You are on page 1of 66

Boas prticas em

Segurana da Informao
2 edio

Braslia, 2007

Copyright 2007, Tribunal de Contas da Unio


Impresso no Brasil / Printed in Brazil
<www.tcu.gov.br>

permitida a reproduo desta publicao,


em parte ou no todo, sem alterao do contedo,
desde que citada a fonte e sem fins comerciais.

Brasil. Tribunal de Contas da Unio.


Boas prticas em segurana da informao / Tribunal de Contas da Unio. 2. ed. Braslia
: TCU, Secretaria de Fiscalizao de Tecnologia da Informao, 2007.
70 p.
1. Segurana da informao 2. Auditoria, Tecnologia da informao I. Ttulo.

Ficha catalogrfica elaborada pela Biblioteca Ministro Ruben Rosa

Apresentao

Na sociedade da informao, ao mesmo tempo em que as informaes so consideradas o principal


patrimnio de uma organizao, esto tambm sob constante risco, como nunca estiveram antes. Com
isso, a segurana da informao tornou-se um ponto crucial para a sobrevivncia das instituies.
Um dos focos das fiscalizaes de Tecnologia da Informao (TI), realizadas pela Secretaria de
Fiscalizao de Tecnologia da Informao (Sefti), do Tribunal de Contas da Unio, a verificao da
conformidade e do desempenho das aes governamentais em aspectos de segurana de tecnologia
da informao, utilizando critrios fundamentados. O principal objetivo dessas fiscalizaes contribuir
para o aperfeioamento da gesto pblica, para assegurar que a tecnologia da informao agregue
valor ao negcio da Administrao Pblica Federal em benefcio da sociedade.
O Tribunal de Contas da Unio, ciente da impor tncia de seu papel pedaggico junto aos
administradores pblicos e da utilidade de apresentar sua forma de atuao s unidades jurisdicionadas,
aos parlamentares, aos rgos governamentais, sociedade civil e s organizaes nogovernamentais, elaborou esta publicao com o intuito de despertar a ateno para os aspectos
da segurana de tecnologia da informao nas organizaes governamentais.
Espera-se que este trabalho seja uma boa fonte de consulta, e que o Tribunal, mais uma vez,
colabore para o aperfeioamento da Administrao Pblica.

Walton Alencar Rodrigues


Ministro-Presidente

Sumrio

Introduo .............................................................................................................7

Controles de Acesso Lgico ....................................................................................9

Poltica de Segurana de Informaes ...................................................................25

Plano de Contingncias ........................................................................................33

TCU e a NBR ISO/IEC 17799 ..................................................................................39

Introduo

Na poca em que as informaes eram armazenadas apenas em papel, a segurana era


relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso fsico
quele local. Com as mudanas tecnolgicas e com o uso de computadores de grande porte, a
estrutura de segurana ficou um pouco mais sofisticada, englobando controles lgicos, porm ainda
centralizados. Com a chegada dos computadores pessoais e das redes de computadores que
conectam o mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a
necessidade de desenvolvimento de equipes e de mtodos de segurana cada vez mais sofisticados.
Paralelamente, os sistemas de informao tambm adquiriram importncia vital para a
sobrevivncia da maioria das organizaes modernas, j que, sem computadores e redes de
comunicao, a prestao de servios de informao pode se tornar invivel.
O objetivo desta publicao apresentar, na forma de captulos, boas prticas em segurana da
informao, a qualquer pessoa que interaja de alguma forma com ambientes informatizados, desde
profissionais de informtica envolvidos com segurana de informaes at auditores, usurios e
dirigentes preocupados em proteger o patrimnio, os investimentos e os negcios de sua organizao,
em especial, os gestores da Administrao Pblica Federal.
Esta segunda edio inclui um novo captulo, que comenta a NBR ISO/IEC 17799 e lista acrdos
e decises do Tribunal sobre segurana de tecnologia da informao, alm dos trs captulos que
constavam da primeira edio (controles de acesso lgico, poltica de segurana de informaes e
plano de contingncias). nossa inteno continuar a publicar novas edies, incluindo captulos
sobre assuntos correlatos.
Diretoria de Auditoria de Tecnologia da Informao

TRIBUNAL DE CONTAS DA
UNIO

BOAS PRTICAS EM SEGURANA DA INFORMAO

1. Controles de Acesso Lgico


Neste captulo sero apresentados conceitos
impor tantes sobre controles de acesso lgico
a serem implantados em instituies que
utilizam a informtica como meio de gerao,
armazenamento e divulgao de informaes,
com o objetivo de prover segurana de acesso a
essas informaes.

1.1 O que so controles de acesso?

objetivo de proteger dados, programas e sistemas


contra tentativas de acesso no autorizadas
feitas por pessoas ou por outros programas de
computador.
O controle de acesso lgico pode ser encarado
de duas formas diferentes: a par tir do recurso
computacional que se quer proteger e a partir do
usurio a quem sero concedidos certos privilgios
e acessos aos recursos.

Os controles de acesso, fsicos ou lgicos, tm


como objetivo proteger equipamentos, aplicativos
e arquivos de dados contra perda, modificao
ou divulgao no autorizada. Os sistemas
computacionais, bem diferentes de outros tipos de
recursos, no podem ser facilmente controlados
apenas com dispositivos fsicos, como cadeados,
alarmes ou guardas de segurana.

A proteo aos recursos computacionais baseiase nas necessidades de acesso de cada usurio,
enquanto que a identificao e autenticao do
usurio (confirmao de que o usurio realmente
quem ele diz ser) feita normalmente por meio de
um identificador de usurio (ID) e por uma senha
durante o processo de logon no sistema.

1.2 O que so controles


de acesso lgico?

1.3 Que recursos devem


ser protegidos?

Os controles de acesso lgico so um


conjunto de procedimentos e medidas com o

A proteo aos recursos computacionais


inclui desde aplicativos e arquivos de dados at

utilitrios e o prprio sistema operacional. Abaixo


sero apresentados os motivos pelos quais esses
recursos devem ser protegidos.

a segurana de todo o conjunto de aplicativos,


utilitrios e arquivos.

objeto)

O acesso no autorizado ao cdigo fonte


dos aplicativos pode ser usado para alterar suas
funes e a lgica do programa. Por exemplo,
em um aplicativo bancrio, pode-se zerar os
centavos de todas as contas-correntes e transferir
o total dos centavos para uma determinada conta,
beneficiando ilegalmente esse correntista.

dados

Arquivos de senha

Aplicativos (programas fonte e

Arquivos de

Bases de dados, arquivos ou transaes de


bancos de dados devem ser protegidos para evitar
que os dados sejam apagados ou alterados sem
autorizao, como, por exemplo, arquivos com
a configurao do sistema, dados da folha de
pagamento, dados estratgicos da empresa.

A falta de proteo adequada aos arquivos


que armazenam as senhas pode comprometer
todo o sistema, pois uma pessoa no autorizada,
ao obter identificador (ID) e senha de um usurio
privilegiado, pode, intencionalmente, causar danos
ao sistema. Essa pessoa dificilmente ser barrada
por qualquer controle de segurana instalado, j
que se faz passar por um usurio autorizado.

Arquivos de log

Os arquivos de log so usados para registrar


aes dos usurios, constituindo-se em timas
fontes de informao para auditorias futuras.
Os logs registram quem acessou os recursos
computacionais, aplicativos, arquivos de dados e
utilitrios, quando foi feito o acesso e que tipo de
operaes foram efetuadas.

Um invasor ou usurio no autorizado pode


tentar acessar o sistema, apagar ou alterar dados,
acessar aplicativos, alterar a configurao do
O acesso a utilitrios, como editores, sistema operacional para facilitar futuras invases,
compiladores, softwares de manuteno, e depois alterar os arquivos de log para que suas
monitorao e diagnstico deve ser restrito, j que aes no possam ser identificadas. Dessa forma,
essas ferramentas podem ser usadas para alterar o administrador do sistema no ficar sabendo
aplicativos, arquivos de dados e de configurao que houve uma invaso.
do sistema operacional, por exemplo.

Utilitrios e sistema
operacional

O sistema operacional sempre um alvo


bastante visado, pois sua configurao o
ponto-chave de todo o esquema de segurana. A
fragilidade do sistema operacional compromete

1.4 O que os controles de acesso


lgico pretendem garantir em
relao segurana de informaes?

Os controles de acesso lgico so implantados


com o objetivo de garantir que:
apenas usurios autorizados tenham
acesso aos recursos;
os usurios tenham acesso
aos recursos realmente necessrios
execuo de suas tarefas;

apenas
para a

o acesso a recursos crticos seja


bem monitorado e restrito a poucas pessoas;
os usurios estejam impedidos
de
executar transaes incompatveis com sua funo
ou alm de suas responsabilidades.
O controle de acesso pode ser traduzido,
ento, em termos de funes de identificao
e autenticao de usurios; alocao, gerncia
e monitoramento de privilgios; limitao,
monitoramento e desabilitao de acessos; e
preveno de acessos no autorizados.

1.5 Como os usurios so


identificados e autenticados?
Os usurios dos sistemas computacionais so
identificados e autenticados durante um processo,
chamado Logon. Os processos de logon so usados
para conceder acesso aos dados e aplicativos em
um sistema computacional, e orientam os usurios
durante sua identificao e autenticao.
Normalmente esse processo envolve a entrada
de um ID (identificao do usurio) e de uma senha

(autenticao do usurio). A identificao define


para o computador quem o usurio e a senha
um autenticador, isto , ela prova ao computador
que o usurio realmente quem ele diz ser.
1.5.1 Como deve ser projetado um processo
de logon para ser considerado eficiente?
O procedimento de logon deve divulgar o
mnimo de informaes sobre o sistema, evitando
fornecer a um usurio no autorizado informaes
detalhadas. Um procedimento de logon eficiente
deve:
informar que o computador s deve
ser acessado por pessoas autorizadas;
evitar identificar o sistema ou suas
aplicaes at que o processo de logon esteja
completamente concludo;
durante o processo de logon, evitar
o for necimento de mensagens de ajuda
que poderiam
auxiliar um usurio no
autorizado a completar esse procedimento;
validar a infor mao de logon
apenas quando todos os dados de entrada
estiverem completos. Caso ocorra algum erro,
o sistema no deve indicar qual parte do dado
de entrada est correta ou incorreta, como, por
exemplo, ID ou senha;
limitar o nmero de tentativas de
logon sem sucesso ( recomendado um mximo
de trs tentativas), e ainda:

a) registrar as tentativas de acesso invlidas;


b) forar um tempo de espera antes de
permitir novas tentativas de entrada no
sistema ou rejeitar qualquer tentativa
posterior
de acesso sem autorizao
especfica;
c) encerrar as conexes com o computador.
limitar o tempo mximo para o
procedimento de logon. Se excedido, o sistema
dever encerrar o procedimento;
mostrar as seguintes
informaes,
quando o procedimento de logon no sistema
finalizar com xito:
a) data e hora do ltimo logon com sucesso;
b) detalhes de qualquer tentativa de logon
sem sucesso, desde o ltimo procedimento
realizado com sucesso.
1.5.2 O que identificao do usurio?
A identificao do usurio, ou ID, deve ser
nica, isto , cada usurio deve ter uma
identificao prpria.
Todos os usurios
autorizados devem ter um ID, quer seja um
cdigo de caracteres, car to inteligente ou
qualquer outro meio de identificao. Essa
unicidade de identificao permite um controle
das aes praticadas pelos usurios atravs dos
logs.
No caso de identificao a partir de caracteres,
comum estabelecer certas regras de composio,

como, por exemplo, quantidade mnima e mxima


de caracteres, misturando letras, nmeros e
smbolos.
1.5.3 O que autenticao do usurio?
Aps a identificao do usurio, deve-se
proceder sua autenticao, isto , o sistema
deve confirmar se o usurio realmente quem
ele diz ser. Os sistemas de autenticao so
uma combinao de hardware, software e de
procedimentos que permitem o acesso de usurios
aos recursos computacionais.
Na autenticao, o usurio deve apresentar
algo que s ele saiba ou possua, podendo at
envolver a verificao de caractersticas fsicas
pessoais. A maioria dos sistemas atuais solicita
uma senha (algo que, supostamente, s o
usurio conhece), mas j existem sistemas mais
modernos utilizando cartes inteligentes (algo que
o usurio possui) ou ainda caractersticas fsicas
(algo intrnseco ao usurio), como o formato da
mo, da retina ou do rosto, impresso digital e
reconhecimento de voz.
1.5.4 Como orientar os usurios
em relao s senhas?
Para que os controles de senha funcionem,
os usurios devem ter pleno conhecimento das
polticas de senha da organizao, e devem ser
orientados e estimulados a segui-las fielmente.
Todos os usurios devem ser solicitados a:
manter a confidencialidade das senhas;

no compartilhar senhas;

1.5.5 Que tipos de senhas


devem ser evitadas?

evitar registrar as senhas em papel;


selecionar senhas de boa qualidade,
evitando o uso de senhas muito curtas ou muito
longas, que os obriguem a escrev-las em um
pedao de papel para no serem esquecidas
(recomenda-se tamanho entre seis e oito
caracteres);
alterar a senha sempre que existir
qualquer
indicao
de
possvel
comprometimento do sistema ou da prpria
senha;

Os usurios devem evitar senhas compostas de


elementos facilmente identificveis por possveis
invasores, como por exemplo:
nome do usurio;
identificador do usurio (ID), mesmo
que seus caracteres estejam embaralhados;
nome de membros de sua famlia ou
de amigos ntimos;
nomes de pessoas ou lugares em geral;

alterar a senha em intervalos regulares


ou com base no nmero de acessos (senhas
para usurios privilegiados devem ser alteradas
com maior freqncia que senhas normais);

nome do sistema operacional ou da


mquina que est sendo utilizada;
nomes prprios;

evitar reutilizar as mesmas senhas;


datas;
alterar senhas temporrias no primeiro
acesso ao sistema;

no incluir senhas em processos


automticos de acesso ao sistema (por exemplo,
armazenadas em macros).
Vale lembrar tambm que utilizar a mesma
senha para vrios sistemas no uma boa prtica,
pois a primeira atitude de um invasor, quando
descobre a senha de um usurio em um sistema
vulnervel, tentar a mesma senha em outros
sistemas a que o usurio tem acesso.

nmero s de telefone , de car to


de crdito, de carteira de identidade ou de
outros documentos pessoais;
placas ou marcas de carro;
palavras que constam de dicionrios em
qualquer idioma;
letras ou nmeros repetidos;

letras seguidas do teclado do


computador
(A SDFG, YUIOP);
objetos ou locais que podem ser vistos
a partir da mesa do usurio (nome de um livro
na estante, nome de uma loja vista pela janela);
qualquer senha com menos de seis
caracteres.
Alguns softwares so capazes de identificar
senhas frgeis, como algumas dessas citadas
acima, a par tir de bases de dados de nomes e
seqncias de caracteres mais comuns, e ainda
bloquear a escolha dessas senhas por parte do
usurio. Essas bases de dados normalmente fazem
par te do pacote de software de segurana, e
podem ser atualizadas pelo gerente de segurana
com novas incluses.
1.5.6 Como escolher uma boa senha?
Geralmente so consideradas boas senhas
aquelas que incluem, em sua composio, letras
(maisculas e minsculas), nmeros e smbolos
embaralhados, totalizando mais de seis caracteres.
Porm, para ser boa mesmo, a senha tem de ser
difcil de ser adivinhada por outra pessoa, mas de
fcil memorizao, para que no seja necessrio
anot-la em algum lugar. Tambm conveniente
escolher senhas que possam ser digitadas
rapidamente, dificultando que outras pessoas, a
uma certa distncia ou por cima de seus ombros,
possam identificar a seqncia de caracteres.

