;

alternativas para recuperao dos recursos, sis-temas, processos, mensurando os custos e benef-cios de cada alternativa.

3.5. Que assuntos devem serabordados no Plano deContingncias?

De maneira geral, o Plano de Contingnciascontm informaes sobre:

condies e procedimentos para ativao doPlano (como se avaliar a situao provocada por umincidente);

procedimentos a serem seguidos imediatamen-te aps a ocorrncia de um desastre (como, por exem-plo, contato eficaz com as autoridades pblicas apro-priadas: polcia, bombeiro, governo local);

a instalao reserva, com especificao dosbens de informtica nela disponveis, comohardware, software e equipamentos de teleco-municaes;

a escala de prioridade dos aplicativos, de acor-do com seu grau de interferncia nos resultadosoperacionais e financeiros da organizao. Quantomais o aplicativo influenciar na capacidade de fun-cionamento da organizao, na sua situaoeconmica e na sua imagem, mais crtico ele ser;

arquivos, programas, procedimentos necess-rios para que os aplicativos crticos entrem em ope-rao no menor tempo possvel, mesmo que parci-almente;

sistema operacional, utilitrios e recursos detelecomunicaes necessrios para assegurar oprocessamento dos aplicativos crticos, em grau pr-estabelecido;

documentao dos aplicativos crticos, sistemaoperacional e utilitrios, bem como suprimentos deinformtica, ambos disponveis na instalao reser-va e capazes de garantir a boa execuo dos proces-sos definidos;

dependncia de recursos e servios externos aonegcio;

procedimentos necessrios para restaurar osservios computacionais na instalao reserva;

pessoas responsveis por executar e comandarcada uma das atividades previstas no Plano ( interes-sante definir suplentes, quando se julgar necessrio);

referncias para contato dos responsveis, se-jam eles funcionrios ou terceiros;

organizaes responsveis por oferecer servi-os, equipamentos, suprimentos ou quaisquer ou-tros bens necessrios para a restaurao;

contratos e acordos que faam parte do planopara recuperao dos servios, como aquelesefetuados com outros centros de processamento dedados.

3.6. Qual o papel da alta gernciana elaborao do Plano deContingncias?

imprescindvel o comprometimento da altaadministrao com o Plano de Contingncias. Naverdade, este Plano de responsabilidade direta daalta gerncia, um problema corporativo, pois tra-ta-se de estabelecimento de procedimentos quegarantiro a sobrevivncia da organizao como umtodo e no apenas da rea de informtica. Ainda,muitas das definies a serem especificadas sodefinies relativas ao negcio da organizao eno tecnologia da informao.

A alta gerncia deve designar uma equipe desegurana especfica para elaborao,implementao, divulgao, treinamento, testes,manuteno e coordenao do Plano de Contin-gncias. Este deve possuir, ainda, um responsvelespecfico que esteja a frente das demandas, nego-ciaes e tudo mais que se fizer necessrio.

Provavelmente, a alta gerncia ser demandadaa firmar acordos de cooperao com outras organi-zaes, assinar contratos orientados para a recupe-rao dos servios, entre outros atos.

H que ser considerada, ainda, a questo doscustos. Faz parte das decises da alta gerncia ooramento a ser disponibilizado para garantir aexeqibilidade do Plano de Contingncias, ou seja,para possibilitar, alm da sua implementao, suamanuteno, treinamento e testes.

Diante dos fatos anteriormente abordados, ficaevidente a necessidade precpua de envolvimento daalta gerncia com todo processo que garantir o su-cesso de implantao do Plano de Contingncias.

3.7. Como garantir que o Planofuncionar como esperado?

possvel citar trs formas de garantir a eficciado Plano de Contingncias: treinamento econscientizao das pessoas envolvidas; testes pe-ridicos do Plano, integrais e parciais; processo demanuteno contnua.

