Políticas de SI para Ambiente de TI

Prévia do material em texto

<p>Faculdade de Tecnologia de Americana</p><p>1</p><p>Políticas de Segurança da Informação para</p><p>implantação no ambiente de TI</p><p>Faculdade de Tecnologia de Americana</p><p>2</p><p>1 Trilhas de Auditoria</p><p>Objetivo: Garantir a rastreabilidade de todas as ações realizadas nos sistemas de</p><p>informação.</p><p>Para o alcance deste objetivo:</p><p> Implantar trilhas de auditoria para monitorar os principais acessos as</p><p>informações, mesmo sendo ele administrador ou com privilégio alto.</p><p> Devem ser monitorados e registrados todos os:</p><p>o Acessos individuais as informações;</p><p>o Acessos por login com privilégios de administrador e as respectivas</p><p>ações desempenhadas;</p><p>o Acessos negados e concedidos às informações;</p><p>o Tentativas de acesso não autorizadas;</p><p>o O uso e alterações nos mecanismos de identificação e autenticação;</p><p>o Elevação de privilégio (alterar o privilégio de usuário comum para</p><p>administrador);</p><p>o Alterações ou exclusões e concessão de qualquer conta com privilégios</p><p>administrativos;</p><p>o A inicialização, interrupção ou pausa dos registros de auditoria;</p><p>o Criação e exclusão de objetos de sistema (arquivos, pastas, entre</p><p>outros);</p><p>o Criação, inicialização, alterações e acesso às trilhas de auditoria;</p><p>o Alteração do horário do computador.</p><p> Devem ser registradas as seguintes entradas para os componentes do</p><p>sistema:</p><p>o Identificação do usuário;</p><p>o Tipo do evento;</p><p>o Data e horário;</p><p>o Indicação de sucesso ou falha;</p><p>o Origem do evento;</p><p>o Identicidade ou o nome dos ou componentes afetados.</p><p> Não permitir a inoperabilidade dos registros de auditoria;</p><p> Usar tecnologia de sincronização de tempo, como o protocolo NTP (Network</p><p>Time Protocol), para deixar todos ativos de rede com o mesmo horário;</p><p> Somente administradores da rede e os profissionais da equipe de segurança</p><p>podem ter acesso às trilhas de auditoria para revisão;</p><p> Deve ser realizado o backup das trilhas de auditoria em um servidor</p><p>centralizado ou em mídias de armazenamento seguras;</p><p> As trilhas de auditoria de tecnologias externas, por exemplo, sem fio, firewalls,</p><p>DNS, e-mail devem ser escritos em um servidor de registro interno</p><p>centralizado.</p><p>Faculdade de Tecnologia de Americana</p><p>3</p><p> Revisar pelo menos diariamente as trilhas de auditoria para corrigir ocorrências</p><p>de segurança e alertas. Os seguintes itens devem ser verificados manualmente</p><p>ou automaticamente:</p><p>o Todas as ocorrências de segurança;</p><p>o Logs de todos os componentes do sistema que armazenam</p><p>informações;</p><p>o Logs de todos os componentes críticos do sistema;</p><p>o Registros de todos os servidores e componentes do sistema que</p><p>desempenham funções de segurança (por exemplo, firewalls, sistemas</p><p>de detecção de invasão/sistemas de prevenção contra invasão</p><p>(IDS/IPS), servidores de autenticação, servidores de redirecionamento</p><p>do e-commerce, etc.)</p><p> Realizar ações corretivas, no caso de detecção de falhas;</p><p> As exceções encontradas durante a revisão devem ser documentadas e</p><p>corrigidas para que não gerem falsos alertas.</p><p> Manter as trilhas de auditoria por pelo menos um ano e disponibilizar</p><p>imediatamente os 3 últimos meses.</p><p>Esta política de segurança pode ser implementada configurando os itens de</p><p>auditoria do ambiente Microsoft e do ambiente Linux.</p><p>2 Proteção contra Malware</p><p>Objetivo: Garantir que os sistemas e demais ativos de TI estejam protegidos contra</p><p>softwares maliciosos.