DGMM-520
description
Transcript of DGMM-520
Centro de Eletrônica, Comunicações e Telemática (CW-14)
Centro de instrução Almirante Wandenkolk
Normas para Gestão de Segurança Normas para Gestão de Segurança das Informação Digitais em Redes das Informação Digitais em Redes
LocaisLocais
SUMÁRIO
• Considerações IniciaisConsiderações Iniciais
• Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
• Seguranças das Informações Digitais em Redes Locais - Seguranças das Informações Digitais em Redes Locais -
SIDRLSIDRL
• Documentos de Segurança das Informações DigitaisDocumentos de Segurança das Informações Digitais
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SID
DGMM-520
SIDRLSIDRL
AÇÕES DE SEGURANÇA
Todas as ações de SID devem estar plenamente documentadas, pois Todas as ações de SID devem estar plenamente documentadas, pois
seus registros e análises possibilitarão seu contínuo aperfeiçoamento, seus registros e análises possibilitarão seu contínuo aperfeiçoamento,
objetivando a manutenção plena dos requisitos básicos de SIDRL.objetivando a manutenção plena dos requisitos básicos de SIDRL.
DOCUMENTOS DE SIDDOCUMENTOS DE SID
DGMM-520
SIDRLSIDRL
AÇÕES DE SEGURANÇA
a)a) planejamento: planejamento: ações que visam a preparação do ambiente ações que visam a preparação do ambiente
da rede local para prevenção de possíveis ameaças ou da rede local para prevenção de possíveis ameaças ou
riscos às informações digitais;riscos às informações digitais;
• Instruções para Segurança das Informações Digitais Instruções para Segurança das Informações Digitais
(ISID)(ISID)
• Plano de Contingência (PLCONT)Plano de Contingência (PLCONT)
b) histórico: b) histórico: ações para descrição da estrutura da rede local e ações para descrição da estrutura da rede local e
registro de ocorrências do ambiente computacional da registro de ocorrências do ambiente computacional da
OM;OM;
• Histórico da Rede Local (HRL)Histórico da Rede Local (HRL)
DGMM-520
c) análise: c) análise: ações para avaliação de vulnerabilidades, riscos ações para avaliação de vulnerabilidades, riscos
ou incidentes que possam ocorrer no ambiente da rede ou incidentes que possam ocorrer no ambiente da rede
local, auxiliando ações preventivas, corretivas e de local, auxiliando ações preventivas, corretivas e de
planejamento;planejamento;
d) auditoria:d) auditoria: ações para verificação e avaliação das condições ações para verificação e avaliação das condições
de segurança do ambiente computacional da OM e das de segurança do ambiente computacional da OM e das
respectivas informações digitais que trafegam e são respectivas informações digitais que trafegam e são
processadas ou armazenadas nesse ambiente;processadas ou armazenadas nesse ambiente;
• Relatório de Auditoria (RAD)Relatório de Auditoria (RAD)
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
AÇÕES DE SEGURANÇA
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
AÇÕES DE SEGURANÇA
e) manutenção:e) manutenção: ações preventivas ou corretivas no ambiente da rede ações preventivas ou corretivas no ambiente da rede
local para proteção ou pronto restabelecimento das suas local para proteção ou pronto restabelecimento das suas
condições operacionais e dos requisitos básicos de SIDRL; econdições operacionais e dos requisitos básicos de SIDRL; e
f) adestramento:f) adestramento: ações que visam adestrar o pessoal quanto aos ações que visam adestrar o pessoal quanto aos
documentos, aos procedimentos e às demais ações de SID.documentos, aos procedimentos e às demais ações de SID.
• Planos de Adestramento. Planos de Adestramento.
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
INSTRUÇÃO DE SEGURANÇA DAS INFORMAÇÕES DIGITAIS (ISID)INSTRUÇÃO DE SEGURANÇA DAS INFORMAÇÕES DIGITAIS (ISID)
• documento mais importante para o gerenciamento de documento mais importante para o gerenciamento de
SID da OM;SID da OM;
• voltado às ações de planejamento;voltado às ações de planejamento;
• objetivo: definir procedimentos que garantam os objetivo: definir procedimentos que garantam os
requisitos básicos de SIDRL. requisitos básicos de SIDRL.