3.7.1. Como deve ser realizado o treinamentoe a conscientizao das pessoas?

essencial o desenvolvimento de atividadeseducativas e de conscientizao que visem ao per-feito entendimento do processo de continuidade deservios e que garantam, por conseguinte, aefetividade do Plano de Contingncias.

Cada funcionrio envolvido com o processo decontinuidade de servios, especialmente aqueles com-ponentes de equipes com responsabilidades especfi-cas em caso de contingncias, deve ter em mente asatividades que deve desempenhar em situaesemergenciais. O treinamento deve ser terico e prti-co, inclusive com simulaes. Alm do treinamento, aconscientizao pode ser feita de outras formas, comodistribuio de folhetos e promoo de palestras infor-mativas e educativas sobre possveis acidentes e res-pectivos planos de recuperao.

Por fim, vale salientar que um programa de edu-cao continuada que faa com que as pessoasenvolvidas sintam-se como participantes ativos doprograma de segurana a melhor maneira de al-canar o sucesso esperado.

3.7.2. Por que o Plano de Contingncias deveser testado?

Os planos de continuidade do negcio podemapresentar falhas quando testados, geralmente devidoa pressupostos incorretos, omisses ou mudanas deequipamentos, de pessoal, de prioridades. Por isto elesdevem ser testados regularmente, de forma a garantirsua permanente atualizao e efetividade. Tais testestambm devem assegurar que todos os envolvidos narecuperao e os alocados em outras funes crticaspossuam conhecimento do Plano.

Deve existir uma programao que especifiquequando e como o Plano de Contingncias deverser testado. Ele pode ser testado na sua totalidade,caracterizando uma situao bem prxima da reali-dade; pode ser testado parcialmente, quando res-tringem-se os testes a apenas um conjunto de pro-cedimentos, atividades ou aplicativos componentesdo Plano; ou, ainda, pode ser testado por meio desimulaes, quando ocorre representaes de situ-ao emergencial. A partir da avaliao dos resulta-dos dos testes, possvel reavaliar o Plano, alter-loe adequ-lo, se for o caso.

3.7.3. Que fatos podem provocar anecessidade de atualizao do Plano deContingncias?

Mudanas que tenham ocorrido e que no es-tejam contempladas no Plano de Contingnciasdevem gerar atualizaes. Quando novos requisi-tos forem identificados, os procedimentos de emer-gncia relacionados devem ser ajustados de formaapropriada. Diversas situaes podem demandaratualizaes no Plano, tais como as mudanas:

no parque ou ambiente computacional (ex:aquisio de novo equipamento, atualizao de sis-temas operacionais, migrao de sistemas de gran-de porte para ambiente cliente-servidor);

administrativas, de pessoas envolvidas e res-ponsabilidades;

de endereos ou nmeros telefnicos;

de estratgia de negcio;

na localizao e instalaes;

na legislao;

em prestadores de servio, fornecedores eclientes-chave;

de processos (incluses e excluses);

no risco (operacional e financeiro).

Como demonstrado, as atualizaes regularesdo Plano de Contingncias so de importncia fun-damental para alcanar a sua efetividade. Deve exis-tir uma programao que especifique a forma de seproceder manuteno do Plano. Procedimentoscom essa finalidade podem ser includos no proces-so de gerncia de mudanas a fim de que as ques-tes relativas continuidade de negcios sejam de-vidamente tratadas. O controle formal de mudanaspermite assegurar que o processo de atualizao es-teja distribudo e garantido por revises peridicasdo Plano como um todo. A responsabilidade pelasrevises e atualizaes de cada parte do Plano deveser definida e estabelecida.



2. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel Books,

2000. 218p.

Cludia Augusto Dias

Mestre em Cincia da Informao, graduada em

Engenharia Eltrica (Universidade de Braslia). Trabalha

como Analista de Controle Externo no Tribunal de Contas

da Unio, no Projeto Portal TCU.

Roberta Ribeiro de Queiroz Martins

Graduada em Cincia da Computao pela Universi-

dade Catlica de Pernambuco. Atua h cinco anos em

Auditoria da Tecnologia da Informao no TCU, sendo,

atualmente, integrante de Diretoria especfica nessa rea.

