PRESIDÊNCIA DA REPÚBLICA - INPE · Se o WIKIPEDIA fosse um livro teria 2.250.000 páginas e...

PRESIDÊNCIA DA REPÚBLICA GABINETE DE SEGURANÇA INSTITUCIONAL

DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

“SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA ADMINISTRAÇÃO

PÚBLICA FEDERAL SOB O CONTEXTO DA NOVA LEGISLAÇÃO DE ACESSO À

INFORMAÇÃO”

Presidência da República Gabinete de Segurança Institucional

Sumário: •Cenário •Quem Somos DSIC/GSI/PR •O Que é SIC ?

•Conceitos •Metodologia

•Principais marcos legais •Contexto Atual •Conclusão

Apresentação INPE 11 de Junho de 2013

1:49


June 2010

Cen

ário


Aaron Swartz

1988

2011

Robert Morris Jr.

Em 2011, crime de invasão de computadores, pena de até 35 anos de prisão e multa de mais

de um milhão de dólares.

Desabilitou 6000 computadores em

poucas horas 10 % da internet na época.


Dimensões de um vazamento de Informações • Político-estratégica; • Segurança Pública; • Pessoal; • Econômico; • Social e ambiental; • Ciência, Tecnologia e Inovação; • Educação; • Legal; • Cooperação Internacional; • infraestruturas críticas / estratégicas; • ....


2013


• 3º mercado de Computadores (atrás EUA e China); • 4º mercado de telefonia celular; • 44% de brasileiros de 10anos ou mais são usuários de computador; • 41% de brasileiros de 10anos ou mais são usuários de Internet.

Fonte: CETIC.br em http://www.cetic.br/ (28 abril 2013)

http://www.cetic.br/


Se o FACEBOOK fosse um País, seria o 3º do mundo em população.

Se o WIKIPEDIA fosse um livro teria 2.250.000 páginas e levaria 123 anos para ser lido.

Lady Gaga, Justin Bieber, e Britney Spears têm mais seguidores no twitter do que a inteira população da Suécia, Israel, Grécia, Chile, Coréia do Norte e Austrália.

REDES SOCIAIS são: relacionamento, investimento, desastres, revolução, costumes, memórias, P2P, comércio, Governo, família e pessoas.

No dia 28 de abril de 2013 foram criados 119.131 novos domínios e deletados 123.351 domínios nas 6 principais “top level domains -

TLD´s .COM, .NET, .ORG, .INFO, .BIZ, e .US” que hoje abriga um total de 145.050.092 domínios.

Em abril/2013 a ONU possui 193 Países-Membros. (http://www.onu.org.br/conheca-a-onu/paises-membros/)

No mesmo mês existem 249 países na Internet com 3.494.883.554 domínios. (http://www.whois.sc/internet-statistics/country-ip-counts/)


2008/09/10

2009

2009

2001/08 - SI 2006/09

2008

2008 - PICI

Proteção do espaço

Informacional

Bureau de Tecnologia Profissional

CENÁRIO MUNDIAL

Controle da internet

Ciberespaço sujeito a chuvas e trovoadas

http://www.sergioluisdecarvalho.com/bandeira_inglaterra.jpg

http://www.google.com.br/imgres?imgurl=http://www.webbusca.com.br/atlas/bandeiras/australia.gif&imgrefurl=http://www.webbusca.com.br/atlas/oceania/australia.asp&usg=__eCqQn9_QJe-08VgCrG8HfK591ps=&h=288&w=432&sz=19&hl=pt-BR&start=1&itbs=1&tbnid=bhJnXQ6SMe03MM:&tbnh=84&tbnw=126&prev=/images?q=bandeiras+austr%C3%A1lia&hl=pt-BR&sa=G&gbv=2&tbs=isch:1

http://www.google.com.br/imgres?imgurl=http://www.seed.pr.gov.br/portals/portal/usp/primeiro_trimestre/imagens/Cliparts/bandeiras/japao_g.GIF&imgrefurl=http://www.seed.pr.gov.br/portals/portal/usp/primeiro_trimestre/imagens/Cliparts/asia_flags.html&usg=__JLMObmBf5eSrSGInVGMZmZ_BSs4=&h=451&w=640&sz=6&hl=pt-BR&start=4&itbs=1&tbnid=H1gAaYLwtJEoUM:&tbnh=97&tbnw=137&prev=/images?q=bandeiras+jap%C3%A3o&hl=pt-BR&sa=G&gbv=2&tbs=isch:1

