Post on 21-Apr-2015
Centro de Eletrônica, Comunicações e Telemática (CW-14)
Centro de instrução Almirante Wandenkolk
Normas para Gestão de Segurança Normas para Gestão de Segurança das Informação Digitais em Redes das Informação Digitais em Redes
LocaisLocais
SUMÁRIO
• Considerações IniciaisConsiderações Iniciais
• Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
• Seguranças das Informações Digitais em Redes Locais - Seguranças das Informações Digitais em Redes Locais -
SIDRLSIDRL
• Documentos de Segurança das Informações DigitaisDocumentos de Segurança das Informações Digitais
• Acesso à Rede LocalAcesso à Rede Local
• Segurança dos Serviços Disponibilizados na Rede LocalSegurança dos Serviços Disponibilizados na Rede Local
• Auditorias de Segurança das Informações Digitais em Auditorias de Segurança das Informações Digitais em
Rede LocaisRede Locais
DGMM-520
DGMM-520
Considerações IniciaisConsiderações Iniciais
PROPÓSITOPROPÓSITOEstabelecer normas, procedimentos e instruções que deverão reger as Estabelecer normas, procedimentos e instruções que deverão reger as atividades relacionadas à Segurança das Informações Digitais em atividades relacionadas à Segurança das Informações Digitais em Redes Locais (SIDRL) da MB,Redes Locais (SIDRL) da MB, complementando as instruções contidas em outras publicações correlatas em uso, devendo ser de conhecimento de todo o pessoal credenciado e autorizado a operar e manusear equipamentos conectados a alguma rede local da MB.
BREVE HISTÓRICO BREVE HISTÓRICO
Necessidades da MBNecessidades da MB Crimes de InformáticaCrimes de Informática Parecer JurídicoParecer JurídicoNota TécnicaNota Técnica
DGMM-520Considerações IniciaisConsiderações Iniciais
Sistema de Informações Digitais - SIDSistema de Informações Digitais - SID: : são todos os sistemas que, utilizando recursos de informática ou computacionais, efetuam algum trâmite, processamento ou arquivamento de dados (informações digitais) em meio eletrônico.
Redes Locais - RLRedes Locais - RL:: são todos os equipamentos ou
recursos computacionais que estejam internos à OM e
interligados entre si.
Redes Locais Segregadas - RLS: são aquelas que não têm
qualquer tipo de interligação com outras redes da Marinha
(RECIM ou outra rede local), incluindo nesta definição os
equipamentos isolados (não interligados em rede).
DGMM-520Considerações IniciaisConsiderações Iniciais
A EVOLUÇÃO TECNOLÓGICA E A A EVOLUÇÃO TECNOLÓGICA E A UTILIZAÇÃO DA SID NA MBUTILIZAÇÃO DA SID NA MB
SEGURANÇA DAS INFORMAÇÕES DIGITAISSEGURANÇA DAS INFORMAÇÕES DIGITAIS
Ações que garantam a proteção dos sistemas de informação
- contra a negação de serviço a usuários autorizados;
- contra a intrusão;
- contra a modificação não autorizada de dados ou informações, armazenados, em processamento ou em trânsito;
DGMM-520Considerações IniciaisConsiderações Iniciais
AbrangênciaAbrangência- segurança dos recursos humanos;- segurança dos recursos humanos;
todo usuário dos serviços disponibilizados pela rede local (doutrina e segurança orgânica);
- da documentação;- da documentação;todas as atividades que envolvam algum trâmite, processamento ou arquivamento de informação em meio eletrônico nas redes locais da MB;
- do material;- do material;
todos os recursos de informática e os respectivos sistemas de informações digitais – segurança orgânica); ee
- das áreas e instalações onde reside tal material- das áreas e instalações onde reside tal material
segurança orgânica (credencial)..
SEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃO
Destinação- prevenção;- detecção;- deter; e- documentar eventuais ameaças ou ataques a seu
desenvolvimento.
DGMM-520Considerações IniciaisConsiderações Iniciais
SEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃO
DGMM-520Considerações IniciaisConsiderações Iniciais
APLICABILIDADE DAS NORMAS DE SIDAPLICABILIDADE DAS NORMAS DE SID
a) todas as atividades que envolvam algum trâmite, a) todas as atividades que envolvam algum trâmite,
processamento ou arquivamento de informação em meio processamento ou arquivamento de informação em meio
eletrônico nas redes locais da MB;eletrônico nas redes locais da MB;
b) todos os recursos de informática e os respectivos sistemas b) todos os recursos de informática e os respectivos sistemas
de informações digitais;de informações digitais;
c) todo usuário dos serviços disponibilizados pela rede local; ec) todo usuário dos serviços disponibilizados pela rede local; e
d) contratos efetuados pela MB com empresas privadas, cujo d) contratos efetuados pela MB com empresas privadas, cujo
escopo envolva algum tratamento de informações em meio escopo envolva algum tratamento de informações em meio
eletrônico ou integradas por meio de uma rede local.eletrônico ou integradas por meio de uma rede local.
