Sie sind auf Seite 1von 72

GOVERNO DO ESTADO DA BAHIA

Secretaria da Administrao da Bahia

Normas de
Segurana da
Informao
Verso 3.0

Novembro / 2015
1

GOVERNO DO ESTADO DA BAHIA


Jaques Wagner
CONSELHO DE INFORMTICA GOVERNAMENTAL CIGOV
Componentes:
Governador do Estado presidente
Secretrio da Casa Civil vice-presidente
Secretrio da Administrao
Secretrio da Fazenda
Secretrio do Planejamento
Secretrio da Cincia, Tecnologia e Inovao
Secretrio da Indstria, Comrcio e Minerao
SECRETARIA DA CASA CIVIL
Carlos Palma de Mello
ASSESSORIA
DE
GESTO
ESTRATGICA
INFORMAO E COMUNICAO
Renato Falco de Almeida Souza

DE

TECNOLOGIAS

DE

SECRETARIA DA ADMINISTRAO
Manoel Vitrio da Silva Filho
COORDENAO DE TECNOLOGIAS APLICADAS GESTO PBLICA
Andre Luis Peixinho de Miranda
GRUPO TCNICO DE SEGURANA DA INFORMAO DO FORTIC
Componentes:
CASA CIVIL

Mario Henrique Neves Aguiar da Silva

SAEB

Francisco Jos Garcia Cousino


Jos Ricardo Palomo Tanajura
Victor Emmanuel Maia Fonseca
Nilma Ricardo

SSP

Telma Cristina Reis e Rocha


Egberto Vilas Boas Lemos Filho

SEFAZ

Ednilson Gimenes Rosa


Nailton Roque Portela Santos
Jadson Bitencourt Andrade Oliveira

SEPLAN

Valdizio Soares dos Santos


Thales Jos Costa de Almeida

PRODEB

Elba Lucia de Carvalho Vieira


Rosenildo Santos

EMBASA

Jlio Csar Reis e Rocha


Leandro Daumerie de Jesus

COLABORAO

Superintendncia de Gesto Pblica SGP

Coordenao de Desenvolvimento de Gesto CDG


Componentes:

Rita de Cssia S e Freitas


Marta Larocca Santana Rodrigues
Adriana de Oliveira e Oliveira
Daniela Svec Silva Bahia Monteiro
Raquel Miranda de Carvalho

Antonio Carlos da Costa Alves Junior

Ricardo Veloso Fontoura

GRUPO TCNICO DE SEGURANA DA INFORMAO DO FORTIC


REVISO VERSO 2.0
Componentes:
CASA CIVIL

Mario Henrique Neves Aguiar da Silva


Fadia Abder Rahim Abdalla

SAEB

Francisco Jos Garcia Cousino


Lindinalva Silva Santos
Roald Holum Moura

SSP

Telma Cristina Reis e Rocha

SEFAZ

Ednilson Gimenes Rosa


Nailton Roque Portela Santos

SEPLAN

Valdizio Soares dos Santos

PRODEB

Elba Lucia de Carvalho Vieira


Rosenildo Santos

EMBASA

Jlio Csar Reis e Rocha


Leandro Daumerie de Jesus

SESAB

Csar Cardoso

DETRAN

Cristiane Maria de Jesus Santos

NA

REVISO VERSO 3.0


GOVERNO DO ESTADO DA BAHIA
Rui Costa
SECRETARIA DA ADMINISTRAO
Edelvino da Silva Ges Filho
SUPERINTENDNCIA DA GESTO E INOVAO
Elizabeth Maria Orge Lorenzo Menezes
GRUPO TEMTICO DE SEGURANA DA INFORMAO DO FORTIC
Componentes:
SAEB

Fdia Abder Rahim Abdalla


Jamile Bastos Oliveira Pino
Lindinalva Silva Santos
Nailton Roque Portela Santos
Roald Holum Moura

SEFAZ

Elmo do Vencimento Barana


Mrcio Fraga de Carvalho

PRODEB

Mateus Souza Oliveira


Rosenildo Souza Santos

EMBASA

Aurivan Srgio de Jesus Silva


Geovana Maia de Souza e Silva Tapioca

SEC

Rafael Silva Pereira

SESAB

Antonio Czar de Oliveira Cardoso

DETRAN

Cristiane Maria de Jesus Santos

BAHIA. Secretaria da Administrao.


Normas de Segurana da Informao. -- verso 3.0. -Salvador: SAEB; SGI, 2015.
72p.
1. Gesto da Informao Segurana. 3. Normas. I. Ttulo.

CDU 35.076(060.13)(813.8)
Secretaria da Administrao, 2 avenida, 200, tel: 3115-1628
Centro Administrativo da Bahia, CEP 41745-003, Salvador Bahia

Normas de Segurana da Informao Verso 3.0

APRESENTAO
A Segurana da Informao um assunto que deve merecer cada vez mais ateno dos Gestores das
Organizaes que fazem parte da Administrao Pblica do Estado da Bahia. No mundo atual, a
informao um dos ativos mais importantes das organizaes e sua proteo se torna cada vez mais
crtica para que elas atinjam seus objetivos da maneira mais eficiente possvel.
Como unidade da SAEB, cabe Superintendncia da Gesto e Inovao - SGI, planejar, coordenar,
promover, supervisionar, controlar e avaliar as aes de desenvolvimento e modernizao tecnolgicos
do setor pblico.
Neste sentido, este documento foi elaborado para prover a todos os rgos e entidades da
Administrao Pblica do Poder Executivo Estadual um conjunto de Normas que auxiliem na Gesto
da Segurana da Informao em seus ambientes, elevando, assim, o nvel de proteo de suas
informaes e demais ativos crticos.

Normas de Segurana da Informao Verso 3.0

SUMRIO
INTRODUO............................................................................................................ 8
NORMAS DE SEGURANA DA INFORMAO .................................................................. 8
Norma 01 Responsabilidade dos rgos .................................................................... 9
Norma 02 - Classificao da Informao ..................................................................... 12
Norma 03 - Uso da Internet ...................................................................................... 17
Norma 04 - Acesso aos Recursos de Tecnologia da Informao ..................................... 22
Norma 05 - Acesso e Utilizao do Correio Eletrnico ................................................... 26
Norma 06 - Gerenciamento de Incidentes de Segurana da Informao ......................... 29
Norma 07 - Gerenciamento da Auditoria de Segurana da Informao ........................... 31
Norma 08 - Gesto da Continuidade do Negcio .......................................................... 34
Norma 09 - Gerenciamento de Riscos......................................................................... 37
Norma 10 - Contabilizao de Ativos de Tecnologia da Informao ................................ 41
Norma 11 - Intercmbio de Informaes .................................................................... 44
Norma 12 - Segurana Fsica .................................................................................... 47
Norma 13 - Segurana em Terceirizao e Prestao de Servios .................................. 51
Norma 14 - Desenvolvimento e Manuteno de Aplicaes ........................................... 54
Norma 15 - Distribuio de Hardware e Software ........................................................ 60
Norma 16 - Proteo Contra Cdigo Malicioso ............................................................. 64
Norma 17 - Uso de Dispositivos Mveis ...................................................................... 66
CONCLUSO ........................................................................................................... 72

Normas de Segurana da Informao Verso 3.0

INTRODUO
O cenrio tecnolgico mundial tem evoludo rapidamente, proporcionando cada vez mais
facilidades, tanto no uso e armazenamento das informaes, quanto na sua transmisso por redes
de computadores privadas ou pela Internet. Essa evoluo, no entanto, traz consigo um aumento
considervel dos riscos aos ambientes tecnolgicos das Organizaes e, consequentemente, s
informaes sob sua responsabilidade. Com isso, medidas devem ser aplicadas para prover
garantias a essas informaes, buscando resguardar aqueles que so considerados os principais
pilares da Segurana da Informao:
Confidencialidade: toda informao, esteja ela em meio eletrnico ou no, deve estar acessvel
somente a quem tem o direito a este acesso. Mecanismos de processos e tecnologia devem ser
implementados buscando satisfazer esta premissa;
Integridade: toda informao trafegada ou armazenada deve ter garantias quanto sua
integridade, assegurando que ela no seja indevidamente alterada ou eliminada;
Disponibilidade: as informaes devem estar sempre disponveis para os usurios que dela
necessitarem e que tenham autorizao para tal acesso;
Autenticidade: devem ser adotados mecanismos que garantam a autenticidade e rastreabilidade
dos usurios na utilizao dos recursos computacionais, de forma a tornar possvel a identificao
dos autores de qualquer ao que seja feita utilizando os sistemas informatizados e meios de
comunicao.
Para assegurar todos estes aspectos, necessrio que seja colocado em prtica um processo de
gesto de segurana da informao. Este processo, baseado na Norma ISO/IEC 27001:2013
(Information Technology - Security Techniques - Information Security Management Systems Requirements), o chamado SGSI - Sistema de Gesto de Segurana da Informao (em Ingls,
ISMS - Information Security Management System). O SGSI prev diversas aes, subprocessos,
Normas e Procedimentos de Segurana, praticando a misso de reduzir continuamente os riscos
segurana das informaes e aos ativos crticos de uma Organizao.

NORMAS DE SEGURANA DA INFORMAO


Um dos componentes mais importantes do processo de Gesto de Segurana da Informao o
conjunto de Normas e Procedimentos que ir guiar os gestores e usurios na produo, manuseio
e guarda das informaes da Organizao.
Este documento traz um conjunto bsico de Normas a serem implantadas pelos os rgos e
entidades da Administrao Pblica do Poder Executivo Estadual, buscando elevar o nvel de
Segurana da Informao no Estado da Bahia.
Seu objetivo servir de guia na implementao de processos, mecanismos e procedimentos que
visem o fortalecimento da segurana da informao no ambiente corporativo do Estado.
importante deixar claro que este documento no exaustivo e trata dos principais aspectos
relacionados garantia da segurana dos ativos das Organizaes. Outras Normas podem vir a
ser divulgadas pela SAEB, assim como normas especficas podem ser produzidas pelos prprios
rgos e entidades, para uso interno, de forma a complementar este conjunto bsico.

Normas de Segurana da Informao Verso 3.0

Norma 01 Responsabilidades dos rgos


1. Objetivo
Orientar os rgos e entidades da Administrao Pblica do Poder Executivo Estadual,
que compem a administrao direta, autrquica e fundacional, quanto utilizao das
Normas de Segurana da Informao.

2. Definies
Ativos de Tecnologia da Informao: estaes de trabalho, servidores, softwares,
mdias e quaisquer equipamentos eletrnicos relacionados Tecnologia da Informao,
bem como processos, pessoas e ambientes.
Gesto de Continuidade de Negcios: processo de gesto que identifica ameaas
em potencial e os possveis impactos s operaes de negcio caso essas ameaas se
concretizem. Este processo fornece um framework para que se construa uma resilincia
organizacional que seja capaz de responder efetivamente e salvaguardar a reputao e
a marca do rgo ou entidade e suas atividades de valor agregado.
Gesto de Riscos: atividades coordenadas para direcionar e controlar uma
organizao no que se refere a riscos, incluindo, inclusive, anlise, avaliao,
tratamento, aceitao e comunicao dos riscos.
Incidente de Segurana da Informao: representado por um nico ou por uma
srie de eventos indesejados ou inesperados de Segurana da Informao que tenham
uma grande probabilidade de comprometer as operaes do negcio.
Segurana da Informao: conjunto de processos articulados, que busca a proteo
da informao de vrios tipos de ameaas, para garantir a continuidade do negcio,
minimizar o risco, maximizar o retorno sobre os investimentos e ampliar as
oportunidades de negcio.

3. Abrangncia
Esta Norma e todas as outras Normas contidas neste documento se aplicam aos rgos
e entidades da Administrao Pblica do Poder Executivo Estadual, que compem a
administrao direta, autrquica e fundacional. As empresas pblicas e sociedades de
economia mista podero adotar os procedimentos contidos nestas Normas.

4. Diretrizes
4.1 Compete Secretaria da Administrao
Superintendncia da Gesto e Inovao SGI:

SAEB,

por

intermdio

da

4.1.1 gerenciar as atividades e projetos de Segurana da Informao:


4.1.1.1 deliberar sobre estratgias, programas e planos de Segurana da
Informao;
4.1.1.2 elaborar propostas de Projetos de Segurana da Informao;
9

Normas de Segurana da Informao Verso 3.0

4.1.1.3 coordenar aes de Segurana da Informao que envolvam os rgos e


entidades da Administrao do Poder Executivo Estadual;
4.1.1.4 mobilizar a Alta Administrao e os gestores dos rgos e entidades da
Administrao do Poder Executivo Estadual para o cumprimento da
Poltica de Segurana da Informao e a participao destes na
implementao de solues de segurana.
4.1.2 apreciar e validar as proposies do Comit dos Gestores de Tecnologias de
Informao e Comunicao do Estado da Bahia FORTIC, referentes s
normas e Poltica de Segurana da Informao da Administrao Pblica do
Poder Executivo Estadual:
4.1.2.1 estabelecer diretrizes para a formulao da Poltica de Segurana da
Informao;
4.1.2.2 apreciar matrias que subsidiem o estabelecimento de polticas e
estratgias para a Segurana da Informao da Administrao Pblica do
Poder Executivo Estadual;
4.1.2.3 aprovar normas relativas Segurana da Informao.
4.1.3 difundir e promover o cumprimento das metodologias e boas prticas, em
conformidade com as normas e Poltica de Segurana da Informao;
4.1.4 elaborar e coordenar programas destinados
capacitao em segurana da informao:

conscientizao

4.1.4.1 divulgar os principais aspectos da Segurana da Informao.


4.1.5 avaliar as informaes sobre monitoramento do ambiente tecnolgico dos
rgos e entidades da Administrao do Poder Executivo Estadual e
incidentes detectados pela PRODEB:
4.1.5.1 desenvolver, definir e divulgar indicadores de Segurana da Informao;
4.1.5.2 acompanhar e avaliar os indicadores de Segurana da Informao
definidos para o Governo do Estado da Bahia;
4.1.5.3 consolidar e emitir os relatrios de
Informao dos rgos e entidades;

incidentes de Segurana

da

4.1.5.4 analisar informaes de incidentes de Segurana da Informao;


4.1.5.5 propor aes para tratamento de incidentes de Segurana da Informao
e mitigao de riscos;
4.1.5.6 avaliar as informaes sobre o monitoramento do ambiente tecnolgico e
incidentes de Segurana da Informao detectados pela PRODEB.
4.1.6 propor adoo de solues de Segurana da Informao existentes no
mercado;
4.1.7 prover e manter a ferramenta de Gerenciamento de Riscos, disponibilizada
pela SGI/SAEB, utilizada pelos rgos e entidades da Administrao Pblica
do Poder Executivo Estadual:
10

Normas de Segurana da Informao Verso 3.0

4.1.7.1 capacitao na operacionalizao da ferramenta de gesto de riscos para


a Segurana da Informao.
4.2 Compete s Assessorias de Planejamento e Gesto, por intermdio das
Coordenaes de Gesto Organizacional e TIC, ou Unidades equivalentes dos
rgos e entidades:
4.2.1 fornecer as diretrizes estratgicas do negcio para orientar as atividades de
Segurana da Informao;
4.2.2 prover os recursos humanos, materiais e financeiros para as atividades de
Segurana da Informao;
4.2.3 acompanhar, periodicamente, a evoluo dos indicadores de Segurana da
Informao adotados no mbito dos respectivos rgos e entidades;
4.2.4 apoiar, sugerir, garantir e implementar em sua rea de atuao as aes de
Segurana da Informao;
4.2.5 fazer cumprir a Poltica e Normas de Segurana da Informao;
4.2.6 reportar a ocorrncia de incidentes de Segurana da Informao SGI.
4.3 Para a execuo das atividades de Segurana da Informao, nos rgos e
entidades da Administrao Pblica do Poder Executivo Estadual, devero ser
observadas todas as demais normas disponibilizadas neste documento e o Sistema
de Gesto de Segurana da Informao do Poder Executivo Estadual,
disponvel no site: http://www.fortic.ba.gov.br.
4.4 Caber a SAEB/SGI analisar e dirimir as dvidas sobre as Normas e os casos
omissos devero ser encaminhados ao FORTIC para exame.

