PLANO DIRETOR DE SEGURANA

Dezembro de 2006

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina -2-

ndice Apresentao.......................................................................................................3 1. Introduo .................................................................................................... 4 2. Anlise de Segurana.................................................................................. 6 3. Domnios de Segurana............................................................................... 7 MECANISMOS DE PROTEO DA REDE GOVERNAMENTAL...................... 8 4. Premissas .................................................................................................... 8 5. Prerrogativa ................................................................................................. 8 6. Proteo dos Domnios de Segurana(Necessidade Atual de Segurana)10 ADMINISTRAO DE SEGURANA DA REDE GOVERNAMENTAL............ 15 7. Modelo de Administrao........................................................................... 15 8. Infra-estrutura da Administrao Central da Segurana da Rede Governamental................................................................................................. 17 8.1Estrutura de Pessoal............................................................................. 17 8.2 Ambiente de Trabalho.......................................................................... 18 9. Capacitao do Pessoal Envolvido............................................................ 20 10. Estrutura para Resposta a Incidentes de Segurana................................ 20 11. Administrao das Necessidades Futuras de Segurana......................... 21 11.1 Manter a Segurana da Rede Governamental................................... 21 11.2 Garantir a Segurana do Governo Eletrnico .................................... 23 ANEXO I........................................................................................................... 24

Documento Plano Diretor de Segurana Apresentao

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina -3-

Este documento condensa o Plano diretor de comunicao e disponibilizao de dados governamentais localizados na SEAD e as Necessidades Atuais e Futuras de segurana da SEAD referente a seo 4.1.2.1 Anlise Abrangente do edital da segurana da Rede Governamental. O Plano Diretor para segurana da Rede Governamental um trabalho, que rene o esforo de todos os gestores de TI do governo do Estado do Cear e da Secretaria da Administrao, como gestora deste plano, e que serve como instrumento norteador das aes e medidas de segurana que o Estado deve realizar na construo de um modelo seguro de gesto dos negcios e recursos de Tecnologia da Informao.

Documento Plano Diretor de Segurana 1. Introduo

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina -4-

Entende-se por Rede Governamental a interligao fsica e lgica de todos os rgos/entidades da administrao pblica estadual direta ou indireta e outras entidades de interesse do governo do Estado do Cear, delimitada pelo permetro da rede local de cada uma destas e a conexo Internet, localizada na Secretaria da Administrao. O grau de informatizao de cada rgo/entidade participante da Rede Governamental heterogneo, tornando a estrutura funcional complexa no aspecto de segurana. Entretanto, o uso dos sistemas corporativos de gesto estadual comum a todos da administrao pblica estadual. A Rede Governamental permite a comunicao entre rgos/entidades da rede estadual na troca de informaes entre si ou no acesso a sistemas corporativos e no acesso desses Internet, devendo estas estarem protegidas contra ameaas internas e externas de segurana. Atualmente, as ameaas de segurana, tais como vrus, acesso e uso indevido de dados podem ser originadas a partir da Internet ou a partir de rgos/entidades interligados atravs da Rede Governamental. Por causa da complexidade e heterogeneidade das partes integrantes desta Rede, faz-se necessria a definio de diretrizes e normas de segurana, para as informaes armazenadas em formato digital, a serem cumpridas por todos os rgos/entidades no que diz respeito conexo com a Internet e interligao com outras redes, para que os sistemas de informao do governo estejam protegidos contra ameaas existentes. Abrangncia Toda administrao pblica estadual direta e indireta e outras entidades de interesse do Governo do Estado do Cear que possuam conexo com a Rede Governamental, atravs de dirigentes e tcnicos, devero estar cientes do Plano Diretor de Segurana e colaborar para a consecuo dos seus objetivos. A conscientizao e a participao do Corpo de especialistas em informtica responsveis pela administrao da infraestrutura de TI, dos colaboradores tcnicos contratados e demais usurios de informtica que atuam nos rgos/entidades conectados Rede Governamental fundamental para implantao e manuteno de um nvel de segurana aceitvel. Finalidade Este documento tem por finalidade de estabelecer a metodologia do processo de segurana de TI, determinando diretrizes bsicas que nortearo as atividades relacionadas com a segurana da rede corporativa do Governo Estado do Cear.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina -5-