http://www.google.com.br/imgres?imgurl=http://www01.madeira-edu.pt/estabensino/eb1pecovao/Palavrascruzadas/match/Bandeiras/bandeira_franca.gif&imgrefurl=http://www01.madeira-edu.pt/estabensino/eb1pecovao/Palavrascruzadas/match/Bandeiras/Bandeiras.htm&usg=__PAtrTn6mV8ulqZwcS58Tiv9QerM=&h=180&w=270&sz=2&hl=pt-BR&start=5&itbs=1&tbnid=kZEzIK99j4ODTM:&tbnh=75&tbnw=113&prev=/images?q=bandeiras+fran%C3%A7a&hl=pt-BR&sa=G&gbv=2&tbs=isch:1

http://www.google.com.br/imgres?imgurl=http://pt.wikimanagerzone.com/images/thumb/6/61/Bandeira_Noruega.png/120px-Bandeira_Noruega.png&imgrefurl=http://pt.wikimanagerzone.com/index.php?title=Categoria:Imagens:Bandeiras&usg=__vMLUvtsl_1Imi_9Wa0H0Jm-ZHl8=&h=87&w=120&sz=1&hl=pt-BR&start=10&itbs=1&tbnid=KuoI1A9LxHPoBM:&tbnh=64&tbnw=88&prev=/images?q=bandeiras+noruega&hl=pt-BR&sa=G&gbv=2&tbs=isch:1

http://www.google.com.br/imgres?imgurl=http://www.suapesquisa.com/paises/malasia/bandeira_malasia.jpg&imgrefurl=http://www.suapesquisa.com/paises/malasia/&usg=__xc0V469g1Z7ZQ8N1_plE6kB0itg=&h=81&w=115&sz=3&hl=pt-BR&start=7&itbs=1&tbnid=FLUHvP36ENP_IM:&tbnh=61&tbnw=87&prev=/images?q=bandeiras+malasia&hl=pt-BR&sa=G&gbv=2&tbs=isch:1






1:49

PRESIDÊNCIA DA REPÚBLICA

Conselho de Defesa Nacional (CDN)

Departamento de Segurança da Informação e Comunicações

(DSIC)

Gabinete de Segurança Institucional (GSI)

Órgão de consulta

Órgão Essencial

Órgão de Estado

Comitê Gestor de Segurança da Informação

(CGSI)

Ministérios Ministérios

Ministérios


Gabinete de Segurança Institucional

Secretaria de Assuntos Militares

Secretaria de Segurança

Presidencial

Agência Brasileira de Inteligência

Secretaria de Acompanhamento

e Estudos Institucionais

Secretaria-Executiva

Departamento de Segurança da Informação e Comunicações


Núcleo de Segurança e Credenciamento

(NSC)

Coordenação-Geral de Tratamento de Incidente

de Redes (CGTIR)

Coordenação-Geral de Gestão de SIC

(CGGSIC)

Comitê Gestor de Segurança da

Informação (CGSI) Diretor

DEPARTAMENTO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

(DSIC)


Coordenação-Geral de Gestão de SIC

(CGGSIC)

Elaboração de Normas e Capacitação de Servidores, ouvido o Comitê Gestor

de Segurança da Informação.

Coordenação-Geral de Tratamento de Incidente

de Redes (CGTIR)

Órgão Central de Segurança e Credenciamento para o tratamento da

Informação Classificada

Coordenação-Geral do Núcleo de Segurança e

Credenciamento (CGNSC)

Operar e manter o Centro de Tratamento de Incidentes de Segurança

em Redes do Governo Federal (CTIR Gov)

DSIC


Coordenação-Geral de Gestão da Segurança da Informação e Comunicações

Conscientizar

80.000

Capacitar

8.000

Especializar

800

Sensibilizar

800.000

Congressos Palestras

Seminários Oficinas

Cursos Básicos em SIC

Cursos de Especialização em SIC

Metas de capacitação Objetivo: saber o que é segurança da

informação e comunicações aplicando

em sua rotina pessoal e profissional.

Total de Servidores Públicos Federais: 1.143.688 Total de Servidores Ativos: 514.258 Total de Militares da Ativa: 300.000

Fonte: Boletim Estatístico de Pessoal nº 192 – Abril/2012 – MPOG

Atividade de Capacitação de Servidores da APF – CGGSIC



Conscientizar

80.000

Capacitar

8.000

Especializar

800

Sensibilizar

800.000





Metas de capacitação Objetivo: saber o que é segurança da

informação e comunicações aplicando em

sua rotina pessoal e profissional, além de

servir como multiplicador sobre o tema.