5. Documentos Relacionados
ABNT NBR ISO/IEC 27002:2013- Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de prtica para Controles de Segurana da Informao.
Sistema de Gesto de Segurana da Informao do Poder Executivo Estadual.

5. Data de Reviso
23/11/2015

11

Normas de Segurana da Informao Verso 3.0

Norma 02 - Classificao da Informao


1. Objetivo
Estabelecer diretrizes que garantam que todas as informaes, independente de seus
meios de armazenamento ou transmisso, recebam nveis adequados de proteo e
sejam classificadas com clara indicao do assunto, fundamento da classificao,
indicao do prazo do sigilo e identificao da autoridade que a classificou, respeitando
o princpio da observncia da publicidade como preceito geral e do sigilo como exceo,
conforme a Lei Federal n 12.527, de 18 de Novembro de 2011 (Lei de Acesso
Informao Pblica).

2. Definies
Custodiante da Informao: aquele que armazena, processa, veicula e trata a
informao, mediante orientao dada pela classificao da informao e assume, em
conjunto com o proprietrio da informao, a responsabilidade pela proteo desta.
Documento: unidade de registro de informaes, qualquer que seja o suporte ou
formato.
Informao: dados, processados ou no, que podem ser utilizados para produo e
transmisso de conhecimento, contidos em qualquer meio, suporte ou formato.
Informao Pessoal: informao relacionada pessoa natural identificada ou
identificvel, relativa intimidade, vida privada, honra e imagem.
Informao Sigilosa: informao submetida temporariamente restrio de acesso
pblico em razo de sua imprescindibilidade para a segurana da sociedade e do
Estado, e aquelas abrangidas pelas demais hipteses legais de sigilo.
Proprietrio da Informao: aquele que gera ou adquire a informao.
Tratamento da informao: conjunto de aes referentes produo, recepo,
classificao, utilizao, acesso, reproduo, transporte, transmisso, distribuio,
arquivamento, armazenamento, eliminao, avaliao, destinao ou controle da
informao.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

3. Abrangncia
Esta Norma se aplica a todos os usurios das informaes custodiadas ou de
propriedade da Administrao Pblica do Poder Executivo Estadual.

12

Normas de Segurana da Informao Verso 3.0

4. Diretrizes
4.1 A informao em poder dos rgos e entidades, observado o seu teor e em razo
de sua imprescindibilidade segurana da sociedade ou do Estado, poder ser
classificada no grau Ultrassecreto, Secreto ou Reservado
4.2 Para a classificao da informao em grau de sigilo, dever ser observado o
interesse pblico da informao e utilizado o critrio menos restritivo possvel,
considerados:
4.2.1 a gravidade do risco ou dano segurana da sociedade e do Estado; e
4.2.2 o prazo mximo de classificao em grau de sigilo ou o evento que defina
seu termo final.
4.3 So passveis de classificao no grau Ultrassecreto, Secreto ou Reservado as
informaes consideradas imprescindveis segurana da sociedade ou do Estado,
cuja divulgao ou acesso irrestrito possa:
4.3.1 pr em risco a defesa e a integridade do territrio estadual;
4.3.2 prejudicar ou pr em risco a conduo de negociaes ou as relaes
internacionais do Estado, ou as que tenham sido fornecidas em carter
sigiloso por outros Estados e organismos internacionais;
4.3.3 pr em risco a vida, a segurana ou a sade da populao;
4.3.4 oferecer elevado risco estabilidade financeira, econmica ou monetria do
Estado;
4.3.5 prejudicar ou causar risco a planos ou operaes estratgicos dos rgos de
Segurana do Estado;
4.3.6 prejudicar ou causar risco a projetos de pesquisa e desenvolvimento
cientfico ou tecnolgico, assim como a sistemas, bens, instalaes ou reas
de interesse estratgico do Estado;
4.3.7 por em risco a segurana de instituies ou de altas autoridades nacionais,
estaduais ou estrangeiras e seus familiares;
4.3.8 comprometer atividades de inteligncia, de investigao ou de fiscalizao
em andamento, relacionadas com preveno ou represso de infraes.
4.4 Os prazos mximos de restrio de acesso informao, conforme a classificao
prevista, devem vigorar, a partir da data de sua produo, nos seguintes
parmetros:
4.4.1 Ultrassecreta: 25 (vinte e cinco) anos;
4.4.2 Secreta: 15 (quinze) anos;
4.4.3 Reservada: 5 (cinco) anos.
4.5 O prazo de
prorrogado
cinco anos,
integridade
Estado.

sigilo das informaes classificadas no grau Ultrassecreto poder ser


por uma nica vez e por perodo determinado no superior a vinte e
enquanto seu acesso ou divulgao puder ocasionar ameaa externa
do territrio nacional ou grave risco s relaes internacionais do

13

Normas de Segurana da Informao Verso 3.0

4.6 As informaes que puderem colocar em risco a segurana do Governador e Vice


Governador do Estado e respectivos cnjuges e filhos (as) devero ser,
automaticamente, consideradas como Reservadas e ficar sob sigilo at o trmino
do mandato em exerccio ou do ltimo mandato, em caso de reeleio.
4.7 As informaes que no forem classificadas como Ultrassecretas, Secretas ou
Reservadas devero ser consideradas, automaticamente, como Pblicas,
resguardadas as excees legalmente previstas como sigilo, a exemplo de:
4.7.1 sigilo fiscal, bancrio, de operaes e servios no mercado de capitais,
comercial, profissional, industrial e segredo de justia;
4.7.2 informaes referentes a projetos de pesquisa e desenvolvimento cientficos
ou tecnolgicos cujo sigilo seja imprescindvel segurana da sociedade e
do Estado;
4.8 Transcorrido o prazo de classificao ou consumado o evento que defina o seu
termo final, a informao dever ser considerada automaticamente classificada
como Pblica, respeitadas as excees previstas nesta norma.

5. Recomendaes para Classificao


5.1 Informao "pessoal" no considerada uma classificao, mas uma designao
para uma informao relacionada pessoa natural identificada ou identificvel
relativa intimidade, vida privada, honra e imagem, significando que a informao
direcionada e que somente o destinatrio e as pessoas expressamente
autorizadas por ele podem ter acesso.
5.2 Toda informao deve possuir um rtulo com a sua classificao. As informaes
no rotuladas sero classificadas, automaticamente, como Pblicas, ressalvadas
as excees previstas nesta norma.
5.3 A classificao das informaes deve ser feita para determinar as medidas de
proteo necessrias, visando atender as diretrizes da Lei de Acesso Informao
Pblica e otimizar os custos com a sua proteo e disponibilizao.
5.4 A classificao deve ser realizada no momento em que a informao gerada ou
adquirida, conforme as seguintes competncias:
5.4.1 Grau Ultrassecreto: Governador e Vice Governador do Estado;
5.4.2 Grau Secreto: alm dos previstos no item 5.4.1, tambm, os Secretrios de
Estado e as autoridades com as mesmas prerrogativas, Comandantes da
Polcia Militar e os titulares mximos de autarquias, fundaes ou empresas
pblicas e sociedades de economia mista;
5.4.3 Grau Reservado: alm dos previstos nos itens 5.4.1 e 5.4.2, tambm
aqueles que exeram funes de direo, comando ou chefia, no nvel DAS2A ou superior, do Grupo-Direo e Assessoramento Superior ou hierarquia
equivalente, de acordo com regulamentao especfica de cada rgo ou
entidade.
5.5 A competncia prevista nos itens 5.4.1 e 5.4.2 poder ser delegada expressamente
pela autoridade responsvel a agente pblico, inclusive em misso no exterior,
vedada a subdelegao.

14

Normas de Segurana da Informao Verso 3.0

5.6 O proprietrio pode solicitar apoio tcnico Superintendncia da Gesto e Inovao


SGI, atravs da Coordenao de Segurana da Informao, caso existam
dificuldades ou dvidas acerca da classificao a ser dada a uma informao.
5.7 A informao deve receber tratamento adequado sua classificao durante todo o
seu ciclo de vida.
5.8 A inexistncia de classificao explcita no exime o proprietrio, os custodiantes e
os usurios das suas responsabilidades quanto a avaliar o nvel de sensibilidade da
informao.
5.9 Os rgos e entidades da Administrao Pblica do Poder Executivo Estadual
devero reavaliar as informaes classificadas no grau Ultrassecreta e Secreto,
no prazo mximo de dois anos.
5.10 Enquanto no transcorrido o prazo de reavaliao previsto no item 5.9, ser
mantida a classificao da informao, observados os prazos e disposies desta
norma.
5.11 As informaes classificadas no grau Ultrassecreto e Secreto no reavaliadas no
prazo previsto no item 5.9 sero consideradas, automaticamente, de acesso
pblico.
5.12 As informaes classificadas no grau Ultrassecreto, Secreto e Reservado
devero conter:
5.12.1 cdigo de indexao de documento;
5.12.2 categoria na qual se enquadra a informao;
5.12.3 indicao de dispositivo legal que fundamenta a classificao;
5.12.4 data da produo, data da classificao e prazo da classificao.
5.13 expressamente proibida aos usurios a utilizao, repasse e/ou divulgao
indevida de toda e qualquer informao de propriedade da Administrao Pblica do
Poder Executivo Estadual, exceto nas hipteses previstas na Lei Federal n 12.527,
de 18 de Novembro de 2011.
5.14 Antes que informaes custodiadas ou de propriedade da Administrao Pblica do
Poder Executivo Estadual sejam disponibilizadas a terceiros, estes devem ser
orientados e supervisionados quanto aos aspectos da segurana da informao. A
Administrao Pblica do Poder Executivo Estadual deve garantir que o
compromisso de sigilo seja parte integrante do contrato.
5.15 Informaes Reservadas, Secretas ou Ultrassecretas no devem ser
descartadas como lixo comum. Documentos impressos ou em mdia eletrnica,
que contenham informao com esses nveis de classificao, devem ser
destrudos antes de serem descartados, de forma que torne impossvel a sua
recuperao.

15

Normas de Segurana da Informao Verso 3.0

6. Competncias
6.1

Usurio:
6.1.1 Aplicar o tratamento adequado informao, de acordo com os nveis
definidos nesta norma.

6.2

Autoridades previstas no item 5.5 desta norma:


6.2.1 Classificar as informaes, conforme as diretrizes desta norma.

6.3

Proprietrio da Informao:
6.3.1 Determinar o nvel de criticidade e a classificao correta das informaes
utilizadas nos ativos sob sua responsabilidade, de forma a subsidiar as
decises de classificao a serem aplicadas pelos entes competentes.

7. Documentos Relacionados
ABNT NBR ISO/IEC 27002:2013 - Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de prtica para Controles de Segurana da Informao.
Lei Federal n 12.527, de 18 de Novembro de 2011 Lei Federal de Acesso
Informao Pblica.

8. Data de Reviso
23/11/2015

16

Normas de Segurana da Informao Verso 3.0

Norma 03 - Uso da Internet


1. Objetivo
Estabelecer as diretrizes de proteo relativas ao uso da Internet e de outras redes
pblicas de computadores, com o objetivo de reduzir o risco a que esto expostos os
Ativos de Tecnologia da Informao da Administrao Pblica do Poder Executivo
Estadual, tendo em vista que a Internet tem sido veculo de muitas aes prejudiciais
s organizaes, gerando perdas financeiras, perdas de produtividade, danos aos
sistemas e imagem da organizao, entre outras consequncias.

2. Definies
Ativos de Tecnologia da Informao: estaes de trabalho, servidores, softwares,
mdias e quaisquer equipamentos eletrnicos relacionados Tecnologia da Informao,
bem como processos, pessoas e ambientes.
Criptografia: tcnica utilizada para tornar a informao original ilegvel, permitindo
que somente o destinatrio (detentor da chave de criptografia) a decifre.
Incidente de Segurana da Informao: representado por um nico ou por uma
srie de eventos indesejados ou inesperados de Segurana da Informao que tenham
uma grande probabilidade de comprometer as operaes do negcio.
Internet: consiste de milhares de redes de computadores interconectadas
mundialmente e que pela sua abrangncia e facilidade de uso, tem sido usada como
plataforma para a prestao de um crescente nmero de servios.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

3. Abrangncia
Esta Norma se aplica a todos os usurios que fazem uso da Internet, permanente ou
temporariamente, atravs dos recursos computacionais disponibilizados pela
Administrao Pblica do Poder Executivo Estadual, bem como os que utilizam a
Internet como meio de comunicao atravs de conexo com a rede interna da
Administrao Pblica do Poder Executivo Estadual.

17

Normas de Segurana da Informao Verso 3.0

4. Diretrizes
4.1 Toda rea de transferncia de dados em computadores da Administrao Pblica do
Poder Executivo Estadual acessvel pela Internet e disponvel publicamente para
gravao deve ser limpa regularmente.
4.2 A informao obtida na Internet de forma livre e gratuita deve ser confirmada por
fontes fidedignas antes de ser efetivamente usada.
4.3 A Administrao Pblica do Poder Executivo Estadual pode examinar, sem aviso
prvio, o contedo de cache de navegadores Web, favoritos, histrico de sites
visitados, configuraes dos softwares e outras informaes armazenadas ou
transmitidas pelos seus computadores.
4.4 Os Ativos de Tecnologia da Informao da Administrao Pblica do Poder Executivo
Estadual, incluindo as conexes com a Internet, hardware e software, devem ser
empregados na consecuo dos seus objetivos, sendo vedada a sua utilizao para
outros fins, exceto para os casos explicitamente permitidos por esta norma.
4.5 Controles de Acesso a Servios da Internet
4.5.1 A permisso de acesso Internet deve ser seletiva em relao aos servios
disponibilizados, tais como stios Web e Correio Eletrnico, e ser concedida
exclusivamente queles usurios que necessitem deste acesso para o seu
trabalho, sendo removida quando no for mais necessria.
4.5.2 O acesso seletivo Internet deve ser disponibilizado por meio de listas
positivas ou negativas, cabendo a cada unidade definir a sua regra.
4.5.3 A permisso de acesso Internet deve ser concedida atravs de uma Conta
de Usurio que possibilite identificar, individualmente, seu proprietrio,
podendo o histrico de acesso, inclusive o contedo, ser monitorado, sem
necessidade de notificao prvia, devendo ser armazenado por um perodo
mnimo de 90 (noventa) dias, ou quando cabvel, por perodo previsto em
lei.
4.5.4 No permitido suprimir, omitir ou mascarar a identificao da Conta de
Usurio a qualquer servio da Internet, exceto para os servios que
permitem apenas conexo annima, no sendo permitido tambm o uso de
mecanismos de dissimulao do usurio, como re-mailers, IP Spoofing e
tradutores de URL.
4.5.5 A Administrao Pblica do Poder Executivo Estadual pode, sem aviso prvio,
restringir o acesso a servios da Internet, tais como stios Web, redes de
dados ponto-a-ponto e download de arquivos.
4.5.6 A possibilidade de acessar qualquer servio da Internet no implica em
autorizao para acess-lo.
4.6 Conexes de Rede com a Internet
4.6.1 vedada a conexo entre qualquer rede de dados da Administrao Pblica
do Poder Executivo Estadual e a Internet atravs de servios de
telecomunicaes no autorizados pela rea de TIC do rgo ou entidade.

18

Normas de Segurana da Informao Verso 3.0

4.6.2 vedada a utilizao de dispositivos de acesso Internet no autorizados


pela rea de Tecnologia da Informao dos rgos ou entidades, em
equipamentos pertencentes Administrao Pblica do Poder Executivo
Estadual.
4.6.3 Toda comunicao entre computadores remotos e as redes da Administrao
Pblica do Poder Executivo Estadual, atravs da Internet ou outra rede
pblica, deve ser autenticada e criptografada, usando solues tecnolgicas
autorizadas pelo rgo ou entidade responsvel pela rede, com exceo do
acesso aos stios Web pblicos da Administrao Pblica do Poder Executivo
Estadual.
4.6.4 Toda a comunicao entre as redes da Administrao Pblica do Poder
Executivo Estadual e a Internet ou qualquer outra rede pblica deve
necessariamente passar por firewall, configurado com poltica restritiva, com
monitoramento bi-direcional dos fluxos de comunicao e com proteo
contra ataques cibernticos.
4.7 Uso Aceitvel da Internet
4.7.1

permitido o acesso a sites que sejam fontes de informao necessria


execuo das atividades da Administrao Pblica do Poder Executivo
Estadual.

