Etapas para o Desenvolvimento de uma Poltica de Segurana da Informao

FASES
Fase I
1.1
1.2
1.3
1.4
Fase II

ETAPAS PARA O DESENVOLVIMENTO DE UMA POLTICA

DESCRIO
Levantamento de Informaes
Obteno dos padres, normas e procedimentos de segurana j existentes para anlise.
Entendimento das necessidades e uso dos recursos da tecnologia da informao (sistemas,
equipamentos e dados) nos processos de negcio.
Obteno de informaes sobre os ambientes de negcios: a) Processos de negcios; b) Tendncias
de mercado; c) Controles e reas de risco.
Obteno de informaes sobre o ambiente tecnolgico: a) Workflow entre ambientes; b) Redes de
aplicaes; c) Plataformas computacionais.
Desenvolvimento do Contedo das Polticas e Normas de Segurana

2.2

Gerenciamento da poltica de segurana: a) Definio da segurana da informao; b) Objetivo do

gerenciamento; c) Fatores crticos de sucesso; d) Gerenciamento da verso e manuteno da
poltica; e) Referncia para outras polticas, padres e procedimentos.
Atribuio de regras e responsabilidades: a) Comit de segurana da informao; b) Proprietrio
das informaes; c) rea de Segurana da Informao; d) Usurios de informaes; e) Recursos
humanos; f) Auditoria interna.

2.3

Critrios para classificao das informaes: a) Introduo; b) Classificando a informao; c) Nveis

de classificao; d) Reclassificao; e) Armazenamento e descarte; f) Armazenamento e sadas.

2.4
Fase III

Procedimentos de segurana da informao: a) Classificao e tratamento da informao; b)

Notificao e gerenciamento de incidentes de segurana da informao; c) Processo disciplinar; d)
Aquisio e uso de hardware e software; e) Proteo contra software malicioso; f) Segurana e
tratamento de mdias; g) Uso de Internet; h) Uso de correio eletrnico; i) Utilizao dos recursos de
TI; j) Backup; k) Manuteno de teste e equipamentos; l) Coleta e registro de falhas; m)
Gerenciamento e controle da rede; n) Monitorao do uso e acesso aos sistemas; o) Uso de
controles de criptografia e gerenciamento de chaves; p) Controle de mudanas operacionais; q)
Inventrio dos ativos da informao; r) Controle de acesso fsico s reas sensveis; s) Segurana
fsica; t) Superviso de visitantes e prestadores de servios.
Elaborao dos Procedimentos de Segurana da Informao

3.1

Pesquisa sobre as melhores prticas em segurana da informao utilizandas no mercado.

2.1

Fase IV

Desenvolvimento de procedimentos e padres, para discusso com a Alta Administrao, de

acordo com as melhores prticas de mercado e com as necessidades e metas da organizao.
Formalizao dos procedimentos para integr-los s polticas corporativas.
Reviso, Aprovao e Implantao das Polticas, Normas e Procedimentos de Segurana da
Informao

4.1

Reviso, e aprovao das polticas, normas e procedimentos de segurana da informao.

4.2

Efetiva implantao das polticas, normas e procedimentos de segurana da informao por meio
das seguintes iniciativas: a) Atuao junto rea responsvel pela comunicao, ou rea
correspondente, na orientao para a preparao do material promocional, de divulgao e de
consulta; b) Divulgao das responsabilidades dos colaboradores, bem como da importncia das
polticas, normas e procedimentos de segurana da informao; c) Realizao de palestras
executivas referentes s polticas, normas e procedimentos de segurana, tendo por pblico-alvo
outros colaboradores da organizao.

3.2
3.3

Cronograma Sugerido
ATIVIDADES
Fase 1

Levantamento de informaes

Fase 2

Desenvolvimento do contedo das polticas e normas de segurana

Fase 3

Elaborao dos procedimentos de segurana da informao

Reviso, aprovao e implantao das polticas de segurana da
informao e palestras

Fase 4

Quinzenas
1 2 3 4 5 6 7 8

CATEGORIAS

REA DE TREINAMENTO
Gesto e
Planejamento:
Noes Bsicas de Segurana da
Segurana
Informao

Executivos
Diretores de
Informtica
Auditoria e Security
Officer
Gerentes de
Desenvolvimento de
Usurios Finais
Nvel / Tipo do Treinamento:
Conscientizao
Poltica
Implementao
Execuo