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
ESTADO-MAIOR DA ARMADA (EMA)ESTADO-MAIOR DA ARMADA (EMA)
Como Órgão de Direção Geral (ODG), formula a Como Órgão de Direção Geral (ODG), formula a doutrina básica das atividades de SIDRL na MB.das atividades de SIDRL na MB.
DIRETORIA-GERAL DO MATERIAL DA MARINHA (DGMM)DIRETORIA-GERAL DO MATERIAL DA MARINHA (DGMM) AssessorarAssessorar o Comandante da Marinha (CM) e o EMA nos o Comandante da Marinha (CM) e o EMA nos
assuntos de SIDRL,assuntos de SIDRL, ZelarZelar pelo fiel cumprimento da doutrina básica elaborada pelo fiel cumprimento da doutrina básica elaborada
pelo EMA,pelo EMA, ElaborarElaborar diretrizes para a utilização com segurança das diretrizes para a utilização com segurança das
informações digitais integradas por redes locais de informações digitais integradas por redes locais de propriedade da MB e para a realização das respectivas propriedade da MB e para a realização das respectivas auditorias,auditorias,
Aprovar as normas geraisAprovar as normas gerais para a SIDRL elaboradas pela para a SIDRL elaboradas pela DTM e zelar pelo fiel cumprimento das normas, DTM e zelar pelo fiel cumprimento das normas, procedimentos e instruções pertinentes.procedimentos e instruções pertinentes.
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
DIRETORIA DE COMUNICAÇÕES E TECNOLOGIA DIRETORIA DE COMUNICAÇÕES E TECNOLOGIA DA INFORMAÇÃO DA MARINHA (DCTIM)DA INFORMAÇÃO DA MARINHA (DCTIM)Elaboração, revisão e o gerenciamento das normas Elaboração, revisão e o gerenciamento das normas gerais para a SIDRL da MB, com as seguintes atividades:gerais para a SIDRL da MB, com as seguintes atividades:
c) supervisionar e analisar todas as atividades que c) supervisionar e analisar todas as atividades que possam afetar os requisitos de SIDRL da MB;possam afetar os requisitos de SIDRL da MB;
d) autorizar a execução de serviços nas redes locais d) autorizar a execução de serviços nas redes locais não não segregadassegregadas das OM por pessoal externo, pois estes das OM por pessoal externo, pois estes serviços (implementações ou correções) podem afetar serviços (implementações ou correções) podem afetar os requisitos de SIDRL da MB;os requisitos de SIDRL da MB;
g) manter atualizados na sua página da intranet as listas e g) manter atualizados na sua página da intranet as listas e os questionários de verificação para realização das os questionários de verificação para realização das auditorias de SIDRL;auditorias de SIDRL;
h) exercer ou delegar a competência da auditoria de h) exercer ou delegar a competência da auditoria de SIDRL nas OM da MB;SIDRL nas OM da MB;
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
GERENTE OPERACIONAL DE ÁREA (GOA)GERENTE OPERACIONAL DE ÁREA (GOA)Tomar as providências necessárias para manter pessoal Tomar as providências necessárias para manter pessoal capacitado a efetuar auditorias de SIDRL nas OM sob sua capacitado a efetuar auditorias de SIDRL nas OM sob sua área de jurisdição, conforme os requisitos definidos pela área de jurisdição, conforme os requisitos definidos pela DCTIM.DCTIM.
TITULAR DA OMTITULAR DA OMa) zelar pelo fiel cumprimento das normas, procedimentos a) zelar pelo fiel cumprimento das normas, procedimentos
e instruções pertinentes à SIDRL na sua OM;e instruções pertinentes à SIDRL na sua OM;d) manter um programa de adestramento de SID para todo d) manter um programa de adestramento de SID para todo
o pessoal da OM;o pessoal da OM;h) designar o Oficial de Segurança das Informações h) designar o Oficial de Segurança das Informações
Digitais (OSID) da OM; eDigitais (OSID) da OM; ei) designar o Administrador da rede local (ADMIN) da OM.i) designar o Administrador da rede local (ADMIN) da OM.