Relao deste Plano com outros Documentos

DOCUMENTOS DE SADA

DOCUMENTOS DE ENTRADA

Poltica de Interconexo de Recursos de TI

Figura 1
Anlise Abrangente Necessidade de Segmentao dos dados

PLANO DIRETOR DE SEGURANA

Poltica de Sistemas Corporativos e Servios da Rede Governamental

Poltica de Classificao das Informaes de Sistemas Poltica de Resposta Emergencial a Incidentes

FERRAMENTAS DE APOIO Ferramentas de Apoio: Sistema de Acompanhamento de Atividades WebSite de Segurana

Programa de Gerenciamento de Segurana Modelo de Poltica Local - SEAD

Os documentos de Anlise Abrangente e Necessidade de Segmentao dos Dados" fornecem os subsdios necessrios para a elaborao deste plano e a criao das polticas e programa de gerenciamento de segurana.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina -6-

NECESSIDADES DE SEGURANA DA REDE GOVERNAMENTAL 2. Anlise de Segurana De acordo com a anlise abrangente das informaes realizada pela consultoria em segurana nos rgos da rede estadual, constatou-se que: Os dispositivos da Rede Governamental no garantem, por si s, a segurana necessria para proteger as informaes que nela trafegam, pois existem muitas vulnerabilidades que podem comprometer a segurana da Rede Governamental; Cada rgo/entidade da administrao pblica estadual possui necessidades de segurana diferentes baseadas na sua misso, na sua forma de trabalho, na sensibilidade de suas informaes e no grau de complexidade de sua infraestrutura tecnolgica; As informaes e infra-estrutura de TI dos diversos rgos/entidades da administrao pblica estadual esto vulnerveis a ameaas originadas em outros rgos/entidades conectados Rede Governamental; As comunicaes dentro da Rede Governamental acontecem sem planejamento, criando um ambiente inseguro e propcio ao descontrole; Os sistemas de informao da gesto estadual em plataforma baixa, em geral, no possuem planejamento das necessidades especficas de segurana; No existem polticas de segurana que regulamentem as atividades e aes envolvendo troca de informaes na Rede Governamental; Os servios da Rede Governamental possuem um nvel de segurana razovel, mas necessitam de um planejamento de segurana mais elaborado; A Rede Governamental composta por uma estrutura de sistemas (redes locais dos rgos/entidades da administrao pblica, sistemas corporativos e servios da rede) heterognea e complexa, dificultando um modelo nico de segurana para todas as partes da mesma; A forma como alguns rgos/entidades utilizam os servios de Internet pode comprometer a segurana da Rede Governamental.

Documentos Relacionados O resultado da Anlise encontra-se, na integra no documento intitulado: ANLISE GLOBAL DE SEGURANA DA REDE GOVERNAMENTAL E NECESSIDADE DE SEGMENTAO DE DADOS E SERVIOS.

Documento Plano Diretor de Segurana 3. Domnios de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina -7-

Para assegurar a proteo das informaes e obter uma melhor viso das necessidades de segurana para a Rede Governamental, necessrio mapear os locais onde as mesmas so processadas, tratadas, armazenadas, transmitidas e acessadas. Para efeito de anlise, a Rede Governamental ser subdividida em domnios de segurana, que so partes integrantes desta e interagem fortemente entre si. Cada domnio possui vulnerabilidades peculiares e deve possuir um tratamento diferenciado. Este plano especifica a segurana de todos estes domnios e a integrao entre eles. No aspecto da segurana, a Rede Governamental composta pelos seguintes domnios.
DOMINIO 01: Servios e Dispositivos da Rede Governamental

Internet

DOMINIO 03: Rede de Dados dos rgos.

E-mail WWW DOMINIO 04: Comunicao de Informaes entre rgos

DOMINIO 05: Uso dos Servios.