4.7.2

permitido o uso de servios pessoais prestados atravs da Internet, tais


como banco on-line, reservas de passagens, servios de rgos pblicos,
entre outros, limitados ao estritamente necessrio, nos horrios
estabelecidos pelas reas de Tecnologia da Informao dos rgos e
entidades da Administrao Pblica do Poder Executivo Estadual.

4.7.3

No devem ser usados os recursos de Salvar Senha ou Lembrar Senha,


disponveis na maioria das aplicaes (Outlook, Internet Explorer, etc),
devendo ser desmarcada sempre que for apresentada esta opo. Senhas
no devem ser includas em nenhum outro processo de autenticao
automtica disponvel.

4.7.4

Quando estiver usando a Internet e verificar que o site acessado contm


contedo imprprio, o usurio deve abandonar o site e abrir um incidente
de Segurana da Informao.

4.7.5

No permitido o uso de aplicaes ponto-a-ponto (peer-to-peer) para


distribuio de arquivos, tais como Kazaa, Napster, Emule e correlatos.

4.7.6

No permitido o uso de jogos on-line.

4.7.7

Ressalvados os interesses da Administrao Pblica do Poder Executivo


Estadual, no permitido:
a) o acesso a contedos imprprios, que so aqueles relativos
pornografia, racismo, violncia, incitao ao dio, invaso de
computadores, jogos, entre outros;
b) o uso de servios de mensagem instantnea, tais como ICQ, Messenger,
Google Talk, Skype entre outros, seja por software especfico ou via
Web;

19

Normas de Segurana da Informao Verso 3.0

c) o acesso a sites e servios de relacionamento, tais como Gazzag,


Facebook, MySpace, Twitter e correlatos;
d) o uso de servios de udio e vdeo em tempo real, tais como rdio online, TV on-line e telefonia IP;
e) a sondagem, investigao ou teste de vulnerabilidade em computadores
e sistemas da Administrao Pblica do Poder Executivo Estadual ou de
qualquer outra organizao, exceto quando autorizada pela rea de
Tecnologia da Informao do respectivo rgo ou entidade da
Administrao Pblica;
f) o uso ou a posse de ferramentas de hardware e software para
sondagem, anlise de vulnerabilidade, monitoramento de rede,
comprometimento de sistemas, ataques e captura de dados, exceto
quando autorizado pela rea de Tecnologia da Informao do respectivo
rgo ou entidade da Administrao Pblica do Poder Executivo
Estadual.
4.8 Criptografia
4.8.1 Recomenda-se que toda a informao classificada como sigilosa, transmitida
pela Internet, deve ser criptografada, conforme padres de criptografia
homologados pela rea de Tecnologia da Informao do respectivo rgo ou
entidade da Administrao Pblica do Poder Executivo Estadual.
4.8.2 Informaes que so alvo tpico de criminosos, tais como senhas de contas
bancrias, nmeros de cartes de crdito, senhas de sistemas, entre outras,
no devem ser publicadas na Internet ou transmitidas via Correio Eletrnico
sem criptografia.
4.9 Legalidade
4.9.1 Sempre que as transaes atravs da Internet ultrapassarem as fronteiras
nacionais, devem ser observadas as legislaes internacionais pertinentes.
4.9.2 A propriedade intelectual deve ser respeitada em qualquer atividade e
sempre que os recursos computacionais da Administrao Pblica do Poder
Executivo
Estadual
estiverem
sendo usados. A
reproduo ou
encaminhamento de qualquer contedo protegido por direitos de
propriedade requer a autorizao do proprietrio dos direitos autorais.
4.9.3 Sempre que informaes obtidas da Internet forem usadas em documentos
internos, a fonte deve ser citada.
4.9.4 A indicao de direitos reservados deve ser presumida para todo contedo
disponvel na Internet, a menos que contenha informao contrria.
4.9.5 Usurios dos servios de Internet da Administrao Pblica do Poder
Executivo Estadual no devem obter, armazenar ou transmitir contedo
ilegal, tais como software no licenciado, pornografia infantil, senhas,
informaes bancrias extraviadas, entre outros.

20

Normas de Segurana da Informao Verso 3.0

4.10 Download de Arquivos


4.10.1 Ressalvado os interesses da Administrao Pblica do Poder Executivo
Estadual, no permitido o download de filmes, msicas, vdeo clips ou
contedos semelhantes relacionados a entretenimento.
4.10.2 O download de arquivos com grande volume de dados deve considerar as
limitaes da conexo com a Internet e, sempre que possvel, deve ser
executado fora do horrio normal de expediente.
4.10.3 O download de softwares deve obedecer aos contratos estabelecidos com
os fornecedores, quando aplicvel.
4.10.4 Todo arquivo obtido em fontes externas Administrao Pblica do Poder
Executivo Estadual deve ser submetido verificao de software antivrus
antes de ser utilizado.

5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade:
5.1.1 prover os recursos necessrios ao cumprimento desta Norma;
5.1.2 avaliar e homologar novos servios de Internet antes de serem utilizados.

6. Documentos relacionados
ABNT NBR ISO/IEC 27002:2013- Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de prtica para Controles de Segurana da Informao.
Sistema de Gesto de Segurana da Informao do Poder Executivo Estadual.
Norma 02 - Classificao da Informao.
Norma 16 - Proteo Contra Cdigo Malicioso.
Norma 05 - Acesso e Utilizao do Correio Eletrnico.
Norma 11 - Intercmbio de Informaes.
Norma 04 - Acesso aos Recursos de Tecnologia da Informao.
Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.

7. Data de Reviso
23/11/2015

21

Normas de Segurana da Informao Verso 3.0

Norma 04 - Acesso aos Recursos de Tecnologia da Informao


1. Objetivo
Estabelecer as diretrizes e responsabilidades para o acesso aos recursos de Tecnologia
da Informao disponibilizados pela Administrao Pblica do Poder Executivo Estadual.

2. Definies
Autenticao: processo de verificao que confirma se uma entidade ou um objeto
quem ou o que afirma ser, incluindo, em alguns exemplos, a confirmao da origem e
da integridade das informaes, tal como a verificao de uma assinatura digital ou da
identidade de um utilizador ou de um computador.
Conta de Usurio: credencial de acesso rede ou sistemas, de uso pessoal,
intransfervel e de responsabilidade de seu usurio designado.
Conta Genrica: credencial de acesso rede que no identifica o usurio que a utiliza.
Credencial de Acesso: elemento utilizado para autenticar um usurio perante
recursos de Tecnologia da Informao, tais como nome de usurio e senha, certificado
digital, informao biomtrica ou equivalentes.
Estao de Trabalho: todos os computadores e equipamentos correlatos
Administrao Pblica do Poder Executivo Estadual, inclusive dispositivos mveis.

da

Login/Logon: processo de autenticao com o objetivo de permitir o uso de um


sistema computacional ou recursos de rede de forma segura.
Logoff: processo de encerramento do uso de um sistema computacional ou recursos de
rede, removendo as credenciais de acesso.
Recursos de Tecnologia da Informao: estaes de trabalho, servidores, redes,
sistemas, servios, banco de dados e dispositivos de interconexo.
Rede: estaes de trabalho, servidores e outros dispositivos interligados que
compartilham informaes ou recursos da Administrao Pblica do Poder Executivo
Estadual.
Smartcard: carto de plstico com um microprocessador embutido, que utiliza
criptografia para aplicar princpios da Segurana da Informao como: integridade,
autenticidade e no repdio.
Token: dispositivo, que juntamente com algo que o usurio conhece, como uma senha,
vai autorizar o acesso a um sistema ou rede de computadores.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

22

Normas de Segurana da Informao Verso 3.0

3. Abrangncia
Esta Norma se aplica a todos os usurios de informaes ou recursos de Tecnologia da
Informao disponibilizados pela Administrao Pblica do Poder Executivo Estadual.

4. Diretrizes
4.1 Concesso de Acesso
4.1.1 A licena para a utilizao dos recursos de Tecnologia da Informao uma
concesso da Administrao Pblica do Poder Executivo Estadual aos
usurios que necessitem deles para desempenhar suas funes. A utilizao
poder ser monitorada em tempo real e a licena poder ser suspensa a
qualquer momento por deciso do Gestor da rea do usurio, da rea de
Tecnologia da Informao do rgo ou entidade, de acordo com os
exclusivos critrios destes, visando evitar perda de produtividade e riscos de
segurana.
4.1.2 O acesso consulta ou utilizao dos recursos de Tecnologia da Informao
permitido aps a identificao do usurio, somente por meio de suas
prprias credenciais de acesso.
4.1.3 As credencias de acesso aos recursos de Tecnologia da Informao so
pessoais, intransferveis e de responsabilidade exclusiva do usurio, exceto
para aqueles recursos que no suportarem a criao de credenciais
individuais.
4.1.4 Toda solicitao, alterao, bloqueio e desbloqueio de acesso aos recursos de
Tecnologia da Informao ou aos sistemas deve ser documentada.
4.1.5 O Gestor da rea do usurio deve informar rea de Tecnologia da
Informao do rgo ou entidade ou ao administrador do recurso de
Tecnologia da Informao todos os direitos de acesso que o usurio deve
possuir.
4.1.6 Todos os direitos de acesso aos recursos de Tecnologia da Informao devem
ter prazo de vigncia definido.
4.1.7 expressamente proibida qualquer tentativa de acesso no autorizado aos
recursos de Tecnologia da Informao.
4.1.8 A utilizao de contas genricas deve ser limitada ao estritamente
necessrio.
4.1.9 Os rgos e entidades da Administrao Pblica do Poder Executivo Estadual
que disponibilizem o acesso a recursos de Tecnologia da Informao ao
cidado devem desenvolver e comunicar regulamento especfico para o bom
uso desses recursos.
4.2 Conexo de Equipamentos
4.2.1 Somente dispositivos autorizados pela rea de Tecnologia da Informao do
rgo ou entidade podero ter acesso aos recursos de rede da Administrao
Pblica do Poder Executivo Estadual.
23

Normas de Segurana da Informao Verso 3.0

4.3 Gerenciamento de Senhas


4.3.1 A elaborao de senhas para acesso rede ou aos sistemas deve ser
realizada conforme procedimento estabelecido pela rea de Tecnologia da
Informao do rgo ou entidade, o qual deve prever troca peridica de
senhas, senhas de difcil deduo e bloqueio automtico da sesso por
inatividade.
4.3.2 Todas as contas de usurio devem ter suas senhas alteradas no primeiro
logon na rede e nos sistemas de informao, para assegurar sua
confidencialidade.
4.3.3 Os critrios para elaborao, manuteno e gerenciamento dos acessos
devem levar em considerao a criticidade das informaes e as
necessidades dos processos de negcio envolvidos.
4.4 Anlise Crtica
4.4.1 Os direitos de acesso dos usurios rede e aos sistemas devem ser
revisados periodicamente.
4.4.2 Os direitos de acesso dos usurios em afastamento definitivo da organizao
devem ser revogados.
4.4.3 Os direitos de acesso dos usurios em afastamento temporrio devem ser
suspensos no perodo da ausncia.
4.4.4 Os direitos de acesso dos usurios em transferncia de rea devem ser
revistos.

5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade:
5.1.1 administrar os acessos rede e aos sistemas da Administrao Pblica do
Poder Executivo Estadual;
5.1.2 elaborar procedimento de gerenciamento de senhas em consonncia com a
criticidade das informaes e as necessidades dos processos de negcio
envolvidos.
5.2 Gestor da rea do Usurio
5.2.1 comunicar rea de Tecnologia da Informao do rgo ou entidade todas
as movimentaes de pessoal que impliquem em concesso, mudana ou
revogao de acessos;
5.2.2 comunicar rea de Tecnologia da Informao do rgo ou entidade sempre
que tomar cincia de direitos de acesso desnecessrios execuo das
atividades por parte de seus subordinados ou de terceiros.

24

Normas de Segurana da Informao Verso 3.0

5.3 Usurio
5.3.1 manter sigilo da senha de acesso rede e aos sistemas, sendo de sua total
e exclusiva responsabilidade qualquer operao realizada sob suas
credenciais de acesso;
5.3.2 no compartilhar com terceiros sua credencial de acesso rede ou aos
sistemas;
5.3.3 informar ao seu Gestor quando forem identificados direitos de acesso
desnecessrios execuo das suas atividades profissionais;
5.3.4 bloquear sua estao de trabalho ou efetuar logoff da rede sempre que se
ausentar de sua rea de trabalho;
5.3.5 comunicar, imediatamente, rea de Tecnologia da Informao do rgo ou
entidade qualquer ocorrncia de perda ou avaria de dispositivos adicionais
de autenticao, tais como tokens, smartcards e outros.

6. Documentos Relacionados
ABNT NBR ISO/IEC 27002:2013- Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de prtica para Controles de Segurana da Informao.
Sistema de Gesto de Segurana da Informao do Poder Executivo Estadual.
Norma 16 - Proteo Contra Cdigo Malicioso.
Norma 04 - Acesso aos Recursos de Tecnologia da Informao.
Norma 03 - Uso da Internet.

7. Data de Reviso
23/11/2015

25

Normas de Segurana da Informao Verso 3.0

Norma 05 - Acesso e Utilizao do Correio Eletrnico


1. Objetivo
Definir as diretrizes de acesso e utilizao segura do Correio Eletrnico disponibilizado
pela Administrao Pblica do Poder Executivo Estadual.

2. Definies
E-mail: forma reduzida para E(lectronic) Mail - Correio Eletrnico.
Hiperlink: palavras ou endereos em destaque de uma pgina da Internet ou
mensagem de Correio Eletrnico que, ao serem clicadas, efetuam o direcionamento
para outra parte do texto da mensagem ou pgina da Internet.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.
Webmail: uma interface da Internet que permite consultar e enviar Correio
Eletrnico (E-mail).

3. Abrangncia
Esta Norma se aplica a todos os usurios que utilizam o servio de Correio Eletrnico
disponibilizado pela Administrao Pblica do Poder Executivo Estadual.

4. Diretrizes
4.1 O servio de Correio Eletrnico corporativo uma concesso da Administrao
Pblica do Poder Executivo Estadual, sendo assim, seu uso permitido somente
para as atividades profissionais de seus usurios, no sendo permitido enviar ou
arquivar mensagens no relacionadas s atividades profissionais, a exemplo de,
mas no limitado a:
4.1.1 assuntos que provoquem assdio, constrangimento ou que prejudiquem a
imagem da organizao;
4.1.2 temas difamatrios, discriminatrios, material obsceno, ilegal ou antitico;
4.1.3 fotos, imagens, sons ou vdeos que no tenham relao com as atividades
profissionais da organizao.
4.2 As permisses de acesso a servios de e-mail particulares, tais como webmail,
podem ser estabelecidas e gerenciadas pela rea de Tecnologia da Informao do
rgo ou entidade e pelas reas de negcio, em funo dos interesses da
Administrao Pblica;
4.3 O acesso ao Correio Eletrnico corporativo se dar, minimamente, pelo conjunto
Identificao do Usurio e Senha, que pessoal e intransfervel.
26

Normas de Segurana da Informao Verso 3.0

4.4 O endereo de e-mail disponibilizado ao usurio de uso pessoal e intransfervel e


de responsabilidade do mesmo. Portanto, terminantemente proibido suprimir,
modificar ou substituir a identidade do remetente de uma mensagem do Correio
Eletrnico.
4.5 Havendo indcios de que mensagens veiculadas pelo correio eletrnico possam
ocasionar quebra de segurana ou violao de quaisquer das vedaes constantes
deste ou de outro ato normativo, a rea de Tecnologia da Informao do rgo ou
entidade responsvel pela administrao do Servio de Correio Eletrnico adotar,
imediatamente, medidas para a apurao dessas irregularidades, utilizando-se dos
meios e procedimentos legalmente previstos.
4.6 A disponibilizao do Correio Eletrnico pode ser suspensa a qualquer momento por
deciso do Gestor da rea do usurio ou da rea de Tecnologia da Informao do
rgo ou entidade.
4.7 As concesses e revogaes de acesso ao servio de Correio Eletrnico devem ser
autorizadas pelo Gestor da rea do usurio por meio de uma solicitao de servio
rea de Tecnologia da Informao do rgo ou entidade.
4.8 Os anexos e/ou hiperlinks das mensagens de Correio Eletrnico podero ser
bloqueados quando oferecerem riscos Segurana da Informao.
4.9 A abertura de mensagens de remetentes desconhecidos, externos Administrao
Pblica do Poder Executivo Estadual, deve ser avaliada, especialmente quando
houver dvidas quanto natureza do seu contedo, como arquivos anexados no
esperados ou hiperlinks para endereos externos no relacionados s atividades
profissionais em curso.
4.10 A quantidade de destinatrios deve ser limitada por mensagem, com o objetivo de
coibir a prtica de Spam. Cabe rea de Tecnologia da Informao do rgo ou
entidade estabelecer tal limite, bem como acordar com as reas de negcio as
eventuais excees, de acordo com os interesses da Administrao Pblica.
4.11 Todas as mensagens originrias de usurios da Administrao Pblica do Poder
Executivo Estadual devero conter a assinatura do remetente em formato
padronizado, alm de um aviso legal, tambm padronizado, referenciando a
confidencialidade da informao. Esses padres devem ser definidos pela
Superintendncia da Gesto e Inovao - SGI.
4.12 Limites de armazenamento das caixas de Correio Eletrnico devem ser
estabelecidos pela rea de Tecnologia da Informao do rgo ou entidade,
considerando as necessidades dos processos de negcio que o servio de Correio
Eletrnico suporta, bem como limitaes tcnicas aplicveis.