Polticas e
Procedimentos de Planos de
Segurana
Contingncia

Gesto e
Gerenciamento de
Mudanas

INFORMATION SECURITY MANAGEMENT SYSTEM

FASES

Fase 1 - Plan

Fase II - Do

Fase III - Check

Fase IV - Act

ISMS

Estabelecer

Implementar

Monitorar e Revisar

Manter e Aprimorar

Estruturao do ISMS

Poltica de Segurana

Procedimentos de
Monitorao

Implementao de melhorias

Diagnstico de Segurana

Plano de Contingncia de TI

Reviso do nvel de risco

residual

Aes corretivas e preventivas

Auditoria Interna do ISMS

Comunicao das aes e

resultados para a Alta
Administrao e partes
interessadas

Avaliao, Tratamento dos

Riscos e Seleo dos Controles Treinamento e
de Segurana
Conscientizao

Declarao de Aplicabilidade

Implementao dos Controles

Especficos na Declarao de
Aplicabilidade

Assegurar que as melhorias

atenderam as expectativas

DIAGRAMA DO CONCEITO DE COMPONENTES DA POLTICA E SEUS PILARES DE SUSTENTAO

Art 1 / R.33
PDI

Legislao

NBR ISO/IEC 17799:2005

ISO/IEC 27001:2002
NBR 11514

ITIL

Procedimentos de Backup
Instrues CFTV

BS 7799-1:2000
CobiT

Instrues para Guarda

Instrues Biomtricas

Procedimentos de Auditoria e Anlise de Riscos

Procedimentos de Manuteno

GAISP

Instrues Gerais
Inventrios

Instrues para Acesso a Internet

Procedimentos de Virtualizao Instrues para Administrao de Logs

Ativos
Humanos

Ativos
Tecnolgicos

Ativos Fsco

Cultura do
Negcio

Natureza do
Negcio

Instrues para Novos Empregados Procedimentos para Egressos da Instituio

E SUSTENTAO

Modelo de Questionrio para Levantamento dos Processos de Segurana Relacionados ao Backup e Restore
Data:
Participantes:
reas:

Modelo de Questionrio para Levantamento dos Processos de Segurana Relacionados ao Backup e Restore

1. Qual a rea responsvel pela realizao do backup incluindo sua parametrizao?

2. O processo est automatizado? Quais as ferramentas utilizadas para backup?

3. Qual a periodicidade, horrios de incio e trmino, e a quantidade de mdias utilizadas?

4. Existem teste peridicos dos backups? Os testes so documentados?

5. Como so armazenados? Quais so os recursos de segurana utilizados?

6. Qual a dependncia para a realizao dos backups?

7. Existem procedimentos de restaurao dos backups em caso de eventos?

8. Quem autoriza a restaurao?

9. Quem possui permisso para operacionalizar o backup?

Modelo de Documentao de Backup

DIRIO
Nome do
Servidor/Jogo

Server/Bkp13

Qtd. De Fitas

Tipo de Fita

20 DDS-III

Local do Servidor

Abrangn. Backup

CPD Recife

f:\oracle

Reteno

15 dias

Horrio

Modo do Backup

1:00 AM Full

Dependncia

Obs.

Aguardar trmino das

interfaces
automatizadas

N/A

Modelo de Questionrio para Avaliao de Risco

Data:
Participantes:
reas:

Modelo de Questionrio para Avaliao de Risco

1. Descreva uma viso geral da rea de negcio.

2. Entenda a representatividade da rea para as operaes da organizao, considerando os impactos financeiros

caso a mesma venha a ser prejudicada por algum incidente de segurana.

3. Ao obter entendimentos sobre as operaes do negcio, juntamente com o gestor da rea, relacione os riscos
inerentes ao processo e verifique os controles j implementados.
4. Identifique os envolvidos nos processos da rea de negcio.

5. Relacione os recursos utilizados (sistemas, hardware, softwares bsicos, contratos) de forma que ao trmino do
levantamento exista um inventrio dos ativos do processo.
6. Identifique o nvel de dependncia de TI da rea de negcio.
Exemplos:
Moderado (pouco depende do processamento de dados, atividades geralmente manuais)
Abrangente (dependncia na maioria das atividades por tecnologia)
Dominante (no efetua as atividades sem o uso de tecnologia)

7. Identifique os recursos de segurana utilizados e os procedimentos de administrao e uso de tais recursos.

8. Verifique a percepo atual sobre o tema "conscientizao em segurana da informao".

Modelo de Relatrio de Avaliao de Riscos

SUMRIO EXECUTIVO
I. Introduo

Descreve os componentes dos sistemas, elementos, usurios, localidades fsicas e demais detalhes abordados na avaliao

II. Procedimentos realizados

Descreve brevemente como os trabalhos foram conduzidos e realizados, por exemplo:

III. Caracterizao dos sistemas

Especificaes dos sistemas, incluindo hardware, software, interfaces, dados e usurios. Adicionalmente, inclua informaes sobre o fluxo de d
informaes (flowchart).