</p><p>Para o alcance deste objetivo:</p><p> Todas as estações de trabalho e servidores que compõe o parque</p><p>computacional da EMPRESA devem ter proteção contra malware instalada,</p><p>atualizada e ativa;</p><p> A solução de proteção contra malware deve proteger de todas as ameaças</p><p>respectivas ao sistema operacional;</p><p> Sistemas que não são comumente afetados por software malicioso devem ser</p><p>avaliados periodicamente para se identificar e avaliar a evolução das ameaças</p><p>de segurança (ex.: banco de dados, servidor de autenticação, entre outros);</p><p> Periodicamente deve ser executada uma varredura completa e qualquer</p><p>ameaça identificada é reportada ao responsável do ambiente de TI;</p><p> Periodicamente é realizada uma verificação da ultima atualização de assinatura</p><p>de vírus, e consecutivamente realizado o download, instalação e distribuição</p><p>entre os ativos da rede;</p><p> A solução de proteção contra malware deve gerar log para verificação;</p><p> A proteção contra vírus deve ser formalmente estabelecida e comunicada a</p><p>todos a comunidade da EMPRESA;</p><p> A desativação da proteção contra malware não deve ser controlada pelo</p><p>usuário final e deve ser feita somente por administradores de sistema com</p><p>autorização formal.</p><p>Faculdade de Tecnologia de Americana</p><p>4</p><p>3 Auditoria de segurança e Procedimentos; - Teste de Penetração</p><p>Interno e Externo</p><p>Objetivo: Garantir que os sistemas e demais ativos de TI estejam configurados com</p><p>as últimas atualizações de segurança.</p><p>Para o alcance desse objetivo:</p><p> Implantar métodos de testes de penetração que:</p><p>o Seja baseado nas abordagens de testes de penetração aceitas pelo</p><p>responsável pelo ambiente de TI da EMPRESA;</p><p>o Abranja todo o perímetro da rede interna e sistemas críticos.</p><p>o Inclua testes a partir da rede interna e a partir da rede externa;</p><p>o Defina testes de penetração da camada do aplicativo para incluir, pelo</p><p>menos, as vulnerabilidades das aplicações;</p><p>o Defina testes de penetração da camada da rede que incluam</p><p>componentes compatíveis com as funções da rede e com os sistemas</p><p>operacionais;</p><p>o O teste deve ser repetido até que as vulnerabilidades encontradas</p><p>sejam corrigidas;</p><p>o Incluir a revisão considerando as ameaças e vulnerabilidades ocorridas</p><p>nos últimos 12 meses;</p><p> O teste de penetração deve ser executado pelo menos uma vez ao ano ou</p><p>após qualquer mudança significativa na infraestrutura do ambiente de TI ou</p><p>quando houver suspeitas pela análise de registros de auditoria;</p><p> O teste deve ser executado por um funcionário interno qualificado ou por</p><p>um terceiro externo qualificado.</p><p>4 Auditoria de segurança e Procedimentos; - Avaliação Trimestral de</p><p>Vulnerabilidades Internas e Externas</p><p>Objetivo: Garantir que os sistemas e demais ativos de TI estejam configurados com</p><p>as últimas atualizações de segurança.</p><p>Para o alcance desse objetivo:</p><p> Devem ser realizadas varreduras quanto às vulnerabilidades das redes</p><p>internas e externas encontradas, pelo menos trimestralmente;</p><p> Todas as vulnerabilidades de alto-risco identificadas no processo de</p><p>identificação de vulnerabilidades internas devem ser resolvidas.</p><p> Devem ser realizadas varreduras externas trimestrais de vulnerabilidades;</p><p> As varreduras internas e externas devem ser executadas após qualquer</p><p>alteração significativa no ambiente de TI.</p><p>Faculdade de Tecnologia de Americana</p><p>5</p><p>5 Gestão de Mudanças</p><p>Objetivo: Assegurar que as mudanças realizadas nos diversos ativos de informação</p><p>sejam realizadas de forma gerenciada.</p><p>Para o alcance deste objetivo:</p><p> As modificações nos recursos de processamento da informação (equipamentos</p><p>servidores, switches, roteadores, entre outros) e sistemas devem ser</p><p>controladas;</p><p> Toda motivação para a realização de qualquer modificação nos recursos de</p><p>processamento da informação e sistemas devem ser:</p><p>a) Documentadas, incluindo o impacto da modificação;</p><p>b) Aprovadas pelo responsável do ambiente de TI;</p><p>c) Revisadas por pessoa distinta da responsável pela alteração;</p><p>d) Testadas para verificar a existência de vulnerabilidades antes de sua</p><p>efetiva implantação e disponibilização.</p><p> Devem existir procedimentos de backup e reversão da alteração para garantir</p><p>que se as mudanças não derem certas que se retorne a configuração em</p><p>produção antes da mudança.</p><p>6 Padrão de Configurações de Firewall e Roteadores</p><p>Objetivo: Assegurar que as configurações estejam seguras e as cópias destas</p><p>configurações armazenadas e testadas para o caso haver um incidente de segurança.