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
OFICIAL DE SEGURANÇA DAS INFORMAÇÕES OFICIAL DE SEGURANÇA DAS INFORMAÇÕES DIGITAIS - OSIDDIGITAIS - OSID
a) estabelecer e divulgar, por meio de Ordem Interna, a a) estabelecer e divulgar, por meio de Ordem Interna, a
Instrução de Segurança das Informações Digitais – ISID Instrução de Segurança das Informações Digitais – ISID
– para a OM, bem como verificar sua implementação;– para a OM, bem como verificar sua implementação;
b) coordenar, junto aos demais setores da OM, o b) coordenar, junto aos demais setores da OM, o
estabelecimento dos Planos de Adestramento de SID e estabelecimento dos Planos de Adestramento de SID e
zelar pelo seu cumprimento;zelar pelo seu cumprimento;
c) assessorar o Titular da OM nos assuntos de SID;c) assessorar o Titular da OM nos assuntos de SID;
l) testar o plano de contingência, com periodicidade inferior l) testar o plano de contingência, com periodicidade inferior
a dois anos;a dois anos;
POR SEGURANÇA, POR SEGURANÇA,
RECOMENDA-SE QUE AS FUNÇÕES RECOMENDA-SE QUE AS FUNÇÕES
ADMINADMIN E E OSIDOSID
"NÃO""NÃO" SEJAM ACUMULADAS. SEJAM ACUMULADAS.
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
ADMINISTRADOR DA REDE LOCAL (ADMIN)ADMINISTRADOR DA REDE LOCAL (ADMIN)Compete gerenciar a rede local de forma a mantê-la Compete gerenciar a rede local de forma a mantê-la operando dentro dos seus requisitos operacionais e com operando dentro dos seus requisitos operacionais e com todos seus serviços em funcionamento.todos seus serviços em funcionamento.
• Capacitação Capacitação desejáveldesejável ::
Administração de Rede de Computadores;Administração de Rede de Computadores;
Certificação para os Sistemas Operacionais utilizados Certificação para os Sistemas Operacionais utilizados
na OM; ena OM; e
Noções de auditoria de sistemas computacionais.Noções de auditoria de sistemas computacionais.
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
ADMINISTRADOR DA REDE LOCAL (ADMIN)ADMINISTRADOR DA REDE LOCAL (ADMIN)
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
ADMINISTRADOR DA REDE LOCAL (ADMIN)ADMINISTRADOR DA REDE LOCAL (ADMIN)Compete gerenciar a rede local de forma a mantê-la Compete gerenciar a rede local de forma a mantê-la operando dentro dos seus requisitos operacionais e com operando dentro dos seus requisitos operacionais e com todos seus serviços em funcionamento.todos seus serviços em funcionamento.
a) não permitir a divulgação de características da rede a) não permitir a divulgação de características da rede local a pessoas externas à OM sem a autorização prévia local a pessoas externas à OM sem a autorização prévia e formal do OSID.e formal do OSID.
c) auxiliar o OSID na divulgação da ISID da OM e das c) auxiliar o OSID na divulgação da ISID da OM e das respectivas normas, conforme estabelecido neste respectivas normas, conforme estabelecido neste capítulo;capítulo;
e) assessorar o OSID na avaliação dos incidentes de e) assessorar o OSID na avaliação dos incidentes de segurança;segurança;
f) criar, apagar ou alterar perfis ou privilégios de usuários f) criar, apagar ou alterar perfis ou privilégios de usuários ou grupos de usuários;ou grupos de usuários;
j) monitorar o volume de tráfego na rede;j) monitorar o volume de tráfego na rede;
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
Estará apto a receber uma estação de trabalho somente Estará apto a receber uma estação de trabalho somente
após a assinatura do Termo de Recebimento de Estação após a assinatura do Termo de Recebimento de Estação
de Trabalho;de Trabalho;
Tomar ciência das normas de SID e assinar o Termo de Tomar ciência das normas de SID e assinar o Termo de
Responsabilidade IndividualResponsabilidade Individual
USUÁRIO USUÁRIO
a) tratar a informação digital como patrimônio da MB e a) tratar a informação digital como patrimônio da MB e
como um recurso que deva ter seu sigilo preservado;como um recurso que deva ter seu sigilo preservado;
b) utilizar as informações digitais disponibilizadas e os b) utilizar as informações digitais disponibilizadas e os
sistemas e produtos computacionais de propriedade ou sistemas e produtos computacionais de propriedade ou
direito de uso da MB exclusivamente para o interesse do direito de uso da MB exclusivamente para o interesse do
serviço;serviço;
x) estar ciente de que a MB poderá auditar as x) estar ciente de que a MB poderá auditar as
correspondências eletrônicas originadas ou correspondências eletrônicas originadas ou
retransmitidas pelo usuário no ambiente computacional retransmitidas pelo usuário no ambiente computacional
da OM.da OM.
DGMM-520Responsabilidades e AtribuiçõesResponsabilidades e Atribuições
USUÁRIO USUÁRIO
TITULAR DA OM
ADMINOSIDUSUÁRIOS
Normas Para a Gestão de Segurançade Informações Digitais em Redes Locais (DGMM-520)
Termo de Responsabilidade eTermo de Responsabilidade eTermo de Recebimento de Estação de TrabalhoTermo de Recebimento de Estação de Trabalho