Um mtodo bastante difundido selecionar


uma frase significativa para o usurio e utilizar
os primeiros caracteres de cada palavra que a
compe, inserindo smbolos entre eles. tambm
recomendvel no utilizar a mesma senha para
vrios sistemas. Se um deles no for devidamente
protegido, a senha poder ser descober ta e
utilizada nos sistemas que, a priori, estariam
seguros. Outro conselho: adquira o hbito de
trocar sua senha com freqncia. Troc-la a cada
sessenta, noventa dias considerada uma boa
prtica.
Se voc realmente no conseguir memorizar
sua senha e tiver que escrev-la em algum pedao
de papel, tenha pelo menos o cuidado de no
identific-la como sendo uma senha. No pregue
esse pedao de papel no prprio computador, no
guarde a senha junto com a sua identificao de
usurio, e nunca a envie por e-mail ou a armazene
em arquivos do computador.
1.5.7 Como deve ser feita a concesso
de senhas aos usurios?
A concesso de senhas deve ser feita de
maneira for mal, considerando os seguintes
pontos:
solicitar aos usurios a assinatura de
uma declarao,
a fim de manter
a
confidencialidade de sua senha pessoal (isso
pode estar incluso nos termos e condies do
contrato de trabalho do usurio);

garantir, aos usurios, que esto


sendo fornecidas senhas iniciais seguras e
temporrias, forando - os a alter-las
imediatamente no primeiro logon. O for
necimento de senhas temporrias, nos casos
de esquecimento por parte dos usurios, deve
ser efetuado somente aps a identificao
positiva do respectivo usurio;
fornecer as senhas temporrias aos
usurios de for ma segura. O uso de
terceiros
ou
de mensagens de correio
eletrnico desprotegidas (no criptografadas)
deve ser evitado.
1.5.8 O que a instituio pode fazer
para proteger e controlar as senhas
de acesso a seus sistemas?
O sistema de controle de senhas deve ser
configurado para proteger as senhas armazenadas
contra uso no autorizado, sem apresent-las na
tela do computador, mantendo-as em arquivos
criptografados e estipulando datas de expirao
(normalmente se recomenda a troca de senhas
aps 60 ou 90 dias). Alguns sistemas, alm de
criptografar as senhas, ainda guardam essas
informaes em arquivos escondidos que no
podem ser vistos por usurios, dificultando, assim,
a ao dos hackers.
Para evitar o uso freqente das mesmas
senhas, o sistema de controle de senhas deve
manter um histrico das ltimas senhas
utilizadas por cada usurio. Deve-se ressaltar,
entretanto, que a

troca muito freqente de senhas tambm pode


confundir o usurio, que poder passar a escrever
a senha em algum lugar visvel ou escolher uma
senha mais fcil, comprometendo, assim, sua
segurana.
O gerente de segurana deve desabilitar contas
inativas, sem senhas ou com senhas padronizadas.
At mesmo a senha temporria fornecida ao
usurio pela gerncia de segurana deve ser
gerada de forma que j entre expirada no sistema,
exigindo uma nova senha para os prximos logons.
Portanto, deve haver um procedimento que force
a troca de senha imediatamente aps a primeira
autenticao, quando o usurio poder escolher
a senha que ser utilizada dali por diante.
Ex-funcionrios devem ter suas senhas
bloqueadas.
Para
isso,
devem
existir
procedimentos administrativos eficientes que
informem o gerente de segurana, ou o
administrador dos sistemas, da ocorrncia de
demisses ou de desligamentos de funcionrios.
Esses procedimentos, na prtica, nem sempre so
seguidos, expondo a organizao a riscos
indesejveis.
Ta mbm devem ser bloqueadas contas
de usurios aps um deter minado nmero
de tentativas de acesso sem sucesso. Esse
procedimento diminui os riscos de algum tentar
adivinhar as senhas. Atingido esse limite, s o
administrador do sistema poder desbloquear a
conta do usurio, por exemplo.

1.5.9 Existem outras formas de autenticao


do usurio, alm do uso de senhas?
Sim. A autenticao dos usurios pode ser
feita a par tir de tokens, ou ainda, de sistemas
biomtricos.
1.5.10 O que so tokens?
A idia de for necer tokens aos usurios
como forma de identific-los bastante antiga.
No nosso dia-a-dia, estamos freqentemente
utilizando tokens para acessar alguma coisa. As
chaves que abrem a porta da sua residncia ou
seu carto com tarja magntica para utilizar o caixa
eletrnico do banco so exemplos de tokens. O
carto magntico ainda uma token especial, pois
guarda outras informaes, como, por exemplo, a
sua conta bancria.
Token pode ser definida, ento, como um
objeto que o usurio possui, que o diferencia das
outras pessoas e o habilita a acessar algum objeto.
A desvantagem das tokens em relao s senhas
que essas, por serem objetos, podem ser perdidas,
roubadas ou reproduzidas com maior facilidade.

O primeiro car to inteligente, patenteado


em 1975, foi o de Roland Moreno, considerado
o pai do car to inteligente. Comparado ao
carto magntico, que um simples dispositivo
de memria, o carto inteligente no s pode
armazenar informaes para serem lidas, mas
tambm capaz de processar informaes. Sua
clonagem mais difcil e a maioria dos cartes
inteligentes ainda oferece criptografia.
Normalmente o usurio de carto inteligente
precisa fornecer uma senha leitora de carto para
que o acesso seja permitido, como uma medida de
proteo a mais contra o roubo de cartes.
As instituies bancrias, financeiras e
gover namentais so os principais usurios
dessa tecnologia, em funo de seus benefcios
em relao segurana de informaes e pela
possibilidade de reduo de custos de instalaes e
de pessoal, como, por exemplo, a substituio dos
guichs de atendimento ao pblico nos bancos por
caixas eletrnicos. Os cartes inteligentes tm sido
usados em diversas aplicaes: cartes bancrios,
telefnicos e de crdito, dinheiro eletrnico,
segurana de acesso, carteiras de identidade.

1.5.11 O que so cartes


magnticos inteligentes?

1.5.12 O que so sistemas biomtricos?

Os cartes inteligentes so tokens que contm


microprocessadores e capacidade de memria
suficiente para armazenar dados, a fim de dificultar
sua utilizao por outras pessoas que no seus
proprietrios legtimos.

Os sistema s biomtricos so sistema s


automticos de verificao de identidade
baseados em
caractersticas
fsicas do
usurio. Esses sistemas tm como objetivo
suprir deficincias de segurana das senhas, que
podem ser reveladas ou descober tas, e das
tokens, que podem ser perdidas ou roubadas.

Os sistemas biomtricos automticos so


uma evoluo natural dos sistemas manuais
de reconhecimento amplamente difundidos h
muito tempo, como a anlise grafolgica de
assinaturas, a anlise de impresses digitais e o
reconhecimento de voz. Hoje j existem sistemas
ainda mais sofisticados, como os sistemas de
anlise da conformao dos vasos sangneos
na retina.
1.5.13 Que caractersticas humanas podem
ser verificadas por sistemas biomtricos?
Teoricamente, qualquer caracterstica humana
pode ser usada como base para a identificao
biomtrica. Na prtica, entretanto, e xistem
algumas limitaes. A tecnologia deve ser capaz
de medir determinada caracterstica de tal forma
que o indivduo seja realmente nico, distinguindo
inclusive gmeos, porm no deve ser invasiva ou
ferir os direitos dos indivduos.
Um dos problemas enfrentados pelos sistemas
biomtricos atuais sua alta taxa de erro, em
funo da mudana das caractersticas de uma
pessoa com o passar dos anos, ou devido a
problemas de sade ou o prprio nervosismo,
por exemplo. A tolerncia a erros deve ser
estabelecida com preciso, de forma a no ser
grande o suficiente para admitir impostores,
nem pequena demais a ponto de negar acesso
a usurios legtimos. Abaixo sero apresentadas
algumas caractersticas humanas verificadas por
sistemas biomtricos existentes:

Impresses
digitais

so
caractersticas nicas e consistentes. Nos
sistemas biomtricos que utilizam essa opo,
so armazenados de
40 a 60 pontos para verificar uma identidade. O
sistema compara a impresso lida com impresses
digitais de pessoas autorizadas, armazenadas
em sua base de dados. Atualmente, esto sendo
utilizadas impresses digitais em alguns sistemas
governamentais, como, por exemplo, o sistema
de previdncia social na Espanha e o de registro
de eleitores na Costa Rica;
Voz os sistemas de reconhecimento de
voz so usados para controle de acesso, porm
no so to confiveis como as impresses
digitais, em funo dos erros causados por rudos
do ambiente e de problemas de garganta ou nas
cordas vocais das pessoas a eles submetidas;
Geometria da mo tambm
usada em sistemas de controle de acesso, porm
essa caracterstica pode
ser alterada
por
aumento ou diminuio de peso ou pela artrite;
Configurao da ris e da retina
os sistemas que utilizam essas caractersticas
se propem a efetuar identificao mais
confivel do que os sistemas que verificam
impresses digitais. Entretanto, so sistemas
invasivos, pois direcionam feixes de luz aos olhos
das pessoas que se submetem sua
identificao;

R e c o n h e c i m e n t o fa c i a l a t r a v s
d e ter mogramas - o ter mograma facial
uma

imagem captada por uma cmera infravermelha


que mostra os padres trmicos de uma face. Essa
imagem nica e, combinada com algoritmos
sofisticados de comparao de diferentes nveis
de temperatura distribudos pela face, constitui-se
em uma tcnica no-invasiva, altamente confivel,
no sendo afetada por alteraes de sade, idade
ou temperatura do corpo. So armazenados ao
todo 19.000 pontos de identificao, podendo
distinguir gmeos idnticos, mesmo no escuro.
O desenvolvimento dessa tecnologia tem como
um de seus objetivos baratear seu custo para
que possa ser usada em um nmero maior de
aplicaes de identificao e de autenticao.

1.6 Como restringir o acesso


aos recursos informacionais?
O fato de um usurio ter sido identificado
e autenticado no quer dizer que ele poder
acessar qualquer informao ou aplicativo sem
qualquer restrio. Deve-se implementar um
controle especfico, restringindo o acesso dos
usurios apenas s aplicaes, arquivos e utilitrios
imprescindveis para desempenhar suas funes
na organizao. Esse controle pode ser feito por
menus, funes ou arquivos.
1.6.1 Para que servem os controles de menu?
Os controles de menu podem ser usados para
restringir o acesso de diferentes categorias de
usurios apenas queles aplicativos ou utilitrios
indispensveis a cada categoria.

Por e xemplo, em um sistema de folha de


pagamento, poder ser apresentado um menu
inicial com trs opes diferentes: funcionrio,
gerente e setor de recursos humanos. Nesse caso,
o administrador do sistema dever conceder
acesso a cada uma das opes de acordo com a
funo desempenhada pelo usurio. Portanto, o
funcionrio s ter acesso a dados da sua folha
de pagamento pessoal, enquanto que o gerente
poder ter acesso a algumas informaes da
folha de seus funcionrios. O setor de recursos
humanos, para poder alimentar a base de dados
de pagamento, obter um nvel diferente de
acesso e sua interao com o sistema ser feita a
partir de menus prprios para a administrao de
pessoal. Os menus apresentados aps a seleo de
uma das opes (funcionrio, gerente ou setor de
recursos humanos) sero, portanto, diferentes.
1.6.2 Para que servem os controles
de funes de aplicativos?
No que diz respeito s funes internas dos
aplicativos, os respectivos proprietrios devero
definir quem poder acess-las e como, por meio
de autorizao para uso de funes especficas ou
para restrio de acesso a funes de acordo com
o usurio (menus de acesso predefinidos), horrio
ou tipo de recursos (impressoras, fitas backup).
1.6.3 Como proteger arquivos?
A maioria dos sistemas operacionais possui
mecanismos de controle de acesso que definem

as permisses e os privilgios de acesso para


cada recurso ou arquivo no sistema. Quando
um usurio tenta acessar um recurso, o sistema
operacional verifica se as definies de acesso
desse usurio e do recurso desejado conferem. O
usurio s conseguir o acesso se essa verificao
for positiva.
Para garantir a segurana lgica, pode-se
especificar dois tipos de controle, sob ticas
diferentes:
O que um sujeito pode fazer; ou
O que pode ser feito com um objeto.
1.6.4 O que so direitos e
permisses de acesso?
Definir direitos de acesso individualmente para
cada sujeito e objeto pode ser uma maneira um
tanto trabalhosa quando estiverem envolvidas
grandes quantidades de sujeitos e objetos. A
forma mais comum de definio de direitos de
acesso, nesse caso, a matriz de controle de
acesso. Nessa matriz pode-se fazer duas anlises:
uma em relao aos sujeitos; outra, em relao
aos objetos.
Na primeira abordagem, cada sujeito recebe
uma permisso (ou capacidade) que define todos
os seus direitos de acesso. As permisses de acesso
so, ento, atributos, associados a um sujeito ou
objeto, que definem o que ele pode ou no fazer
com outros objetos. Essa abordagem, no
entanto, pouco utilizada, j que, na prtica,
com grandes

quantidades de sujeitos e objetos, a visualizao


exata de quem tem acesso a um determinado
objeto no to clara, comprometendo, assim,
a gerncia de controle de acesso.
Na segunda abordagem, os direitos de acesso
so armazenados com o prprio objeto formando
a chamada lista de controle de acesso (Access
Control List (ACL)).
1.6.5 O que so listas de controle de acesso?
Enquanto a permisso de acesso define o
que um objeto pode ou no fazer com outros, a
lista de controle de acesso define o que os outros
objetos ou sujeitos podem fazer com o objeto a
ela associado. As listas de controle de acesso nada
mais so do que bases de dados, associadas a um
objeto, que descrevem os relacionamentos entre
aquele objeto e outros, constituindo-se em um
mecanismo de garantia de confidencialidade e
integridade de dados.
A definio das listas de controle de acesso
deve ser sempre feita pelos proprietrios dos
recursos, os quais determinam o tipo de proteo
adequada a cada recurso e quem efetivamente
ter acesso a eles.
A gerncia das listas de controle de acesso,
na prtica, tambm complicada. Para reduzir
os problemas de gerenciamento dessas listas e o
espao de memria ou disco por elas ocupado,
costuma-se agrupar os sujeitos com caractersticas
semelhantes ou direitos de acesso iguais. Dessa
forma, os direitos de acesso so associados a

grupos, e no a sujeitos individualizados. Vale


ressaltar que um sujeito pode per tencer a um
ou mais grupos, de acordo com o objeto a ser
acessado.

1.7 Como monitorar o acesso


aos recursos informacionais?
O monitoramento dos sistemas de informao
feito, normalmente, pelos registros de log, trilhas
de auditoria ou outros mecanismos capazes de
detectar invases. Esse monitoramento essencial
equipe de segurana de informaes, j que
praticamente impossvel eliminar por completo
todos os riscos de invaso por meio da identificao
e autenticao de usurios.
Na ocorrncia de uma invaso, falha do sistema
ou atividade no autorizada, imprescindvel
reunir evidncias suficientes para que possam
ser tomadas medidas corretivas necessrias ao
restabelecimento do sistema s suas condies
normais, assim como medidas administrativas e/
ou judiciais para investigar e punir os invasores.
A forma mais simples de monitoramento
a coleta de informaes, sobre determinados
eventos, em arquivos histricos, mais conhecidos
como logs. Com essas informaes, a equipe
de segurana capaz de registrar eventos e de
detectar tentativas de acesso e atividades no
autorizadas aps sua ocorrncia.
1.7.1 O que so logs?

Os logs so registros cronolgicos de atividades


do sistema que possibilitam a reconstruo, reviso
e anlise dos ambientes e das atividades relativas
a uma operao, procedimento ou evento,
acompanhados do incio ao fim.
Os logs so utilizados como medidas de
deteco e monitoramento, registrando atividades,
falhas de acesso (tentativas frustradas de logon ou
de acesso a recursos protegidos) ou uso do sistema
operacional, utilitrios e aplicativos, e detalhando
o que foi acessado, por quem e quando. Com
os dados dos logs, pode-se identificar e corrigir
falhas da estratgia de segurana. Por conterem
informaes essenciais para a deteco de acesso
no autorizado, os arquivos de log devem ser
protegidos contra alterao ou destruio por
usurios ou invasores que queiram encobrir suas
atividades.
1.7.2 O que deve ser registrado em logs?
Devido grande quantidade de dados
armazenada em logs, deve-se levar em
considerao que seu uso pode degradar o
desempenho dos sistemas. Sendo assim,
aconselhvel
balancear a necessidade de
registro de atividades crticas e os custos, em
termos de desempenho global dos sistemas.
Normalmente, os registros de log incluem:
identificao dos usurios;
datas e horrios de entrada
sada do sistema (logoff);

(logon) e

identificao da estao de trabalho


e,
quando possvel, sua localizao;

bloqueio (por exemplo, proteo de tela com


senha);

registros das tentativas de acesso (aceitas


e rejeitadas) ao sistema;

no caso de terminal conectado a


computador de grande
porte,
efetuar a
desconexo quando a sesso for finalizada
(no apenas desligar o terminal, mas utilizar
o procedimento para desconexo).

registros das tentativas de acesso (aceitas


e rejeitadas) a outros recursos e dados.
Ao definir o que ser registrado, preciso
considerar que quantidades enormes de registros
podem ser inviveis de serem monitoradas. Nada
adianta ter um log se ele no periodicamente
revisado. Para auxiliar a gerncia de segurana
na rdua tarefa de anlise de logs, podem ser
previamente definidas trilhas de auditoria mais
simples e utilizados softwares especializados
disponveis no mercado, especficos para cada
sistema operacional.

1.8 Outros controles


de acesso lgico
Outro recurso de proteo bastante utilizado
em alguns sistemas o time-out automtico, isto
, a sesso desativada aps um determinado
tempo sem qualquer atividade no terminal ou
computador. Para restaur-la, o usurio
obrigado a fornecer novamente seu ID e senha.
Em alguns sistemas operacionais, o prprio
usurio, aps sua habilitao no processo de
logon, pode ativar e desativar essa funo de
time-out. Nesse sentido, os usurios devem ser
orientados a:
encerrar as sesses ativas, a menos
que elas possam
ser protegidas por
mecanismo de

Como controle de acesso lgico, a gerncia


de segurana pode ainda limitar o horrio de uso
dos recursos computacionais de acordo com a real
necessidade de acesso aos sistemas. Pode-se, por
exemplo, desabilitar o uso dos recursos nos fins
de semana ou noite.
usual tambm limitar a quantidade de
sesses concorrentes, impedindo que o usurio
consiga entrar no sistema ou na rede a partir de
mais de um terminal ou computador
simultaneamente. Isso reduz os riscos de acesso
ao sistema por invasores, pois se o usurio
autorizado j estiver conectado, o invasor no
poder entrar no sistema. Da mesma forma, se o
invasor estiver logado, o usurio autorizado, ao
tentar se conectar, identificar que sua conta j
est sendo usada e poder notificar o fato
gerncia de segurana.