</p><p>Para o alcance deste objetivo:</p><p> Para cada serviço disponibilizado deve ser</p><p>elaborado um documento contendo</p><p>os padrões de configuração do firewall como uma lista documentada dos</p><p>serviços, protocolos e portas necessárias para manter a operação;</p><p>o Para os serviços, protocolos e portas não seguras necessárias ao a</p><p>realizar alguma operação da EMPRESA (ex.: protocolo Telnet), utilizar</p><p>recurso de segurança auxiliar para a proteção das informações que</p><p>trafegam através destes objetos.</p><p> Manter uma DMZ implantada para limitar o tráfego de entrada somente aos</p><p>componentes do sistema que fornecem acesso público a serviços, protocolos e</p><p>portas devidamente autorizados;</p><p> O tráfego de entrada da Internet está limitado a endereços IP na DMZ. O</p><p>trafego das conexões diretas, internas ou externas, não são permitidas entre a</p><p>internet e o ambiente interno;</p><p> Nenhuma conexão direta deve ser feita com a internet, toda conexão deve ser</p><p>tratada por um firewall;</p><p> Os endereços internos não são transmitidos via Internet na DMZ. O tráfego de</p><p>saída (outbound) do ambiente interno para a internet deve estar devidamente</p><p>autorizado;</p><p> Métodos para prevenir que endereços de rede (IP) privados (anti-spoofing) e</p><p>informação de rotas da rede interna devem estar devidamente aplicados;</p><p>Faculdade de Tecnologia de Americana</p><p>6</p><p> O firewall ou outro equipamento deve desempenhar a inspeção com status</p><p>(filtragem de pacote dinâmico).</p><p> Os componentes de sistema que armazenam informações devem estar</p><p>localizados em uma zona interna da rede, devidamente segregado da DMZ e</p><p>outras redes não confiáveis.</p><p>7 Hardening (“blindagem”)</p><p>Objetivo: Garantir que ativos do sistema recebam padrões de configurações de</p><p>segurança (controles de segurança).</p><p>Para o alcance deste objetivo:</p><p> Deve ser utilizados padrões de configurações de segurança atualizados e</p><p>aceitos por órgãos internacionais de segurança, como o NIST;</p><p> O problema de segurança decorrente dos boletins de segurança dos</p><p>fabricantes deve refletir atualizações nos padrões de segurança adotados;</p><p> O hardening deve ser aplicado antes de o sistema ser colocado em produção.</p><p> Cada servidor deve desempenhar, quando possível, apenas uma função</p><p>principal em relação as informações disponibilizadas;</p><p> Somente os serviços seguros, protocolos, serviços e processos que são</p><p>necessários à função do servidor devem ser ativados;</p><p> Em caso da impossibilidade de uso de protocolos seguros deve ser utilizado</p><p>algum outro mecanismo para mitigar o risco;</p><p> As configurações de segurança devem impedir o uso do sistema para outra</p><p>finalidade a qual não designada;</p><p> Devem ser removidas todas as funcionalidades desnecessárias e não seguras,</p><p>como:</p><p>o Scripts;</p><p>o Drivers;</p><p>o Sistemas de arquivos e aplicativos provenientes da instalação feita pelo</p><p>fabricante.</p><p> Todo o acesso administrativo no console deve ser feito com o uso de</p><p>criptografia forte;</p><p> Não usar IDs de grupos (identificação), compartilhados ou genéricos, senhas</p><p>ou outros métodos de autenticação conforme segue:</p><p>o IDs genéricos de usuários são desativados ou removidos;</p><p>o IDs de usuários compartilhados não existem para a administração do</p><p>sistema e outras funções críticas;</p><p>o IDs de usuários compartilhados e genéricos não são usados para</p><p>administrar quaisquer componentes do sistema.</p><p> Devem ser implantados mecanismos de detecção de alteração (auditoria,</p><p>conforme item 1) para alertar a equipe sobre</p><p>o Modificações não autorizadas de arquivos críticos do sistema;</p><p>Faculdade de Tecnologia de Americana</p><p>7</p><p>o Arquivos de configuração;</p><p>o Executáveis do sistema;</p><p>o Trilhas de auditoria</p><p>8 Inclusão e Alteração de configuração de roteador e regras de firewall</p><p>Objetivo: Garantir que tráfegos não autorizados não ocorram na rede da EMPRESA.