4. Anexos

Presidncia da RepblicaSubchefia para Assuntos Jurdicos

DECRETO No 3.505, DE 13 DE JUNHO DE 2000.

Institui a Poltica de Segurana da Informao nos rgose entidades da Administrao Pblica Federal.

O PRESIDENTE DA REPBLICA, no uso da atribuio que lhe confere o art. 84, inciso IV, daConstituio, e tendo em vista o disposto na Lei no 8.159, de 8 de janeiro de 1991, e no Decreto no

2.910, de 29 de dezembro de 1998,

DECRETA:

Art . 1o Fica instituda a Poltica de Segurana da Informao nos rgos e nas entidades daAdministrao Pblica Federal, que tem como pressupostos bsicos:

I - assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da suaintimidade e ao sigilo da correspondncia e das comunicaes, nos termos previstos na Constituio;

II - proteo de assuntos que meream tratamento especial;

III - capacitao dos segmentos das tecnologias sensveis;

IV - uso soberano de mecanismos de segurana da informao, com o domnio de tecnologiassensveis e duais;

V - criao, desenvolvimento e manuteno de mentalidade de segurana da informao;

VI - capacitao cientfico-tecnolgica do Pas para uso da criptografia na segurana e defesa doEstado; e

VII - conscientizao dos rgos e das entidades da Administrao Pblica Federal sobre aimportncia das informaes processadas e sobre o risco da sua vulnerabilidade.

Art . 2o Para efeitos da Poltica de Segurana da Informao, ficam estabelecidas as seguintesconceituaes:

I - Certificado de Conformidade: garantia formal de que um produto ou servio, devidamenteidentificado, est em conformidade com uma norma legal;

II - Segurana da Informao: proteo dos sistemas de informao contra a negao de servioa usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ouinformaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a seguranados recursos humanos, da documentao e do material, das reas e instalaes das comunicaes ecomputacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaasa seu desenvolvimento.

Art . 3o So objetivos da Poltica da Informao:

I - dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos jurdicos,normativos e organizacionais que os capacitem cientfica, tecnolgica e administrativamente aassegurar a confidencialidade, a integridade, a autenticidade, o no-repdio e a disponibilidade dosdados e das informaes tratadas, classificadas e sensveis;

II - eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos e atividadesvinculadas segurana dos sistemas de informao;

III - promover a capacitao de recursos humanos para o desenvolvimento de competnciacientfico-tecnolgica em segurana da informao;

IV - estabelecer normas jurdicas necessrias efetiva implementao da segurana da informao;

V - promover as aes necessrias implementao e manuteno da segurana da informao;

VI - promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades daAdministrao Pblica Federal e as instituies pblicas e privadas, sobre as atividades de seguranada informao;

VII - promover a capacitao industrial do Pas com vistas sua autonomia no desenvolvimentoe na fabricao de produtos que incorporem recursos criptogrficos, assim como estimular o setorprodutivo a participar competitivamente do mercado de bens e de servios relacionados com asegurana da informao; e

VIII - assegurar a interoperabilidade entre os sistemas de segurana da informao.

Art . 4o Para os fins deste Decreto, cabe Secretaria-Executiva do Conselho de Defesa Nacional,assessorada pelo Comit Gestor da Segurana da Informao de que trata o art. 6o, adotar as seguintesdiretrizes:

I - elaborar e implementar programas destinados conscientizao e capacitao dos recursoshumanos que sero utilizados na consecuo dos objetivos de que trata o artigo anterior, visandogarantir a adequada articulao entre os rgos e as entidades da Administrao Pblica Federal;

II - estabelecer programas destinados formao e ao aprimoramento dos recursos humanos, comvistas definio e implementao de mecanismos capazes de fixar e fortalecer as equipes depesquisa e desenvolvimento, especializadas em todos os campos da segurana da informao;