Conscientizar

80.000

Capacitar

8.000

Especializar

800

Sensibilizar

800.000





Metas de capacitação Objetivo: saber o que é SIC aplicando em

sua rotina pessoal e profissional, servindo

como multiplicador sobre o tema, aplicando

os conceitos e procedimentos na

Organização como gestor de SIC.






Conscientizar

80.000

Capacitar

8.000

Especializar

800

Sensibilizar

800.000





Metas de capacitação Objetivo: saber o que é SIC aplicando em sua rotina

pessoal e profissional, servindo como multiplicador sobre

o tema, aplicando os conceitos e procedimentos na

Organização como gestor de SIC e tornando-se referência

na pesquisa de novas soluções e modelos de SIC.





Coordenação-Geral de Gestão da Segurança da Informação e Comunicações 800.000

28.228 Sensibilização: (3% - 86 eventos)

Total de servidores que

participaram de eventos em SIC

80.000

7.529 Conscientização: (9% - 95 eventos) 8.000

742 Capacitação: (9% - 14 eventos) 800

391 Especialização: (48% - 4 eventos)



Confiança

Pessoas Empresas ou Órgãos

Processo de Credenciamento

Credencial de Segurança

Atividade de Credenciamento - CGNSC


ARTEFATOS

Universidades

Empresas privadas

Outros

CORREÇÕES

Atividade de Tratamento de Incidentes de Rede - CGTIR

Procedimentos

MALWARES

DSIC CEPESC FFAA DPF

Laboratório de Defesa Cibernética


Atividade de Tratamento de Incidentes de Rede - CGTIR

Troca de Informações Pedidos de cooperação.






1:49


Ações que objetivam viabilizar e assegurar a

Disponibilidade, a

Integridade, a

Confidencialidade e a

Autenticidade das Informações.

Segurança da Informação e Comunicações (SIC)

D.I.C.A


D.I.C.A Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade.

Receita espera receber 3,5 milhões de declarações no último dia de entrega

Agencia Brasil - 30.04.2013


D.I.C.A Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade.

Inundação é problema recorrente no Arquivo Nacional Agencia Brasil 12/03/2013


Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental.

D.I.C.A


Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado e credenciado.

D.I.C.A


Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade.

D.I.C.A


Ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e comunicações

Quebra de Segurança


Quebra de segurança

Responsabilidade Civil

Responsabilidade Administrativa

Responsabilidade Penal

Investigação

Servidor público ou agente público

24 ministérios, 9 secretarias e 4 órgãos;

≅ 6.000 entidades governamentais;

≅ 1.145.000 servidores federais;

≅ 320 grandes redes do Governo Federal;

> 16.500 sítios de governo ( 40% .gov.br);

> 12.000.000 de páginas WEB;

repercussão na sociedade.

Tamanho do Problema


Liberdade Paraíso

Existe uma opção a ser feita

Verdades Necessárias a serem ditas

Todos querem Liberdade

Todos querem ir para o paraíso

e


Existe uma opção a ser feita


Na Segurança da Informação Existe a mesma decisão a ser tomada

Liberdade

Paraíso

Peso desnecessário ao processo.

Incrementar a segurança, diminuindo a liberdade para se chegar ao paraíso, mas quanto?

???

Incremento da segurança


METODOLOGIA DE GESTÃO DE SIC PARA A APF


ATIVOS DE

INFORMAÇÃO

PESSOAS TECNOLOGIA PROCESSOS AMBIENTE

DINÂMICA DO RISCO


ATIVOS DE

INFORMAÇÃO


DINÂMICA DO RISCO

VULNERABILIDADES


ATIVOS DE

INFORMAÇÃO


DINÂMICA DO RISCO

VULNERABILIDADES

AMEAÇAS


NORMAS, REQUISITOS E METODOLOGIAS PARA GESTÃO DE SIC; CAPACITAÇÃO SERVIDORES PÚBLICOS; ACORDOS INTERNACIONAIS PARA TROCA DE INFORMAÇÕES SIGILOSAS; TRATAMENTO DE INCIDENTES DE REDES; SEGURANÇA CIBERNÉTICA ANÁLISE E GESTÃO DE RISCOS; CONTINUIDADE DE NEGÓCIOS; CONTROLE DE ACESSO; CRITÉRIOS DE USO E PRODUTOS DE CRIPTOGRAFIA; SEGURANÇA DAS INFRAESTRUTURAS CRITICAS DA INFORMAÇÃO; ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNÉTICA; APURAÇÃO DAS RESPONSABILIDADES POR QUEBRA DE SEGURANÇA. ... .....