</p><p>Para o alcance deste objetivo:</p><p> Os equipamentos de rede devem ser administrados e configurados apenas</p><p>pela equipe de TI da EMPRESA;</p><p> O tráfego de entrada e saída, onde houver informação, deve ser limitado ao</p><p>necessário e documentado;</p><p> Todo firewall deve ser configurado para “recusar todas as conexões” e as</p><p>exceções são explicitadas e documentadas;</p><p> Os arquivos de configuração dos roteadores devem protegidos e sincronizados</p><p>periodicamente;</p><p> Deve ser mantido atualizado um diagrama de rede que identifica todas as</p><p>conexões entre o ambiente interno da rede e outras redes;</p><p> Este diagrama deve ser mantido atualizado de acordo com as mudanças;</p><p> Os firewalls devem recusar todos os tráfegos originados em redes sem-fio e</p><p>somente o tráfego estritamente necessário deve ser autorizado;</p><p> As configurações aplicadas nos firewall e roteadores devem ser revisadas pelo</p><p>responsável no mínimo a cada seis meses, ou quando necessário;</p><p> Qualquer endereço de rede (IP) privado e informações de roteamento</p><p>divulgados para entidades externas devem estar autorizados.</p><p>9 Monitoração de rede</p><p>Objetivo: Monitorar o tráfego de rede no perímetro do ambiente de TI da EMPRESA.</p><p>Para o alcance deste objetivo:</p><p> Técnicas de detecção e prevenção contra invasões devem ser implantadas</p><p>para monitorar todo o tráfego de rede no perímetro da EMPRESA;</p><p> Os produtos utilizados para detectar e prevenir invasões devem gerar alertas a</p><p>serem monitorados e investigados através da resposta a incidente;</p><p> Todos os locais da EMPRESA devem possuir mecanismos automáticos ou</p><p>métodos manuais para detectar e identificar qualquer ponto de acesso sem fio</p><p>não autorizado;</p><p> O processo manual de varredura de rede sem fio deve ser executado</p><p>trimestralmente;</p><p> Todos os equipamentos presentes na infraestrutura de redes sem fio devem</p><p>estar documentados;</p><p>Faculdade de Tecnologia de Americana</p><p>8</p><p> Quando o monitoramento automático estiver em uso, a ferramenta deverá</p><p>gerar alerta e um processo de resposta a incidente deve ser utilizado;</p><p> Todos os equipamentos de rede sem-fio devem ter as configurações de fábrica</p><p>removidas e alteradas conforme padrão aprovado pela equipe de TI da</p><p>EMPRESA.</p><p>10 – Gestão de incidentes</p><p>Objetivo: Monitorar e elaborar plano de ação para resposta a incidentes de</p><p>segurança.</p><p>Para o alcance deste objetivo:</p><p> Um processo de respostas a incidentes deve ser elaborado e mantido</p><p>atualizado;</p><p> Um processo e um plano de respostas a incidentes devem ser estabelecidos</p><p>para responder:</p><p>e) Incidente de segurança;</p><p>f) Alerta de eventos de auditoria de segurança;</p><p>g) Detecção de intrusão por parte do antivírus;</p><p>h) Alteração de regra de firewall não autorizada;</p><p>i) Alteração de arquivos no ambiente de TI e do usuário;</p><p>j) Equipamentos de redes sem fio não autorizados;</p><p>k) Qualquer sistema que esteja contido no escopo do ambiente de TI da</p><p>EMPRESA.</p><p> Todos incidente de segurança deve ser escalado para as respectivas equipes</p><p>de acordo com as regras estabelecidas e comunicado ao responsável pelo</p><p>ambiente de TI;</p><p> Os eventos de segurança da informação devem ser relatados através dos</p><p>canais apropriados, o mais rapidamente possível;</p><p> Os funcionários, fornecedores e terceiros de sistemas e serviços de informação</p><p>devem ser instruídos a registrar e notificar qualquer observação ou suspeita de</p><p>fragilidade em sistemas ou serviços;</p><p> Responsabilidades e procedimentos de gestão devem ser estabelecidos para</p><p>assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança</p><p>da informação;</p><p> As equipes e pessoal envolvido na resposta de incidente devem receber</p><p>treinamento para registro e tratamento dos incidentes:</p><p>o Desde o momento da identificação do incidente até a resolução e</p><p>conclusão, todos os procedimentos realizados devem ser registrados e</p><p>as evidências devem ser coletadas e armazenadas, com acesso restrito</p><p>aos responsáveis e aos pontos de contato dos usuários, caso</p><p>envolvido;</p><p>o Assegurar que um enfoque consistente e efetivo seja aplicado à gestão</p><p>de incidentes de segurança da informação.