III - propor regulamentao sobre matrias afetas segurana da informao nos rgos e nasentidades da Administrao Pblica Federal;

IV - estabelecer normas relativas implementao da Poltica Nacional de Telecomunicaes,inclusive sobre os servios prestados em telecomunicaes, para assegurar, de modo alternativo, apermanente disponibilizao dos dados e das informaes de interesse para a defesa nacional;

V - acompanhar, em mbito nacional e internacional, a evoluo doutrinria e tecnolgica dasatividades inerentes segurana da informao;

VI - orientar a conduo da Poltica de Segurana da Informao j existente ou a serimplementada;

VII - realizar auditoria nos rgos e nas entidades da Administrao Pblica Federal, envolvidascom a poltica de segurana da informao, no intuito de aferir o nvel de segurana dos respectivossistemas de informao;

VIII - estabelecer normas, padres, nveis, tipos e demais aspectos relacionados ao emprego dosprodutos que incorporem recursos critptogrficos, de modo a assegurar a confidencialidade, aautenticidade, a integridade e o no-repdio, assim como a interoperabilidade entre os Sistemas deSegurana da Informao;

IX - estabelecer as normas gerais para o uso e a comercializao dos recursos criptogrficos pelosrgos e pelas entidades da Administrao Pblica Federal, dando-se preferncia, em princpio, noemprego de tais recursos, a produtos de origem nacional;

X - estabelecer normas, padres e demais aspectos necessrios para assegurar a confidencialidadedos dados e das informaes, em vista da possibilidade de deteco de emanaes eletromagnticas,inclusive as provenientes de recursos computacionais;

XI - estabelecer as normas inerentes implantao dos instrumentos e mecanismos necessrios emisso de certificados de conformidade no tocante aos produtos que incorporem recursoscriptogrficos;

XII - desenvolver sistema de classificao de dados e informaes, com vistas garantia dos nveisde segurana desejados, assim como normatizao do acesso s informaes;

XIII - estabelecer as normas relativas implementao dos Sistemas de Segurana da Informao,com vistas a garantir a sua interoperabilidade e a obteno dos nveis de segurana desejados, assimcomo assegurar a permanente disponibilizao dos dados e das informaes de interesse para a defesanacional; e

XIV - conceber, especificar e coordenar a implementao da infra-estrutura de chaves pblicas aserem utilizadas pelos rgos e pelas entidades da Administrao Pblica Federal.

Art . 5o Agncia Brasileira de Inteligncia - ABIN, por intermdio do Centro de Pesquisa eDesenvolvimento para a Segurana das Comunicaes - CEPESC, competir:

I - apoiar a Secretaria-Executiva do Conselho de Defesa Nacional no tocante a atividades de cartercientfico e tecnolgico relacionadas segurana da informao; e

II - integrar comits, cmaras tcnicas, permanentes ou no, assim como equipes e grupos deestudo relacionados ao desenvolvimento das suas atribuies de assessoramento.

Art. 6o Fica institudo o Comit Gestor da Segurana da Informao, com atribuio de assessorara Secretaria-Executiva do Conselho de Defesa Nacional na consecuo das diretrizes da Poltica deSegurana da Informao nos rgos e nas entidades da Administrao Pblica Federal, bem comona avaliao e anlise de assuntos relativos aos objetivos estabelecidos neste Decreto.

Art . 7o O Comit ser integrado por um representante de cada Ministrio e rgos a seguirindicados:

I - Ministrio da Justia;

II - Ministrio da Defesa;

III - Ministrio das Relaes Exteriores;

IV - Ministrio da Fazenda;

V - Ministrio da Previdncia e Assistncia Social;

VI - Ministrio da Sade;

VII - Ministrio do Desenvolvimento, Indstria e Comrcio Exterior;

VIII - Ministrio do Planejamento, Oramento e Gesto;

IX - Ministrio das Comunicaes;

X - Ministrio da Cincia e Tecnologia;

XI - Casa Civil da Presidncia da Repblica; e

XII - Gabinete de Segurana Institucional da Presidncia da Repblica, que o coordenar.