5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade:
5.1.1 conceder, suspender e revogar os acessos ao servio de Correio Eletrnico;
5.1.2 administrar as funcionalidades e a segurana do servio de Correio
Eletrnico.

27

Normas de Segurana da Informao Verso 3.0

5.2 Gestor da rea do Usurio:


5.2.1 comunicar rea de Tecnologia da Informao do rgo ou entidade todas
as movimentaes de pessoal que impliquem em concesso, mudana ou
revogao de acessos.
5.3 Usurio:
5.3.1 responder pelo uso adequado dos servios e recursos de Correio Eletrnico a
ele disponibilizados, nas suas mais diversas formas de acesso, inclusive por
meio de dispositivos mveis, em consonncia com esta Norma.

6. Documentos Relacionados
ABNT NBR ISO/IEC 27002:2013- Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de prtica para Controles de Segurana da Informao.
Sistema de Gesto de Segurana da Informao do Poder Executivo Estadual.
Norma 16 - Proteo Contra Cdigo Malicioso.
Norma 04 - Acesso aos Recursos de Tecnologia da Informao.
Norma 03 - Uso da Internet.

7. Data de Reviso
23/11/2015

28

Normas de Segurana da Informao Verso 3.0

Norma

06

Gerenciamento
Informao

de

Incidentes

de

Segurana

da

1. Objetivo
Normatizar o registro e o tratamento de incidentes de Segurana da Informao no
mbito da Administrao Pblica do Poder Executivo Estadual.

2. Definies
Incidente de Segurana da Informao: representado por um nico ou por uma
srie de eventos indesejados ou inesperados de Segurana da Informao que tenham
uma grande probabilidade de comprometer as operaes do negcio.
Log: arquivo que contm informaes sobre eventos de qualquer natureza em um
sistema computacional, anlise forense para a elucidao de incidentes de segurana,
auditoria de processos, cumprimento de exigncias legais para a manuteno de
registro do histrico de acessos ou eventos e para a resoluo de problemas
(debugging).
Usurio: qualquer colaborador seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
os recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

3. Abrangncia
Esta Norma se aplica a todos os usurios de informaes ou recursos de Tecnologia da
Informao disponibilizados pela Administrao Pblica do Poder Executivo Estadual.

4. Diretrizes
4.1 Todo usurio deve registrar incidentes de Segurana da Informao, conforme
orientaes descritas em procedimento especfico constante do Sistema de Gesto
de Segurana da Informao.
4.2 A rea de Tecnologia da Informao do rgo ou entidade deve registrar um
incidente de Segurana da Informao para toda falha de segurana identificada
nos recursos de Tecnologia da Informao da Administrao Pblica do Poder
Executivo Estadual.
4.3 As informaes referentes aos responsveis pelo registro de incidentes de
Segurana da Informao so sigilosas, entretanto esta identificao obrigatria.
4.4 A rea de Tecnologia da Informao do rgo ou entidade deve garantir que planos
de ao sejam elaborados para tratamento de incidentes, e monitorar sua
implementao.
4.5 vedado ao usurio intervir no tratamento dos incidentes sem a devida autorizao
ou qualificao.

29

Normas de Segurana da Informao Verso 3.0

5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade:
5.1.1 identificar e documentar incidentes de Segurana da Informao por meio de
anlise dos logs dos recursos de Tecnologia da Informao;
5.1.2 reportar todos os incidentes de Segurana da Informao
Superintendncia da Gesto e Inovao - SGI, de forma regular;

5.1.3 elaborar Planos de Recuperao de Desastres (PRD) para os processos


crticos;
5.1.4 executar procedimentos e aes corretivas quando necessrio;
5.1.5 informar ao usurio as aes tomadas em relao aos incidentes registrados,
quando aplicvel.
5.2 Gestor da rea do Usurio:
5.2.1 apoiar a rea de Tecnologia da Informao do rgo ou entidade na soluo
dos incidentes de Segurana da Informao;
5.2.2 apoiar na execuo das aes corretivas/preventivas estabelecidas para o
tratamento dos incidentes;
5.2.3 apoiar a rea de Tecnologia da Informao do rgo ou entidade, na
elaborao e implementao dos planos de contingncia para diferentes
tipos de incidentes de segurana, visando reduzir os impactos,
restabelecendo os processos de negcio afetados, o mais rpido possvel.
5.3 Usurio:
5.3.1 registrar incidentes de Segurana da Informao.

6. Documentos Relacionados
Sistema de Gesto de Segurana da Informao do Poder Executivo Estadual.
ABNT NBR ISO/IEC 27002:2013- Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de prtica para Controles de Segurana da Informao.
Norma 04 - Acesso aos Recursos de Tecnologia da Informao.

7. Data de Reviso
23/11/2015

30

Normas de Segurana da Informao Verso 3.0

Norma 07 - Gerenciamento da Auditoria de Segurana da


Informao
1. Objetivo
Definir as diretrizes do processo de Auditoria de Segurana da Informao, no mbito
da Administrao Pblica do Poder Executivo Estadual.

2. Definies
Alta Administrao: dirigente mximo dos rgos e entidades da Administrao
Pblica do Poder Executivo Estadual, chefes de gabinete, superintendentes e diretores.
A Alta Administrao dos rgos e entidades tambm pode ser proprietria, custodiante
ou usuria da informao.
Custodiante da Informao: aquele que armazena, processa, veicula e trata a
informao, mediante orientao dada pela classificao e assume, em conjunto com o
proprietrio da informao, a responsabilidade pela proteo desta.
Proprietrio da Informao: aquele que gera ou adquire a informao.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

3. Abrangncia
Esta Norma se aplica a todos os processos de negcio da Administrao Pblica do
Poder Executivo Estadual.

4. Diretrizes
4.1 Toda Auditoria de Segurana da Informao deve estar autorizada de acordo com a
legislao vigente.
4.2 A necessidade de Auditoria de Segurana da Informao deve ser verificada
regularmente, produzindo um relatrio de diretrizes de auditoria. Essa verificao
deve contemplar, entre outros:
4.2.1 anlise dos documentos que compem
Informao;

Poltica de

Segurana da

4.2.2 resultados de auditorias anteriores;


4.2.3 indicadores de Segurana da Informao;
4.2.4 anlise dos incidentes de Segurana da Informao registrados;
4.2.5 informaes relativas a anlises de risco.

31

Normas de Segurana da Informao Verso 3.0

4.3 Requisitos e atividades de Auditoria de Segurana da Informao devem ser


planejados para minimizar o risco de interrupo dos processos de negcio
envolvidos, devendo o planejamento contemplar, dentre outros:
4.3.1 reas, usurios, processos e sistemas que sero auditados;
4.3.2 controles de Segurana da Informao que sero auditados;
4.3.3 estratgia de comunicao com todos os envolvidos;
4.3.4 identificao dos auditores;
4.3.5 independncia dos auditores em relao s atividades auditadas;
4.3.6 cronograma de execuo da auditoria.
4.4 Os auditores devem ter acesso apenas leitura de software e dados, s sendo
permitido outros acessos por meio de cpias isoladas e estes devem ser apagados
ao final da auditoria, ou dada a devida proteo quando houver a obrigao ou
necessidade de armazenar tais cpias.
4.5 Quando o acesso a dados sensveis for indispensvel para os objetivos da auditoria,
mecanismos adicionais devem ser implementados para garantia de sua
confidencialidade.
4.6 Mecanismos que garantam o registro de todas as atividades da auditoria devem ser
implementados, de forma a produzir uma trilha de referncia.
4.7 O acesso s ferramentas de auditoria deve ser restrito e controlado, visando
prevenir uso no autorizado.
4.8 O processo de auditoria deve produzir relatrios contendo, dentre outros, os dados
da rea, do usurio, o processo ou sistema auditado, os controles verificados,
evidncias para conformidades e justificativas para no conformidades. Os dados
destes relatrios devem alimentar o processo de Gesto de Indicadores de
Segurana da Informao.
4.9 Um plano com aes preventivas e corretivas deve ser elaborado com base no
relatrio gerado pelo processo de auditoria.
4.10 O resultado de auditorias de Segurana da Informao deve ser caracterizado
como informao sigilosa quando esse puder comprometer a segurana dos
processos de negcio do rgo ou entidade a que se refere.
4.11 Uma anlise crtica dos resultados da auditoria deve ser conduzida, com o objetivo
de determinar aes de melhoria para possveis ajustes na Poltica de Segurana
da Informao.

5. Competncias
5.1 Auditor:
5.1.1 planejar a Auditoria de Segurana da Informao em conjunto com a rea
de Tecnologia da Informao do rgo ou entidade;
32

Normas de Segurana da Informao Verso 3.0

5.1.2 conduzir auditorias, elaborar relatrios com os resultados e apresentar


recomendaes de aes preventivas e corretivas.
5.2 reas de Negcio do rgo ou Entidade:
5.2.1 elaborar e implementar planos de ao para preveno e correo de no
conformidades observadas durante o processo de auditoria.
5.3 rea de Tecnologia da Informao do rgo ou Entidade:
5.3.1 identificar necessidades de Auditoria da Segurana da Informao;
5.3.2 prover os recursos necessrios para a execuo da auditoria;
5.3.3 garantir a segurana dos dados gerados pelo processo de auditoria;
5.3.4 apoiar a implementao dos planos de ao relativos auditoria, gerados
pelas reas de negcio;
5.3.5 conduzir anlises crticas com vistas ao aprimoramento da Poltica de
Segurana da Informao do rgo ou entidade da Administrao Pblica do
Poder Executivo Estadual.

6. Documentos Relacionados
Sistema de Gesto de Segurana da Informao do Poder Executivo Estadual.
ABNT NBR ISO/IEC 27002:2013- Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de prtica para Controles de Segurana da Informao.

7. Data de Reviso
23/11/2015

33

Normas de Segurana da Informao Verso 3.0

Norma 08 - Gesto de Continuidade de Negcios


1. Objetivo
Estabelecer, no mbito da Administrao Pblica do Poder Executivo Estadual, as regras
e os princpios que regulamentam a Gesto da Continuidade do Negcio GCN, que
so: manter o negcio em funcionamento, definir o papel de cada elemento que
administrar a situao da GCN e conscientizar todos os usurios sobre suas
responsabilidades no processo.

2. Definies
Continuidade do Negcio: capacidade estratgica e ttica do rgo ou entidade de se
planejar e responder a incidentes e interrupes de negcios para conseguir continuar
suas operaes em um nvel aceitvel e previamente definido.
Gesto de Continuidade de Negcios: processo de gesto que identifica ameaas
em potencial e os possveis impactos s operaes de negcio caso essas ameaas se
concretizem. Este processo fornece um framework para que se construa uma resilincia
organizacional que seja capaz de responder efetivamente e salvaguardar a reputao e
a marca do rgo ou entidade e suas atividades de valor agregado.
Partes Interessadas: aqueles que possuem um interesse permanente nos resultados
de uma organizao.
Plano de Continuidade de Negcios (PCN): conjunto de procedimentos e planos
que visa garantir a continuidade das operaes normais da organizao, mesmo aps
ocorrncia de um desastre ou indisponibilidade de recursos que sustentam os processos
de negcio.
Resilincia Organizacional: capacidade do rgo ou entidade de reagir a um
incidente de Segurana da Informao que provoque a interrupo das operaes
crticas, a tempo de reduzir ou eliminar os danos desta interrupo, incluindo a
capacidade estratgica e ttica para planejar e responder a incidentes e interrupes do
negcio com a finalidade de continuar as operaes do negcio a um nvel pr-definido
e aceitvel.
Sistema de Gesto de Continuidade de Negcios (SGCN): parte do sistema global
de gesto que estabelece, implementa, opera, monitora, analisa criticamente, mantm
e melhora a continuidade de negcios.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

3. Abrangncia
Esta Norma se aplica a todos os usurios e processos da Administrao Pblica do Poder
Executivo Estadual, bem como, aos sistemas informatizados e meios convencionais de
processamento, comunicao e armazenamento de informaes.
34

Normas de Segurana da Informao Verso 3.0

4. Diretrizes
4.1 A Gesto da Continuidade de Negcio (GCN) na Administrao Pblica do Poder
Executivo Estadual deve:
4.1.1 sistematizar o entendimento integral de todos os aspectos e fenmenos
relacionados Continuidade do Negcio, incluindo:
a)

identificao das ameaas potenciais e os respectivos impactos nas


operaes do negcio do rgo ou entidade;

b)

definio da estratgia de recuperao a ser utilizada caso ocorra um


incidente;

c)

gerenciamento de incidente adverso que interrompa um processo ou


atividade crtica;

d)

planejamento da continuidade e da recuperao das operaes e


sistemas aps uma interrupo;

e)

estabelecimento de procedimentos de retorno normalidade, quando


aplicvel;

f)

o desenvolvimento de novos produtos e servios crticos dos rgos e


entidades, assim como mudanas nos existentes, devem ser seguidos
por atualizaes no PCN para que suas estratgias e aes continuem
vlidas;

g)

estabelecer um programa efetivo para planejamento, resposta a


incidentes e interrupes nos processos de negcio;

h)

prover a continuidade das operaes do negcio em um nvel aceitvel;

i)

aumentar o poder de recuperao da organizao contra o rompimento


ou interrupo de sua habilidade de fornecer seus produtos e servios;

j)

orientar aes de preveno e mitigao dos riscos operacionais;

k)

prover a organizao de uma metodologia para a elaborao do PCN que


possibilite o restabelecimento da sua habilidade de fornecer seus
produtos e servios crticos;

l)

desenvolver e implementar um Sistema de Gesto de Continuidade de


Negcios para os rgos ou entidades, que deve ser aceito e seguido
inclusive pelas empresas prestadoras de servio;

m) estabelecer
usurios.

um

programa

de

treinamento

conscientizao

5. Competncias
5.1 Alta Administrao do rgo ou Entidade:
5.2.1 prover apoio estratgico Gesto da Continuidade de Negcio.
5.2 Gestores das reas de Negcio do rgo ou Entidade:
35

dos

Normas de Segurana da Informao Verso 3.0

5.3.1 viabilizar, atualizar, manter e implementar os Planos de Continuidade de


Negcios.
5.3 Usurios:
5.4.1 conhecer os planos existentes e as situaes em que sero utilizados, alm
dos procedimentos em que sua participao esteja prevista.