1.9 Onde as regras de controle


de acesso so definidas?
As regras de controle e direitos de acesso para
cada usurio ou grupo devem estar claramente
definidas no documento da poltica de controle de
acesso da instituio, o qual dever ser fornecido
aos usurios e provedores de ser vio para que

tomem conhecimento dos requisitos de segurana


estabelecidos pela gerncia.

1.9.2 Que cuidados devem ser tomados na


definio das regras de controle de acesso?

1.9.1 O que considerar na elaborao


da poltica de controle de acesso?

Ao especificar as regras de controle de acesso,


devem ser considerados os seguintes aspectos:

A poltica de controle de acesso deve levar em


conta:

diferenciar regras que sempre devem


ser cumpridas das regras opcionais ou
condicionais;

os requisitos de segurana de
aplicaes especficas do negcio da instituio;

estabelecer
regras baseadas na
premissa Tu d o d e v e s e r p r o i b i d o a
menos
q u e expressamente permitido ao
invs da regra Tudo permitido a menos que
expressamente
proibido;

a identificao de toda informao


referente s aplicaes de negcio;

as polticas para autorizao


e
distribuio de informao (por exemplo, a
necessidade de conhecer os princpios e nveis de
segurana, bem
como a classificao da informao);

diferenciar as permisses de usurios


que so atribudas automaticamente por um
sistema de infor mao daquelas atribudas
por um
administrador;

a compatibilidade entre o controle de


acesso e as polticas de classificao da
informao dos diferentes sistemas e redes;

priorizar regras que necessitam da


aprovao de um administrador antes da
liberao daquelas que no necessitam de tal
aprovao.

a legislao vigente e qualquer


obrigao contratual, considerando a proteo
do acesso a dados ou servios;

1.9.3 Que tipo de regras de controle de


acesso devem ser formalizadas na poltica?

o perfil de acesso padro para categorias


de usurios comuns;

O acesso aos sistemas de informao deve ser


controlado por um processo formal, o qual dever
abordar, entre outros, os seguintes tpicos:

o gerenciamento dos direitos de acesso


em todos os tipos de conexes disponveis em
um ambiente distribudo conectado em rede.

utilizao de um identificador de usurio


(ID) nico, de forma que cada usurio possa ser
identificado e responsabilizado por suas aes;


verificao se o usurio obteve
autorizao do proprietrio do sistema de
informao ou servio para sua utilizao;
verificao se o nvel de acesso
concedido ao usurio est adequado aos
propsitos do negcio e consistente com a
poltica de segurana da organizao;

fornecimento, aos usurios,


de
documento escrito com seus direitos de acesso.
Os usurios devero assinar esse documento,
indicando que entenderam as condies de
seus direitos de acesso;
manuteno de um registro formal de
todas as pessoas cadastradas para usar cada
sistema de informaes;
remoo
imediata dos direitos de
acesso de usurios que mudarem de funo ou
sarem da organizao;
verificao peridica da lista de
usurios, com intuito de remover usurios
inexistentes e IDs em duplicidade;

A responsabilidade sobre os controles de


acesso lgico pode ser tanto do gerente do
ambiente operacional como dos proprietrios (ou
gerentes) de aplicativos. O gerente do ambiente
operacional deve controlar o acesso rede, ao
sistema operacional e seus recursos e, ainda, aos
aplicativos e arquivos de dados. responsvel,
assim, por proteger os recursos do sistema contra
invasores ou funcionrios no autorizados.
Enquanto isso, os proprietrios dos aplicativos
so responsveis por seu controle de acesso,
identificando quem pode acessar cada um dos
sistemas e que tipo de operaes pode executar.
Por conhecerem bem o sistema aplicativo sob sua
responsabilidade, os proprietrios so as pessoas
mais indicadas para definir privilgios de acesso de
acordo com as reais necessidades dos usurios.
Dessa for ma, as responsabilidades sobre
segurana de acesso so segregadas entre o
gerente do ambiente operacional de informtica
e os gerentes de aplicativos.

1.11 Em que os usurios podem


ajudar na implantao dos
incluso de clusulas nos contratos controles de acesso lgico?

de funcionrios e prestadores de ser vio,


que especifiquem as sanes a que estaro
sujeitos em caso de tentativa de acesso no
autorizado.

1.10 Quem o responsvel pelos


controles de acesso lgico?

A cooperao dos usurios autorizados


essencial para a eficcia da segurana. Os usurios
devem estar cientes de suas responsabilidades para
a manuteno efetiva dos controles de acesso,
considerando, particularmente, o uso de senhas
e a segurana dos equipamentos de informtica
que costumam utilizar.

TRIBUNAL DE CONTAS DA
UNIO

BOAS PRTICAS EM SEGURANA DA INFORMAO

2. Poltica de Segurana de Informaes


Neste Captulo sero apresentados conceitos
relativos poltica de segurana de informaes,
be m c o mo q u es t e s qu e d em o n s t r a m a
importncia de sua elaborao, implementao
e divulgao.

pelo emissor com os recebidos pelo destinatrio. A


manuteno da integridade pressupe a garantia
de no -violao dos dados com intuito de
alterao, gravao ou excluso, seja ela acidental
ou proposital.

2.1 O que visa a segurana


de informaes?

2.1.2 O que confidencialidade


de informaes?

A segurana de informaes visa garantir a


integridade, confidencialidade, autenticidade e
disponibilidade das informaes processadas pela
organizao. A integridade, a confidencialidade e
a
autenticidade
de
informaes
esto
intimamente relacionadas com os controles de
acesso abordados no Captulo 1.

Consiste na garantia de que somente pessoas


autorizadas tenham acesso s infor maes
armazenadas ou transmitidas por meio de redes
de comunicao. Manter a confidencialidade
pressupe assegurar que as pessoas no tomem
conhecimento de informaes, de forma acidental
ou proposital, sem que possuam autorizao para
tal procedimento.

2.1.1 O que integridade de informaes?


2.1.3 O que autenticidade de informaes?
Consiste na fidedignidade de informaes.
Sinaliza a conformidade de dados armazenados
com relao s inseres, alteraes e
processamentos autorizados efetuados. Sinaliza,
ainda, a conformidade dos dados transmitidos

2
5

Consiste na garantia da veracidade da fonte


das informaes. Por meio da autenticao
possvel confirmar a identidade da pessoa ou
entidade que presta as informaes.

2
5

2.1.4 O que disponibilidade


de informaes?
Consiste na garantia de que as informaes
estejam acessveis s pessoas e aos processos
autorizados, a qualquer momento requerido,
durante o perodo acordado entre os gestores
da informao e a rea de informtica. Manter a
disponibilidade de informaes pressupe garantir
a prestao contnua do servio, sem interrupes
no fornecimento de informaes para quem de
direito.

2.2 Por que importante zelar


pela segurana de informaes?
Porque a infor mao um ativo muito
importante para qualquer organizao, podendo
ser considerada, atualmente, o recurso patrimonial
mais crtico. Infor maes adulteradas, no disponveis, sob conhecimento de pessoas de
m-f ou de concorrentes podem comprometer
significativamente, no apenas a imagem da
organizao perante terceiros, como tambm o
andamento dos prprios processos organizacionais.
possvel inviabilizar a continuidade de uma
organizao se no for dada a devida ateno
segurana de suas informaes.

2.3 O que poltica de segurana


de informaes - PSI?
Poltica de segurana de informaes um
conjunto de princpios que nor teiam a gesto
de segurana de informaes e que deve ser

obser vado pelo corpo tcnico e gerencial e


pelos usurios internos e externos. As diretrizes
estabelecidas nesta poltica determinam as linhas
mestras que devem ser seguidas pela organizao
para que sejam assegurados seus recursos
computacionais e suas informaes.

2.4 Quem so os responsveis


por elaborar a PSI?
r e c o m e n d v e l qu e na est r utur a da
organizao exista uma rea responsvel pela
segurana de informaes, a qual deve iniciar o
processo de elaborao da poltica de segurana
de infor maes, bem como coordenar sua
implantao, aprov-la e revis-la, alm de
designar funes de segurana.
Vale salientar, entretanto, que pessoas de
reas crticas da organizao devem participar
do processo de elaborao da PSI, como a
alta administrao e os diversos gerentes e
proprietrios dos sistemas informatizados. Alm
disso, recomendvel que a PSI seja aprovada pelo
mais alto dirigente da organizao.

2.5 Que assuntos devem


ser abordados na PSI?
A poltica de segurana de infor maes
deve extrapolar o escopo abrangido pelas reas
de sistemas de infor mao e pelos recursos
computacionais. Ela no deve ficar restrita
rea de informtica. Ao contrrio, ela deve estar
integrada viso, misso, ao negcio e s metas

institucionais, bem como ao plano estratgico


de infor mtica e s polticas da organizao
concernentes segurana em geral.

polticas de controle de acesso a recursos


e sistemas computacionais;
classificao das infor maes (de
uso

O contedo da PSI varia, de organizao


para organizao, em funo de seu estgio de
maturidade, grau de informatizao, rea de
atuao, cultura organizacional, necessidades
requeridas, requisitos de segurana, entre outros
aspectos. No entanto, comum a presena de
alguns tpicos na PSI, tais como:
definio de segurana de informaes e
de sua importncia como mecanismo que
possibilita o compartilhamento de informaes;

irrestrito, interno, confidencial e secretas);


procedimentos
deteco de vrus;

de

preveno

princpios legais que devem ser


observados quanto tecnologia da informao
(direitos de propriedade de
produo
intelectual, direitos sobre software, normas
legais correlatas aos sistemas desenvolvidos,
clusulas contratuais);
pri ncpi o s de super vi so
constant e

declarao do comprometimento da
alta administrao com a PSI, apoiando suas
metas e princpios;
objetivos de segurana da organizao;

das tentativas de violao da segurana de


informaes;
conseqncias de violaes de
normas estabelecidas na poltica de segurana;

definio de responsabilidades gerais


na
gesto de segurana de informaes;

princpios de gesto da continuidade do


negcio;

orientaes sobre anlise e gerncia


de riscos;

plano de treinamento em segurana


de informaes.

princpios de conformidade dos


sistemas computacionais com a PSI;

2.6 Qual o nvel de profundidade


que os assuntos abordados
na PSI devem ter?

padres mnimos de qualidade que


esses sistemas devem possuir;

A poltica de segurana de informaes deve


conter princpios, diretrizes e regras genricos e

amplos, para aplicao em toda a organizao.


Alm disso, ela deve ser clara o suficiente para ser
bem compreendida pelo leitor em foco, aplicvel
e de fcil aceitao. A complexidade e extenso
exageradas da PSI pode levar ao fracasso de sua
implementao.
Cabe destacar que a PSI pode ser composta
por vrias polticas inter-relacionadas, como a
poltica de senhas, de backup, de contratao e
instalao de equipamentos e softwares.
A demais, quand o a organizao achar
conveniente e necessrio que sua PSI seja mais
abrangente e detalhada, sugere-se a criao de
outros documentos que especifiquem prticas
e procedimentos e que descrevam com mais
detalhes as regras de uso da tecnologia da
informao. Esses documentos costumam dispor
sobre regras mais especficas, que detalham
as responsabilidades dos usurios, gerentes
e auditores e, normalmente, so atualizados
com maior freqncia. A PSI o primeiro de
muitos documentos com informaes cada vez
mais detalhadas sobre procedimentos, prticas
e padres a serem aplicados em determinadas
circunstncias, sistemas ou recursos.

2.7 Como se d o processo


de implantao da PSI?
O processo de implantao da poltica de
segurana de informaes deve ser formal. No
decorrer desse processo, a PSI deve permanecer
passvel a ajustes para melhor adaptar-se s

reais necessidades. O tempo desde o incio at


a completa implantao tende a ser longo. Em
resumo, as principais etapas que conduzem
implantao bem-sucedida da PSI so: elaborao,
aprovao, implementao , divulgao e
manuteno. Muita ateno deve ser dada s
duas ltimas etapas, haja vista ser comum sua
no- observncia.
Normalmente, aps a
consecuo das trs primeiras etapas,
as
gerncias de segurana acreditam ter cumprido
o dever e esquecem da importncia
da
divulgao e atualizao da PSI.
De forma mais detalhada, pode-se citar como
as principais fases que compem o processo de
implantao da PSI:
identificao dos recursos crticos;
classificao das informaes;
definio, em linhas gerais, dos objetivos
de segurana a serem atingidos;
anlise das necessidades de segurana
(identificao das possveis ameaas, anlise de
riscos e impactos);
elaborao de proposta de poltica;
discusses abertas com os envolvidos;
apresentao de documento for mal
gerncia superior;
aprovao;

publicao;
divulgao;
treinamento;
implementao;

avaliao e
mudanas necessrias;

identificao

reviso.

2.8 Qual o papel da alta


administrao na elaborao
e implantao da PSI?

das

afetados por ela. necessrio que fique bastante


claro, para todos, as conseqncias advindas do
uso inadequado dos sistemas computacionais e de
informaes, as medidas preventivas e corretivas
que esto a seu cargo para o bom, regular e
efetivo controle dos ativos computacionais. A PSI
fornece orientao bsica aos agentes envolvidos
de como agir corretamente para atender s regras
nela estabelecidas. importante, ainda, que a PSI
esteja permanentemente acessvel a todos.

2.10 O que fazer quando


a PSI for violada?
A prpria Poltica de Segurana de Informaes
deve prever os procedimentos a serem adotados
para cada caso de violao, de acordo com sua
severidade, amplitude e tipo de infrator que a
perpetra. A punio pode ser desde uma simples
adver tncia verbal ou escrita at uma ao
judicial.

O sucess o da PSI est diretament e


relacionado com o envolvimento e a atuao
da alta administrao. Quanto maior for o
comprometimento da gerncia superior com
os processos de elaborao e implantao da
PSI, maior a probabilidade de ela ser efetiva e
A Lei n. 9.983, de 14 de julho de 2000, que
eficaz. Esse comprometimento deve ser expresso
altera
o Cdigo Penal Brasileiro, j prev penas
formalmente, por escrito.
para os casos de violao de integridade e quebra
de sigilo de sistemas informatizados ou banco de
2.9 A quem deve ser
dados da Administrao Pblica. O novo art. 313divulgada a PSI?
A trata da insero de dados falsos em sistemas de
A divulgao ampla a todos os usurios informao, enquanto o art. 313-B discorre sobre
inte r nos e e xte r no s orga ni za o um a modificao ou alterao no autorizada desses
passo indispensvel para que o processo de mesmos sistemas. O 1 do art. 153 do Cdigo
implantao da PSI tenha sucesso. A PSI deve ser Penal foi alterado e, atualmente, define penas
de conhecimento de todos que interagem com a quando da divulgao de informaes sigilosas
organizao e que, direta ou indiretamente, sero ou reser vadas, contidas ou no nos bancos de
dados da Administrao Pblica. O fornecimento

ou emprstimo de senha que possibilite o


acesso de pessoas no autorizadas a sistemas de
informaes tratado no inciso I do 1 do art.
325 do Cdigo Penal.
Neste tpico, fica ainda mais evidente a
importncia da conscientizao dos funcionrios
quanto PSI. Uma vez que a Poltica seja de
conhecimento de todos da organizao, no ser
admissvel que as pessoas aleguem ignorncia
quanto s regras nela estabelecidas a fim de
livrar- se da culpa sobre violaes cometidas.
Quando detectada uma violao, preciso
averi gua r sua s c a usa s , c on s eq n c i a s e
circunstncias em que ocorreu. Pode ter sido
derivada de um simples acidente, erro ou mesmo
desconhecimento da PSI, como tambm de
negligncia, ao deliberada e fraudulenta. Essa
averiguao possibilita que vulnerabilidades, at
ento desconhecidas pelo pessoal da gerncia de
segurana, passem a ser consideradas, exigindo,
se for o caso, alteraes na PSI.

2.11 Uma vez definida, a


PSI pode ser alterada?
A PSI no s pode ser alterada, como deve
passar por processo de reviso definido e peridico
que garanta sua reavaliao a qualquer mudana
que venha afetar a anlise de risco original, tais
como: incidente de segurana significativo, novas
vulnerabilidades, mudanas organizacionais ou
na infra-estrutura tecnolgica. Alm disso, deve
haver anlise peridica da efetividade da poltica,

demonstrada pelo tipo, volume e impacto dos


incidentes de segurana registrados. desejvel,
tambm, que sejam avaliados o custo e o impacto
dos controles na eficincia do negcio, a fim de
que esta no seja comprometida pelo excesso ou
escassez de controles.
importante frisar, ainda, que a PSI deve ter
um gestor responsvel por sua manuteno e
anlise crtica.