IV. Declarao de ameaas

Detalhamento da lista das principais fontes de ameaas associadas e atuais contramedidas para os sistemas avaliados.

V. Resultados da avaliao de riscos

Lista as observaes de forma a contemplarem:

VI. Concluso

Deve-se relatar se os sistemas existentes possuem ou no segurana adequada para suportar as atividades de negcio da organizao.

Modelo de Relatrio de Avaliao de Riscos

O EXECUTIVO

Objetivo
Escopo da avaliao de risco

os componentes dos sistemas, elementos, usurios, localidades fsicas e demais detalhes abordados na avaliao

dimentos realizados

brevemente como os trabalhos foram conduzidos e realizados, por exemplo:

As equipes e pessoas contempladas;
As tcnicas utilizadas na obteno de informaes (ex. Utilizao de ferramentas, questionrios, tec)
O processo de desenvolvimento da matriz de risco e sua escala

terizao dos sistemas

es dos sistemas, incluindo hardware, software, interfaces, dados e usurios. Adicionalmente, inclua informaes sobre o fluxo de dados e
es (flowchart).

arao de ameaas

mento da lista das principais fontes de ameaas associadas e atuais contramedidas para os sistemas avaliados.

tados da avaliao de riscos

bservaes de forma a contemplarem:

Detalhamento das vulnerabilidades;
Exemplificar as vulnerabilidades e ameaas;
Identificasr a existncia e utilizao de controles de segurana;
Probabilidade de ocorrncia;
Impacto na organizao;
Nvel de risco (alto, mdio, baixo);
Recomendaes de controles de segurana para minimizar os riscos;

elatar se os sistemas existentes possuem ou no segurana adequada para suportar as atividades de negcio da organizao.

Modelo da Estrutura de Documentao de um Plano de Contingncia

1. Introduo

2. Conceito de Operaes

3. Fase de Notificao e Ativao

4. Fase de Recuperao

5. Fase de Reconstituio

6. Anexos ao Plano

Modelo da Estrutura de Documentao de um Plano de Contingncia

1.1 Objetivo do plano

1.2 Aplicabilidade
1.3 Escopo
1.3.1 Princpios
1.3.2 Premissas
1.4 Referncias/exigncias
1.5 Registro de mudanas no plano

2. Conceito de Operaes
2.1 Arquitetura e descrio dos sistemas
2.2 Descrio da rvore Hierrquica de Notificaes
2.3 Responsabilidades

3. Fase de Notificao e Ativao

3.1 Procedimentos para a avaliao dos danos
3.2 Procedimentos para a avaliao alternativa
3.3 Critrios para a ativao do plano

4. Fase de Recuperao
4.1 Procedimentos para a ativao da localidade alternativa
4.2 Procedimentos para recuperao da localidade principal

5. Fase de Reconstituio
5.1 Processamento simultneo
5.2 Desativao do plano

6. Anexos ao Plano

Modelo de Questionrio para Entendimento e Levantamento das Atividades, Processos e Informaes para Classificao da
Informao
Data:
Participantes:
reas:

Existe um responsvel formalmente designado para este projeto?

O profissional mais indicado para coordenar este tipo de projeto a rea de Segurana da Informao (Oficial de Segurana das
Informaes). Embora no seja totalmente essencial, recomenda-se obter o comprometimento da Alta Administrao da
organizao, pois pode ser um fator crtico de sucesso para o projeto. Sem esse comprometimento, ser difcil obter acesso s
informaes necessrias ou pessoas importantes da organizao que podero ajudar na divulgao do projeto, do conceito de
classificao e dos controles dos ativos de informao.
O que se deseja proteger e do que/quem?
A rea de Segurana da Informao, responsvel pelo projeto, deve desenvolver uma anlise das possveis ameaas s quais a
organizao est exposta, os riscos associados e quais dados e informaes esto sujeitos a tais ameaas. Essas informaes
tambm sero utilizadas no processo de Avaliao e Anlise de Riscos (Risk Assessment).