6. Documentos Relacionados
ABNT NBR ISO/IEC 27001:2013- Tecnologia da Informao - Tcnicas de
Segurana Sistemas de Gesto de Segurana da Informao - Requisitos.
ABNT NBR ISO/IEC 27002:2013- Tecnologia da Informao - Tcnicas de
Segurana - Cdigo de prtica para Controles de Segurana da Informao.
ISO/IEC Guide 73:2009 - Gesto de riscos - Vocabulrio.
Sistemas de Gesto da Continuidade do Negcio BS/ISO 22313:2012 - Societal
security. Business continuity management systems. Guidance.
Normas de Controle de TI, Cobit Control Objectives for Information and related
Technology.
ABNT NBR15999-1:2007 - Verso corrigida 2008 - Gesto de Continuidade de
Negcios - Parte 1: Cdigo de prtica.
ABNT NBR ISO/IEC 22301:2013 Segurana da Sociedade Sistema de Gesto de
Continuidade de Negcios - Requisitos.
ABNT NBR ISO/IEC 27005:2011 - Tecnologia da Informao - Tcnicas de
segurana - Gesto de Riscos de Segurana da Informao.
Sistema de Gesto de Segurana da Informao do Poder Executivo Estadual.

7. Data de Reviso
23/11/2015.

36

Normas de Segurana da Informao Verso 3.0

Norma 09Gesto de Riscos


1. Objetivo
Estabelecer as diretrizes do processo de Gesto de Riscos no mbito da Segurana da
Informao para a Administrao Pblica do Poder Executivo Estadual.

2. Definies
Alta Administrao: dirigente mximo dos rgos e entidades da Administrao
Pblica do Poder Executivo Estadual, chefes de gabinete, superintendentes e diretores.
A Alta Administrao dos rgos e entidades tambm pode ser proprietria, custodiante
ou usuria da informao.
Anlise de Riscos: processo de compreender a natureza do risco e determinar o seu
nvel.
Avaliao de Riscos: processo de comparar os resultados da anlise de riscos com os
critrios de risco para determinar se o risco e/ou sua magnitude aceitvel ou
tolervel.
Controle: qualquer processo, poltica, dispositivo, prtica ou outras aes que
modifiquem o risco, podendo ser de natureza administrativa, tcnica, de gesto ou
legal.
Risco: combinao de consequncias de um evento e a probabilidade de ocorrncia
associada.
Risco Residual: risco remanescente aps o seu tratamento.
Tratamento de Riscos: processo de seleo e implementao de medidas para
modificar riscos.

3. Abrangncia
Esta Norma se aplica a todos os processos crticos de negcio da Administrao Pblica
do Poder Executivo Estadual.

4. Diretrizes
4.1 Deve ser estabelecida uma metodologia para Gesto de Riscos, contemplando a
definio do contexto, anlise e avaliao, tratamento, aceitao e comunicao de
riscos.
4.2 A Gesto de Riscos deve ser um processo contnuo, atravs de constante
monitoramento e anlise crtica dos riscos para os processos de negcio.
4.3 Deve ser definido um perodo para o ciclo de anlises de risco.
4.4 Anlises crticas devem ser conduzidas com o objetivo de melhoria do prprio
processo de gerenciamento de riscos.
37

Normas de Segurana da Informao Verso 3.0

4.5 Definio do Contexto de Riscos:


4.5.1 Deve ser definido um contexto para toda anlise de riscos, contemplando,
entre outros:
a) objetivos estratgicos da Administrao Pblica do Poder Executivo
Estadual;
b) formalizao do escopo da anlise de riscos;
c) avaliao de requisitos de Segurana da Informao;
d) incidentes de Segurana da Informao;
e) poltica de Segurana da Informao;
f) resultados de anlises de riscos anteriores;
g) monitorao do ambiente externo, identificando ameaas, riscos e
vulnerabilidades.
4.6 Anlise de Riscos
4.6.1 Uma anlise dos relacionamentos existentes entre os processos de negcio,
seus sistemas e servios, e, respectivos ativos, deve ser conduzida em
sintonia com o contexto definido, para estabelecer as prioridades da anlise
de riscos.
4.6.2 As anlises de riscos devem ser executadas como projetos. Cada projeto
deve ter a cincia da Alta Administrao do rgo ou entidade e um
responsvel definido.
4.6.3 As anlises de riscos devem ser planejadas, contemplando uma avaliao do
escopo da anlise, definio de cronograma, estratgia de comunicao e
estimativa de custos, quando aplicvel.
4.6.4 As anlises de riscos devem gerar relatrios operacionais e executivos com o
objetivo de auxiliar a fase de avaliao de riscos.
4.7 Avaliao de Riscos
4.7.1 Processo de comparar os resultados da anlise de riscos com os critrios de
risco para determinar se o risco e/ou sua magnitude aceitvel ou tolervel.
4.7.2 Com base nos critrios de risco estabelecidos, os riscos aceitveis devem ser
aceitos formalmente pela Alta Administrao e os riscos no aceitveis
devem ser tratados.

38

Normas de Segurana da Informao Verso 3.0

4.8 Tratamento e Comunicao de Riscos


4.8.1 O tratamento de riscos deve ser planejado, atravs da definio:
a) dos controles a serem implementados e de seus responsveis;
b) da identificao de premissas e restries, quando aplicveis;
c) da definio de um cronograma de implementao.
4.8.2 Antes da implementao de qualquer controle, dever ser feita uma anlise
de impacto no ambiente que sofrer a mudana.
4.8.3 Todos os controles no
documentados e justificados.
4.8.4 Ao final da fase
contemplando:

de

implementados

tratamento,

devem

relatrios

ser

devem

formalmente

ser

elaborados

a) o escopo das implementaes;


b) a equipe envolvida no processo;
c) os controles implementados;
d) os ndices de risco e conformidade pr e ps implementaes;
e) os riscos residuais.
4.9

O resultado das Anlises e Avaliaes de Risco de Segurana da Informao deve


ser classificado como informao sigilosa, quando esse puder comprometer a
segurana dos processos de negcio do rgo ou entidade a que se refere.

5. Competncias
5.1 Alta Administrao do rgo ou Entidade:
5.1.1 autorizar e viabilizar o processo de gesto de riscos;
5.1.2 estabelecer e formalizar os critrios de aceitao dos riscos e os objetivos
dos ndices de risco e de conformidade.
5.2 reas de Negcio do rgo ou Entidade:
5.2.1 em conjunto com a rea de Tecnologia da Informao, analisar os resultados
provenientes das anlises de riscos executadas nos ativos sob sua
responsabilidade, definindo planos de ao para aplicao dos controles
recomendados, quando aplicvel;
5.2.2 aceitar ou tratar os riscos conforme os critrios estabelecidos pela Alta
Administrao do rgo ou entidade.

39

Normas de Segurana da Informao Verso 3.0

5.3 rea de Tecnologia da Informao do rgo ou Entidade:


5.3.1 viabilizar a implementao dos controles sob sua competncia;
5.3.2 estabelecer o contexto de riscos em conjunto com as reas envolvidas;
5.3.3 executar periodicamente os processos de anlise, avaliao, comunicao e
tratamento de riscos.

6. Documentos Relacionados
Sistema de Gesto de Segurana da Informao do Poder Executivo Estadual.
ABNT NBR ISO 31000:2009 - Gesto de Riscos - Princpios e diretrizes.
ABNT NBR ISO/IEC 27005:2011 Tecnologia da Informao Tcnicas de
Segurana - Gesto de Riscos de Segurana da Informao.

7. Data de Reviso
23/11/2015

40

Normas de Segurana da Informao Verso 3.0

Norma 10 - Contabilizao de Ativos de Tecnologia da


Informao
1. Objetivo
Definir as diretrizes para a contabilizao adequada dos Ativos de Tecnologia da
Informao no mbito da Administrao Pblica do Poder Executivo Estadual.

2. Definies
Ativos de Tecnologia da Informao: estaes de trabalho, servidores, softwares,
mdias e quaisquer equipamentos eletrnicos relacionados Tecnologia da Informao,
bem como processos, pessoas e ambientes.
Estao de Trabalho: todos os computadores e equipamentos correlatos
Administrao Pblica do Poder Executivo Estadual, inclusive dispositivos mveis.

da

Freeware: programa disponvel publicamente, segundo condies estabelecidas pelos


autores, sem custo de licenciamento para uso.
Incidente de Segurana da Informao: representado por um nico ou por uma
srie de eventos indesejados ou inesperados de Segurana da Informao que tenham
uma grande probabilidade de comprometer as operaes do negcio.
Mdias Removveis/Reutilizveis: incluem fitas, discos, memrias flash, discos
removveis, CD, DVD, mdia impressa, entre outros.
Shareware: programa disponvel publicamente para avaliao e uso experimental,
mas, cujo uso em regime pressupe que o usurio pagar uma licena ao autor.
Shareware distinto de freeware, no sentido de que um software shareware
comercial, embora em termos e preos diferenciados em relao a um produto
comercial convencional.
Software Livre: denominao dada a determinado software cujo cdigo-fonte de
domnio pblico e, em geral, gratuito.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

3. Abrangncia
Esta Norma se aplica a todos os usurios dos Ativos de Tecnologia da Informao
disponibilizados pela Administrao Pblica do Poder Executivo Estadual.

4. Diretrizes
4.1 As informaes e os Ativos de Tecnologia da Informao de propriedade da
Administrao Pblica do Poder Executivo Estadual devem ser utilizados

41

Normas de Segurana da Informao Verso 3.0

exclusivamente para os seus interesses, podendo ser monitorados a qualquer


tempo.
4.2 Os Ativos de Tecnologia da Informao devem ser inventariados e identificados de
forma nica.
4.3 Os Ativos de Tecnologia da Informao devem ser classificados em funo de sua
relevncia para o processo de negcio a que se destinam. Esta relevncia deve ser
considerada em eventuais anlises de riscos.
4.4 Os Ativos de Tecnologia da Informao devem ser, sempre que possvel,
relacionados a um usurio, responsvel por sua utilizao.
4.5 A entrada e a sada de Ativos de Tecnologia da Informao das dependncias dos
rgos e entidades da Administrao Pblica do Poder Executivo Estadual devem
ser acompanhadas pelos devidos documentos de movimentao.
4.6 O padro de configurao (hardware e software) dos Ativos de Tecnologia da
Informao definido pela rea de Tecnologia da Informao dos rgos e
entidades e no deve ser modificado sem sua autorizao.
4.7 Os itens que compem conjuntos de ativos no podem ser modificados sem a
autorizao da rea de Tecnologia da Informao dos rgos e entidades.
4.8 Somente softwares licenciados e homologados devem ser utilizados.
4.9 Os inventrios (hardware e software) devem ser atualizados apropriadamente
sempre que Ativos de Tecnologia da Informao sofrerem mudanas.
4.10 As mdias contendo as cpias de segurana devem ser catalogadas e armazenadas
por tempo compatvel com as necessidades dos processos de negcio.
4.11 A utilizao de software que no seja de propriedade da Administrao Pblica do
Poder Executivo Estadual ou licenciado para a mesma, pode, alm de configurar
crime de pirataria conforme Lei N 9.609, de 19 de fevereiro de 1998, interferir na
contabilizao dos ativos.

5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade:
5.1.1 contabilizar os Ativos de Tecnologia da Informao de forma a garantir sua
conformidade com esta Norma.

42

Normas de Segurana da Informao Verso 3.0

5.2 Usurio:
5.2.1 utilizar os Ativos de Tecnologia da Informao em conformidade com esta
Norma;
5.2.2 notificar, atravs de abertura de incidente de Segurana da Informao,
sempre que identificar dano, roubo, perda ou modificaes indevidas em um
Ativo de Tecnologia da Informao.

6. Documentos Relacionados
Norma 04 - Acesso aos Recursos de Tecnologia da Informao.
Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.

7. Data de Reviso
23/11/2015

43

Normas de Segurana da Informao Verso 3.0

Norma 11 - Intercmbio de Informaes


1. Objetivo
Definir as diretrizes de segurana na troca de informaes e softwares internamente,
entre os rgos e entidades da Administrao Pblica do Poder Executivo Estadual e/ou
com quaisquer entidades externas.

2. Definies
Criptografia: tcnica utilizada para tornar a informao original ilegvel, permitindo
que somente o destinatrio (detentor da chave de criptografia) a decifre.
Informao Sigilosa: informao submetida temporariamente restrio de acesso
pblico em razo de sua imprescindibilidade para a segurana da sociedade e do
Estado, e aquelas abrangidas pelas demais hipteses legais de sigilo.
Mdias Removveis/Reutilizveis: incluem fitas, discos, memrias flash, discos
removveis, CD, DVD, mdia impressa, entre outros.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.
Virtual Private Network (VPN): rede virtual privada com uso de criptografia para
garantir a confidencialidade das informaes trafegadas em uma rede pblica.

3. Abrangncia
Esta Norma se aplica a todos os usurios de informaes ou sistemas de informao de
propriedade da Administrao Pblica do Poder Executivo Estadual.

4. Diretrizes
4.1 Diretrizes Gerais
4.1.1 A troca de informaes entre os usurios deve ser suportada por acordos
formalizados e documentados, contendo, quando aplicvel, clusulas de
preservao da privacidade de dados pessoais, direitos autorais, preservao
de bens patrimoniais, sigilo e no divulgao.
4.1.2 Salvo nos casos previstos em lei, todo usurio deve assinar um termo de
sigilo e confidencialidade com o Governo do Estado da Bahia.
4.1.3 As informaes classificadas como sigilosas gravadas em mdia removvel
devem utilizar soluo de criptografia.
4.1.4 Toda informao sigilosa deve receber o tratamento adequado conforme
descrito na Norma de Classificao da Informao.
44

Normas de Segurana da Informao Verso 3.0

4.1.5 Procedimentos de recepo de fac-smiles, impresso de documentos,


abertura de correio e distribuio de correspondncia devem ser
estabelecidos de forma a prevenir o acesso no autorizado informao.
4.1.6 Aes de conscientizao dos usurios devem incluir a observncia das
necessidades de segurana ao se efetuar conversaes, inclusive as
telefnicas, sobre assuntos restritos e confidenciais em locais pblicos, em
escritrios abertos ou mesmo em reunies realizadas em sala sem a devida
adoo dos requisitos de segurana.
4.1.7 Mecanismos devem ser implementados para proteger as informaes
associadas aos sistemas de informao dos negcios, entre outros:
a) proteo contra interceptao e gravao de chamadas telefnicas ou de
teleconferncias, garantindo a confidencialidade das chamadas;
b) o acesso rede corporativa ou a Intranet, por meio da Internet, deve
utilizar soluo de criptografia, a exemplo de VPN (Virtual Private
Network);
c) procedimento de reteno de cpias de segurana das informaes
mantidas nos sistemas, bem como sua recuperao e contingncia;
d) restrio de acesso a informaes de trabalho compatvel s atividades do
usurio atravs do gerenciamento de perfis de acesso;
e) proteo contra cdigo malicioso, conforme Norma de Proteo Contra
Cdigo Malicioso;
f) procedimentos para o uso de comunicao sem fio, levando em conta os
riscos particulares envolvidos;
g) as mensagens confidenciais, enviadas pelo Correio Eletrnico, devem
utilizar soluo de criptografia.
4.2 Mdias em Trnsito
4.2.1 Devem ser adotados transporte e servio de mensageiro confivel e
preferencialmente estabelecer um contrato de sigilo e confidencialidade com
esse servio.
4.2.2 As embalagens de mdias removveis devem ser suficientes para proteger os
contedos contra danos fsicos.
4.2.3 Mecanismos de proteo contra danos fsicos durante o transporte das
mdias removveis devem ser adotados, considerando as recomendaes do
fabricante das mdias.
4.2.4 A entrega dos documentos e das mdias removveis, contendo informaes
sigilosas, deve ser registrada em recibo ou sistema eletrnico especfico.

45

Normas de Segurana da Informao Verso 3.0

5. Competncias
5.1

rea de Tecnologia da Informao do rgo ou Entidade:


5.1.1 prover recursos para garantir a troca adequada de software,
informaes armazenadas e transmitidas por meio eletrnico.

5.2

Usurio:
5.2.1 cumprir as diretrizes desta norma.

6. Documentos Relacionados
Norma 02 - Classificao da Informao.
Norma 05 - Acesso e Utilizao do Correio Eletrnico.
Norma 16 - Proteo Contra Cdigo Malicioso.