</p><p>Faculdade de Tecnologia de Americana</p><p>9</p><p> Devem ser estabelecidos mecanismos para permitir que tipos, quantidades e</p><p>custos dos incidentes de segurança da</p><p>informação sejam quantificados e</p><p>monitorados;</p><p> Nos casos em que uma ação de acompanhamento contra uma pessoa ou</p><p>terceiro, após um incidente de segurança da informação, envolver uma ação</p><p>legal (civil ou criminal), evidências devem ser coletadas, armazenadas e</p><p>apresentadas em conformidade com as normas de armazenamento de</p><p>evidências da jurisdição ou jurisdições pertinentes;</p><p> Todo incidente ocorrido deve ser classificado de acordo com sua severidade e</p><p>criticidade sendo elas:</p><p>l) Alta: Incidentes que causem a indisponibilidade total das soluções,</p><p>falhas na segurança, afetando a confidencialidade e expondo dados</p><p>sensíveis da EMPRESA, seus funcionários e alunos;</p><p>m) Média: Incidentes que causem indisponibilidade parcial das soluções,</p><p>falhas que comprometam a integridade das informações;</p><p>n) Baixa: Incidentes que não causem indisponibilidade das soluções ou</p><p>que comprometam qualquer aspecto de segurança das soluções.</p><p>11 Novos Equipamentos / instalação de aplicativos</p><p>Objetivo: Assegurar que os recursos utilizados pela EMPRESA não venham a</p><p>ameaçar a segurança da informação.</p><p>Para o alcance deste objetivo:</p><p> Devem ser alterados os padrões de configuração disponibilizados pelo</p><p>fornecedor do produto. Isso inclui:</p><p>o Remova ou desabilite contas padrão desnecessárias antes de instalar</p><p>um sistema na rede;</p><p>o Strings de comunidade SNMP;</p><p>o Configuração de protocolos de redes;</p><p>o Senhas;</p><p>o Chaves de acesso wireless;</p><p>o O manual do fornecedor deve ser consultado para que todos os</p><p>componentes do sistema recebam configuração adequada.</p><p> Os programas e equipamentos que não constam na lista de programas e</p><p>equipamentos autorizados não podem ser utilizados nas instalações da</p><p>EMPRESA, devendo ter aprovação antes da sua utilização;</p><p> Deve ser mantida uma relação dos componentes de hardware e software</p><p>através de um inventário:</p><p>o O inventário deve ser mantido atualizado manualmente ou</p><p>automaticamente.</p><p> Todos os recursos disponibilizados pela TI são propriedade da EMPRESA e</p><p>devem ser monitorados e auditados periodicamente, não necessitando de</p><p>prévio conhecimento de seus detentores;</p><p>Faculdade de Tecnologia de Americana</p><p>10</p><p> Devem ser mantidos registros apropriados dos ativos de tecnologia da</p><p>informação.</p><p> A autenticação nos sistemas deve utilizar criptografia forte;</p><p> A incorporação de novas tecnologias não deve comprometer os níveis de</p><p>segurança preestabelecidos.</p><p>12 Sincronização de relógio</p><p>Objetivo: Garantir que os relógios estejam sincronizados entre si e com fonte</p><p>confiável.</p><p>Para o alcance deste objetivo:</p><p> Todo ativo que processa informação na EMPRESA deve manter o relógio</p><p>sincronizado com um servidor interno através do protocolo NTP;</p><p> Qualquer alteração no horário dos ativos deve ser realizada com uma</p><p>credencial de administrador e registrada em trilhas de auditoria;</p><p> Os servidores externos utilizados para obedecer à sincronização devem estar</p><p>documentados.</p><p>13 Atualizações de sistemas</p><p>Objetivo: Manter os softwares atualizados com relação às correções de segurança da</p><p>informação.</p><p>Para o alcance deste objetivo:</p><p> Todos componentes de sistema de software devem ser mantidos atualizados</p><p>de acordo com as notificações de atualizações fornecidas pelo fabricante;</p><p> Uma escala de risco é classificada para as vulnerabilidades que incluem</p><p>identificação de todas as vulnerabilidades de "alto risco" e "críticas";</p><p> Os processos de identificação de novas vulnerabilidades de segurança devem</p><p>incluir o uso de fontes externas de boa reputação para obtenção de</p><p>informações sobre vulnerabilidades;</p><p> Toda atualização de segurança considerada critica deve ser atualizada e</p><p>corrigida dentro de no máximo em um mês;</p><p> Todas as outras atualizações devem ser feita em três meses;</p><p> Para cada sistema em utilização deve ser estabelecido um método para</p><p>identificar novas vulnerabilidades e classificá-las de acordo com o risco</p><p>associado.