DOMINIO 02: Sistemas e Dados Estaduais

Figura 2 DOMINIO 01: Servios e Dispositivos da Rede Governamental Os servios da rede, tais como acesso Internet, Proxy (Cache de Pginas), DNS (Resoluo de Nomes), Segurana de Internet, Intranet, dentre outros so administrados pela SEAD e utilizados por todos os rgos/entidades estaduais. Os dispositivos, geralmente roteadores, so implantados e mantidos pelo provedor da Rede Governamental e so utilizados para realizar a troca de informaes nesta.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina -8-

DOMINIO 02: Sistemas de Informao e dados sensveis Sistemas de Informao estaduais so os sistemas que tratam informaes necessrias para a administrao pblica estadual, tais como sistemas de Arrecadao, sistema de Oramento, sistemas de Planejamento, dentre outros. Sistemas de Informaes Pblicas Sensveis so aqueles que tratam informaes sensveis de cidados tais como Identidade Civil, licenciamento de veculos, contas de gua e outros.

DOMINIO 03: Redes de Dados de rgos e seus Sistemas Internos So as redes de dados locais dos rgos/entidades conectados Rede Governamental que tem seu permetro delimitado pelo dispositivo de acesso a esta.

DOMINIO 04: Comunicao de informaes entre entidades e rgos dentro da Rede Governamental o servio que permite aos rgos/entidades trocar informaes entre si com a Internet utilizando-se da infra-estrutura da Rede Governamental.

DOMINIO 05: Uso dos Servios da Rede Governamental a forma como os usurios esto usando os servios da Rede Governamental, tais como uso de E-mail, Internet, entre outros.

MECANISMOS DE PROTEO DA REDE GOVERNAMENTAL 4. Premissas Com a responsabilidade de prover segurana aos servios corporativos localizados na SEAD, a comunicao entre rgos/entidades e aos dispositivos da Rede Governamental, o provedor de servio elaborou um projeto denominado Projeto de Segurana da Rede Governamental a fim de garantir que a Rede Governamental estar devidamente protegida. 5. Prerrogativa O modelo de segurana da Rede Governamental baseado em classificao dos componentes de cada domnio descrito anteriormente, onde todo componente, seja ele uma rede local, servio, informao ou infra-estrutura deve receber designao do nvel de segurana baseado na sua criticidade e ou sensibilidade no contexto da Rede Governamental.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina -9-

A seo necessidade de segmentao de dados e servios do documento ANLISE GLOBAL DE SEGURANA DA REDE GOVERNAMENTAL E NECESSIDADE DE SEGMENTAO DE DADOS E SERVIOS, contm a categoria das informaes estaduais associada com a sensibilidade de cada informao em uma tabela contendo os campos:
Categoria Explicao e exemplos Nvel de Segurana B (1) Informao Pblica Qualquer informao que seja declarada para consumo dos B rgos/entidades pblicos por autoridades oficiais, tais como informaes do dirio Oficial. Tambm inclui Informaes colocadas na Internet. M A

O documento deve ser atualizado semestralmente para contemplar os novos componentes e eliminar os componentes no mais existentes. Classificao das Informaes dos Sistemas Governamentais O governo presume que todas as informaes corporativas coletadas, mantidas e processadas pelo Estado possuem algum valor. Como nenhuma das informaes, servios ou sistemas possuem valor ou sensibilidade de mesmo peso para o Estado, eles precisam estar agrupados e protegidos em nveis diferentes de segurana. Cada nvel de segurana, classificado como Alto, Mdio e Baixo deve proteger a confidencialidade, integridade e disponibilidade das informaes tratadas pelos diversos sistemas e servios computacionais do Estado. O passo inicial o mapeamento das exigncias de segurana de todos os sistemas governamentais, em mbito estadual, tratados nos diversos rgos/entidades do governo, dando nfase nas informaes de maior importncia. Este mapeamento deve ser atualizado periodicamente. Todas as informaes agrupadas em bases de dados, redes locais, servios crticos, sistemas corporativos dos rgos/entidades da rede pblica estadual devem ser agrupados com nvel de segurana proporcional ao risco e a magnitude do dano resultante da perda, mau uso, exposio, ou modificao da informao contida em tais sistemas governamentais. Sistemas de informao, servios, redes locais ou base de dados agrupados com nvel de sensibilidade Alto devem possuir designao de salvaguarda mais precisa. Sistemas governamentais agrupados no nvel mais baixo geralmente exigem somente as precaues mnimas de segurana. Sistemas integrados possuindo informaes com nveis de sensibilidade diferentes devem ser tratados considerando-se o maior nvel de segurana exigido.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 10 -

Documentos Relacionados ANLISE GLOBAL DE SEGURANA DA REDE GOVERNAMENTAL E NECESSIDADE DE SEGMENTAO DE DADOS E SERVIOS. Poltica de Classificao das Informaes e Sistemas Governamental.