7. Data de Reviso
23/11/2015

46

de

Normas de Segurana da Informao Verso 3.0

Norma 12 - Segurana Fsica


1. Objetivo
Estabelecer diretrizes para prevenir o acesso fsico no autorizado, a fim de evitar
danos e interferncia s informaes, ativos e instalaes fsicas da Administrao
Pblica do Poder Executivo Estadual.

2. Definies
rea Protegida: corresponde s dependncias dos rgos e entidades, onde
escritrios, salas e instalaes de processamento de informaes so utilizados pela
Administrao Pblica do Poder Executivo Estadual.
rea Pblica: corresponde ao permetro externo s dependncias dos rgos e
entidades, tais como ruas, avenidas e reas circunvizinhas e instalaes prediais,
quando as dependncias do rgo ou entidade esto em salas ou andares de prdios
comerciais.
rea Segura: incluem-se nesta classificao especial as reas protegidas que
contenham informaes, dispositivos ou servios imprescindveis aos negcios, tais
como sala de servidores, sala de operao, cofre, salas e armrios com informaes
sensveis associadas a interesses relevantes dos rgos e entidades e locais com
equipamentos e infraestrutura de conectividade (switches, roteadores, dispositivos de
armazenamento, quadro de telefonia, quadro de cabeamento, entre outros).

3. Abrangncia
Esta Norma se aplica a todas as dependncias e usurios da Administrao Pblica do
Poder Executivo Estadual.

4. Diretrizes
4.1 Permetros de Segurana
4.1.1 Em reas Pblicas:
a) as regras de controle de acesso fsico no se aplicam s reas pblicas.
4.1.2 Em reas Protegidas:
a) devem ser localizados de forma a evitar o acesso do pblico, com
indicaes mnimas do seu propsito e sem sinais bvios da presena de
atividades de processamento de informao;
b) convm que as paredes externas possuam construo slida. As portas
externas devem ser protegidas de forma apropriada, com mecanismos de
controle, travas etc., contra acessos no autorizados; uma rea de
recepo ou outro meio de controle de acesso fsico deve ser usado,
devendo o acesso ser restrito apenas ao pessoal autorizado;
47

Normas de Segurana da Informao Verso 3.0

c) barreiras fsicas devem, se necessrio, ser estendidas da laje do piso at


a laje superior para prevenir acessos no autorizados ou contaminao
ambiental como as causadas por fogo e inundaes;
d) todas as portas de incndio devem possuir dispositivo para fechamento
automtico;
e) devem ser afixados avisos (normalmente nas entradas, sadas e
corredores de acesso), facilmente visveis, informando sobre o controle
de acesso para as pessoas e alertando sobre as restries ao acesso
pblico, de tal forma que desestimule as invases.
4.1.3 Em reas Seguras:
a) barreiras e permetros adicionais para controlar o acesso fsico podem ser
necessrios em reas com diferentes requisitos de segurana dentro de
um mesmo permetro de segurana;
b) devem ser afixados avisos, normalmente na respectiva porta, facilmente
visveis, alertando sobre as restries ao acesso s reas seguras,
indicando que somente pessoal autorizado tem acesso, de tal forma que
desestimule as invases.
4.2 Controles de Entrada Fsica
4.2.1 Procedimentos de controle de acesso fsico devem ser implementados de
forma a restringir o acesso s reas protegidas e seguras. Os procedimentos
de controle de acesso devem, quando necessrio, contemplar, entre outros:
a) a utilizao de dispositivos de identificao pessoal;
b) monitorao de acessos;
c) restries de horrios de acesso e permanncia;
d) controle de acesso de terceiros;
e) movimentao de ativos.
4.2.2 O pessoal autorizado deve ter acesso fsico somente
imprescindveis para a realizao dos seus trabalhos.

aos

ativos

4.2.3 O acesso de visitantes deve se dar somente aps identificao individual e


autorizao de entrada por parte da pessoa e/ou setor que ser visitado.
4.3 Segurana em Escritrios, Salas e Instalaes de Processamento
4.3.1 A escolha da localizao, os projetos de engenharia e arquitetura das
instalaes devem levar em considerao as possibilidades de danos
causados por fogo, inundaes, exploses, manifestaes civis e outras
formas de desastres naturais ou causados pelo homem. Tambm devem ser
levados em considerao as regulamentaes e padres de segurana e
sade, bem como serem tratadas quaisquer ameaas originadas em
propriedades vizinhas.

48

Normas de Segurana da Informao Verso 3.0

4.3.2 Portas e janelas devem ser mantidas fechadas quando no utilizadas e


devem ser instaladas protees extras, principalmente quando essas portas
e janelas se localizarem em andar trreo.
4.3.3 Sistemas de deteco de intrusos, tais como alarmes e sistemas de vdeo
vigilncia, devem ser instalados e testados regularmente, de forma a cobrir
todas as portas e janelas acessveis.
4.3.4 Equipamentos de contingncia e meios magnticos de reserva devem ser
guardados a uma distncia segura para evitar danos que podem se originar
de um desastre na rea protegida.
4.3.5 As portas de entrada devem permanecer trancadas nos perodos de
inatividade.
4.3.6 Uma poltica de mesa limpa deve ser implementada, visando eliminar
riscos de acesso no autorizado a informaes em mdias no magnticas,
tais como documentos sensveis deixados em impressoras ou mesas de
trabalho.
4.4 Trabalho em reas Seguras
4.4.1 A existncia das informaes ou das atividades dentro de reas seguras
deve ser de conhecimento restrito a pessoal autorizado e apenas quando
necessrio.
4.4.2 reas seguras devem estar fechadas e trancadas adequadamente de forma a
impedir acessos no autorizados. Quando desocupadas, devem ser mantidas
fisicamente fechadas e verificadas periodicamente.
4.4.3 Somente pessoas imprescindveis realizao dos trabalhos rotineiros ou de
manuteno devem ter acesso s reas seguras, mediante autorizao.
4.4.4 Deve-se evitar trabalho sem monitoramento nas reas seguras para prevenir
oportunidades de atividades maliciosas, devendo o pessoal de servios de
suporte terceirizado ter acesso controlado a estas reas.
4.4.5 Materiais combustveis ou perigosos devem ser guardados de forma
adequada a uma distncia apropriada de uma rea segura. Suprimentos
volumosos, tais como material de escritrio, no devem ser guardados em
reas seguras, a menos que sejam imprescindveis.
4.4.6 Qualquer equipamento de gravao, fotogrfico, vdeo ou som somente deve
ser utilizado com autorizao.
4.5 Instalao e Proteo dos Equipamentos
4.5.1 Os Ativos de Tecnologia da Informao devem ser posicionados fisicamente e
protegidos, a fim de se reduzir o risco decorrente de ameaas potenciais e
oportunidades de acesso no autorizado.
4.5.2 O consumo de alimentos, bebidas e fumo deve acontecer apenas nas
instalaes definidas para esse fim.

49

Normas de Segurana da Informao Verso 3.0

4.5.3 Os Ativos de Tecnologia da Informao crticos devem ser protegidos por


equipamentos contra falhas de energia e outras anomalias na alimentao
eltrica.
4.5.4 As reas consideradas pela Administrao Pblica do Poder Executivo
Estadual como sendo de alto risco devem possuir planos de continuidade
operacional que estabeleam as atividades necessrias para contingncia e
restaurao dos Ativos de Tecnologia da Informao, de forma a garantir a
disponibilidade dos servios, mesmo em momentos de crise.
4.5.5 Normas Tcnicas Brasileiras devem ser seguidas no que concerne ao
cabeamento de redes, telecomunicaes e instalaes eltricas.
4.5.6 O cabeamento de dados e as instalaes eltricas devem ser protegidos
contra interceptao ou dano.
4.5.7 Os pontos de rede de dados devem ser controlados, devendo-se documentar
todos os pontos existentes e evitar a existncia de pontos ativos sem
utilizao.

5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade:
5.1.1 garantir que os Ativos de Tecnologia da Informao estejam fisicamente
protegidos contra ameaas sua segurana, conforme as diretrizes desta
Norma;
5.1.2 realizar auditorias peridicas visando o cumprimento das diretrizes desta
Norma;
5.1.3 tratar os incidentes de segurana abertos em funo de no conformidades
observadas.
5.2 Usurio:
5.2.1 observar e cumprir todas as diretrizes desta Norma;
5.2.2 reportar quaisquer no conformidades atravs de abertura de incidente de
segurana.

6. Documentos Relacionados
ABNT NBR ISO/IEC 27002:2013 Tecnologia da Informao Tcnicas de Segurana
- Cdigo de Prtica para Controles de Segurana da Informao.
Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.

7. Data de Reviso
23/11/2015
50

Normas de Segurana da Informao Verso 3.0

Norma 13 - Segurana em Terceirizao e Prestao de Servios


1. Objetivo
Estabelecer diretrizes para implementar e manter o nvel apropriado de Segurana da
Informao e de entrega de servios nos acordos firmados entre o Governo do Estado
da Bahia e terceiros.

2. Definies
Incidente de Segurana da Informao: representado por um nico ou por uma
srie de eventos indesejados ou inesperados de Segurana da Informao que tenham
uma grande probabilidade de comprometer as operaes do negcio.
Parceiro: qualquer entidade pblica ou privada, organizaes no governamentais ou
instituies sem fins lucrativos com a qual se estabelea uma relao de cooperao
mtua.
Terceiro: qualquer parceiro, fornecedor ou prestador de servio que acesse
informaes ou utilize recursos de Tecnologia da Informao disponibilizados pela
Administrao Pblica do Poder Executivo Estadual.

3. Abrangncia
Esta Norma se aplica a todos os acordos celebrados entre o Governo do Estado da
Bahia e terceiros.

4. Diretrizes
4.1 Contratos firmados entre o Governo do Estado e prestadores de servio devem
incluir acordos que definam os nveis de entrega de servios, contemplando, entre
outros:
4.1.1 definio explcita das responsabilidades e direitos legais do Governo do
Estado, da Prestadora de Servios e dos profissionais envolvidos;
4.1.2 definio explcita dos direitos de propriedade dos produtos gerados;
4.1.3 aceite obrigatrio de toda a Poltica de Segurana da Informao do
contratante;
4.1.4 acordos de confidencialidade entre ambas as partes;
4.1.5 acordos de confidencialidade entre o terceiro e seus funcionrios e
subcontratados;
4.1.6 limitao do acesso apenas aos ativos e informaes necessrios execuo
de suas atividades;
4.1.7 clusulas contratuais que garantam a continuidade operacional durante os
perodos de transio;
51

Normas de Segurana da Informao Verso 3.0

4.1.8 nvel de capacidade tcnica, logstica e administrativa necessria do terceiro


para prestar os servios contratados;
4.1.9 planos para garantir os nveis de continuidade de servios acordados aps
falhas severas nos servios ou desastres;
4.1.10 acordos de nvel de servio (SLA), com indicadores adequados natureza
do contrato;
4.1.11 informao de que os servios prestados podero ser auditados.
4.2 Os servios de terceiros, prestados ao Governo do Estado devem ser monitorados e
analisados criticamente de forma regular, a fim de garantir a aderncia entre os
termos de Segurana da Informao e as condies dos acordos, alm de permitir o
gerenciamento adequado de problemas e Incidentes de Segurana da Informao.
4.3 Devem ser executadas auditorias peridicas
contemplando, mas no limitando-se a:

nos

servios

de

terceiros,

4.3.1 nveis de desempenho de servio para verificar aderncia aos acordos;


4.3.2 relatrios de servios produzidos por terceiros;
4.3.3 registros dos incidentes de Segurana da Informao e de sua respectiva
anlise crtica, tanto pelo terceiro quanto pelo rgo ou entidade, como
requerido pelos acordos e por quaisquer procedimentos e diretrizes que os
apoiam;
4.3.4 trilhas de auditoria do terceiro e registros de eventos de segurana,
problemas operacionais, falhas, investigao de falhas e interrupo
relativas ao servio.
4.4 Um processo de gerenciamento de mudanas deve ser elaborado para os servios
prestados por terceiros a fim de garantir que modificaes em recursos de
Tecnologia da Informao sejam processadas, levando-se em considerao o grau
de importncia dos sistemas e processos de negcio envolvidos. Este processo deve
contemplar, mas no limitando-se a:
4.4.1 melhoria dos servios correntemente oferecidos;
4.4.2 desenvolvimento de quaisquer novas aplicaes ou sistemas;
4.4.3 modificaes ou atualizaes das polticas e procedimentos;
4.4.4 novos controles para resolver os incidentes de Segurana da Informao e
melhoria da segurana;
4.4.5 mudanas e melhorias em redes;
4.4.6 uso de novas tecnologias;
4.4.7 adoo de novos produtos ou novas verses;
4.4.8 novas ferramentas e ambientes de desenvolvimento;
4.4.9 mudanas de localizao fsica dos recursos de servios;
52

Normas de Segurana da Informao Verso 3.0

4.4.10 mudanas de fornecedores;


4.4.11 mudanas de contratos.

Competncias
5.1 reas de Negcio do rgo ou Entidade:
5.1.1 administrar os contratos sob sua responsabilidade;
5.1.2 monitorar e aprovar periodicamente as atividades dos prestadores de
servios, quanto qualidade e eficincia;
5.1.3 avaliar regularmente o direito de acesso dos prestadores de servio sob sua
responsabilidade;
5.1.4 comunicar, rea de Tecnologia da Informao, infraes aos acordos de
segurana estabelecidos por meio de incidentes de Segurana da
Informao;
5.1.5 auditar periodicamente os servios de terceiros.
5.2 rea de Tecnologia da Informao do rgo ou Entidade:
5.2.1 definir, junto as reas envolvidas, os nveis de entrega de servios
adequados e os requisitos necessrios para garantia da segurana das
informaes;
5.2.2 implementar um processo de gerenciamento de mudanas em recursos de
Tecnologia da Informao para servios de terceiros.

Documentos Relacionados
ABNT NBR ISO/IEC 27002:2013Tecnologia da Informao Tcnicas de Segurana
- Cdigo de Prtica para Controles de Segurana da Informao.
Norma 02 - Classificao da Informao.
Norma 12 - Segurana Fsica.
Norma 11 - Intercmbio de Informaes.
Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.

Data de Reviso
23/11/2015

53

Normas de Segurana da Informao Verso 3.0

Norma 14 - Desenvolvimento e Manuteno de Aplicaes


1. Objetivo
Estabelecer as diretrizes que regulamentam a segurana para o processo de
desenvolvimento e manuteno de software no mbito da Administrao Pblica do
Poder Executivo Estadual.

2. Definies
Artefato de Software: item criado como parte da definio, manuteno ou utilizao
de um processo de software, incluindo, entre outros, descries de processos, planos,
procedimentos, especificaes, projetos de arquitetura, projeto detalhado, cdigo,
documentao para o usurio.
Base de Dados: conjunto de dados organizados de forma a servir de base para que o
usurio processe e recupere informaes.
Gesto de Configurao: conjunto de procedimentos tcnicos e gerenciais que so
definidos para identificao de Ativos de Tecnologia da Informao e para a gesto de
suas alteraes.
Rastreabilidade: capacidade de acompanhamento e registro de todos os eventos e
movimentaes ocorridas, desde a criao da informao at o seu descarte.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

3. Abrangncia
Esta Norma se aplica a todos os usurios envolvidos nos processos de desenvolvimento
e manuteno de software no mbito da Administrao Pblica do Poder Executivo
Estadual.