</p><p>14 Correio eletrônico</p><p>Objetivo: Garantir o uso seguro e responsável do correio eletrônico.</p><p>Terá direito a uma conta de correio eletrônico sob domínio EMPRESA toda pessoa</p><p>com um vínculo com a EMPRESA, ficando responsável por utilizar os serviços de</p><p>correio eletrônico de maneira profissional, ética e legal.</p><p>Faculdade de Tecnologia de Americana</p><p>11</p><p>Para o alcance deste objetivo:</p><p> O uso do correio eletrônico deve ser para fins da atividade da instituição e</p><p>relacionados às atividades do funcionário usuário dentro da instituição. A</p><p>utilização desse serviço para fins pessoais é permitida desde que feita com</p><p>bom senso, não prejudique a EMPRESA e também não cause impacto no</p><p>tráfego da rede;</p><p> O cadastramento de contas de correio eletrônico deve ser realizado de acordo</p><p>o procedimento de criação de contas de e-mail;</p><p> Material de natureza racista, profana, obscena, intimidadora, difamatória, ilegal,</p><p>ofensiva, abusiva ou inapropriada não pode ser enviado via correio eletrônico</p><p>ou através de qualquer outra forma de comunicação eletrônica;</p><p> É vedado o uso do serviço de correio eletrônico institucional da EMPRESA</p><p>com o objetivo de:</p><p>o) Praticar crimes e infrações de qualquer natureza;</p><p>p) Executar ações nocivas contra outros recursos computacionais das</p><p>redes externas;</p><p>q) Distribuir material obsceno, pornográfico, ofensivo, preconceituoso,</p><p>discriminatório ou de qualquer forma, contrário a lei e aos bons</p><p>costumes;</p><p>r) Disseminar anúncios publicitários, mensagens de entretenimento e</p><p>mensagens do tipo “corrente”, vírus ou qualquer tipo de programa de</p><p>computador que não seja destinado ao desempenho de suas funções</p><p>ou que possam ser considerados nocivos ao ambiente de rede da</p><p>EMPRESA;</p><p>s) Emitir comunicados gerais com caráter eminentemente associativo,</p><p>sindical, religioso e político-partidário;</p><p>t) Enviar arquivos de áudio, vídeo ou animações, salvo os que tenham</p><p>relações com os objetivos institucionais desempenhados;</p><p>u) Executar outras atividades lesivas, tendentes a comprometer a</p><p>intimidade de usuários, a segurança e a disponibilidade do sistema, ou</p><p>a imagem institucional da EMPRESA;</p><p>v) Utilizar imagens, não autorizadas pela EMPRESA, como assinatura de</p><p>e-mail.</p><p> A EMPRESA reserva-se o direito de, em casos nos quais a segurança dos</p><p>recursos de TI da Instituição seja ameaçada, realizar auditorias, eliminar e-</p><p>mails e arquivos, bloquear conteúdos e usuários, permanentemente ou</p><p>temporariamente.</p><p>15 Classificação da informação</p><p>Objetivo: Assegurar que a informação receba um nível adequado de proteção.</p><p>Para o alcance deste objetivo:</p><p> Os dados e informações devem ser classificados quanto ao nível de</p><p>confidencialidade, integridade e disponibilidade, em termos do seu valor para a</p><p>EMPRESA, requisitos legais e regulamentares, sensibilidade e criticidade para</p><p>a instituição;</p><p>Faculdade de Tecnologia de Americana</p><p>12</p><p> A classificação da informação, depende da avaliação dos CARGOS X e Y de</p><p>cada área da EMPRESA. Porém, informações públicas somente devem ser</p><p>divulgadas através de pessoas autorizadas indicados pela EMPRESA.</p><p> A informação poderá receber uma das classificações abaixo:</p><p>o Pública: Informações que são divulgadas para todos os funcionários da</p><p>como forma de unificar os conhecimentos e os procedimentos que</p><p>deverão ser seguidos;</p><p>o Restrita: Informações que só poderão ser acessadas por um grupo</p><p>distinto de funcionários ou áreas e que não podem ser circuladas</p><p>abertamente pela instituição. A necessidade de acesso a este tipo de</p><p>informação deverá ser aprovada pelo responsável da área do</p><p>requisitante;</p><p>o Confidencial: Informações exclusivas a área interessada e que não</p><p>devem ser acessadas por qualquer outro funcionário não autorizado,</p><p>mediante punição prevista. Todo acesso deverá ser aprovado pelo</p><p>responsável da área requisitante.