2.12 Existem normas sobre PSI para


a Administrao Pblica Federal?
O Decreto n. 3.505, de 13 de junho de 2000,
instituiu a Poltica de Segurana da Informao
nos rgos e entidades da A dministrao
Pblica Federal. Em linhas gerais, os objetivos
traados nessa PSI dizem respeito necessidade
de capacitao e conscientizao das pessoas
lotadas nos rgos e entidades da Administrao
Pblica Federal quanto aos aspectos de segurana
da informao; e necessidade de elaborao e
edio de instrumentos jurdicos, normativos
e organizacionais que promovam a efetiva
implementao da segurana da informao. Com
relao s matrias que esses instrumentos devem
versar, o Decreto menciona:

padre s
relacionado s
ao
emp re go d o s p r o d u to s q u e i nc or po ra m
r ec u r s o s criptogrficos;

normas
gerais para
uso
comercializao dos recursos criptogrficos;

nor mas, padres e demais aspectos


necessrios para assegurar a confidencialidade
dos dados;
nor ma s re la cion ad as e miss o de
certificados de conformidade;
normas relativas implementao dos
sistemas de segurana da informao, com intuito
de garantir a sua interoperabilidade, obteno
dos nveis de segurana desejados e permanente
disponibilidade dos dados de interesse para a
defesa nacional.

TRIBUNAL DE CONTAS DA
UNIO

BOAS PRTICAS EM SEGURANA DA INFORMAO

3. Plano de Contingncias
Neste Captulo ser apresentada a importncia
de definio de estratgias que permitam que uma
instituio retorne sua normalidade, em caso de
acontecimento de situaes inesperadas.

naturais (enchentes, ter remotos, furaces),


incndios, desabamentos, falhas de equipamentos,
acidentes, greves, terrorismo, sabotagem, aes
intencionais.

3.1 O que Plano de Contingncias?

O P l a n o d e C o n t i n g n c i a s p o d e s e r
desenvolvido por organizaes que contenham
ou no sistemas computadorizados. Porm,
para efeito desta car tilha, o Plano aplica-se s
organizaes que, em menor ou maior grau,
dependem da tecnologia da informao, pois fazse referncia aos riscos a que essa rea est sujeita,
bem como aos aspectos relevantes para superar
problemas decorrentes.

Plano de Contingncias consiste num conjunto


de estratgias e procedimentos que devem ser
adotados quando a instituio ou uma rea
depara-se com problemas que comprometem o
andamento normal dos processos e a conseqente
prestao dos ser vios. Essas estratgias e
procedimentos devero minimizar o impacto
sofrido diante do acontecimento de situaes
inesperadas, desastres, falhas de segurana, entre
outras, at que se retorne normalidade. O Plano
de Contingncias um conjunto de medidas que
combinam aes preventivas e de recuperao.
Obviamente, os tipos de riscos a que esto
sujeitas as organizaes variam no tempo e no
espao. Porm, pode-se citar como exemplos
de riscos mais comuns a ocorrncia de desastres

3
3

3.2 Qual a importncia do


Plano de Contingncias?
Atualmente, inquestionvel a dependncia
das organizaes aos computadores, sejam
eles de pequeno, mdio ou grande porte. Essa
caracterstica quase generalizada, por si s, j
capaz de explicar a impor tncia do Plano de
Contingncias, pois se para fins de manuteno

3
3

de seus ser vios, as organizaes dependem de


computadores e de informaes armazenadas
em meio eletrnico, o que fazer na ocorrncia
de situaes inesperadas que comprometam
o processamento ou a disponibilidade desses
computadores ou informaes? Ao contrrio
do que ocorria antigamente, os funcionrios
no mais detm o conhecimento integral, assim
como a habilidade para consecuo dos processos
organizacionais, pois eles so, muitas vezes,
executados de forma transparente. Alm disso, as
informaes no mais se restringem ao papel, ao
contrrio, elas esto estrategicamente organizadas
em arquivos magnticos.
Por conseguinte, pode-se considerar o Plano
de Contingncias quesito essencial para as
organizaes preocupadas com a segurana de
suas informaes.

servios temporrios ou com restries, que, pelo


menos, supram as necessidades imediatas e mais
crticas. Cabe destacar que o Plano um entre
vrios requisitos de segurana necessrios para
que os aspectos de integridade e disponibilidade
sejam preservados durante todo o tempo.

3.4 Como iniciar a elaborao


do Plano de Contingncias?
Antes da elaborao do Plano de Contingncias
propriamente dito, importante analisar alguns
aspectos:
riscos a que est exposta a organizao,
probabilidade de ocor rncia e os impactos
decorrentes (tanto aqueles relativos escala do
dano como ao tempo de recuperao);

3.3 Qual o objetivo do


Plano de Contingncias?
O objetivo do Plano de Contingncias manter
a integridade e a disponibilidade dos dados da
organizao, bem como a disponibilidade dos
seus servios quando da ocorrncia de situaes
fortuitas que comprometam o bom andamento
dos negcios. Possui como objetivo, ainda,
garantir que o funcionamento dos sistemas
infor matizados seja restabelecido no menor
tempo possvel a fim de reduzir os impactos
causados por fatos imprevistos. normal que,
em determinadas situaes de anormalidade, o
Plano preveja a possibilidade de fornecimento de

conseqncias que podero advir da

interrupo de cada sistema computacional;

identificao
e priorizao
recursos, sistemas, processos crticos;

de

tempo limite para recuperao dos


recursos, sistemas, processos;

alternativas para recuperao dos


recursos, sistemas, processos, mensurando os
custos e benefcios de cada alternativa.

3.5 Que assuntos devem


ser abordados no Plano
de Contingncias?

De maneira geral, o Plano de Contingncias


contm informaes sobre:
condies
e procedimentos para
ativao do Plano (como se avaliar a situao
provocada por um incidente);
procedimentos a serem seguidos
imediatamen t e aps a ocor rncia de um
desastre (como, por exemplo, contato eficaz com
as autoridades pblicas apropriadas: polcia,
bombeiro, governo local);

documentao dos
aplicativos
crticos, sistema operacional e utilitrios,
bem como suprimentos de informtica, ambos
disponveis na instalao reserva e capazes de
garantir a boa execuo dos processos definidos;
dependncia de recursos e servios
externos ao negcio;
procedimentos necessrios para restaurar
os servios computacionais na instalao
reserva;

a instalao
reser va, com
especificao dos bens de infor mtica nela
disponveis, como hardware, software e
equipamentos de telecomunicaes;

a escala de prioridade
dos
aplicativos, de acordo com seu grau de
inter ferncia nos resultados operacionais e
financeiros da organizao. Quanto mais o
aplicativo influenciar na
capacidade de
funcionamento da organizao, na sua situao
econmica e na sua imagem, mais crtico ele ser;

arquivos,
programas,
procedimentos necessrios para que os
aplicativos crticos entrem em operao no
menor
tempo
possvel,
mesmo que
parcialmente;

pessoas responsveis por e xecutar

comandar cada uma das atividades previstas no


Plano ( interessante definir suplentes, quando
se julgar necessrio);

referncias
responsveis, sejam
terceiros;

para
contato
eles funcionrios

dos
ou

organizaes responsveis por oferecer


servios, equipamentos, suprimentos ou quaisquer
outros bens necessrios para a restaurao;
contratos e acordos que faam parte
do plano para recuperao dos ser vios,
como aqueles
efetuados com
outros
centros de processamento de dados.

3.6 Qual o papel da alta


gerncia na elaborao do
utilitrios e Plano de Contingncias?

sistema operacional,
recursos de telecomunicaes necessrios para
assegurar o processamento dos aplicativos
crticos, em grau pr-estabelecido;

imprescindvel o comprometimento da alta


administrao com o Plano de Contingncias. Na
verdade, este Plano de responsabilidade direta

da alta gerncia, um problema corporativo, pois


trata-se de estabelecimento de procedimentos que
garantiro a sobrevivncia da organizao como
um todo e no apenas da rea de informtica.
Ainda, muitas das definies a serem especificadas
so definies relativas ao negcio da organizao
e no tecnologia da informao.
A alta gerncia deve designar uma equipe
de seguran a especfica para elaborao,
implementao, divulgao, treinamento,
testes, manuteno e coordenao do Plano
de Contingncias. Este deve possuir, ainda, um
responsvel especfico que esteja a frente das
demandas, negociaes e tudo mais que se fizer
necessrio.

3.7 Como garantir que o Plano


funcionar como esperado?
possvel citar trs for mas de garantir a
eficcia do Plano de Contingncias: treinamento
e conscientizao das pessoas envolvidas; testes
peridicos do Plano, integrais e parciais; processo
de manuteno contnua.
3.7.1 Como deve ser realizado o treinamento
e a conscientizao das pessoas?
essencial o desenvolvimento de atividades
educativas e de conscientizao que visem ao
perfeito entendimento do processo de continuidade
de ser vios e que garantam, por conseguinte, a
efetividade do Plano de Contingncias.

Provavelmente, a alta gerncia ser demandada


a fir mar acordos de cooperao com outras
organizaes, assinar contratos orientados para a
recuperao dos servios, entre outros atos.

Cada funcionrio envolvido com o processo de


continuidade de servios, especialmente aqueles
componentes de equipes com responsabilidades
especficas em caso de contingncias, deve ter em
H de ser considerada, ainda, a questo dos mente as atividades que deve desempenhar em
custos. Faz parte das decises da alta gerncia o situaes emergenciais. O treinamento deve ser
oramento a ser disponibilizado para garantir a terico e prtico, inclusive com simulaes. Alm
exeqibilidade do Plano de Contingncias, ou seja, do treinamento, a conscientizao pode ser feita
para possibilitar, alm da sua implementao, sua de outras formas, como distribuio de folhetos e
manuteno, treinamento e testes.
promoo de palestras informativas e educativas
sobre possveis acidentes e respectivos planos de
Diante dos fatos anteriormente abordados, recuperao.
fic a e vident e a ne ce ssi d ad e pre c pu a de
envolvimento da alta gerncia com todo processo
Por fim, vale salientar que um programa de
que garantir o sucesso de implantao do Plano educao continuada que faa com que as pessoas
de Contingncias.
envolvidas sintam-se como participantes ativos do
programa de segurana a melhor maneira de
alcanar o sucesso esperado.

3.7.2 Por que o Plano de


Contingncias deve ser testado?
Os planos de continuidade do negcio
podem apresentar falhas quando testados,
geralmente devido a pressupostos incorretos,
omisses ou mudanas de equipamentos, de
pessoal, de prioridades. Por isto eles devem ser
testados regularmente, de forma a garantir sua
permanente atualizao e efetividade. Tais testes
tambm devem assegurar que todos os envolvidos
na recuperao e os alocados em outras funes
crticas possuam conhecimento do Plano.
Deve existir uma programao que especifique
quando e como o Plano de Contingncias dever
ser testado. Ele pode ser testado na sua totalidade,
caracterizando uma situao bem prxima da
realidade; pode ser testado parcialmente, quando
se restringem os testes a apenas um conjunto
de procedimentos, atividades ou aplicativos
componentes do Plano; ou, ainda, pode ser
testado por meio de simulaes, quando ocorre
representaes de situao emergencial. A partir
da avaliao dos resultados dos testes, possvel
reavaliar o Plano, alter-lo e adequ-lo, se for
o caso.
3.7.3 Que fatos podem provocar
a necessidade de atualizao do
Plano de Contingncias?
Mudanas que tenham ocorrido e que no
estejam contempladas no Plano de Contingncias
devem gerar atualizaes. Quando novos
requisitos forem identificados, os procedimentos

de emergncia relacionados devem ser ajustados


de forma apropriada. Diversas situaes podem
demandar atualizaes no Plano, tais como as
mudanas:
no parque ou ambiente computacional
(ex.: aquisio
de
novo
equipamento,
atualizao de sistemas operacionais, migrao
de sistemas de grande porte para ambiente
cliente-servidor);
administrativas, de pessoas envolvidas
e responsabilidades;
de endereos ou nmeros telefnicos;
de estratgia de negcio;
na localizao e instalaes;
na legislao;
em prestadores de servio, fornecedores
e clientes-chave;
de processos (incluses e excluses);
no risco (operacional e financeiro).
Como demonstrado, as atualizaes regulares
do Plano de Contingncias so de importncia
fundamental para alcanar a sua efetividade.
Deve existir uma programao que especifique
a forma de se proceder manuteno do Plano.
Procedimentos com essa finalidade podem ser
includos no processo de gerncia de mudanas
a fim de que as questes relativas continuidade

de negcios sejam devidamente tratadas. O


controle formal de mudanas permite assegurar
que o processo de atualizao esteja distribudo
e garantido por revises peridicas do Plano
como um todo. A responsabilidade pelas revises
e atualizaes de cada parte do Plano deve ser
definida e estabelecida.

4. TCU e a NBR ISO/IEC 17799


Neste captulo ser comentada a norma NBR
ISO/IEC 17799 como ferramenta de auditoria de
segurana da informao utilizada pelo Tribunal
de Contas da Unio (TCU). A fim de facilitar as
atividades, tanto de gesto quanto de auditoria
de segurana da informao, sero explanadas as
sees da norma e citados acrdos e decises
do Tribunal que tratam, entre outros aspectos, de
segurana da informao.

4.1 De que trata a NBR


ISO/IEC 17799?
A NBR ISO/IEC 17799, norma da Associao
Brasileira de Nor mas Tcnicas (ABNT), trata
de tcnicas de segurana em Tecnologia da
Infor mao, e funciona como um cdigo de
prtica para a gesto da segurana da informao.
Essa norma foi elaborada no Comit Brasileiro
de Computadores e Processamento de Dados,

pela Comisso de Estudo de Segurana Fsica


em Instalaes de Informtica, e equivalente
norma ISO/IEC 17799.

4.2 Por que o TCU utiliza essa norma


como padro em suas auditorias
de segurana da informao?
Alm do reconhecimento da ABNT, como
instituio normalizadora brasileira, as instituies
internacionais ISO (International Organization for
Standardization) e IEC (International Eletrotechnical
Commission), autoras da norma, so mundialmente
reconhecidas por sua capacitao tcnica. A
nor ma ISO/IEC 17799, equivalente nor ma
brasileira, amplamente reconhecida e utilizada
por Entidades Fiscalizadoras Superiores, rgos de
governo, empresas pblicas e privadas nacionais
e internacionais atentas ao tema Segurana da
Informao.

Os objetivos definidos nessa norma provem


diretrizes gerais sobre as prticas geralmente
aceitas para a gesto da segurana da informao.
Apesar de no ter fora de lei, a NBR ISO/IEC
17799 configura-se como a melhor ferramenta de
auditoria de segurana da informao disponvel
at a data de publicao deste Captulo. Em seus
acrdos e decises, o Tribunal j mencionou
duas verses dessa norma: a mais recente, de
2005, e a anterior, de 2001.

4.3 Como est estruturada


a NBR ISO/IEC 17799?
A NBR ISO/IEC 17799, verso 2005, est
dividida em 11 sees:
a) Poltica de segurana da informao;
b) Organizando a segurana da informao;

j) Gesto da continuidade do negcio;


k) Conformidade.

4.4 De que trata a seo Poltica


de segurana da informao?
Essa seo orienta a direo no estabelecimento
de uma poltica clara de segurana da informao,
alinhada com os objetivos do negcio, com
demonstrao de seu apoio e comprometimento
com a segurana da informao por meio da
publicao, manuteno e divulgao da poltica
para toda a organizao. So fornecidas diretrizes
para elaborao do documento e sua anlise
crtica.