Deve ser simples, objetiva, de fácil compreensão e aplicação e deve Deve ser simples, objetiva, de fácil compreensão e aplicação e deve possuir grau de sigilo possuir grau de sigilo ostensivoostensivo, para que todos os usuários da rede , para que todos os usuários da rede local tenham acesso e pleno conhecimento das ações de local tenham acesso e pleno conhecimento das ações de planejamento e procedimentos nela contidos. planejamento e procedimentos nela contidos.
REGRAS BÁSICAS:REGRAS BÁSICAS:
• a ISID deve ser formalizada internamente por cada OM em uma a ISID deve ser formalizada internamente por cada OM em uma
Ordem Interna;Ordem Interna;
• todos da OM, usuários ou não de recursos ou serviços todos da OM, usuários ou não de recursos ou serviços
disponibilizados pela rede local, devem conhecer a ISID; edisponibilizados pela rede local, devem conhecer a ISID; e
• as regras estabelecidas na ISID aplicam-se, indistintamente, a as regras estabelecidas na ISID aplicam-se, indistintamente, a
todos na OM.todos na OM.
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
INSTRUÇÃO DE SEGURANÇA DAS INFORMAÇÕES DIGITAIS (ISID)INSTRUÇÃO DE SEGURANÇA DAS INFORMAÇÕES DIGITAIS (ISID)
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
PLANOS DE CONTINGÊNCIA (PLCONT)PLANOS DE CONTINGÊNCIA (PLCONT)
• Documento Documento ConfidencialConfidencial próprio, separado da ISID. próprio, separado da ISID.
• Objetivo: Objetivo: salvaguardar a continuidade operacional da salvaguardar a continuidade operacional da
rede local da OM e a plena recuperação das informações rede local da OM e a plena recuperação das informações
digitais em caso de qualquer interferência (causada por digitais em caso de qualquer interferência (causada por
acidente, desastre ou ataque), garantindo, assim, os acidente, desastre ou ataque), garantindo, assim, os
requisitos básicos de SIDRL.requisitos básicos de SIDRL.
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
HISTÓRICO DA REDE ROCAL (HRL)HISTÓRICO DA REDE ROCAL (HRL)
• PARTE I : Descrição da RedePARTE I : Descrição da Rede
Estado atualizado da rede local e seu respectivo ambiente – Estado atualizado da rede local e seu respectivo ambiente –
Configuração da Rede.Configuração da Rede.
• PARTE II : Atividades de RotinaPARTE II : Atividades de Rotina
Eventos Rotineiros de segurança da Rede.Eventos Rotineiros de segurança da Rede.
• PARTE III : IncidentesPARTE III : Incidentes
Anexo D; Anexo D; e e
• PARTE IV : Vulnerabilidades e RiscosPARTE IV : Vulnerabilidades e RiscosTem por objetivo avaliar as possíveis ameaças à rede local e os Tem por objetivo avaliar as possíveis ameaças à rede local e os
respectivos danos às informações digitais.respectivos danos às informações digitais.
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
RELATÓRIO DE AUDITORIA (RAD) DE SIDRLRELATÓRIO DE AUDITORIA (RAD) DE SIDRL
Objetivo: Objetivo: formalizar os resultados apurados por alguma formalizar os resultados apurados por alguma
auditoria de segurança e indicar algumas possíveis auditoria de segurança e indicar algumas possíveis
soluções aos problemas levantados na rede local em soluções aos problemas levantados na rede local em
relação aos aspectos de SIDRL.relação aos aspectos de SIDRL.