Existem polticas corporativas e/ou leis que devero ser respeitadas?

Polticas corporativas e/ou leis vigentes a serem respeitadas tero impacto no projeto. A rea de Segurana da Informao deve
estar familiarizada com esses aspectos e utiliz-los como justificativas para a classificao dos dados, bem como para o processo
Anlise de Riscos ou outras atividades.
A organizao atribuiu proprietrios s informaes?

As decises de liberao de acesso, definies de perfis e classificao da informao so responsabilidade do proprietrio das
informaes. O departamento de informtica ou a rea de Segurana da Informao responsvel por fornecer a tecnologia,
processos, recursos e procedimentos para que a deciso do proprietrio da informao seja implantada, e no tem envolvimento
processo de deciso de liberao de acesso, definio de perfis e classificao das informaes.O coordenador do projeto, junto c
a Alta Administrao, poder ser beneficiado se este conceito for adequadamente divulgado na organizao.

Os recursos esto disponveis para realizao do projeto?

Estabelecer os procedimentos e processos para a classificao dos dados, executar a anlise de riscos, realizar treinamentos etc.,
requer um alto comprometimento de todos os envolvidos que trabalham na organizao. Ressalto novamente que o
comprometimento da Alta Administrao tem uma fundamental importncia para o sucesso do projeto. A elaborao de process
procedimentos e ferramentas para a correta implementao do processo de classificao e controle dos ativos de informao lev
tempo e requer dedicao dos colaboradores.

elo de Questionrio para Entendimento e Levantamento das Atividades, Processos e Informaes para Classificao da
Informao

m responsvel formalmente designado para este projeto?

ional mais indicado para coordenar este tipo de projeto a rea de Segurana da Informao (Oficial de Segurana das
es). Embora no seja totalmente essencial, recomenda-se obter o comprometimento da Alta Administrao da
o, pois pode ser um fator crtico de sucesso para o projeto. Sem esse comprometimento, ser difcil obter acesso s
es necessrias ou pessoas importantes da organizao que podero ajudar na divulgao do projeto, do conceito de
ao e dos controles dos ativos de informao.

deseja proteger e do que/quem?

e Segurana da Informao, responsvel pelo projeto, deve desenvolver uma anlise das possveis ameaas s quais a
o est exposta, os riscos associados e quais dados e informaes esto sujeitos a tais ameaas. Essas informaes
sero utilizadas no processo de Avaliao e Anlise de Riscos (Risk Assessment).

polticas corporativas e/ou leis que devero ser respeitadas?

corporativas e/ou leis vigentes a serem respeitadas tero impacto no projeto. A rea de Segurana da Informao deve
miliarizada com esses aspectos e utiliz-los como justificativas para a classificao dos dados, bem como para o processo de
de Riscos ou outras atividades.

zao atribuiu proprietrios s informaes?

es de liberao de acesso, definies de perfis e classificao da informao so responsabilidade do proprietrio das

es. O departamento de informtica ou a rea de Segurana da Informao responsvel por fornecer a tecnologia,
s, recursos e procedimentos para que a deciso do proprietrio da informao seja implantada, e no tem envolvimento no
de deciso de liberao de acesso, definio de perfis e classificao das informaes.O coordenador do projeto, junto com
dministrao, poder ser beneficiado se este conceito for adequadamente divulgado na organizao.

sos esto disponveis para realizao do projeto?

cer os procedimentos e processos para a classificao dos dados, executar a anlise de riscos, realizar treinamentos etc.,
m alto comprometimento de todos os envolvidos que trabalham na organizao. Ressalto novamente que o
metimento da Alta Administrao tem uma fundamental importncia para o sucesso do projeto. A elaborao de processos,
mentos e ferramentas para a correta implementao do processo de classificao e controle dos ativos de informao leva
requer dedicao dos colaboradores.

Modelo de Questionrio para Entendimento dos Procedimentos de Segurana Fsica

Data:
Participantes:
reas:

Modelo de Questionrio para Entendimento dos Procedimentos de Segurana Fsica

1. De quem a responsabilidade pela segurana no CPD? De que forma ocorre a concesso de acesso? Quem
fornece a permisso para o acesso?
2. Exixtem dispositivos de monitoramento, controle e combate incndios?

3. Existe abastecimento de energia eltrica de forma alternativa?

4. Existem sistemas de ar-condicionado, ventilao e acstica?

5. Existem procedimentos de guarda e descarte de mdias?

6. De que forma realizado o envio de equipamentos para a manuteno?