6. Proteo dos Domnios de Segurana (Necessidade Atual de Segurana) DOMINIO 01: Proteo dos Servios e Dispositivos da Rede Governamental O Projeto de Segurana da Rede Governamental a principal ferramenta para definir e implantar a segurana necessria para cada um dos servios e dos dispositivos. Aps a aprovao, deve-se garantir que esse projeto ser implementado sem falhas. Cada servio ou dispositivo pertencente Rede Governamental dever estar formalmente associado a um administrador do rgo/entidade, do provedor de servio ou de empresa terceirizada com obrigaes administrativas sobre este. A medida em que novos servios ou dispositivos forem includos na rede, os administradores responsveis por tais componentes devem receber treinamento adequado de manuteno antes da instalao. Ferramentas de investigao sero usadas periodicamente por profissionais designados pela Administrao de Segurana de TI Estadual, com base no programa de gerenciamento, para determinar se novas vulnerabilidades esto presentes nos dispositivos e servios da rede, e os relatrios sero enviados para os administradores dos dispositivos ou servios especficos para que aes corretivas sejam tomadas. Todos os servios e dispositivos na Rede Governamental ser classificados e associados ao grau de criticidade Baixo, Mdio ou Alto. Os servios mais sensveis devem seguir as recomendaes da Poltica de Sistemas Governamentais e os dispositivos mais crticos devem seguir as recomendaes de segurana dos fabricantes. Polticas e Recomendaes de Segurana A Poltica de Sistemas Governamentais da Rede Governamental deve informar a periodicidade de verificao de vulnerabilidades dos dispositivos e de correo das mesmas. Toda a metodologia de trabalho e as ferramentas utilizadas devem estar descritas na poltica de Sistemas Governamentais, que conter todas as aes, responsabilidades e cronograma de atividades a serem implementadas e executadas metodicamente para garantir o nvel de

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 11 -

segurana aceitvel para cada servio e dispositivo da Rede Governamental. Cada dispositivo, sistema operacional ou servio utilizado na Rede Governamental deve seguir orientaes de verificao e correes de segurana dos fabricantes. DOMINIO 02: Proteo das Redes de Dados dos rgos e Entidades Independente de sua classificao, toda rede de dados de rgos/entidades conectados Rede Governamental necessariamente devem seguir a determinao abaixo. Determinao bsica de Segurana para todos os rgos/entidades conectados Rede Governamental Todos os rgos/entidades conectados Rede Governamental, que utilizam a estrutura do Ncleo de Facilidades, devem seguir as linhas bsicas de segurana que estabelecem: 1- Um Firewall dever ser implementado (Instalao do sistema e configurao de regras que permitam a passagem somente dos protocolos/servios necessrios para as necessidades de cada rgo/entidade) e mantido em todos os segmentos de redes no controladas diretamente pela gerncia da Rede Governamental, atualmente representada pela SEAD. 2- Toda rede dever possuir um sistema de Deteco de Intrusos (IDS) implementado e mantido no ambiente protegido por cada Firewall. O sistema deve ser capaz de emitir alertas sobre tentativas de intruso 24 horas por dia, 7 dias por semana, para os devidos responsveis e reportados para o Administrador de Segurana de TI Estadual, caso ocorra algum incidente de segurana que envolva outro rgo/entidade. 3- Toda rede dever ter configurado um dispositivo para controle de acesso aos usurios (proxy), baseado em autenticao e capacidade bsica de filtrar contedo, alm da capacidade de emitir relatrios de utilizao que auxiliem os administradores a coibir abusos. 4- Toda rede dever possuir um sistema de antivrus instalado e atualizado constantemente para prevenir que cdigos maliciosos se espalhem no interior da rede e para as demais redes do governo.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 12 -