4.5 Que acrdos e decises


do TCU tratam, entre outros
aspectos, de Poltica de
segurana da informao?

c) Gesto de ativos;
Acrdo 1092/2007 - Plenrio
d) Segurana em recursos humanos;
e) Segurana fsica e do ambiente;
f) Gesto das operaes e comunicaes;
g) Controle de acessos;
h) Aquisio, desenvolvimento e manuteno
de sistemas de informao;
i) Gesto de incidentes de segurana da
informao;

9.1.2. elabore, aprove e divulgue Poltica


de Segurana da Informao - PSI conforme o
estabelecido na NBR ISO/IEC 17799:2005, item
5.1.1;
9.1.4. crie mecanismos para que as polticas
e normas de segurana da informao se tornem
conhecidas, acessveis e obser vadas por todos
os funcionrios e colaboradores da Empresa
confor me o estabelecid o na NBR ISO/IEC
17799:2005, item 5.1.1;

Acrdo 71/2007 - Plenrio


9.2.6. defina formalmente uma Poltica de
Segurana da Informao - PSI - para o Infoseg,
que fornea orientao e apoio para a segurana
da informao da rede, promovendo-se ampla
divulgao do documento para todos os usurios,
de acordo com o previsto no item 5.1.1 da NBR
ISO/IEC 17799:2005;
9.2.10. crie mecanismos para que as polticas
e normas se tornem conhecidas, acessveis e
obser vadas por todos os usurios e gestores do
Infoseg, de acordo com o previsto no item 5.1.1
da NBR ISO/IEC 17799:2005;

pelo Decreto n 3.505/2000 e pelo Gabinete


de Segurana Institucional da Presidncia da
Repblica, confor me Decreto n. 5.408,
de
1/04/2005;
9.1.6. crie mecanismos para que as polticas
e normas se tornem conhecidas, acessveis e
observadas por todos os servidores e prestadores
de servios do Ministrio;
Acrdo 782/2004 1 Cmara
9.4. [...] formalizem a poltica de segurana
de infor mao do sistema infor matizado
de pagamento de pessoal [...];

Acrdo 562/2006 - Plenrio


Acrdo 461/2004 - Plenrio
9.2.1. desenvolva Plano de Tecnologia da
Informao para ser utilizado no mbito do Sistema
Nacional de Transplantes (SNT) que contemple
[...] o atendimento aos princpios de segurana
da

9.1.1. a concepo e implementao de uma


poltica de segurana de informaes formal e,
preferencialmente, baseada nos ditames da norma
NBR ISO/IEC 17799;

informao, preconizados no item 3.1 da Norma


NBR ISO/IEC 17799:2001;

Deciso 38/2003 - Plenrio

Acrdo 2023/2005 - Plenrio


9.1.2. defina uma Poltica de Segurana da
Informao, nos termos das orientaes contidas
no item 3 da NBR ISO/IEC 17799:2001, que
estabelea os princpios norteadores da gesto da
segurana da informao no Ministrio e que
esteja integrada viso, misso, ao negcio e s
metas
institucionais,
observando
a
regulamentao
ou
as
recomendaes
porventura feitas pelo Comit Gestor de
Segurana da Informao institudo

9.2 d) promova a aprovao de sua poltica de


segurana da informao.
Deciso 595/2002 - Plenrio
8.1.23 b) elaborar e implantar poltica de
segurana de informaes, com abrangncia
nacional e vinculando os prestadores de servios,
prevendo um programa de conscientizao
dos usurios a respeito das responsabilidades
inerentes ao acesso s informaes e utilizao

dos recursos de TI, reavaliando as situaes


existentes, especialmente no tocante segurana
lgica e fsica;

especiais. So fornecidas ainda diretrizes para


o relacionamento com par tes e xter nas,
na
identificao dos riscos relacionados e dos
requisitos de segurana da informao necessrios

Deciso 918/2000 - Plenrio

ao tratar com clientes e terceiros.

8.2.6.3. definir e implementar poltica formal


de segurana lgica, consoante as diretrizes
previstas no Projeto BRA/97-024, de cooperao
tcnica, [...] incluindo aes e procedimentos para
disseminar a importncia da segurana da
informao para os funcionrios da unidade, e
estabelecer segregao
de funes dentro do ambiente de informtica,
notadamente entre desenvolvimento, produo
e administrao de segurana lgica;

4.7 Que acrdos e decises


do TCU tratam, entre outros
aspectos, da Organizao da
segurana da informao?

4.6 De que trata a seo


Organizando a segurana
da informao?
Essa seo da norma orienta a direo de como
gerenciar a segurana da informao dentro da
organizao e, ainda, de como manter a segurana
de seus recursos de processamento da informao,
que so acessados, processados, comunicados ou
gerenciados por partes externas.
So fornecidas diretrizes para definio de infraestrutura de segurana da informao, detalhando
os itens: co mprometiment o da gerncia ,
coordenao, atribuio de responsabilidades,
processo de autorizao para recursos de
processamento da infor mao, acordos de
confidencialidade, anlise crtica independente,
contato com autoridades e grupos de interesses

Infra-estrutura da segurana da informao

Acrdo 1092/2007 - Plenrio


9.1.1. estabelea responsabilidades internas
quanto segurana da informao conforme
o estabelecido na NBR ISO/IEC 17799:2005,
item 6.1.3;
Acrdo 71/2007 - Plenrio
9.2.5. estabelea e identifique formalmente
responsabilidades relativas s questes de
segurana das informaes do Infoseg, de acordo
com o previsto no item 6.1.3 da NBR ISO/IEC
17799:2005;
Acrdo 2023/2005 - Plenrio
9.1.1. estabelea institucionalmente as
atribuies relativas segurana da informao,
conforme preceituam os itens 4.1.1, 4.1.2 e 4.1.3
da NBR ISO/IEC 17779:2001 e o item PO4.6
do Cobit;

9.1.13.6. obrigatoriedade de assinatura


de Te r mo de Compromisso ou A cordo
de Confidencialidade por parte dos prestadores
de ser vios, contendo declaraes
que
permitam aferir que os mesmos tomaram cincia
das normas de segurana vigentes no rgo;

c) assegurar que os procedimentos


restart
sejam executados de maneira correta;

de

d) monitorar as atividades de entrada de dados


no ter minal, microcomputador ou outro
dispositivo similar; e

Acrdo 782/2004 - 1 Cmara


9.3.1. envide esforos para proceder
redefinio do regimento interno da unidade, de
modo que fiquem claramente explicitadas suas
atribuies, responsabilidades e poderes como
gestor de segurana do sistema informatizado de
pagamento de pessoal [...];

Acrdo 461/2004 - Plenrio

e)
investigar
qualquer
procedimentos de entrada
estabelecidos;

desvio
dos
de dados pr-

8.3. 3. qu and o de sua reest r utura o


organizacional, atente para o posicionamento
hierrquico da rea de segurana fsica e lgica de
sistemas, que deve constar em um nvel superior,
de forma a conter todas as funes de segurana
delineadas como necessrias, estabelecendo,
em conseqncia, segregao na execuo das
mesmas;

9.1.8. estudos com vistas criao de uma


gerncia especfica de segurana, preferencialmente
vinculada direo geral;

Deciso 918/2000 - Plenrio

Deciso 1049/2000 - Plenrio

8.2.6.2. realizar estudos com o objetivo de


instituir setor ou gerncia especfica para segurana
lgica na unidade;

8.1.7. estude a possibilidade de criao de


um grupo de controle/segurana, na rea de

Partes externas

informtica, que seja responsvel por:


Acrdo 71/2007 - Plenrio
a) investigar e corrigir qualquer problema
operacional em terminal, microcomputador
ou outro dispositivo de entrada de dados;
b) investigar qualquer ao de inter veno
do operador;

9.2.21. formalize, junto Agncia Estadual


de Tecnologia da Infor mao do Estado de
Pernambuco - ATI -, um termo de compromisso
que contemple de maneira especfica a cpia
das bases de dados do Infoseg que se encontra
naquelas instalaes, estabelecendo nele clusulas

de sigilo e responsabilizao pelo uso indevido


dos equipamentos ou divulgao no autorizada
dos dados;
9.4. [...] defina claramente, tanto nos editais
de licitao como nos contratos, clusulas
contemplando requisitos de segurana da
informao como os previstos no item 6.2.3 da
NBR ISO/IEC 17799:2005;
Acrdo 1663/2006 - Plenrio
9.2.3. elabore o acordo de nvel de ser vio
do Sipia;
Acrdo 914/2006 - Plenrio
9.1.1. fir mem contrato com relao ao
Programa do Fundo de Financiamento ao
Estudante do Ensino Superior (Fies), devendo
ser estabelecida nesse instrumento clusula que

9.3.1.1. participantes do acordo, funes e


responsabilidades;
9.3.1.2. descrio detalhada dos servios que
sero prestados;
9.3.1.3. nveis de ser vios desejados e
respectivos critrios de medio e indicadores,
em termos de disponibilidade, confiabilidade,
tempo de resposta, atendimento ao usurio (helpdesk), capacidade de crescimento, prazos para
solicitao e atendimento de demandas (inclusive
emergenciais), testes, homologao, segurana e
outros que as partes julgarem necessrios;
9.3.1.4. responsvel pela medio dos
servios;
9.3.1.5. aes a serem tomadas quando da
ocorrncia de problemas na prestao dos servios
(aes corretivas, penalidades e outras);

disponha sobre a propriedade intelectual de


programas, documentao tcnica e dados do Acrdo 2085/2005 - Plenrio
Sistema do Financiamento Estudantil (Sifes);
9.3.1. firmem Acordo de Nvel de Ser vio,
ou documento correlato, em relao ao Sifes,
contemplando as reas envolvidas, em especial a
de desenvolvimento do sistema, com o objetivo
de estabelecer entendimento comum sobre a
natureza dos servios propostos e os critrios de
medio de desempenho, devendo este acordo
considerar elementos tais como:

9.4.3. faa prever nos contratos de terceirizao


de ser vios de desenvolvimento de software o
repasse da respectiva tecnologia, incluindo toda
a documentao do produto desenvolvido, com
o intuito de se evitar a futura dependncia do
suporte e da manuteno desse produto, o que
elevaria os custos da terceirizao dessa atividade,
bem como impedir que terceiros tenham acesso
irrestrito aos sistemas desenvolvidos;

Acrdo 2023/2005 - Plenrio


9.1.13. inclua os seguintes requisitos de
segurana em contratos de prestao de servios
e locao de mo-de-obra em Tecnologia da
Informao que vierem a ser celebrados a partir
da presente data, em ateno aos itens 4.2.2 e
4.3.1 da NBR ISO/IEC 17799:2001:
9.1.13.1. obrigatoriedade de aderncia
Poltica de Segurana da Infor mao,
Poltica de Controle de Acesso, Metodologia
de Desenvolvimento de Sistemas e s outras
normas de segurana da informao vigentes no
Ministrio;
9.1.13.2. A cordo de Nvel de Ser vio,
negociado entre os gr upos de usurios e o
for necedor dos ser vios, com o objetivo de
estabelecer um entendimento comum da natureza
dos servios propostos e critrios de medio de
desempenho, que dever conter, no mnimo, os
seguintes elementos: participantes do acordo;
descrio clara dos ser vios e funcionalidades
disponveis, para contratos de prestao de
ser vios; descrio clara dos perfis profissionais
desejados, para contratos de locao de mode-obra; funes e responsabilidades; nveis de
servios desejados em termos de disponibilidade,
prazos, desempenho, segurana, quantidade,
qualidade e outros; indicadores de nveis de
servios; responsvel pela medio dos servios;
aes a serem tomadas quando da ocorrncia de
problemas de mau desempenho (aes corretivas,
penalidades financeiras e outras);

9.1.13.3. definio clara acerca da propriedade


dos dados entregues pela Administrao Pblica
a empresas contratadas, coletados por essas
empresas em nome da A dministrao Pblica
ou produzidos por programas de computadores
decor rentes de contratos de prestao de
servios;
9.1.13.4. definio acerca dos direitos de
propriedade de programas, de acordo com a
Lei n. 9.609/1998, de documentao tcnica e
forma de acesso a eles; se o contrato dispuser
que programas e documentao tcnica no
per tencem Administrao Pblica, o projeto
bsico deve apresentar a justificativa de tal escolha;
caso contrrio, o contrato deve estabelecer de
que for ma e em que prazo se dar o acesso
aos mesmos, inclusive na ocorrncia de fatos
imprevisveis ou de fora maior; recomenda-se
que se estabelea, como data limite para entrega
de programas fontes e documentao, a data de
homologao dos mesmos;
9.1.13.5. obrigatoriedade de manter sigilo
sobre o contedo de programas de computadores
(fontes e executveis), documentao e bases de
dados; deve ser estabelecido um perodo durante o
qual subsistiro as obrigaes de manter sigilo;
9.1.13.6. obrigatoriedade de assinatura
de Te r mo de Compromisso ou A cordo
de Confidencialidade por parte dos prestadores
de ser vios, contendo declaraes
que
permitam aferir que os mesmos tomaram cincia
das normas de segurana vigentes no rgo;

9.1.13.7. garantia do direito de auditar, por


parte da contratada e dos rgos de controle, e
forma de exerccio deste direito;
9.4.4. adote clusulas contratuais para
assegurar que a documentao tcnica, programas
fontes e dados de sistemas regidos por contratos
de prestao de ser vios estejam acessveis ao
Ministrio;
Acrdo 441/2005 1 Cmara
1.3 elabore o Acordo de Nvel de Servio do
Sisfin;
1.4 inclua nas nor mas inter nas a
obrigatoriedade da elaborao de Acordo de
Nvel de Servio para os sistemas crticos;
Deciso 295/2002 - Plenrio

no, reavaliando, entre outros aspectos, a


pertinncia da existncia de funcionrios de
outros rgos ou entidades, especialmente
do SERPRO, que atualmente desempenham
esse papel;

4.8 De que trata a seo


Gesto de ativos?
Essa seo da nor ma orienta a direo a
alcanar e manter a proteo adequada dos
ativos da organizao, alm de assegurar que a
informao seja classificada de acordo com seu
nvel adequado de proteo. So for necidas
diretrizes para realizao de inventrio dos ativos,
definio de seus proprietrios e regras para seu
uso. Em relao classificao da informao,
a norma faz algumas recomendaes e sugere
a definio de procedimentos para rotulao e
tratamento da informao.

8.1.1 - quanto aos sistemas informatizados:

4.9 Que acrdos e decises do


TCU tratam, entre outros
a) revise os atuais critrios de habilitao aspectos, da Gesto de ativos?
de cadastradores do Sistema Integrado de
A dministrao Patrimonial (SIAPA), sejam
eles gerais, parciais ou locais, reavaliando a
pertinncia da existncia de funcionrios do
Ser vio Federal de Processamento de Dados
(SERPRO) desempenhando esse papel;
f) revise os atuais critrios de habilitao de
cadastradores do Sistema do Patrimnio
Imobilirio da Unio (SPIU), sejam eles
gerais, parciais ou locais, lotados na SPU ou

Responsabilidade pelos ativos


Acrdo 1092/2007 - Plenrio
9.1.3. inventarie os ativos de informao
confor me o estabelecido na NBR ISO/IEC
17799:2005, itens 7.1.1 e 7.1.2, e estabelea
critrios para a classificao desses ativos conforme
o estabelecido na NBR ISO/IEC 17799:2005,
item 7.2;

TRIBUNAL DE CONTAS DA
UNIO

BOAS PRTICAS EM SEGURANA DA INFORMAO

Acrdo 71/2007 - Plenrio

Classificao da informao

9.2.19. formalize o inventrio dos ativos do


Infoseg, em conformidade com o previsto no item
7.1.1 da NBR ISO/IEC 17799:2005;

Acrdo 1092/2007 - Plenrio

9.2.20 defina formalmente o proprietrio de


cada ativo constante do inventrio acima, em
conformidade com o item 7.1.2 da NBR ISO/IEC
17799:2005, atentando para a assinatura das
cautelas que se fizerem necessrias;

9.1.3. inventarie os ativos de informao


confo r me o estabelecido na NBR ISO/IEC
17799:2005, itens 7.1.1 e 7.1.2, e estabelea
critrios para a classificao desses ativos conforme
o estabelecido na NBR ISO/IEC 17799:2005,
item 7.2;
Acrdo 1832/2006 - Plenrio

Acrdo 782/2004 - 1 Cmara


9.3.2. adote providncias para designar
for malmente um membro [...] como gestor
do sistema Siappes, e futuramente, do sistema
Sispag;
9.3.5. formule [...] o inventrio de ativos
de informao, compreendendo a classificao
do nvel de confidencialidade de cada ativo
e a definio de procedimentos para garantir
a segurana nas diversas mdias nas quais a
infor mao ar mazenada ou pelas quais
transmitida, como o papel, as fitas magnticas
e as redes local e externa;
Deciso 1049/2000 - Plenrio
8.4.1. adote medidas no sentido de viabilizar
um controle efetivo dos equipamentos de hardware
que compem o parque computacional;

9.1.9 implemente critrios para a classificao


e marcao de infor maes e documentos
sigilosos;
9.2.11 - institua procedimento para atribuir
grau de sigilo a todos os documentos que
contenham, de algum modo, infor maes
estratgicas e/ou privilegiadas, no importando a
quem se destine, ou quem deter a sua posse;
Acrdo 2023/2005 - Plenrio
9.1.4. crie critrios de classificao das
informaes a fim de que possam ter tratamento
diferenciado conforme seu grau de importncia,
criticidade e sensibilidade, a teor do disposto pelo
item 5 da NBR ISO/IEC 17799:2001;

Acrdo 441/2005 1 Cmara


1.5 implemente a indicao de classificao das
informaes apresentadas nas telas e relatrios dos
novos sistemas que esto em desenvolvimento em
substituio ao Sisfin;

conscientes das ameaas relativas segurana


da informao e prontos para apoiar a poltica
de segurana da informao da organizao. So
fornecidas diretrizes para definio de papis e
responsabilidades, inclusive da direo, seleo
de pessoal, termos e condies de contratao,
conscientizao, educao e treinamento em

Acrdo 782/2004 - 1 Cmara

segurana da informao, e processo disciplinar.