Abrangência de SIC In

stru

men

tos

Implementar segurança nos ativos

Presidência da República Gabinete de Segurança Institucional METODOLOGIA DE GESTÃO

DE SIC PARA A APF

ABNT NBR ISO/IEC 27001:2006

“PDCA” (Plan – Do – Check – Act)

Simplicidade Compatibilidade Coerência


Análise/Avaliação de Riscos

Ações de SIC

Atualização da POSIC

Diretrizes Gerais

Publicação de Normas

Ciclo da Metodologia

MODELO DE GESTÃO DE SIC

Presidência da República Gabinete de Segurança Institucional IMPLEMENTAÇÃO DA

GESTÃO DE SIC

Quatro pontos fundamentais

POSIC

Gestor de SIC

Comitê de SIC

ETIR IN 01 GSI, de 13 de junho de 2008


O que é uma POSIC?

A Política de Segurança da Informação e Comunicações

é um documento que registra as diretrizes estratégicas, responsabilidades,

competências e o apoio para implementar a gestão de segurança da informação e comunicações da

Administração Pública Federal.


GESTÃO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

DISPONIBILIDADE, INTEGRIDADE, CONFIDENCIALIDADE e AUTENTICIDADE

PESSOAS, PROCESSOS, TECNOLOGIA e AMBIENTE

Códigos de Boas Práticas

Normas Técnicas

Instruções Normativas

, NC.

Leis, Regulamentos Específicos,

Contratos. Normas de Recursos

de TI

Modelo de Gestão de SIC






1:49


DECRETO Nº 5.772

2006 2008

IN 01 GSIPR/DSIC

Disciplina a Gestão de Segurança da Informação e Comunicações na APF.

NC 01 GSIPR/DSIC

Atividades de Normatização

NC 02 GSIPR/DSIC

Metodologia de Gestão de Segurança da Informação e Comunicações.

Acórdão 1.603 – TCU (15 de agosto) -48% não possuem procedimentos de controle de acesso -64% não possuem Política de Segurança da Informação -75% não adotam análise de riscos -80% não classificam as informações -88% não adotam gestão de mudanças ....

Acórdão 2.471 – TCU (05 de novembro) Recomenda ao GSIPR: - Crie procedimentos para elaboração de Políticas de Sic, Análise de Riscos, GCN, Controle de Acesso........

Criação do DSIC


NC 05 GSIPR/DSIC

NC 06 GSIPR/DSIC

NC 04 GSIPR/DSIC

NC 03 GSIPR/DSIC

2009

Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da APF.

Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da APF.

Disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da APF.

Estabelece Diretrizes para Gestão de Continuidade de Negócios, nos aspectos relacionados à SIC, nos órgãos e entidades da APF.


NC 09 GSIPR/DSIC

NC 08 GSIPR/DSIC

NC 07 GSIPR/DSIC

Estabelece as Diretrizes para Implementação de Controles de Acesso Relativos à SIC, nos órgãos e entidades da APF.

Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos órgãos e entidades da APF.

Estabelece orientações específicas para o uso de recursos criptográficos como ferramenta de controle de acesso em SIC, nos órgãos ou entidades da APF.

2010 2011

LEI Nº 12.527

LAI

Altera o completamente a relação de exposição e restrição da informação em relação a sociedade.


NC 15 GSIPR/DSIC

NC 14 GSIPR/DSIC

NC 13 GSIPR/DSIC

NC 12 GSIPR/DSIC

NC 11 GSIPR/DSIC

NC 10 GSIPR/DSIC

2012

Estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a SIC, dos órgãos e entidades da APF. Estabelece diretrizes para avaliação de conformidade nos aspectos relativos à SIC nos órgãos ou entidades da APF. Estabelece diretrizes e orientações básicas para o uso de dispositivos móveis nos aspectos referentes à SIC nos órgãos e entidades da APF, direta e indireta. Estabelece diretrizes para a Gestão de Mudanças nos aspectos relativos à SIC nos órgãos e entidades da APF. Estabelece diretrizes para a utilização de tecnologias de Computação em Nuvem, nos aspectos relacionados à SIC, nos órgãos e entidades da APF. Estabelece diretrizes de SIC para o uso de redes sociais, nos órgãos e entidades da APF.