4. Diretrizes
4.1 Disposies Gerais
4.1.1 Pelo menos 1 (uma) metodologia deve ser estabelecida para todo
desenvolvimento ou manuteno, com base nas melhores prticas de
mercado, contemplando, entre outros:
a) planejamento;
b) anlise de requisito;
c) projeto;

54

Normas de Segurana da Informao Verso 3.0

d) codificao;
e) reviso;
f) compilao;
g) teste.
4.1.2 Todo desenvolvimento ou manuteno de software deve ser formalmente
autorizado.
4.1.3 Para todo desenvolvimento ou manuteno de software deve ser realizada
uma anlise de impacto.
4.1.4 Toda alterao de escopo de desenvolvimento ou manuteno de software
deve ser documentada e formalmente autorizada.
4.1.5 Todas as ferramentas de desenvolvimento devem ser homologadas e
licenciadas.
4.1.6 Todo projeto de software deve conter um documento de especificao que
descreva seus requisitos de segurana, os quais devem, entre outros,
contemplar:
a)

mecanismo de autenticao do usurio, que deve utilizar senhas com


mtrica mnima e exigir do usurio a troca peridica da senha;

b)

o mecanismo de autenticao do usurio, que deve bloquear o acesso


aps nmero definido de tentativas de login com falha;

c)

a verificao da senha por meio de mecanismo que impea fraudes de


repetio, interceptao ou quebra de integridade na comunicao entre
o cliente e o servidor;

d)

a escolha da senha por novos usurios sem a interferncia do pessoal de


apoio ou o recebimento pelos mesmos, de uma senha inicial que precise
ser trocada;

e)

o armazenamento da senha pelo sistema, de forma criptografada e


irreversvel;

f)

a uniformidade do controle de acesso em todo o sistema, utilizando-se


uma nica rotina de verificao;

g)

a realizao do controle de acesso na camada mais prxima possvel dos


dados;

h)

o registro, pelo sistema, dos eventos significativos para a segurana,


principalmente, incio e fim do mecanismo de auditoria;

i)

o registro, pelo sistema, das falhas de login, indicando o nmero de


tentativas;

j)

o registro, pelo sistema, da criao e remoo de usurios, bem como


da atribuio e da remoo de direitos do usurio;

55

Normas de Segurana da Informao Verso 3.0

k)

a proteo da trilha de auditoria contra remoo e alterao por parte


de todos os usurios, exceto dos administradores de auditoria;

l)

a capacidade de tolerncia do sistema falhas e retorno a operao;

m) a inexistncia, em aplicaes web, de dados sensveis em campos


ocultos ou cookies;
n)

a realizao das verificaes e validaes de segurana no servidor, em


aplicaes web;

o)

o acesso aos desenvolvedores apenas aos cdigos fontes necessrios


para a alterao, quando autorizados pelo superior imediato;

p)

a maior semelhana possvel do ambiente de homologao ao ambiente


de produo;

q)

a exigncia de que os aplicativos s passem do desenvolvimento para a


homologao aps verificao da existncia e adequao de sua
documentao;

r)

a existncia de documentao de instalao, configurao e operao do


sistema, ressaltando os aspectos de segurana, que deve ser mantida
atualizada. Requisitos funcionais, no funcionais e de domnio devem ser
especificados e documentados, bem como as manutenes necessrias,
considerando os requisitos de segurana definidos no desenvolvimento
do sistema.

4.1.7 A especificao dos requisitos deve ser elaborada em conjunto com a rea
de negcio solicitante da demanda.
4.1.8

Um mecanismo de controle de verso deve ser implementado durante o


processo de desenvolvimento e manuteno de software.

4.1.9

Deve existir um programa de conscientizao em Segurana da Informao


para todos os usurios envolvidos nos processos de desenvolvimento de
aplicaes.

4.1.10 Devem existir mecanismos de verificao de vulnerabilidades no cdigo


fonte durante o processo de desenvolvimento e manuteno de software.
4.1.11 Incidentes de segurana devem ser abertos quando vulnerabilidades forem
identificadas durante o processo de desenvolvimento e manuteno de
software.
4.1.12 O acesso aos cdigos fontes deve ser controlado e
desenvolvedores envolvidos, em seus respectivos projetos.

restrito

aos

4.1.13 Os cdigos fontes no devem conter identificaes e/ou senhas de acesso


s bases de dados, sejam elas de teste, de homologao ou de produo.
4.1.14 Ambientes de desenvolvimento e testes, de homologao e de produo
devem ser isolados entre si.
4.1.15 Um processo de gesto de configurao deve ser implementado e deve
abranger todo o processo de desenvolvimento e manuteno.
56

Normas de Segurana da Informao Verso 3.0

4.2 Todo software que implique em manipulao de dados deve ser desenvolvido com
controle de acesso lgico. Mecanismos adicionais que possibilitem a rastreabilidade
das operaes efetuadas devem ser considerados em casos de manipulao de
dados sensveis.
4.3 Desenvolvimento Terceirizado
4.3.1 Todos os contratos com terceiros devem contemplar clusulas de sigilo e
confidencialidade.
4.3.2 Os produtos desenvolvidos externamente devem obedecer a padres e
metodologias homologadas, alm de atender aos requisitos funcionais, no
funcionais, de domnio e de segurana definidos.
4.3.3 O contrato de desenvolvimento de produtos com terceiros deve prever, no
mnimo, os artefatos de software a serem entregues em cada fase, a
validao, o procedimento de aceite final e o perodo de garantia.
4.4 Testes
4.4.1 Procedimentos de testes no software devem ser definidos e utilizados para
todo desenvolvimento ou manuteno realizados, e devem contemplar, entre
outros, controles tais como:
a) validao de dados de entrada;
b) controle de processamento interno;
c) integridade de mensagens;
d) validao de dados de sada.
4.4.2 Os testes devem validar os mecanismos de segurana especificados no
desenvolvimento ou na manuteno do software.
4.4.3 Os testes de aceitao do software devem ser realizados por uma equipe
diferente da equipe desenvolvedora, que deve ser composta por usurios da
rea de desenvolvimento e da rea de negcio solicitante.
4.4.4 A utilizao de dados de produo em ambiente de testes deve ser
autorizada formalmente.
4.4.5 As informaes contidas na base de dados de ambiente de produo, se
utilizadas para testes, devem sofrer alteraes, de modo a preservar sua
confidencialidade.
4.5 Aceitao de Software
4.5.1 Os artefatos de software, provenientes de desenvolvimento ou manuteno,
devem ser homologados antes de serem utilizados em ambiente de
produo.
4.6 Mudanas Tcnicas no Ambiente de Produo

57

Normas de Segurana da Informao Verso 3.0

4.6.1 As atualizaes de configurao no ambiente de produo devem ser


realizadas, inicialmente, em ambiente de teste e, todo software deve ser
analisado criticamente, considerando os seguintes aspectos:
a) anlise crtica dos procedimentos de controle e integridade do software,
garantindo que os mesmos no foram comprometidos pelas mudanas
efetuadas no ambiente de produo;
b) reviso do planejamento e do oramento anual para suporte, garantindo
investimentos para revises e testes de softwares resultantes das
modificaes do ambiente de produo;
c) reviso do Plano de Continuidade dos Negcios para contemplar
mudanas necessrias resultantes das modificaes do ambiente de
produo.
4.7 Implantao
4.7.1 Os produtos homologados devem ser implantados em ambiente de
produo, por meio de procedimentos tcnicos definidos pela rea de
Tecnologia da Informao do rgo ou entidade e aceite da rea cliente.
4.7.2 Planos de Continuidade Operacional devem ser desenvolvidos pelas reas de
negcio do rgo ou entidade para garantir a continuidade dos processos
envolvidos nas implantaes de software ou outras mudanas relacionadas.
4.7.3 A implantao de novo software deve ser realizada de acordo com o
calendrio definido pelas reas de negcio do rgo ou entidade, com a
participao da respectiva rea de Tecnologia da Informao.

5. Competncias
5.1 reas de Negcio do rgo ou Entidade:
5.2.1 autorizar a utilizao de dados de produo no ambiente de testes;
5.2.2 elaborar procedimentos de homologao, homologar e dar aceite aos
produtos desenvolvidos pela rea de Tecnologia da Informao do rgo ou
entidade;
5.2.3 elaborar Planos de Continuidade Operacional para garantir a continuidade
dos processos envolvidos nas implantaes de software ou outras mudanas
relacionadas.
5.2 rea de Tecnologia da Informao do rgo ou Entidade:
5.1.1 homologar os procedimentos e metodologias de desenvolvimento externo;
5.1.2 definir treinamentos necessrios para os desenvolvedores;
5.1.3 analisar os impactos das solicitaes de desenvolvimento e modificaes e
autorizar ou realizar o desenvolvimento ou a manuteno;
5.1.4 definir procedimentos de testes e implantao de software;

58

Normas de Segurana da Informao Verso 3.0

5.1.5 realizar testes no software desenvolvido ou modificado;


5.1.6 homologar software e ferramentas de desenvolvimento de software;
5.1.7 disponibilizar ferramenta para atualizar software no ambiente de produo.

6. Documentos Relacionados
ABNT NBR ISO/IEC 27002:2013 Tecnologia da Informao Tcnicas de
Segurana - Cdigo de Prtica para Controles de Segurana da Informao.
ISO/IEC 15408-1:2009Information technology - Security techniques -- Evaluation
criteria for IT security-- Part 1: Introduction and general model.
ISO/IEC15408-2:2008Information technology - Security techniques -- Evaluation
criteria for IT securityPart 2: Security functional components
ISO/IEC15408-3:2008Information technology - Security techniques -- Evaluation
criteria for IT securityPart3: Security assurance components
Norma 11 - Intercmbio de Informaes.
Norma 10 - Contabilizao de Ativos de Tecnologia da Informao.
Norma 02 - Classificao da de Informao.

7. Data de Reviso
23/11/2015

59

Normas de Segurana da Informao Verso 3.0

Norma 15 - Distribuio de Hardware e Software


1. Objetivo
Estabelecer diretrizes para a aquisio, distribuio e gerenciamento de hardware e
software no mbito da Administrao Pblica do Poder Executivo Estadual.

2. Definies
Biblioteca de Software Definitivo: repositrio no qual as verses autorizadas e
definitivas de todos os itens de software em produo esto armazenadas e protegidas.
Depsito de Hardware Definitivo: rea separada para o armazenamento de todos os
itens definitivos de hardware sobressalente.
Freeware: programa disponvel publicamente, segundo condies estabelecidas pelos
autores, sem custo de licenciamento para uso.
Processo de Gesto de Mudanas: processo que assegura que mtodos e
procedimentos padronizados sejam utilizados para um tratamento rpido e eficiente de
todas as mudanas, de modo a minimizar o impacto de quaisquer incidentes
relacionados aos recursos de Tecnologia da Informao.
Shareware: programa disponvel publicamente para avaliao e uso experimental,
mas, cujo uso em regime pressupe que o usurio pagar uma licena ao autor.
Shareware distinto de freeware, no sentido de que um software shareware
comercial, embora em termos e preos diferenciados em relao a um produto
comercial convencional.
Software Livre: denominao dada a determinado software cujo cdigo-fonte de
domnio pblico e, em geral, gratuito.

3. Abrangncia
Esta Norma se aplica a todos os usurios, processos de negcio, sistemas, servios e
Ativos de Tecnologia da Informao da Administrao Pblica do Poder Executivo
Estadual.

4. Diretrizes
4.1 Aquisio de Hardware e Software
4.1.1 Toda aquisio de hardware ou software deve ser precedida de um
levantamento das necessidades do processo de negcio a que se destinam,
tais como: capacidade de processamento, flexibilidade, estrutura de dados,
entre outros.
4.1.2 Antes da aquisio de hardware ou software crticos e, quando possvel,
havendo concordncia do fornecedor, deve ser conduzida uma POC Proof of
Concept (Prova de Conceito).
60

Normas de Segurana da Informao Verso 3.0

4.1.3 Todos os itens adquiridos devem ser inventariados conforme norma


especfica (Norma de Contabilizao de Ativos de Tecnologia da Informao)
e, quando vivel, ser apoiado por uma ferramenta de automao.
4.1.4 Perodos de vida til devem ser definidos para cada tipo de hardware,
contemplando as necessidades do processo de negcio a que se destina e o
retorno de investimento (ROI) durante seu ciclo de vida.
4.1.5 Planos de atualizao de hardware e software devem ser elaborados
considerando seu perodo de vida til, os requisitos funcionais e tcnicos dos
processos de negcio e, de acordo com o direcionamento tecnolgico da
Administrao Pblica do Poder Executivo Estadual.
4.2 Distribuio de Hardware e Software
4.2.1 Deve ser estabelecido um processo de gesto de mudanas que contemple
todas as atividades de distribuio de hardware e software, tais como:
adio, modificao e remoo, com o objetivo de controlar os riscos de
impacto aos processos de negcio (paralisao ou queda de desempenho
prolongadas ou no programadas). Este processo deve contemplar, entre
outros:
a) planejamento das mudanas em conjunto com as reas de negcio do
rgo ou entidade e outras partes relevantes;
b) documentao de todas as mudanas (requisio de mudana);
c) formalizao da aceitao de mudanas;
d) identificao de medidas de reverso ou remediao se a mudana no
for bem sucedida;
e) atualizao dos inventrios de hardware e software;
f) instalao de um ambiente de testes para a homologao de mudanas
crticas antes de aplic-las em ambiente de produo;
g) anlise de impacto integridade dos dados (modificaes em arquivos de
dados feitas pelo sistema ou aplicao sem interveno direta do
usurio);
h) proteo integridade de hardware e software durante instalao,
manejo e transporte;
i) treinamento
a
correspondente.

usurios

administradores

documentao

4.2.2 Deve ser implementada uma biblioteca de software definitivo com o objetivo
de garantir que somente verses autorizadas estejam sendo utilizadas,
devendo conter:
a) verses originais, definitivas e autorizadas de todo software e cdigos
fonte, quando aplicvel;
b) repositrio para o armazenamento seguro de todas as cpias originais dos
softwares e suas respectivas licenas e direitos de propriedade;
61

Normas de Segurana da Informao Verso 3.0

c) estrito controle de licenas com o objetivo de eliminar os softwares no


autorizados;
d) informaes relativas suporte tcnico, direitos de atualizao, entre
outras condies contratuais;
e) documentao e manuais relacionados.
4.2.3 O processo de distribuio de software deve, quando cabvel, ser apoiado
por uma ferramenta da automao.
4.2.4 Deve ser implementado um depsito de hardware definitivo com o objetivo
de proteger equipamentos sobressalentes, que devem ser mantidos no
mesmo nvel que os seus correspondentes do ambiente de produo e
podem ser utilizados por outros sistemas ou para recuperao de incidentes
de grande impacto.
4.2.5 O depsito de hardware definitivo deve conter os respectivos manuais e
demais documentos atualizados para cada equipamento.

5. Competncias
5.1 reas de Negcio do rgo ou Entidade:
5.1.1 requerer as mudanas de acordo com os procedimentos definidos no
processo de gesto de mudanas.

5.2 rea de Tecnologia da Informao do rgo ou Entidade:


5.2.1 elaborar e manter os inventrios de hardware e software;
5.2.2 estabelecer os perodos de vida til de hardware e software;
5.2.3 elaborar o plano de atualizao de hardware e software;
5.2.4 implementar o processo de gesto de mudanas para apoiar a distribuio
de hardware e software;
5.2.5 avaliar, aprovar e implementar ou negar as requisies de mudana em
cooperao com as reas de negcio envolvidas;
5.2.6 promover a melhoria contnua do processo de gesto de mudanas;
5.2.7 distribuir os itens de hardware e software;
5.2.8 implementar a biblioteca de software definitivo e o depsito de hardware
definitivo.

6. Documentos Relacionados
ABNT NBR ISO/IEC 20000-1:2011 - Tecnologia da informao Gesto de
servios Parte 1: Requisitos do sistema de gesto de servios
62

Normas de Segurana da Informao Verso 3.0

ABNT NBR ISO/IEC 27002:2013 Tecnologia da Informao Tcnicas de


Segurana - Cdigo de Prtica para Controles de Segurana da Informao.
ABNT NBR ISO 31000:2009 - Gesto de Riscos - Princpios e diretrizes.
ITIL Information Technology Infrastructure Library.
Norma 10 - Contabilizao de Ativos de Tecnologia da Informao.
Norma 09 - Gerenciamento de Riscos.
Norma 14 - Desenvolvimento e Manuteno de Aplicaes.

7. Data de Reviso
23/11/2015

63

Normas de Segurana da Informao Verso 3.0

Norma 16 - Proteo Contra Cdigo Malicioso


1. Objetivos
Estabelecer diretrizes para a proteo dos recursos de Tecnologia da Informao da
Administrao Pblica do Poder Executivo Estadual contra ao de cdigo malicioso,
programas imprprios.