9.3.5. formule [...] o inventrio de ativos


de informao, compreendendo a classificao
do nvel de confidencialidade de cada ativo
e a definio de procedimentos para garantir
a segurana nas diversas mdias nas quais a
infor mao ar mazenada ou pelas quais
transmitida, como o papel, as fitas magnticas
e as redes local e externa;

Para os casos de encerramento ou mudana


da contratao, so fornecidas diretrizes para
encer ramento de atividades, devoluo de
ativos e retirada de direitos de acesso. Essa seo
abrange contratao temporria ou de longa
durao de pessoas, nomeao e mudana de
funes, atribuio de contratos e encerramento
de qualquer uma dessas situaes.

Acrdo 461/2004 - Plenrio

4.11 Que acrdos e decises


do TCU tratam, entre outros
9.1.6. a classificao do nvel de segurana aspectos, da Segurana de
e controle de acesso aos dados, no mbito do recursos humanos?
Projeto Repositrio;
Acrdo 2023/2005 - Plenrio
Deciso 1098/2002 - Plenrio
8.3 [...] coordene a elaborao de
metodologia para classificao das informaes,
nos termos do item 5.2 da Norma ISO/IEC
17799:2001.

4.10 De que trata a seo


Segurana em recursos humanos?
Essa seo da nor ma orienta a direo a
assegurar que funcionrios, fornecedores e terceiros
compreendam suas responsabilidades, estejam

9.1.3.4. identificao dos responsveis pela


guarda dos termos de compromisso assinados,
alm do tempo mnimo de armazenamento desses
documentos, conforme propem os itens 6.1.4 e
6.3.5 da NBR ISO/IEC 17799:2001;
Acrdo 782/2004 - 1 Cmara
9.2.1. adote procedimentos for mais de
concesso e de validao peridica de senhas de
usurios de sistemas informatizados, bem como

TRIBUNAL DE CONTAS DA
UNIO

BOAS PRTICAS EM SEGURANA DA INFORMAO

de cancelamento de acesso de usurios que so


desligados da unidade;

SERPRO, inclusive per tencentes equipe de


manuteno do sistema;

9.2.4. e 9.3.4. adote um programa de


treinamento especfico para a rea de segurana
de sistemas, enfocando aspectos de segurana
fsica e lgica, bem assim a reao dos funcionrios
frente ocorrncia de contingncias que possam
afetar a continuidade dos servios;

Deciso 918/2000 Plenrio

Deciso 1098/2002 - Plenrio

8.2.6.3. definir e implementar poltica formal


de segurana lgica, consoante as diretrizes
previstas no Projeto BRA/97-024, de cooperao
tcnica [...], incluindo aes e procedimentos para
disseminar a importncia da segurana da
informao para os
funcionrios da unidade, e estabelecer segregao

8.2.6 automatizao de procedimento de


cancelamento de acessos e autorizaes, no caso
de mudana de situao do servidor;

Deciso 295/2002 - Plenrio


8.1.1 - quanto aos sistemas informatizados:
b) reveja as habilitaes de todos os usurios
do SIAPA lotados na [...], reavaliando no apenas
sua permanncia na Secretaria, como tambm seu
local de trabalho (gerncia) e a pertinncia dos
nveis de acesso concedidos;
d) estabelea controle sistemtico e oriente as
Gerncias Regionais [...] quanto necessidade de
excluso de usurios do SIAPA, no Senha-Rede,
quando das suas sadas da [..];
h) reveja as habilitaes de todos os usurios
do SPIU, lotados na [...] ou no, reavaliando sua
permanncia no rgo e a pertinncia dos nveis
de acesso concedidos, assim como os inmeros
acessos concedidos a funcionrios lotados no

8.1.1 adote aes especficas de orientao aos


gestores locais, quanto aos aspectos de segurana
do IH/SUS, elaborando, se necessrio, normas e
cartilhas para tal mister;

de funes dentro do ambiente de informtica,


notadamente entre desenvolvimento, produo
e administrao de segurana lgica;

4.12 De que trata a seo


Segurana fsica e do ambiente?
Essa seo da nor ma orienta a direo a
prevenir acesso fsico no autorizado, danos
e interferncias nas instalaes e informaes,
assim como a impedir perdas, danos, furto ou
comprometiment o de ativos e inter r upo
das atividades da organizao. So fornecidas
diretrizes para reas seguras, incluindo permetro
de segurana fsica, controles de entrada fsica,
segurana em escritrios, salas e instalaes,
proteo contra ameaas externas e do meio
ambiente e acesso do pblico, reas de entrega
e carregamento.

Para a segurana de equipamentos, so dadas


recomendaes para instalao e proteo de
equipamento, inclusive contra falta de energia
eltrica e outras interrupes provocadas por
falhas das utilidades, segurana do cabeamento,
manuteno de equipamentos, segurana
de equipamentos fora das dependncias da
organizao, reutilizao e alienao segura
de equipamentos, e, por fim, remoo de
propriedade.

4.13 Que acrdos e decises


do TCU tratam, entre outros
aspectos, da Segurana
fsica e do ambiente?

Acrdo 1832/2006 - Plenrio


9.2.9 - implemente medidas no sentido de
garantir maior segurana s informaes relativas
dvida, notadamente no que tange ao acesso
de pessoas estranhas ou no autorizadas aos
diversos recintos envolvidos com a operao da
dvida pblica, at que o Projeto de Segurana
seja definitivamente implantado;
Acrdo 2085/2005 - Plenrio

reas seguras

9.4.1. no autorize o acesso de terceiros s


reas dos sistemas informatizados da empresa
que possam possibilitar a execuo de transaes
indevidas, de forma a evitar a sua exposio a um
risco maior de fraudes;

Acrdo 71/2007 - Plenrio

Acrdo 782/2004 - 1 Cmara

9.2.17. estabelea um permetro de segurana


nas instalaes da gerncia do Infoseg (barreiras
tais como paredes, portes de entrada controlados
por car to ou balco com recepcionista), em
conformidade com o item 9.1.1 da NBR ISO/IEC
17799:2005;

9.3.7. formalize um esquema de segurana


especial para guarda e manipulao das fitas, com
a criao de um ambiente de acesso restrito para
o seu armazenamento, visando garantir que a
informao nelas contida no seja consultada ou
alterada indevidamente;

9.2.18. realize as obras necessrias de forma


que se constituam barreiras fsicas suficientes
nas instalaes da gerncia do Infoseg que
impeam o acesso de pessoas no autorizadas,
em conformidade com a diretriz b do item 9.1.1
da NBR ISO/IEC 17799:2005;

Deciso 918/2000 - Plenrio


8.2.6.10. adotar procedimentos de segurana
fsica efetivos para prevenir o acesso de pessoas
no autorizadas ao ambiente de processamento
de dados (CPD);

8.2.6.11. divulgar inter na ment e os


procedimentos de proteo contra incndios e
envidar esforos para instituir Comisso Interna
de Preveno de Acidentes (Cipa);

fornecidas diretrizes tambm para gerenciamento


de servios terceirizados, planejamento e aceitao
de sistemas, proteo contra cdigos maliciosos e
mveis, cpias de segurana, gerenciamento da
segurana em redes, manuseio de mdias, troca

Deciso 445/1998 - Plenrio

de informaes, servios de correio eletrnico e,


por fim, monitoramento.

3.7.1. disciplinar de forma rgida o acesso


de pessoas aos andares do prdio onde a
Gerncia Executiva de Tecnologia [...] se encontra
instalada;
Segurana de equipamentos

4.15 Que acrdos e decises do


TCU tratam, entre outros
aspectos, do Gerenciamento das
operaes e comunicaes?
Procedimentos e responsabilidades

Acrdo 2083/2005 2 Cmara

operacionais

9.3.13. adote medidas no sentido da instalao


de No Break nos computadores da Empresa de
modo a afastar o risco de perda de dados e avarias
no software;

Acrdo 914/2006 - Plenrio


9.5.3. providencie a implantao do Sifes
em ambiente de homologao dedicado a essa
finalidade;

Acrdo 2023/2005 - Plenrio


Acrdo 562/2006 - Plenrio
9.1.15. aprimore os controles de acesso fsico
aos computadores e equipamentos considerados
crticos;

4.14 De que trata a seo


Gerenciamento das operaes
e comunicaes?
Essa seo da nor ma orienta a direo
quanto aos procedimentos e responsabilidades
operacionais, incluindo gesto de mudanas,
segregao de funes e separao dos ambientes
de produo, desenvolvimento e teste. So

9.2.2. elabore e distribua a todas as CNCDOs


manual de procedimentos, instr uindo sobre
operao e controle dos sistemas monousurios,
que contemple pelo menos procedimentos
detalhados para realizao, guarda e restaurao
de cpias de segurana; orientao quanto ao
uso de senhas por par te dos operadores do
sistema; orientao quanto segurana fsica dos
equipamentos que efetuam o processamento do
sistema; orientao quanto utilizao de software
de proteo contra programas maliciosos (vrus);
e elaborao de plano de contingncia para o

sistema, de forma a evitar que, em eventuais falhas


no seu funcionamento ou nos equipamentos,
as listas de provveis receptores deixem de ser
emitidas;

ocasionadas pelo fato de um mesmo usurio ser


detentor de permisses para modificar o cdigo
fonte do sistema, inserir e consultar dados;
Deciso 1380/2002 - Plenrio

Acrdo 2023/2005 - Plenrio


9.1.14. o acesso ao ambiente de produo
por tcnicos da CGI seja feito de forma controlada
pelos gestores dos sistemas;

8.3.4 defina procedimentos claros, escritos


ou automatizados, que esclaream os passos
a serem adotados em caso de necessidade de
reprocessamento de qualquer rotina batch;

9.4.8. no assuma responsabilidades inerentes


s reas de negcio, como a insero, alterao e
excluso de informaes em bases de dados;

Deciso 295/2002 Plenrio

9.4.9. evite e xecutar procedimentos que


envolvam alteraes de informaes diretamente
na base de dados de produo, devendo as
situaes de exceo, depois de devidamente
identificadas, ser implementadas dentro das
funcionalidades dos respectivos sistemas,
tornando-as disponveis para serem utilizadas de
forma segura pelos usurios desses sistemas;

c) proceda reavaliao geral das pessoas


habilitadas no SIAPA, particularmente com relao
quelas lotadas em outros rgos/entidades,
como o SERPRO;

9.4.11. crie procedimentos automatizados


(preferencialmente um sistema) que permitam o
acompanhamento detalhado das demandas de TI
feitas pelas outras reas do Ministrio;

8.1.1 - quanto aos sistemas informatizados:

h) reveja as habilitaes de todos os usurios


do SPIU, lotados na [...] ou no, reavaliando sua
permanncia no rgo e a pertinncia dos nveis
de acesso concedidos, assim como os inmeros
acessos concedidos a funcionrios lotados no
SERPRO, inclusive per tencentes equipe de
manuteno do sistema;
Deciso 1049/2000 Plenrio

Acrdo 782/2004 - 1 Cmara


9.3.3. adote providncias para elaborar um
esquema de segregao de funes e atividades,
incluindo a sep ar a o dos ambien te s de
desenvolvimento, teste e produo, de modo a
minimizar a possibilidade de ocorrncia de fraudes

8.3.16. estude a possibilidade de criar um


pseudo -sistema dentro do Designer 2000
que per mita o acesso somente leitura da
documentao pelas equipes de desenvolvimento,
para que no se perca o controle sobre alteraes
efetuadas;

Deciso 918/2000 - Plenrio

Deciso 1049/2000 - Plenrio

8.2.6.3. [...] estabelecer segregao de


funes dentro do ambiente de informtica,
notadamente entre desenvolvimento, produo e
administrao de segurana lgica;

8.3.1. proceda a estudos objetivando a


otimizao da utilizao de seus mainframes,
incluindo projees futuras dessa utilizao, com
vistas a evitar problemas no processamento de
dados;

8.2.8. adote providncias com vistas a exercer


super viso direta e efetiva das atividades de
operao do CPD;

Proteo contra cdigos


maliciosos e cdigos mveis

Planejamento e aceitao dos sistemas

Deciso 918/2000 Plenrio

Acrdo 71/2007 - Plenrio

8.2.10.3. intensificar aes visando tornar mais


eficientes os procedimentos de proteo
antivrus
dos
seus
microcomputadores,
implementando, assim que possvel, dispositivos
para automatizar a atualizao das verses de
softwares antivrus nos equipamentos instalados,
bem como divulgando

9.2.13. estabelea critrios for mais para


homologao e aceitao de atualizaes e novas
verses do Infoseg, de acordo com o previsto no
item 10.3.2 da NBR ISO/IEC 17799:2005;

internamente a necessidade de aplicar o programa


Acrdo 1663/2006 - Plenrio
9.1.4. implemente sistemtica de homologao
e controle das verses implantadas do Sipia;

antivrus sobre disquetes provenientes de outros


equipamentos;
Cpias de segurana

Acrdo 914/2006 - Plenrio

Acrdo 71/2007 - Plenrio

9.3.2. faam constar do contrato firmado


entre ambos a e xigncia de etapa for mal
de
homologao
[...]
das
alteraes
implementadas no Sifes pelo agente operador;

9.2.15. for malize poltica de gerao de


cpias de segurana para o Infoseg, de acordo
com o previsto no item 10.5.1 da NBR ISO/IEC
17799:2005;

9.5.1. realize adequadamente os testes e


homologao
do
Sifes,
mantendo
a
documentao dos procedimentos realizados;

9.2.16. armazene as mdias contendo cpias


de segurana do Infoseg em local diverso da
operao do sistema, de acordo com a diretriz d
do item 10.5.1 da NBR ISO/IEC 17799:2005;

Acrdo 1049/2000 Plenrio


8.3.13. adote providncias com vistas a:

de rede; utilizao de software adequado para


gerncia de rede; implementao, to logo
possvel, de dispositivo tipo firewall para preservar
a segurana da rede;

a) preservar as verses anteriores das estruturas


de banco de dados, de for ma a recompor Deciso 445/1998 Plenrio
emergencialmente situaes anteriores;
Deciso 445/1998 - Plenrio

3.7.3. definir, com a maior brevidade possvel,


mecanismos de segurana na rea de transmisso
de dados;

3.7.2. definir, oficialmente, junto aos gestores


responsveis, uma sistemtica de back-up para
os sistemas existentes;

Manuseio de mdias
Acrdo 1832/2006 - Plenrio

Gerenciamento da segurana em redes


Deciso 918/2000 - Plenrio
8.2.10. adote providncias para melhorar
a eficincia e eficcia das aes/procedimentos
referentes gerncia da sua rede de comunicao
e de microcomputadores, sem prejuzo de:
8.2.10.1. realizar estudos com o fito de
instituir setor ou gerncia especfica para rede na
unidade, sem prejuzo de definir e implementar
poltica formal de gerenciamento da rede,
consoante as diretrizes previstas no Projeto
BRA/97-024;

9. 1. 4 e st ab ele a p r o c e d i m e n t o p ar a
controlar fisicamente o acesso de pessoas aos
documentos;
9.1.10 estabelea procedimento para controlar
fisicamente e registrar o acesso de pessoas aos
documentos que contenham infor maes
estratgicas e/ou privilegiadas, que possam
beneficiar terceiros;
9.2.12 adote procedimento especial para o
registro e a tramitao de todos os documentos,
que contenham, de algum modo, informaes
estratgicas e/ou privilegiadas;

8.2.10.2. aprimorar o controle do processamento


em rede, especialmente quanto adoo de: testes Acrdo 2023/2005 - Plenrio
e verificaes sistemticas dos procedimentos e
recursos relativos ao processamento de rede;
9.4.2. crie e defina mecanismos de
polticas e procedimentos especficos de auditoria ge r e n c i am en t o qu e ga ra n ta m a gua rd a

e r e c u p e r a o d a s v e r s e s a t u a l i z a d a s processamento mensal), bem como o processo


da documentao de sistemas pelo setor de disponibilizao dos respectivos arquivos de
responsvel;
sada na BBS/MS;
Acrdo 782/2004 - 1 Cmara

Deciso 445/1998 - Plenrio

9.3.5. [...] definio de procedimentos para


garantir a segurana nas diversas mdias nas
quais a informao armazenada ou pelas quais
transmitida, como o papel, as fitas magnticas
e as redes local e externa;

3.7.7. elaborar documentao completa


dos sistemas que compem o FGTS e mant-la
atualizada em ambientes de fcil acesso por quem
for autorizado;
Troca de informaes

9.3.7. formalize um esquema de segurana


especial para guarda e manipulao das fitas, com
a criao de um ambiente de acesso restrito para
o seu armazenamento, visando garantir que a
informao nelas contida no seja consultada ou
alterada indevidamente;

Acrdo 1832/2006 - Plenrio


9.2.12 - adote procedimento especial para o
registro e a tramitao de todos os documentos,
que contenham, de algum modo, informaes
estratgicas e/ou privilegiadas;

Deciso 1049/2000 - Plenrio


Acrdo 782/2004 - 1 Cmara
8.3.16. estude a possibilidade de criar um
pseudo -sistema dentro do Designer 2000
que per mita o acesso somente leitura da
documentao pelas equipes de desenvolvimento,
para que no se perca o controle sobre alteraes
efetuadas;