1o Os membros do Comit Gestor sero designados pelo Chefe do Gabinete de SeguranaInstitucional da Presidncia da Repblica, mediante indicao dos titulares dos Ministrios e rgosrepresentados.

2o Os membros do Comit Gestor no podero participar de processos similares de iniciativado setor privado, exceto nos casos por ele julgados imprescindveis para atender aos interesses dadefesa nacional e aps aprovao pelo Gabinete de Segurana Institucional da Presidncia daRepblica.

3o A participao no Comit no enseja remunerao de qualquer espcie, sendo consideradaservio pblico relevante.

4o A organizao e o funcionamento do Comit sero dispostos em regimento interno por eleaprovado.

5o Caso necessrio, o Comit Gestor poder propor a alterao de sua composio.

Art . 8o Este Decreto entra em vigor na data de sua publicao.

Braslia, 13 de junho de 2000; 179o da Independncia e 112o da Repblica.

FERNANDO HENRIQUE CARDOSO

Jos GregoriGeraldo Magela da Cruz QuintoLuiz Felipe LampreiaPedro MalanWaldeck OrnlasJos SerraAlcides Lopes TpiasMartus TavaresPimenta da VeigaRonaldo Mota SardenbergPedro ParenteAlberto Mendes Cardoso

Publicado no D.O. de 14.6.2000


LEI No 9.983, DE 14 DE JULHO DE 2000.

Altera o Decreto-Lei no 2.848, de 7 de dezembrode1940 Cdigo Penal e d outras providncias.

O PRESIDENTE DA REPBLICA

Fao saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:

Art. 1o So acrescidos Parte Especial do Decreto-Lei no 2.848, de 7 de dezembro de 1940 CdigoPenal, os seguintes dispositivos:

Apropriao indbita previdenciria (AC)*

Art. 168-A. Deixar de repassar previdncia social as contribuies recolhidas dos contribuintes,no prazo e forma legal ou convencional: (AC)

Pena recluso, de 2 (dois) a 5 (cinco) anos, e multa. (AC)

1o Nas mesmas penas incorre quem deixar de: (AC)

I recolher, no prazo legal, contribuio ou outra importncia destinada previdncia social quetenha sido descontada de pagamento efetuado a segurados, a terceiros ou arrecadada do pblico;(AC)

II recolher contribuies devidas previdncia social que tenham integrado despesas contbeisou custos relativos venda de produtos ou prestao de servios; (AC)

III - pagar benefcio devido a segurado, quando as respectivas cotas ou valores j tiverem sidoreembolsados empresa pela previdncia social. (AC)

2o extinta a punibilidade se o agente, espontaneamente, declara, confessa e efetua opagamento das contribuies, importncias ou valores e presta as informaes devidas previdnciasocial, na forma definida em lei ou regulamento, antes do incio da ao fiscal. (AC)

3o facultado ao juiz deixar de aplicar a pena ou aplicar somente a de multa se o agente forprimrio e de bons antecedentes, desde que: (AC)

I tenha promovido, aps o incio da ao fiscal e antes de oferecida a denncia, o pagamentoda contribuio social previdenciria, inclusive acessrios; ou (AC)

II o valor das contribuies devidas, inclusive acessrios, seja igual ou inferior queleestabelecido pela previdncia social, administrativamente, como sendo o mnimo para o ajuizamentode suas execues fiscais. (AC)

Insero de dados falsos em sistema de informaes (AC)

Art. 313-A. Inserir ou facilitar, o funcionrio autorizado, a insero de dados falsos, alterar ouexcluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados daAdministrao Pblica com o fim de obter vantagem indevida para si ou para outrem ou para causardano: (AC)

Pena recluso, de 2 (dois) a 12 (doze) anos, e multa. (AC)

Modificao ou alterao no autorizada

de sistema de informaes (AC)