</p><p>16 Segurança física</p><p>Objetivo: O objetivo da Segurança Física e do Ambiente é prevenir o acesso físico</p><p>não autorizado, danos e interferências com as instalações e informações da</p><p>organização.</p><p>Para o alcance deste objetivo:</p><p>16.1 Cópias físicas e backup</p><p>Objetivo: Controlar o armazenamento de dados e garantir o aumento da</p><p>disponibilidade da informação.</p><p>Para o alcance deste objetivo:</p><p> Todas as mídias que contenham dados devem ser armazenadas em lugar</p><p>protegido, segregado, seco e arejado;</p><p> Todas as informações armazenadas em cópias físicas devem ter justificativas</p><p>associadas a EMPRESA;</p><p> Os arquivos a serem salvos e o tempo de retenção, considerando cumprimento</p><p>de prazos legais ou por deliberação do responsável pela aplicação ou sistema</p><p>devem estar formalmente estabelecidos e implantados;</p><p> Arquivos que necessitem de retenção especial, não prevista nesta norma,</p><p>devem ser documentados detalhadamente em local especificado no cadastro</p><p>de servidores da EMPRESA;</p><p> A documentação referente às necessidades de cópias de segurança deve ser</p><p>atualizada periodicamente pelos responsáveis pela manutenção do sistema</p><p>operacional e do aplicativo ou sistema.</p><p>16.2 Log de mídia física</p><p>Objetivo: Controlar o armazenamento e a manutenção de documentos impressos e</p><p>mídias eletrônicas que possuam informações.</p><p>Faculdade de Tecnologia de Americana</p><p>13</p><p>Para o alcance deste objetivo:</p><p> Deve-se manter um inventário de toda mídia armazenada fisicamente;</p><p> O inventário deve ser analisado anualmente ou quando se julgar necessário.</p><p>16.3 Eliminação segura de mídias físicas</p><p>Objetivo: garantir que todas as mídias possam ser descartadas de tal maneira que as</p><p>informações contidas não sejam recuperadas.</p><p>Para o alcance deste objetivo:</p><p> Deve-se realizar trimestralmente a exclusão dos dados e informações que</p><p>excederam a retenção definida;</p><p> A guarda, a circulação e o descarte de informações, nas suas diversas mídias,</p><p>devem ser orientados de acordo com procedimentos formalmente</p><p>estabelecidos;</p><p> Os dados, quando em mídia eletrônicas, devem ser excluídos por meio de um</p><p>programa de limpeza segura especifico a mídia.</p><p>16.4 Perímetro Interno - Controle de acesso Físico</p><p>Objetivo: Monitorar e controlar o acesso às áreas sensíveis.</p><p>Para o alcance deste objetivo:</p><p> Toda área que possui acesso aos ambientes de informações deve possuir</p><p>controles de entradas adequados para limitar o acesso;</p><p> O ambiente de TI deve possuir câmeras de vídeo protegidas contra</p><p>adulteração para monitorar a entrada e saída nas áreas confidenciais;</p><p> As áreas de acesso restrito devem ser protegidas por controles apropriados de</p><p>entrada para assegurar que somente pessoas autorizadas tenham acesso;</p><p> O acesso deve ser anulado imediatamente ao término da atividade e todos os</p><p>mecanismos necessários ao acesso devem ser recolhidos</p><p>16.5 Identificação</p><p>Objetivo: Garantir que todo pessoal que acesse fisicamente a EMPRESA seja</p><p>devidamente identificado, com exceção de alunos.</p><p>Para o alcance deste objetivo, a área de Gestão de Pessoas da EMPRESA deve:</p><p> A concessão deve ser feito pela equipe autorizada pela gestão.</p><p> Fornecer algum mecanismo capaz de identificar toda pessoa que venha a</p><p>acessar fisicamente a EMPRESA de tal forma que seja possível diferenciar</p><p>facilmente a categoria em que esta pessoa se enquadra.</p><p> A identificação deve ser diferenciar claramente funcionários e visitantes;</p><p> A identificação utilizada deve expirar logo após a saída do visitante;</p><p>Faculdade de Tecnologia de Americana</p><p>14</p><p> Exigir que toda pessoa que estiver no ambiente físico EMPRESA porte a</p><p>identificação fornecida pela EMPRESA visível.</p><p> A identificação deve ser anulada imediatamente quando o funcionário ou</p><p>visitante não possuir mais vinculo com a EMPRESA</p><p> Exigir que toda pessoa que venha a representar a EMPRESA, em qualquer</p><p>ambiente porte de forma visível a identificação fornecida pela EMPRESA.