2. Definies
Cdigo Malicioso: termo genrico que se refere a todos os tipos de programa
especificamente desenvolvidos para executar aes danosas em recursos de Tecnologia
da Informao, tais como vrus, cavalo de tria, spyware, worms, entre outros.
Log: arquivo que contm informaes sobre eventos de qualquer natureza em um
sistema computacional, anlise forense para a elucidao de incidentes de segurana,
auditoria de processos, cumprimento de exigncias legais para a manuteno de
registro do histrico de acessos ou eventos e para a resoluo de problemas
(debugging).
Programas Imprprios: programas utilitrios utilizados para explorar vulnerabilidades
ou burlar a segurana dos recursos de Tecnologia da Informao.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.

3. Abrangncia
Esta Norma se aplica a todos os usurios e recursos de Tecnologia da Informao da
Administrao Pblica do Poder Executivo Estadual.

4. Diretrizes
4.1 Os recursos de Tecnologia da Informao devem estar providos de sistemas de
deteco e bloqueio de cdigos maliciosos, tais como programas antivrus,
programas de anlise de contedo de Correio Eletrnico.
4.2 Havendo correes ou atualizaes para os sistemas de deteco e bloqueio de
cdigos maliciosos, as mesmas devem ser implementadas, a fim de se evitar que
estes sistemas fiquem vulnerveis a cdigos maliciosos ou a qualquer tentativa de
acesso no autorizado.
4.3 As atualizaes e as correes para os sistemas de deteco e bloqueio de
programas maliciosos devem ser homologadas antes de aplicadas ao ambiente de
produo.
4.4 obrigatrio o uso de sistemas de deteco e bloqueio de cdigos maliciosos em
todos os recursos de Tecnologia da Informao.
64

Normas de Segurana da Informao Verso 3.0

4.5 Arquivos ou mdias que so utilizados nos equipamentos computacionais devem ser
verificados automaticamente, quanto contaminao por cdigo malicioso, antes
de sua utilizao.
4.6 Os sistemas de deteco e bloqueio de cdigos maliciosos devem prover
monitoramento, em tempo de execuo, dos arquivos e programas, quanto
contaminao por cdigo malicioso.
4.7 Os arquivos contaminados por cdigo malicioso devem ser imediatamente
descontaminados pelo software antivrus, isolados ou removidos do sistema. Em
caso de persistncia do problema, o equipamento deve ser isolado at que seja
sanado o problema para no afetar o ambiente de produo.
4.8 Padres e procedimentos para instalao, configurao, utilizao e atualizao de
sistemas de deteco e bloqueio de cdigos maliciosos devem ser estabelecidos
pela rea de Tecnologia da Informao do rgo ou entidade.
4.9 Somente mdias magnticas e produtos de origem confivel devem ser utilizados
nos equipamentos computacionais.

5. Competncias
5.1 rea de Tecnologia da Informao do rgo ou Entidade:
5.1.1 auxiliar no processo de conscientizao dos usurios quanto s melhores
prticas de preveno contra cdigos maliciosos;
5.1.2 garantir a instalao dos sistemas de deteco e bloqueio de programas
maliciosos nos equipamentos computacionais, mantendo-os atualizados,
conforme disponibilizao do fabricante;
5.1.3 monitorar os logs dos sistemas de deteco e bloqueio de cdigos
maliciosos, com objetivo de atuar de forma proativa na identificao de
ameaas.
5.2 Usurio:
5.2.1 utilizar somente programas homologados;

6. Documentos Relacionados
ABNT NBR ISO/IEC 27002:2013 Tecnologia da Informao Tcnicas de
Segurana - Cdigo de Prtica para Controles de Segurana da Informao.
Norma 06 - Gerenciamento de Incidentes de Segurana da Informao.

7. Data de Reviso
23/11/2015

65

Normas de Segurana da Informao Verso 3.0

Norma 17 - Uso de Dispositivos Mveis


1. Objetivo
Proteger os recursos computacionais disponibilizados pela administrao pblica do
poder executivo estadual contra a ao de cdigos maliciosos, cdigos mveis e
programas imprprios, atravs da definio de regras, critrios de acesso e solues
visando prevenir incidentes de segurana para a organizao.

2. Definies
Antivrus: programa (software) especificamente desenvolvido para detectar, anular e
eliminar vrus e outros tipos de cdigos maliciosos.
BYOD: (Bring Your Own Device traduo: traga seu prprio dispositivo) termo
utilizado para definio da prtica do uso de dispositivos mveis, de propriedade do
colaborador, nas instalaes fsicas da Organizao para realizao de atividades
laborais.
Cdigo Malicioso (malware): termo genrico que se refere a todo tipo de programa
especificamente desenvolvido para executar aes danosas em um computador ou
outros dispositivos eletrnicos, a exemplo de: vrus, cavalos de tria, spyware,
backdoors, keyloggers, worms, bots e rootkits.
Cdigo Mvel: cdigo executado localmente, proveniente de um sistema remoto de
baixa confiabilidade, que executa automaticamente funes especficas com pequena ou
nenhuma interao por parte do usurio.
Conformidade: aderncia a um padro previamente estabelecido e aceito como ideal.
Criptografia: tcnica utilizada para tornar a informao original ilegvel, permitindo
que somente o destinatrio (detentor da chave de criptografia) a decifre.
Dispositivos Mveis: equipamento ou acessrio porttil, capaz de se conectar a
internet e/ou armazenar dados, tais como: celular, smartphone, tablet, notebook,
netbook, pendrive, CD/DVD e outros semelhantes.
Domnio: Referncia que define um nome para o servio de autenticao dos usurios
em uma rede. O nome dado ao domnio, normalmente usado para fazer referncia a
rede corporativa da organizao.
Informao Sigilosa: informao submetida temporariamente restrio de acesso
pblico em razo de sua imprescindibilidade para a segurana da sociedade e do
Estado, e aquelas abrangidas pelas demais hipteses legais de sigilo.

66

Normas de Segurana da Informao Verso 3.0

Rede Corporativa: nomenclatura utilizada para definir os servios e recursos


tecnolgicos de uma rede vinculados ao negcio da organizao, disponibilizados para
os usurios que possuem credencial de acesso no domnio da instituio.
Rede Visitante: nomenclatura utilizada para definir uma rede ou segmento de rede,
disponibilizada aos usurios visitantes, com servios limitados e acesso restrito aos
servios e recursos tecnolgicos da rede corporativa.
Usurio: qualquer colaborador, seja ele servidor, estagirio, cliente, parceiro,
fornecedor, prestador de servio ou terceiro em geral que acessa informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica do
Poder Executivo Estadual em local ou jornada de trabalho para este ltimo.
Usurio de dispositivo mvel: todo colaborador seja ele servidor, estagirio ou
prestador de servio que acessa, atravs de dispositivos mveis, informaes ou utiliza
recursos de Tecnologia da Informao disponibilizados pela Administrao Pblica
Estadual.
Usurio Visitante: Qualquer usurio sem vinculo com o rgo ou entidade da
administrao pblica estadual que necessite acessar, de forma temporria, recursos
computacionais da organizao.
Vulnerabilidade: fragilidade de um software, sistema operacional ou outro
componente da infraestrutura de Tecnologia da Informao que pode ser explorada por
uma ou mais ameaas internas ou externas organizao.

3. Abrangncia
Todos os usurios com dispositivos mveis (de propriedade da organizao ou prprio)
que desejem acessar os recursos computacionais da organizao.

4. Diretrizes
4.1 A fim de viabilizar o cumprimento desta Norma, nos casos em que for permitido o
acesso utilizando dispositivo mvel, a organizao reserva-se o direito de, atravs
das reas competentes:
4.1.1 Instalar software ou agente para monitorar a utilizao e o acesso dos
dispositivos mveis aos recursos computacionais da organizao;

67

Normas de Segurana da Informao Verso 3.0

4.1.2 Auditar, quando necessrio, os dispositivos mveis disponibilizados pela


organizao;
4.1.3 Todos os dispositivos mveis utilizados como estao de trabalho (notebook,
netbook, tablet, etc), devem se autenticar no domnio da organizao, para
ter acesso aos recursos da rede corporativa.
4.2 O usurio de dispositivos mveis corporativos, tem responsabilidade sobre todo e
qualquer contedo armazenado, e tambm pela integridade dos mesmos.
4.3

Acesso Internet

4.3.1 vedado o uso de modem em equipamento conectado rede da


organizao para acesso direto a redes externas, inclusive Internet, nas
dependncias da organizao, salvo para a realizao de testes especficos
pelas reas tcnicas competentes. O acesso s redes externas deve ocorrer
atravs da arquitetura segura existente e homologada pela organizao;
4.3.2 vedado o uso do servio de ancoragem / roteamento dos dispositivos
mveis com equipamentos conectados rede corporativa;
4.3.3 Ressalvados os interesses da Administrao Pblica Estadual vedado fazer
download ou upload de arquivos atravs dos recursos da organizao cuja
utilizao ou contedo no estejam relacionados s atividades profissionais
do usurio de dispositivo mvel, especialmente aqueles que possam
representar risco segurana do ambiente operacional da organizao, tais
como, mas no limitados a:
a) arquivos de udio e vdeo;
b) arquivos anexados a mensagens cujos remetentes no so identificveis
ou confiveis;
c) arquivos multimdia;
d) arquivos executveis.
4.3.4 Todos os usurios que utilizam recursos da organizao para acesso
Internet, devem se autenticar na rede visitante.
4.4

Uso Adequado de Dispositivos Mveis Corporativos

4.4.1 Quando conectados rede corporativa da organizao os dispositivos mveis


devem ser configurados e utilizados de forma a reduzir a probabilidade de
atuao de cdigos maliciosos. Desta forma, as seguintes diretrizes devem
ser observadas:
a) Os dispositivos mveis devem estar providos de sistemas de deteco e
bloqueio de cdigos maliciosos e preveno e deteco de acesso no
autorizado;
68

Normas de Segurana da Informao Verso 3.0

b) Com base no conceito de BYOD, a organizao deve disponibilizar uma


soluo de gerenciamento de todos os dispositivos mveis que acessem
os recursos computacionais da organizao;
c) Qualquer dispositivo mvel que for conectado uma estao de trabalho
dever ser submetido verificao do software de antivrus, visando
detectar existncia de cdigos maliciosos e cdigos mveis;
d) No so permitidos a manipulao e armazenamento de msicas, filmes,
fotos e software objeto de direitos autorais sem a devida autorizao, ou
qualquer outro tipo de operao ilegal semelhante, para os dispositivos
mveis pertencentes organizao;
e) No permitido o armazenamento de informaes consideradas
sigilosas, em dispositivos mveis sem a devida proteo de segurana, a
exemplo do uso de senhas de acesso ao dispositivo, recursos de
criptografia ou outra soluo adequada para proteo;
f) Documentos criados fora da rede corporativa devero ser copiados para
o ambiente corporativo;
g) Dispositivos
mveis
cedidos
pela
organizao
devem
usar,
exclusivamente: software homologado e adequadamente licenciado, ou
software gratuito autorizado pela organizao.
4.4.2 O simples fato da organizao permitir acesso ou uso do equipamento ou
recursos de informao, por si s, no configura sobreaviso ou sobre jornada
do usurio de dispositivo mvel, sendo um ato de liberalidade, proatividade
e iniciativa do mesmo;
4.5

Uso de dispositivo mveis de propriedade particular

4.5.1 Nos casos em que o usurio de dispositivo mvel utilize seu equipamento no
ambiente de trabalho com fins laborais devero ser obedecidas as condies
e diretrizes de segurana da informao descritas a seguir:
a) O proprietrio do equipamento assumir a responsabilidade por:

Contedo dos arquivos armazenados;

Licenciamento regular dos softwares instalados, sob pena de


responder isoladamente pelo seu uso ilegal;

No utilizar software licenciado para uso no comercial, para


manipular dados ou informaes da organizao, sob pena de
responder isoladamente pelo seu uso ilegal;

Sempre utilizar e atualizar os documentos no ambiente da rede


corporativa;

69

Normas de Segurana da Informao Verso 3.0

b) O equipamento estar sujeito a monitoramento e auditoria por parte da


organizao;
c) O equipamento estar disposio da organizao como beneficiria de
uso temporrio e parcial, sem que isso gere qualquer nus ou
responsabilidade para a referida organizao;
d) A organizao no ser responsabilizada pela perda, deteriorao, furto,
extravio ou quebra do equipamento, e se isso vier a ocorrer o
proprietrio dever avisar organizao imediatamente;
e) A organizao no ser responsvel por realizar manutenes, troca de
peas, consertos do equipamento e suas funcionalidades. Estas
atividades so de completa responsabilidade do proprietrio, salvo
interesses da administrao pblica estadual;
f) A organizao no ser responsvel por realizar instalaes,
manutenes ou atualizaes de softwares e suas funcionalidades. Estas
atividades so de completa responsabilidade do proprietrio, salvo
interesses da administrao pblica estadual nas situaes de softwares
corporativos.
4.6

Usurios visitantes com dispositivos mveis

4.6.1 Devem ser estabelecidos procedimentos de controle e concesso de acesso a


visitantes que durante a permanncia em instalaes de rgos e entidades
da administrao pblica estadual, necessitem conectar seus dispositivos
mveis rede da organizao;
4.6.2 Para ter acesso rede sem fio o usurio visitante deve ser identificado de
forma nica.
4.7

Termo de Uso e Responsabilidade

4.7.1 Os usurios devem ser orientados a respeito dos procedimentos de


segurana acerca dos dispositivos mveis corporativos que lhes forem
disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade
do rgo ou entidade a que pertencem. No ser admitida a alegao de seu
desconhecimento nos casos de uso indevido.

5. Competncias

5.1

rea de Tecnologia da Informao do rgo ou Entidade:

5.1.1 Propor, disseminar e atualizar as diretrizes sobre o uso de dispositivos


mveis nas instalaes da organizao;

70

Normas de Segurana da Informao Verso 3.0

5.1.2 Acompanhar e recomendar a adoo de medidas e procedimentos de


segurana, visando assegurar o uso adequado de dispositivos mveis na
organizao;
5.1.3 prover os recursos necessrios ao cumprimento desta Norma;
5.2

Gestor da rea do Usurio:

5.2.1 comunicar rea de tecnologia da informao do rgo ou entidade todas as


movimentaes de pessoal que impliquem em concesso, mudana ou
revogao de acessos;
5.2.2 comunicar rea de Tecnologia da informao do rgo ou entidade sempre
que tomar cincia de direitos de acesso desnecessrios execuo das
atividades por parte de seus subordinados ou de terceiros;
5.3

Usurios:

5.3.1 Utilizar adequadamente os dispositivos mveis conectados na rede da


organizao, tomando os cuidados necessrios para tal, conforme diretrizes
estabelecidas nesta Norma.
5.3.2 Comunicar, imediatamente, rea de atendimento ao usurio sobre
qualquer ocorrncia de perda ou avaria do dispositivo mvel.
5.3.3 Cumprir com os requisitos de segurana estabelecidos nesta Norma.
5.3.4 Manter, de forma adequada, todos os dispositivos mveis sob sua
responsabilidade, sendo responsvel por todo e qualquer contedo
armazenado.

6. Documentos relacionados
ABNT NBR ISO/IEC 27002:2013 Tecnologia da Informao Tcnicas de
Segurana - Cdigo de Prtica para Controles de Segurana da Informao.
Norma 03 - Uso da Internet.
Norma 05 - Acesso e Utilizao do Correio Eletrnico.

71

Normas de Segurana da Informao Verso 3.0

CONCLUSO
H uma percepo visvel do aumento no nmero de ataques e exploraes de
vulnerabilidades de segurana, realizado por grupos que tm como alvo corporaes de
todos os tipos e, em especial, Organizaes Governamentais de diversos pases,
incluindo o Brasil. A adoo deste conjunto de Normas servir como guia aos gestores
dos diversos rgos e entidades da Administrao Pblica do Poder Executivo Estadual
para o fortalecimento da Segurana da Informao no mbito do Governo da Bahia, e
essencial no combate a aes que possam causar grandes prejuzos financeiros e
polticos ao Estado.
Este documento pretende apoiar o processo de normatizao e organizao da Gesto
da Segurana da Informao no Estado da Bahia com o objetivo de elevar o nvel de
segurana dos ativos dos rgos e entidades que compem a Administrao Pblica do
Poder Executivo Estadual, e dever receber novas verses com diretrizes revistas e
atualizadas, em um processo contnuo de melhoria da sistemtica de segurana do
Estado.

72