Art. 313-B. Modificar ou alterar, o funcionrio, sistema de informaes ou programa deinformtica sem autorizao ou solicitao de autoridade competente: (AC)

Pena deteno, de 3 (trs) meses a 2 (dois) anos, e multa. (AC)

Pargrafo nico. As penas so aumentadas de um tero at a metade se da modificao oualterao resulta dano para a Administrao Pblica ou para o administrado. (AC)

Sonegao de contribuio previdenciria (AC)

Art. 337-A. Suprimir ou reduzir contribuio social previdenciria e qualquer acessrio, medianteas seguintes condutas: (AC)

I omitir de folha de pagamento da empresa ou de documento de informaes previsto pelalegislao previdenciria segurados empregado, empresrio, trabalhador avulso ou trabalhadorautnomo ou a este equiparado que lhe prestem servios; (AC)

II deixar de lanar mensalmente nos ttulos prprios da contabilidade da empresa as quantiasdescontadas dos segurados ou as devidas pelo empregador ou pelo tomador de servios; (AC)

III omitir, total ou parcialmente, receitas ou lucros auferidos, remuneraes pagas ou creditadase demais fatos geradores de contribuies sociais previdencirias: (AC)

Pena recluso, de 2 (dois) a 5 (cinco) anos, e multa. (AC)

1o extinta a punibilidade se o agente, espontaneamente, declara e confessa as contribuies,importncias ou valores e presta as informaes devidas previdncia social, na forma definida emlei ou regulamento, antes do incio da ao fiscal. (AC)

2o facultado ao juiz deixar de aplicar a pena ou aplicar somente a de multa se o agente forprimrio e de bons antecedentes, desde que: (AC)

I (VETADO)

II o valor das contribuies devidas, inclusive acessrios, seja igual ou inferior queleestabelecido pela previdncia social, administrativamente, como sendo o mnimo para o ajuizamentode suas execues fiscais. (AC)

3o Se o empregador no pessoa jurdica e sua folha de pagamento mensal no ultrapassa R$1.510,00 (um mil, quinhentos e dez reais), o juiz poder reduzir a pena de um tero at a metade ouaplicar apenas a de multa. (AC)

4o O valor a que se refere o pargrafo anterior ser reajustado nas mesmas datas e nos mesmosndices do reajuste dos benefcios da previdncia social. (AC)

Art. 2o Os arts. 153, 296, 297, 325 e 327 do Decreto-Lei no 2.848, de 1940, passam a vigorar comas seguintes alteraes:

Art. 153. .................................................................

1o-A. Divulgar, sem justa causa, informaes sigilosas ou reservadas, assim definidas em lei,contidas ou no nos sistemas de informaes ou banco de dados da Administrao Pblica: (AC)

Pena deteno, de 1 (um) a 4 (quatro) anos, e multa. (AC)

1o (pargrafo nico original).........................................

2o Quando resultar prejuzo para a Administrao Pblica, a ao penal ser incondicionada. (AC)

Art. 296. .......................................................................

1o ............................................................................

.......................................................................................

III quem altera, falsifica ou faz uso indevido de marcas, logotipos, siglas ou quaisquer outrossmbolos utilizados ou identificadores de rgos ou entidades da Administrao Pblica. (AC)

........................................................................................

Art. 297. ...........................................................................

........................................................................................

3o Nas mesmas penas incorre quem insere ou faz inserir: (AC)

I na folha de pagamento ou em documento de informaes que seja destinado a fazer provaperante a previdncia social, pessoa que no possua a qualidade de segurado obrigatrio; (AC)

II na Carteira de Trabalho e Previdncia Social do empregado ou em documento que devaproduzir efeito perante a previdncia social, declarao falsa ou diversa da que deveria ter sido escrita;(AC)

III em documento contbil ou em qualquer outro documento relacionado com as obrigaesda empresa perante a previdncia social, declarao falsa ou diversa da que deveria ter constado.(AC)

4o Nas mesmas penas incorre quem omite, nos documentos mencionados no 3o, nome dosegurado e seus dados pessoais, a remunerao, a vigncia do contrato de trabalho ou de prestaode servios. (AC)

Art. 325. .....................................................................