</p><p> Qualquer visitante que ter acesso às áreas onde é possível acessar um ativo</p><p>de TI deve obter autorização para acessar estas áreas;</p><p> O acesso do visitante as áreas onde é possível acessar um ativo de TI deve</p><p>ser feito somente com acompanhamento.</p><p> O visitante deverá apresentar o mecanismo de identificação antes de sair das</p><p>dependências e/ou na data de vencimento.</p><p> Deve ser utilizado um registro de visitantes para manter uma trilha de auditoria</p><p>das atividades do visitante nas dependências. Esse registro deve conter:</p><p>o O nome do visitante;</p><p>o A empresa representada;</p><p>o O funcionário que autoriza o acesso físico;</p><p>o Data;</p><p>o Horário de entrada e saída.</p><p>16.6 Retenção do registro de visitante e monitoração em vídeo</p><p>Objetivo: garantir que os registros de visitante e monitoração em vídeo possam ser</p><p>armazenados para fins de consulta posterior.</p><p>Para o alcance deste objetivo:</p><p> Deve-se armazenar o registro de visitantes por pelo menos 3 meses;</p><p> Deve ser armazenar as gravações das câmeras de monitoração por 3 meses.</p><p>16.7 Controle de Acesso Físico</p><p>Objetivo: proteger fisicamente o perímetro da EMPRESA.</p><p>Para o alcance deste objetivo:</p><p> Devem ser estabelecidos os perímetros de segurança (barreiras tais como</p><p>paredes, portões de entrada controlados por cartão ou balcões de recepção</p><p>com recepcionistas) para proteger as áreas que contenham informações e</p><p>recursos de processamento da informação;</p><p> Os pontos de acesso, tais como áreas de entrega e de carregamento e outros</p><p>pontos devem ser controlados e, onde aplicável, isolados das áreas que</p><p>contenham informações e recursos de processamento da informação;</p><p> Qualquer acesso realizado a áreas de acesso restrito deve ser registrado;</p><p> As diretrizes para o trabalho em áreas de acesso restrito devem ser</p><p>estabelecidas e implantadas;</p><p>Faculdade de Tecnologia de Americana</p><p>15</p><p> Devem ser adotados mecanismos capazes de garantir que os visitantes ou</p><p>fornecedores não circulem pelo ambiente da EMPRESA sem a companhia de</p><p>pessoal próprio da EMPRESA devidamente autorizado a acessar o ambiente</p><p>visitado;</p><p> Os equipamentos sensíveis devem estar em local seguro para reduzir os riscos</p><p>de ameaças e oportunidades de acesso não autorizado;</p><p> A proteção física contra incêndios, enchentes, explosões e outras formas de</p><p>desastres naturais ou causados pelo homem devem ser implantadas de acordo</p><p>com os níveis de segurança estabelecidos para escritórios, salas e instalações;</p><p> Os equipamentos sensíveis devem estar protegidos contra falta de energia</p><p>elétrica e outras interrupções causadas por falhas das utilidades;</p><p> Os equipamentos sensíveis devem passar por manutenção adequada e de</p><p>acordo com o plano de manutenção, para assegurar sua disponibilidade e</p><p>integridade nos níveis estabelecidos.</p><p>16.8 Infraestrutura de comunicação</p><p>Objetivo: Manter a segurança da informação nas redes de recursos computacionais</p><p>da EMPRESA.</p><p>Para o alcance deste objetivo:</p><p> O acesso a pontos de redes localizados em áreas comuns de visitantes deve</p><p>ter o acesso controlado;</p><p> O acesso físico a Access Point, gateways, dispositivos portáteis, hardwares de</p><p>comunicação que transportam dados ou dão suporte aos serviços de</p><p>informações devem estar protegidos contra interceptação ou danos;</p><p> Devem ser estabelecidos e implantados controles para garantir a segurança</p><p>dos dados nas redes e a proteção de serviços que utilizam as redes.</p><p>Especialmente:</p><p>o A responsabilidade operacional pelas redes, onde apropriado;</p><p> O estabelecimento das responsabilidades e dos procedimentos para a</p><p>administração de equipamento remoto, incluindo equipamento em áreas de</p><p>usuários;</p><p> O estabelecimento de controles especiais, quando necessário, para</p><p>salvaguardar a confidencialidade, integridade e disponibilidade dos dados que</p><p>trafegam em redes públicas e para proteger os sistemas conectados.</p>