9.3.5. [...] definio de procedimentos para


garantir a segurana nas diversas mdias nas
quais a informao armazenada ou pelas quais
transmitida, como o papel, as fitas magnticas
e as redes local e externa;

Deciso 918/2000 Plenrio

Deciso 445/1998 - Plenrio

8.1.6. envide esforos para automatizar


o controle de qualidade do processamento
do SIH/SUS (conferncia da regularidade do

3.7.3. definir, com a maior brevidade possvel,


mecanismos de segurana na rea de transmisso
de dados;

Monitoramento

impor tncia similar, fique registrada a autoria,


com a identificao do ser vidor, devendo os

Acrdo 71/2007 - Plenrio

sistemas permitir que o controle possa rastrear


qualquer operao realizada, de forma que estes
mesmos sistemas no permitam que haja qualquer
condio de burlar informaes ex-post;

9.2.24. implemente controles compensatrios


(autorizao formal, registro e monitoramento das
alteraes) para as operaes dos administradores
de banco de dados do Infoseg de for ma a
permitir o registro e rastreamento das operaes
realizadas na base de dados com privilgios, em
conformidade com o previsto no item 10.10.4 da
NBR ISO/IEC 17799:2005;
9.2.28. implemente trilhas de auditoria para
as atualizaes no ndice Nacional do Infoseg, em
conformidade com o previsto no item 10.10.1 da
NBR ISO/IEC 17799:2005, contendo, no mnimo,
a data-hora da alterao, o dado alterado e a
identificao do responsvel pela alterao;
9.2.29. implemente trilhas de auditoria para as
concesses e revogaes das contas de HOST do
Infoseg, em conformidade com o previsto no item
10.10.1 da NBR ISO/IEC 17799:2005;
Acrdo 1832/2006 - Plenrio
9.2.17 implante mecanismos nos sistemas
da dvida, de modo que no haja possibilidade
de alterao de informaes e de decises j
processadas e que, em qualquer manuseio de
infor mao ou qualquer tomada de deciso
estratgica, que envolva altos volumes de
recursos, ou outras decises com nvel de

Acrdo 1663/2006 - Plenrio


9.1.1. inclua nos arquivos log e xistentes
no Sipia, as informaes relativas s alteraes
efetuadas;
Acrdo 2023/2005 - Plenrio
9.4.10. altere o sistema de gerncia de acessos
para que nele sejam acrescentadas trilhas de
auditoria para permitir futuras investigaes de
concesso e revogao de acesso de usurios aos
sistemas [...], contendo, entre outras, informaes
sobre as datas e os responsveis por essas
concesses e revogaes;
9.5.1. retire do sistema CPMR a possibilidade
de excluso fsica de processos; o processo pode
ser excludo desde que todas as suas informaes,
inclusive as da excluso, continuem registradas
no sistema;
9.5.2. implemente rotinas que mantenham o
registro de eventos relevantes do sistema CPMR;
esses registros devem conter, no mnimo, o autor,
a data e a descrio do evento;

Acrdo 782/2004 - 1 Cmara


9.2.2. inclua, no mbito do planejamento de
segurana do sistema de pagamento de pessoal
[...], a anlise regular e sistemtica dos registros
(logs) de sistema operacional e do prprio sistema
de pagamento;
9.2.3. utilize, preferencialmente, ferramentas
de auditoria, como softwares especializados, na
anlise dos registros (logs) de sistema a serem
efetuadas;
Acrdo 461/2004 - Plenrio

Deciso 1049/2000 Plenrio


8.3.13. adote providncias com vistas a:
b) manter um histrico das alteraes
efetuadas nos bancos de dados, juntamente
com suas justificativas, com vistas a fundamentar
decises tomadas, assim como dar subsdios a
decises futuras;
8.4.2. adote medidas visando agilizar a
implementao dos produtos do Projeto DAP
12, atentando para procedimentos relativos ao

9.1.4. a anlise regular de arquivos logs com


utilizao, sempre que possvel, de softwares
utilitrios especficos, para monitoramento do
uso dos sistemas;

programa de segurana, especialmente quanto


a: anlise dos logs e relatrios de violaes dos
procedimentos de segurana; proteo dos
logs contra destruio intencional ou acidental;
violaes de segurana; e tentativas frustadas de
acesso ao sistema;

Deciso 1380/2002 - Plenrio

Deciso 918/2000 - Plenrio

8.1.1.1 crie arquivo contendo histrico das


operaes realizadas;

8.2.6.9. adotar procedimentos de anlise


regular de arquivos tipo log, visando detectar
eventuais violaes ou tentativas de violao dos

Deciso 1098/2002 - Plenrio

procedimentos de segurana;

8.2.9 manuteno de logs de concesso de


acesso e de autorizao, permitindo consultas
rpidas;

8.2.9. implemente meios e procedimentos


voltados gerncia de problemas relativos ao seu
ambiente computacional, adotando, se possvel,
software adequado para essa finalidade, bem
como anlise sistemtica das falhas verificadas,
mantendo os respectivos registros histricos com
o fito de promover aes preventivas nessa rea;

Deciso 445/1998 - Plenrio


3.7.18. realizar o controle dirio, no SFG e
FGI, das alteraes efetuadas nos dados
cadastrais de empregados, principalmente no que
se refere aos dados que qualificam o titular da
conta, nome de empregado, nmero
do
PIS/Pasep e nmero da Carteira de Trabalho e
Previdncia Social;

de acesso e responsabilidades do usurio, controle


de acesso rede, sistema operacional, aplicao e
informao, e, por fim, aspectos sobre computao
mvel e trabalho remoto. Tais diretrizes englobam
desde a definio de uma poltica de controle de
acesso e o gerenciamento de privilgios at o
isolamento de sistemas sensveis.

4.17 Que acrdos e decises do


TCU tratam, entre outros aspectos,
3.7.19. aprimorar os recursos hoje existentes do Controle de acessos?

nos sistemas SFG e FGI referentes a consultas


de alteraes efetuadas em dados cadastrais de
empregados com vistas a melhor adequ-las ao
controle, facilitando o acompanhamento das
transaes processadas;
3.7.20. elaborar procedimentos, consultas/
relatrios, que possibilitem o controle concomitante
das alteraes processadas no Sistema de Controle
de Emprstimos e Refinanciamentos - CER;

Requisitos de negcio para


controle de acesso
Acrdo 1092/2007 - Plenrio
9.1.5. defina e divulgue Poltica de Controle
de Acesso - PCA conforme o estabelecido na NBR
ISO/IEC 17799:2005, item 11.1.1;
Acrdo 71/2007 - Plenrio

3.7.22. elaborar consultas on-line no Sistema de


Controle de Segurana, SSG, e rever as j existentes
no intuito de possibilitar um acompanhamento
mais rigoroso por parte dos responsveis pelo
controle de acesso lgico aos sistemas;

4.16 De que trata a seo


Controle de acessos?

9.2.7. defina for malmente uma Poltica


de Controle de Acesso - PCA - para o Infoseg,
contemplando usurios Web, host de atualizao
e da rede interna da gerncia do Infoseg, de
acordo com o previsto no item 11.1.1 da NBR
ISO/IEC 17799:2005;
Acrdo 1663/2006 - Plenrio

Essa seo da norma orienta a direo quanto


aos controles de acesso infor mao e aos
recursos de processamento das informaes. So
fornecidas diretrizes para definio de requisitos de
negcio para controle de acesso, gerenciamento

9.1.2. estabelea processo formal de concesso


de senhas e aumente o controle sobre os privilgios
dos usurios;

TRIBUNAL DE CONTAS DA
UNIO

Acrdo 2023/2005 - Plenrio


9.1.3. defina uma Poltica de Controle de
Acesso aos ativos de informao que contenha,
no mnimo:

BOAS PRTICAS EM SEGURANA DA INFORMAO

9.2.25. utilize identificadores de usurios nicos


para o Infoseg (senha nica no compartilhada)
de forma fixar a responsabilidade de cada usurio,
inclusive para os usurios com privilgios de
administrao, em conformidade com o previsto
no item 11.2.1 da NBR ISO/IEC 17799:2005;

Deciso 295/2002 - Plenrio


8.1.1 - quanto aos sistemas informatizados:
g) proceda reavaliao completa dos perfis
definidos no Senha-Rede para o SPIU, excluindo
aqueles redundantes ou que no mais sejam
utilizados;
Deciso 445/1998 Plenrio
3.7.4. criar controle nico de acesso lgico para
o ambiente do Gerenciador de Banco de Dados
DB2, a exemplo do SSG no ambiente IDMS;
3.7.5. definir regras que regulamentem
o acesso de usurios e xter nos ao
ambiente computacional do FGTS;
Gerenciamento de acesso do usurio
Acrdo 71/2007 - Plenrio
9.2.8. conduza, a inter valos regulares, a
anlise crtica dos direitos de acesso dos usurios
do Infoseg, por meio de um processo formal, de
acordo com o previsto no item 11.2.4 da NBR
ISO/IEC 17799:2005;

9.2.27. atribua a cada usurio do banco de


dados do Infoseg somente os privilgios mnimos
necessrios ao desempenho de suas funes,
conforme previsto no item 11.2.2 da NBR ISO/IEC
17799:2005;
Acrdo 1663/2006 - Plenrio
9.1.2. estabelea processo formal de concesso
de senhas e aumente o controle sobre os privilgios
dos usurios;
Acrdo 2023/2005 - Plenrio
9.1.3.1. regras de concesso, de controle
e de direitos de acesso para cada usurio e/ou
grupo de usurios de recursos computacionais de
Tecnologia da Informao - TI, conforme preceitua
o item 9.1.1 da NBR ISO/IEC 17799:2001;
9.1.3.2. responsabilidades dos gestores de
negcios sobre os seus sistemas, bem como a
obrigao deles e dos gerentes da rede [...] fazerem
a reviso peridica, com inter valos de tempo
previamente definidos, dos direitos de acesso dos
usurios, conforme prevem os itens 9.2.1, incisos
h e i, e 9.2.4 da NBR ISO/IEC 17799:2001;

9.1.3.3. obrigatoriedade de usurios de


recursos de TI e gestores de negcios assinarem
termos de
compromisso nos quais estejam discriminados os
direitos de acesso, os compromissos assumidos
e suas responsabilidades e as sanes em caso
de violao das polticas e dos procedimentos de
segurana organizacional, a teor do que prescreve
o item 9.2.1 da NBR ISO/IEC 17799:2001;
9.4.5. reveja a poltica de acesso do per fil
administrador dos sistemas para que lhe sejam
retirados:
9.4.5.1. o poder de criao de novos perfis e
cadastro de usurios, centralizando essas funes
e responsabilidades nos gestores de negcio;
9.4.5.2. o acesso irrestrito e permanente aos
sistemas de produo;

9.1.6. a classificao do nvel de segurana


e controle de acesso aos dados, no mbito do
Projeto Repositrio;

Deciso 1098/2002 - Plenrio


8.2.8 implementa o da rotina de
confor midade de operadores, nos moldes
da e xistente no Sistema SIAFI, confor me j
determinado por este Tribunal;
Deciso 295/2002 - Plenrio
8.1.1 - quanto aos sistemas informatizados:
b) reveja as habilitaes de todos os usurios
do SIAPA lotados na [...], reavaliando no apenas
sua permanncia na Secretaria, como tambm seu
local de trabalho (gerncia) e a pertinncia dos
nveis de acesso concedidos;

Acrdo 782/2004 - 1 Cmara


9.2.1. adote procedimentos for mais de
concesso e de validao peridica de senhas de
usurios de sistemas informatizados, bem como
de cancelamento de acesso de usurios que so
desligados da unidade;
Acrdo 461/2004 - Plenrio
9.1.3. a elaborao de lista de pessoas
autorizadas a ter acesso aos ser vidores centrais,
bem como, a sua reviso peridica;

c) proceda reavaliao geral das pessoas


habilitadas no SIAPA, particularmente com relao
quelas lotadas em outros rgos/entidades,
como o SERPRO;
e) estabelea controle sistemtico e oriente as
Gerncias Regionais da [...] quanto necessidade
de reviso dos nveis de acesso e acerto do local
de trabalho, no Senha-Rede, quando da mudana
de lotao de servidores da [...];
h) reveja as habilitaes de todos os usurios
do SPIU, lotados na [...] ou no, reavaliando sua

TRIBUNAL DE CONTAS DA
UNIO

BOAS PRTICAS EM SEGURANA DA INFORMAO

permanncia no rgo e a pertinncia dos nveis


de acesso concedidos, assim como os inmeros
acessos concedidos a funcionrios lotados no
SERPRO, inclusive per tencentes equipe de
manuteno do sistema;

8.2.6.4. adotar procedimentos regulares


para atualizao das listas de acesso aos recursos
computacionais;

Deciso 1049/2000 - Plenrio

pessoas autorizadas a ter acesso aos recursos


computacionais, bem como adotar procedimentos
especfico s para a concesso de acesso s
emergenciais e/ou temporrios;

8.1.8. adote medidas com vistas a manter o


controle sobre as rotinas que fogem regra geral
de concesso ou atualizao de benefcios, como a
transao AEB Atualizao Especial de
Benefcio e aquelas com base em decises
judiciais (regidas pelos Despachos 03 e 04), de
forma a impedir acesso indevido s transaes
on-line;
8.3.6. adote as seguintes medidas, quanto ao
controle de acesso aos sistemas:
b) efetivao de estudos no sentido de obrigar
a confirmao de acesso de usurios, por gestor,
nos moldes, por exemplo, da Conformidade de
Operadores do sistema SIAFI;

8.2.6.5. observar com rigor os procedimentos


for mais para adicionar indivduos lista de

8.2.6.7. implementar controles de segurana


para as senhas de acesso, incluindo: exigncia
de alteraes peridicas de senhas, evitando a
sua repetio; estabelecimento de regras seguras
para a definio de senhas pelos usurios, que
exijam o nmero mnimo de caracteres definido
nos padres usuais para ambientes de informtica
(em regra, pelo menos seis caracteres); adoo
de senhas iniciais distintas, fornecidas pela rea
de segurana lgica, para os usurios (abolindo
o uso de senha inicial nica); implementao de
rotinas de suspenso de cdigos de identificao
de usurio ou de desabilitao de terminal ou

Deciso 918/2000 - Plenrio


8.1.5. estude a viabilidade de instituir
dispositivos de gerenciamento de acesso dos

microcomputador aps um determinado nmero


de tentativas de violao de segurana;

Responsabilidades dos usurios


aplicativos do SIH/SUS (senhas, funes e relatrios
de controle, logs etc.), quanto s funes de Acrdo 914/2006 - Plenrio
cadastramento, validao e envio das AIHs pelos
gestores locais do SUS e das unidades prestadoras
9.5.5. implemente as regras de formao de
de servios;
senhas, para vedar a utilizao de senhas triviais,
que fragilizem a segurana do sistema, utilizando,
por exemplo, suas normas internas;

Acrdo 2023/2005 - Plenrio


9.1.3.5. requisitos mnimos de qualidade de
senhas, descritos pelo item 9.3.1 da NBR ISO/IEC
17799:2001;
9.1.7. infor me seus usurios quant o
necessidade de bloquearem suas estaes de
trabalho quando delas se afastarem e de no
compartilharem suas senhas de acesso, conforme
prev o item 9.3.2 da NBR ISO/IEC 17799:2001;
9.1.8. infor me seus usurios quanto
necessidade de criarem senhas que satisfaam
aos requisitos mnimos definidos na Poltica de
Controle de Acesso que vier a ser estabelecida e
quanto importncia da qualidade e segurana
das senhas;
Acrdo 782/2004 1 Cmara

de alteraes peridicas de senhas, evitando a


sua repetio; estabelecimento de regras seguras
para a definio de senhas pelos usurios, que
exijam o nmero mnimo de caracteres definido
nos padres usuais para ambientes de informtica
(em regra, pelo menos seis caracteres); adoo
de senhas iniciais distintas, fornecidas pela rea
de segurana lgica, para os usurios (abolindo
o uso de senha inicial nica); implementao de
rotinas de suspenso de cdigos de identificao
de usurio ou de desabilitao de terminal ou
microcomputador aps um determinado nmero
de tentativas de violao de segurana;
8.2.6.8. divulgar internamente a necessidade
de preservao do sigilo das senhas;
Deciso 445/1998 - Plenrio
3.7.29. disseminar que haja maior cuidado na
criao e utilizao de senhas entre usurios de
sistemas do FGTS a fim de evitar fraudes;

9.3.8. adote providncias para que os papis


e documentos que
contenham infor
maes relevantes sobre o pagamento de Controle de acesso ao sistema operacional
pessoal sejam
adequadamente guardados em ar mrios ou
gavetas, com fechaduras ou outras formas de Acrdo 71/2007 - Plenrio
proteo, especialmente fora do horrio normal
9.2.26. estabelea procedimentos formais
de servio;
para a execuo de operaes diretamente sobre
Deciso 918/2000 - Plenrio
as bases de dados do Infoseg com a utilizao
8.2.6.7. implementar controles de segurana
para as senhas de acesso, incluindo: exigncia

de utilitrios, documentando os procedimentos


realizados, em conformidade com o previsto no
item 11.5.4 da NBR ISO/IEC 17799:2005;

Acrdo 2023/2005 - Plenrio


9.1.3.6. procedimentos de troca peridica de
senhas, no permitindo reutilizao das ltimas,
conforme prev o item 9.5.4 da NBR ISO/IEC
17799:2001;
9.1.3.7. procedimentos de bloqueio de contas
de usurios aps longos perodos de no utilizao
ou de vrias tentativas de acesso sem sucesso;
9.4.6. estude a possibilidade de implantao
de procedimentos de segurana que bloqueiem
as estaes de trabalho e/ou sistemas aps
determinado perodo de no-utilizao;

usurio ou de desabilitao de ter minal ou


microcomputador aps um determinado nmero
de tentativas de violao de segurana;
Controle de acesso aplicao
e informao
Acrdo 2023/2005 - Plenrio
9.4.5. reveja a poltica de acesso do per fil
administrador dos sistemas para que lhe sejam
retirados:
9.4.5.1. o poder de criao de novos perfis e
cadastro de usurios, centralizando essas funes
e responsabilidades nos gestores de negcio;

Acrdo 441/2005 - 1 Cmara


1.1 inclua nas rotinas de acesso ao Sisfin, aps

9.4.5.2. o acesso irrestrito e permanente aos


sistemas de produo;

a entrada no Sistema com sucesso, a apresentao


das informaes ao usurio da data e hora de Deciso 1380/2002 - Plenrio
ltima entrada vlida no Sisfin;
1.9 realize estudos e implemente o melhor
procedimento que proteja o set-up de seus
computadores atravs do uso de senhas seguras,
impedindo, especialmente, que os sistemas
operacionais possam ser inicializados atravs de
disquetes ou CDs;

8.1.1.3 crie mecanismo de proteo quanto


ao acesso aos dados do operador Super por
intermdio do extrator de dados ou transao
CONUSU;

Deciso 918/2000 - Plenrio

4.18 De que trata a seo


Aquisio, desenvolvimento
e manuteno de sistemas
de informao?