1o Nas mesmas penas deste artigo incorre quem: (AC)

I permite ou facilita, mediante atribuio, fornecimento e emprstimo de senha ou qualquer

outra forma, o acesso de pessoas no autorizadas a sistemas de informaes ou banco de dados daAdministrao Pblica; (AC)

II se utiliza, indevidamente, do acesso restrito. (AC)

2o Se da ao ou omisso resulta dano Administrao Pblica ou a outrem: (AC)

Pena recluso, de 2 (dois) a 6 (seis) anos, e multa. (AC)

Art. 327. ......................................................................

1o Equipara-se a funcionrio pblico quem exerce cargo, emprego ou funo em entidadeparaestatal, e quem trabalha para empresa prestadora de servio contratada ou conveniada para aexecuo de atividade tpica da Administrao Pblica. (NR)

.................................................................................

Art. 3o O art. 95 da Lei no 8.212, de 24 de julho de 1991, passa a vigorar com a seguinte redao:

Art. 95. Caput. Revogado.

a) revogada;

b) revogada;

c) revogada;

d) revogada;

e) revogada;

f) revogada;

g) revogada;

h) revogada;

i) revogada;

j) revogada.

1o Revogado.

2o ............................................................................

a) ................................................................................

b) ................................................................................

c) ................................................................................

d) ................................................................................

e) .................................................................................

f) .................................................................................

3o Revogado.

4o Revogado.

5o Revogado.

Art. 4o Esta Lei entra em vigor noventa dias aps a data de sua publicao.

Braslia, 14 de julho de 2000; 179o da Independncia e 112o da Repblica.

FERNANDO HENRIQUE CARDOSO

Jos GregoriWaldeck Ornelas

Publicado no D.O. de 17.7.2000


DECRETO No 3.587, DE 5 DE SETEMBRO DE 2000.

Estabelece normas para a Infra-Estrutura de Chaves Pblicas doPoder Executivo Federal - ICP-Gov, e d outras providncias

O PRESIDENTE DA REPBLICA, no uso das atribuies que lhe confere o art. 84, incisos IV e VI,da Constituio,

DECRETA:

CAPTULO IDISPOSIES PRELIMINARES

Art . 1 A Infra-Estrutura de Chaves Pblicas do Poder Executivo Federal - ICP-Gov ser institudanos termos deste Decreto.

Art . 2o A tecnologia da ICP-Gov dever utilizar criptografia assimtrica para relacionar umcertificado digital a um indivduo ou a uma entidade.

1o A criptografia utilizar duas chaves matematicamente relacionadas, onde uma delas pblicae, a outra, privada, para criao de assinatura digital, com a qual ser possvel a realizao detransaes eletrnicas seguras e a troca de informaes sensveis e classificadas.

2o A tecnologia de Chaves Pblicas da ICP-Gov viabilizar, no mbito dos rgos e das entidadesda Administrao Pblica Federal, a oferta de servios de sigilo, a validade, a autenticidade eintegridade de dados, a irrevogabilidade e irretratabilidade das transaes eletrnicas e das aplicaesde suporte que utilizem certificados digitais.

Art . 3o A ICP-Gov dever contemplar, dentre outros, o conjunto de regras e polticas a seremdefinidas pela Autoridade de Gerncia de Polticas - AGP, que visem estabelecer padres tcnicos,operacionais e de segurana para os vrios processos das Autoridades Certificadoras - AC, integrantesda ICP-Gov.

Art. 4o Para garantir o cumprimento das regras da ICP-Gov, sero institudos processos de auditoria, queverifiquem as relaes entre os requisitos

Boas Praticas Em Seguranca Da Informacao

Documents

Transcript of Boas Praticas Em Seguranca Da Informacao