9.8.2 - oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade, mas obrigação da alta administração, e sua não implantação sem justificativa é passível da sanção prevista na Lei 8.443/1992, art. 58, II (subitem II.8);

Decreto Nº7.724 16 maio

Disciplina o Acesso a Informação e a transparência

ACÓRDÃO Nº1.233 – TCU (23 DE MAIO) Item 9.8 – Recomenda ao GSIPR:


2012


NC 16 GSIPR/DSIC

Estabelece Diretrizes para obtenção e Desenvolvimento de Software Seguro nos Órgãos e Entidades da APF.

Decreto Nº7.845 14 nov

Disciplina o Tratamento da Informação Classificada


2012


Decreto Nº7.845 14 nov

NC 16 GSIPR/DSIC

Tipifica delitos contra sistemas eletrônicos

Lei 12.735 30 nov

Tipifica delitos informáticos

Lei 12.737 30 nov


2013

ATUAÇÃO E ADEQUAÇÕES PARA PROFISSIONAIS DA ÁREA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA APF

DIRETRIZES PARA AS ATIVIDADES DE ENSINO EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES NA APF

NC 18 GSIPR/DSIC

NC 17 GSIPR/DSIC

IN 02 GSIPR/DSIC

IN 03 GSIPR/DSIC

Recursos Criptográficos

Credenciamento de Segurança


Exemplos de ACÓRDÃOS DO TCU

Implante Política de Segurança da Informação e Comunicações, com observância da Norma Complementar 03/IN01/DSIC/GSIPR, em atenção à IN GSI/PR 01/2008, art. 5º, VII;

Em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, IV e art. 7º, c/c a Norma Complementar 03/IN01/DSIC/GSIPR, item 5.3.7.2, nomeie Gestor de Segurança da Informação e Comunicações, observando as práticas contidas na NBR ISO/IEC 27002, item 6.1.3 Atribuição de responsabilidade para segurança da informação;

Em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, V, institua equipe de tratamento e resposta a incidentes em redes computacionais, observando as práticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR;






1:49

Presidência da República Gabinete de Segurança Institucional Lei N

º 12.527 - LAI

Forma como a informação pública se relaciona com a sociedade

Presidência da República Gabinete de Segurança Institucional Lei N

º 12.527 - LAI

Forma como a informação pública se relaciona com a Segurança da Informação

DICA DICA

Lei Nº 12.527 - LA

I

DICA


“O acesso, a divulgação e o tratamento de informação classificada ficarão restritos a pessoas que tenham

necessidade de conhecê-la e que sejam devidamente credenciadas na forma do regulamento, sem prejuízo das atribuições dos agentes públicos autorizados por lei.”

§1º do Art 25 Lei 12.527

Única exceção prevista no pelo uso do Termo de Compromisso e Manutenção de Sigilo – TCMS.

Art. 18 do Decreto nº 7.845, de 2012


Informação classificada

Somente pessoas


Informação sigilosa


Sigilosas

Disponíveis

Classificadas

Ultrassecreta Secreta

Reservada

Em poder dos órgãos e entidades públicas

Tipos de Informação Submetida temporariamente à restrição de acesso público

segurança da sociedade e do Estado

III - 4 º / 24º - Lei 12.527/2011

...

...

Fiscais Judiciais

Proprietárias

Bancárias

Pessoais

...


Tempo

Segur

ança

Deve ser escolhido o amparo legal que mais se adéqua a necessidade

Nosso País, nosso Povo e nosso bolso agradece.






1:49


Segurança da Informação e Comunicações...

... uma questão de ATITUDE.

http://dsic.planalto.gov.br http://twitter.com/dsic_br


Obrigado! 1:49

Cícero Rosa Prestes Filho Coordenador-Geral da Gestão da Segurança da Informação e Comunicações

Departamento de Segurança da Informação e Comunicações GSI/PR .

[email protected] (61) 3411-3438

Pense menos e aja mais: “ Ama a teu próximo como a ti mesmo ”

mailto:[email protected]

PRESIDÊNCIA DA REPÚBLICA - INPE · Se o WIKIPEDIA fosse um livro teria 2.250.000 páginas e...

Documents

Transcript of PRESIDÊNCIA DA REPÚBLICA - INPE · Se o WIKIPEDIA fosse um livro teria 2.250.000 páginas e...