8.2.6.7. [...] implementao de rotinas


de suspenso de cdigos de identificao de

Essa seo da norma orienta a direo quanto


definio dos requisitos necessrios de segurana

de sistemas de informao, medidas preventivas


contra processamento incorreto das aplicaes,
uso de controles criptogrficos, alm de fornecer
diretrizes para a segurana dos arquivos de sistema,
segurana em processos de desenvolvimento e
suporte, e gesto de vulnerabilidades tcnicas.

4.19 Que acrdos e decises


do TCU tratam, entre outros
aspectos, da Aquisio,
desenvolvimento e manuteno
de sistemas de informao?
Processamento correto nas aplicaes
Acrdo 71/2007 - Plenrio
9.2.3. institua mecanismos que garantam a
consistncia entre o ndice Nacional - IN - e as
bases dos entes que alimentam o IN, verificando
periodicamente a eficcia dos mecanismos
implementados, de acordo com o previsto no item
12.2.2, da NBR ISO/IEC 17799:2005;
Deciso 595/2002 - Plenrio
8.1.9 recomendar Diviso de Modernizao
e Informtica - Diminf que seja includa uma
validao na entrada de dados capaz de minimizar
os erros de digitao dos pedidos de registros
na base de dados de marcas, evitando assim a
republicao do pedido;

Deciso 918/2000 - Plenrio


8.1.2. estude [...] a viabilidade de implantar
no SIH/SUS e no SIA/SUS maior nmero de crticas
automticas sobre quantitativos informados em
AIHs, BPAs e APACs, baseadas em indicadores
e padres preestabelecidos a par tir de mdias
histricas locais ou regionais, de modo a detectar
eventuais distores nas informaes enviadas [...]
pelos prestadores de servio, visando melhorar o
controle de fraudes nesses sistemas;
8.1.3. envide esforos para adequar o SIH/SUS
e o SIA/SUS realizao de crticas automticas com
base na FCES, em substituio progressiva FCH e
FCA, com vistas a melhorar a eficincia do controle
de AIHs, BPAs e APACS, proporcionalmente ao
grau de implementao da FCES no atendimento
hospitalar e ambulatorial;
8.1.4. aprimore os mdulos de CADA STRO
do SIH/SUS e do SIA/SUS, com vistas a: minimizar
as possibilidades de insero de dados incorretos
durante a digitao, bem como tor nar mais
auto-explicativas as respectivas telas do sistema,
mediante a adio de teclas de atalho para tabelas
(a exemplo das teclas F1, de ajuda ou help),
acionveis diretamente a partir dos campos de
preenchimento e para textos explicativos;
8.1.6. envide esforos para automatizar
o controle de qualidade do processamento
do SIH/SUS (conferncia da regularidade do
processamento mensal), bem como o processo
de disponibilizao dos respectivos arquivos de
sada na BBS/MS;

8.1.7. estude a viabilidade de implantar


3.7.14. revisar rotina de consulta do FGI, visto
uma rotina de crtica auto mtica no SIA/ que algumas contas no so localizadas quando o
SUS, com o objetivo de conferir o volume de argumento de pesquisa o PIS/Pasep;
informaes contidas em cada remessa mensal
dos gestores locais do SUS com os volumes
3.7.15. revisar rotina de pagamento quanto
estatisticamente previstos, com base em padres exigncia do PIS/Pasep correto;
preestabelecidos;
Deciso 445/1998 - Plenrio
3.7.9. revisar os procedimentos de crtica dos
Sistemas de Controle de Contas Ativas e Inativas,
SFG e FGI, a fim de que no permitam a insero
de contas vinculadas com PIS/PA SEP viciados,
de nomes com apenas uma palavra, com letras
repetidas mais que duas vezes consecutivamente
e com espaos em branco e xcedentes entre
palavras;
3.7.10. revisar as rotinas de crtica do SFG/FGI
quanto insero de contas vinculadas com PIS/

3.7.16. revisar os procedimentos de crtica do


CER quanto insero ou alterao de dados
cadastrais, como juros de mora, ndice de reajuste,
prazo de carncia, dia de pagamento, dados de
retorno;
Controles criptogrficos
Acrdo 782/2004 - 1 Cmara
9.3.9. estude [...] a possibilidade de utilizar
recursos de criptografia e validao digital na
proteo dos arquivos a serem gerados pelo
programa FAP Digital em suas futuras verses;

PA SEP invlido ou inexistente na base de dados;


Deciso 918/2000 - Plenrio
3.7.11. sanear as bases de contas vinculadas
ativas e inativas quanto existncia de contas
com saldo negativo e no mais per mitir sua
ocorrncia;
3.7.12. revisar as rotinas de crtica do SFG
quanto insero de empresas com CGC invlido
ou inexistente na base de dados;
3.7.13. inserir crticas no SFG com vistas a
no permitir mais de um depsito na mesma
conta vinculada para uma mesma competncia;

8.2.4. adote providncias para dificultar


a alterao de dados nas tabelas do programa
SIA .exe, incluindo, se necessrio, os mesmos
mecanismos de controle adotados no SIH/SUS
(campos de controle criptografados);
8.2.6.6. abster-se de usar chaves pblicas
de acesso rede, sem estarem associadas a um
responsvel;

Segurana em processos de
desenvolvimento e de suporte

4.20 De que trata a seo


Gesto de incidentes de
segurana da informao?

Acrdo 71/2007 - Plenrio


9.2.12.estabelea procedimentos formais
de controle de demandas e de mudanas no
Infoseg, de acordo com o previsto no item 12.5.1
da NBR ISO/IEC 17799:2005 e semelhana das
orientaes contidas no item AI6.2 do COBIT
4.0;
Acrdo 1663/2006 - Plenrio
9.1.4. implemente sistemtica de homologao
e controle das verses implantadas do Sipia;

Essa seo da norma orienta a direo para que


fragilidades e eventos de segurana da informao
associados com sistemas de informao sejam
comunicados e gerenciados de forma consistente
e efetiva, permitindo a tomada de ao corretiva
em tempo hbil. So fornecidas diretrizes para
notificao de eventos e fragilidades de segurana
da informao, definio de responsabilidades
e procedimentos de gesto desses eventos e
fragilidades, alm da coleta de evidncias e do
estabelecimento de mecanismos para anlise dos
incidentes recorrentes ou de alto impacto com
vistas sua quantificao e monitoramento.

Acrdo 2023/2005 - Plenrio

4.21 Que acrdos e decises do


9 . 4 . 2 . c r i e e d e fi n a m e c a n i s m o s d e TCU tratam, entre outros aspectos,
g e r e n c i a m e n t o qu e g a r a n t a m a gu ar d a da Gesto de incidentes de
e r e c u p e r a o d a s v e r s e s a t u a l i z a d a s segurana da informao?
da documentao de sistemas pelo seto r
responsvel;
Acrdo 71/2007 - Plenrio
9.4.4. adote clusulas contratuais para
assegurar que a documentao tcnica, programas
fontes e dados de sistemas regidos por contratos
de prestao de ser vios estejam acessveis ao
Ministrio;

9.1.3. implemente servio de atendimento ao


usurio do Infoseg (help desk) adequado s suas
necessidades, em conformidade com o previsto
no item 13.1.1 da NBR ISO/IEC 17799:2005 e
semelhana das orientaes contidas no DS8.1 do
COBIT 4.0, avaliando a convenincia de implantlo em regime ininterrupto (24 horas por dia e 7
dias por semana);

Acrdo 782/2004 1 Cmara


9.2.4. e 9.3.4. adote um programa de
treinamento especfico para a rea de segurana
de sistemas, enfocando aspectos de segurana
fsica e lgica, bem assim a reao dos funcionrios
frente ocorrncia de contingncias que possam
afetar a continuidade dos servios;

4.22 De que trata a seo Gesto


da continuidade do negcio?
Essa seo da norma orienta a direo quanto
s medidas a serem tomadas para prevenir a
interrupo das atividades do negcio e proteger
os processos crticos contra defeitos, falhas ou
desastres significativos, assegurando sua retomada
em tempo hbil, se for o caso. So fornecidas
diretrizes para incluir a segurana da informao
no processo de gesto da continuidade de negcio
e para realizar anlise e avaliao de riscos, alm
de desenvolver, implementar, testar e reavaliar
planos de continuidade relativos segurana da
informao.

4.23 Que acrdos e decises


do TCU tratam, entre outros
aspectos, da Gesto da
continuidade do negcio?
Acrdo 1092/2007 - Plenrio
9.1.6. implante a gesto de continuidade do
negcio conforme o estabelecido na NBR ISO/

IEC 17799:2005, itens 14.1.1, 14.1.2 e 14.1.3,


e elabore o Plano de Continuidade do Negcio
- PCN conforme o estabelecido na NBR ISO/IEC
17799:2005, itens 14.1.4 e 14.1.5;
Acrdo 71/2007 - Plenrio
9.2.14. defina for malmente um Plano de
Continuidade do Negcio - PCN - especfico para o
Infoseg, que garanta em caso de falhas ou desastre
natural significativo, a retomada em tempo hbil
das atividades do sistema, protegendo os processos
crticos, de acordo com o previsto nos itens 14.1.4
e 14.1.5 da NBR ISO/IEC 17799:2005;
Acrdo 1832/2006 - Plenrio
9.1.3 implante um Plano de Contingncia [...],
com prioridade e ateno especial s reas com
grande exposio a riscos, s reas envolvidas com
elevados volumes de recursos e quantidade de
transaes, bem assim quelas que possam trazer
riscos de imagem Instituio, obser vando-se
as peculiaridades e caractersticas intrnsecas do
[...];
Acrdo 2083/2005 - 2 Cmara
9.3.7.1. crie normativos para a conduo
dos diversos servios passveis de acidentes, com
manuais de procedimentos; aes mais efetivas
da CIPA; promoo de encontros, seminrios e
palestras sobre o tema; propagandas visuais de
conscientizao e realizao da SIPAT;

9.3.7.3. priorize as aes de preveno,


realizando cursos especficos, reciclagem e
especializaes;

Deciso 445/1998 - Plenrio


3.7.6. providenciar, com a maior brevidade
possvel, o Plano de Contingncias;

Acrdo 461/2004 - Plenrio


Deciso 669/1995 - Plenrio
9.1.5. a elaborao e implementao de um
Plano de Contingncias de acordo com o item
11.1.4 da NBR ISO/IEC 17799:2001;
Deciso 1380/2002 - Plenrio
8.3.3 elabore Plano de Contingncias [...] que
possa orientar os tcnicos em caso de ocorrncia
de sinistros ou de situaes que venham a
comprometer a operao do sistema;
Deciso 1049/2000 - Plenrio
8.3.4. adote as medidas recomendadas por
sua Auditoria Interna [...] como por exemplo a
implementao de um plano formal que contenha
medidas de contingncia e recuperao de
processos;
Deciso 918/2000 - Plenrio
8.2.6.1. elaborar plano de contingncia,
incluindo a previso de testes de validao e de
roteiros especficos para os procedimentos de
contingncia;

2.1. estude a possibilidade de implementar,


a mdio prazo, no mbito do seu plano de
contingncia, uma soluo alternativa para o
caso de perda total das instalaes da Filial So
Paulo, nas quais se opera o processamento da
Arrecadao Federal, para que o tratamento
das informaes essenciais no sofra soluo de
continuidade no caso de ocorrncia de sinistro de
grande propores;

4.24 De que trata a seo


Conformidade?
Essa seo da norma orienta a direo a evitar
violao de qualquer lei criminal ou civil, estatutos,
regulamentaes ou obrigaes contratuais e de
quaisquer requisitos de segurana da informao,
alm de garantir conformidade dos sistemas com
as polticas e normas organizacionais de segurana
da informao. So fornecidas diretrizes para
identificao da legislao vigente, proteo dos
direitos de propriedade intelectual, proteo dos
registros organizacionais, proteo de dados e
privacidade de informaes pessoais, preveno

de mau uso de recursos de processamento da


informao e regulamentao de controles de
criptografia. Alm disso, so feitas algumas
consideraes quanto auditoria de sistemas de
informao.

a garantir a obser vncia das polticas e normas


que venham a ser institudas pelo Ministrio,
como a Poltica de Segurana da Informao, a
Poltica de Controle de Acesso e a Metodologia
para Desenvolvimento de Sistemas;

4.25 Que acrdos e decises


do TCU tratam, entre outros
aspectos, da Conformidade?

Deciso 445/1998 - Plenrio

Conformidade com requisitos legais


Acrdo 1832/2006 - Plenrio
9.2.12 - adote procedimento especial para o
registro e a tramitao de todos os
documentos, que contenham, de algum
modo, informaes estratgicas
e/ou
privilegiadas;

3.7.21. incorporar ao Sistema de Controle de


Segurana, SSG, as restries impostas pela norma
de controle de acesso lgico, MN FG.01.05.00;
3.7.23. desautorizar prestadores de ser vios
que estejam habilitados de forma contrria
norma constante no MN FG.01.05.00;
Consideraes quanto auditoria
de sistemas de informaes
Acrdo 1092/2007 - Plenrio

Acrdo 2083/2005 - 2 Cmara


9.3.11. abstenha-se da utilizao de softwares
no licenciados;
Conformidade com normas e
polticas de segurana da informao
e conformidade tcnica
Acrdo 2023/2005 - Plenrio
9. 4.1 . i mple me nt e o s pro ced imen to s
informatizados necessrios no sentido de ajudar

9.1.8. implante, por meio de sua Auditoria


Interna, poltica de auditoria nos diversos sistemas
de tecnologia da infor mao per tinentes
arrecadao de receitas da Empresa;

Referncias bibliogrficas
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. NBR ISO/IEC 17799: tecnologia da informao:
cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro: ABNT, 2001.
A SSOCIAO BRA SILEIRA DE NORMA S TCNICA S. NBR ISO/IEC 17799:2005: tecnologia
da informao, tcnicas de segurana, cdigo de prtica para a gesto da segurana da informao.
2. ed. Rio de Janeiro: ABNT, 2005.
BRASIL. Decreto n. 3.505, de 13 de junho de 2000. Institui a Poltica de Segurana da
Informao nos rgos e entidades da Administrao Pblica Federal. Disponvel em:
<http://www.planalto.gov. br/ccivil_03/decreto/D3505.htm>. Acesso em: 24 out. 2007.
. Lei n. 9.983, de 14 de julho de 2000. Altera o Decreto-Lei n. 2.848, de 7 de
dezembro de 1940
Cdigo Penal e d outras
providncias.
Disponvel em:
<http://ww w.planalto.go v.br/ ccivil_03/Leis/L9983.htm>. Acesso em: 24 out. 2007.
DIA S, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Axcel
Books, 2000.

TRIBUNAL DE CONTAS DA UNIO


SAFS Quadra 4 lote 1
70042-900 Braslia-DF
<http://www.tcu.gov.br>