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
PLANOS DE ADESTRAMENTO DE SIDPLANOS DE ADESTRAMENTO DE SID
DGMM-520
a) Adestramento básico de SID (para o pessoal que tenha a) Adestramento básico de SID (para o pessoal que tenha
recém chegado à OM);recém chegado à OM);
b) Conceitos Gerais de SID;b) Conceitos Gerais de SID;
c) ISID da OM;c) ISID da OM;
d) Recursos de SID;d) Recursos de SID;
e) Legislação, Normas e Documentos de SID;e) Legislação, Normas e Documentos de SID;
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
PLANOS DE ADESTRAMENTO DE SIDPLANOS DE ADESTRAMENTO DE SID
DGMM-520
f) Ativação dos Planos de Contingência da OM (teoria e f) Ativação dos Planos de Contingência da OM (teoria e
prática);prática);
g) Segurança Orgânica, no que se refere à SID;g) Segurança Orgânica, no que se refere à SID;
h) Normas para a salvaguarda de materiais controlados, h) Normas para a salvaguarda de materiais controlados,
dados, informações, documentos e materiais sigilosos;dados, informações, documentos e materiais sigilosos;
i) Recursos Criptológicos;i) Recursos Criptológicos;
j) Engenharia Social; ej) Engenharia Social; e
k) Crimes de Informática.k) Crimes de Informática.
Os exemplos acima formam um conjunto mínimo de Os exemplos acima formam um conjunto mínimo de
temas a serem abordados, podendo as OM acrescentar temas a serem abordados, podendo as OM acrescentar
outros, de acordo com suas características e outros, de acordo com suas características e
necessidades.necessidades.
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
PLANOS DE ADESTRAMENTO DE SIDPLANOS DE ADESTRAMENTO DE SID
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
CONTROLE DE ENTRADA E SAÍDA DE DISPOSITIVOS DE CONTROLE DE ENTRADA E SAÍDA DE DISPOSITIVOS DE INFORMAÇÕES DIGITAISINFORMAÇÕES DIGITAIS
Registra a entrada e a saída de qualquer dispositivo que Registra a entrada e a saída de qualquer dispositivo que
possa armazenar informações digitais, tais como: possa armazenar informações digitais, tais como:
microcomputadores (de mesa ou portáteis), discos microcomputadores (de mesa ou portáteis), discos
rígidos, disquetes, CD-ROM, DVD e outros dispositivos rígidos, disquetes, CD-ROM, DVD e outros dispositivos
de armazenamento portáteis. Para de armazenamento portáteis. Para cada ocorrênciacada ocorrência de de
entrada ou saída devem ser registrados: a data, a hora, o entrada ou saída devem ser registrados: a data, a hora, o
responsável, a origem, o destino e a identificação do responsável, a origem, o destino e a identificação do
dispositivo.dispositivo.
DGMM-520
DOCUMENTOS DE SIDDOCUMENTOS DE SIDSIDRLSIDRL
DGMM-520
CONTROLE DE ACESSO FÍSICO AOS PERÍMETROS DE CONTROLE DE ACESSO FÍSICO AOS PERÍMETROS DE SEGURANÇASEGURANÇA
Este documento ostensivo registra a entrada e a saída de Este documento ostensivo registra a entrada e a saída de
qualquer visitante (qualquer pessoa estranha ao perímetro, qualquer visitante (qualquer pessoa estranha ao perímetro,
mesmo que seja servidor civil ou militar da OM) nos mesmo que seja servidor civil ou militar da OM) nos
perímetros de segurança da OM. As normas e os perímetros de segurança da OM. As normas e os
procedimentos para este controle deverão estar regulados procedimentos para este controle deverão estar regulados
na ISID de cada OM.na ISID de cada OM.
Centro de Eletrônica, Comunicações e Telemática (CW-14)
Centro de instrução Almirante WandenkolkCentro de instrução Almirante Wandenkolk
SEJAM CURIOSOSSEJAM CURIOSOS
DÚVIDAS?!?!?DÚVIDAS?!?!?
FAÇAM CONTATOFAÇAM CONTATO
PERGUNTEMPERGUNTEM
PERGUNTEMPERGUNTEM
Dúvidas??
Serviço de Processamento de Dados (CW-07)
Centro de Instrução Almirante Wandenkolk
Normas para Gestão de Segurança de Informações Digitais em Redes Locais