Esta determinao deve ser seguida pelos rgos/entidades e unidades remotas destes que possuem um nmero de mquinas maior ou igual a X (determinar esse nmero) ou que contenha dados crticos (rede de dados classificada como nvel mdio ou alto). Para o caso de unidades remotas com um nmero inferior ao especificado nessa determinao e que sua rede de dados esteja classificada como nvel baixo, o rgo/entidade dever prover a segurana necessria. Caso ocorra algum incidente que afete a Rede Governamental, o rgo/entidade ser responsabilizado. Redes de Dados classificadas com o nvel Alto As redes de dados classificadas com nvel Alto devem manter especialistas em segurana da informao para desenvolver projetos na rea de segurana, com objetivos de criar uma Poltica de Segurana projetada e implantada especificamente para o ambiente singular de cada rgo/entidade, corrigir todas as vulnerabilidades de servios, sistemas e dispositivos internos e implementar mecanismos de segurana para a proteo das informaes dos respectivos rgos/entidades podendo seguir o modelo do projeto realizado na rede interna da SEAD. Redes de Dados classificadas com nvel Mdio e Baixo As redes de dados classificadas com nvel Mdio e Baixo devem pelo menos seguir as recomendaes bsicas de segurana determinada como recomendao de segurana aos rgos/entidades. Poltica de Segurana Local Cada rgo/entidade precisa definir sua poltica de segurana local. A SEAD definiu polticas de segurana locais que podero servir de modelo e serem adaptados para a realidade de segurana local de cada rgo/entidade. Fica sob responsabilidade dos rgos/entidades a adaptao das Polticas de Segurana. Documentos Relacionados Polticas Locais da SEAD; Fases de um projeto de Segurana.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 13 -

DOMINIO 03: Proteo da Comunicao de Informaes na Rede Governamental Poltica de Interconexo de Recursos de TI A segurana de toda e qualquer comunicao de informaes dentro da Rede Governamental precisa ser previamente analisada e a determinao da segurana necessria para tal comunicao deve ser formalizada e implantada para que seus objetivos sejam cumpridos com o nvel de segurana mnimo aceitvel, de forma a no comprometer servios e troca de dados dependentes de tais comunicaes. Todas as regras e aes neste contexto devem seguir padres de segurana cuidadosamente analisados, planejados e documentados de acordo com a Poltica de Interconexo de Recursos de TI. Um Memorando de Entendimento (ME) e um Acordo de Segurana da Interconexo (ASI) devero ser desenvolvidos para todas as interconexes que prevejam troca de informaes com nvel de classificao Alto, que dever ser assinado pelo dirigente de cada instituio proprietria da rede que faz parte do grupo de entidades que iro comunicar-se atravs da Rede Governamental. O ME detalhar as razes pelo qual a interconexo est sendo implementada, e o ASI registrar os riscos associados e os controles necessrios para atenuao dos riscos, assim como as condies pelas quais aquela interconexo poder deixar de existir. O ME ser criado pelos administradores da rede do rgo/entidade estadual com o apoio das partes interessadas na comunicao, que devero validar em conjunto o contedo do ME e certificar a implantao. A finalizao deste processo marcada pela implantao dos mecanismos determinados e registro sobre a comunicao de dados, do ME e do ASI em meio eletrnico. Documento Relacionado Poltica de Interconexo de Recursos de TI. DOMINIO 04: Proteo dos Sistemas de Informao Estadual e de Informaes Pblicas Sensveis Plano de Segurana do Sistema Todas as salvaguardas de segurana necessrias devem ser designadas para proteger cada sistema e estar devidamente documentadas no Plano de Segurana do Sistema.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 14 -

Para que seja possvel determinar as salvaguardas necessrias para cada sistema, necessrio que sejam realizados: (1) um plano de segurana de sistemas, (2) acompanhado de uma anlise de riscos efetiva, (3) seguida de certificao da implementao das salvaguardas de segurana exigidas. Reformular esse pargrafo e colocar o plano de segurana no de baixo eliminando este. Poltica de Segurana de Sistemas Corporativos Deve ser criada uma poltica de segurana que contenha as designaes de salvaguardas para os sistemas corporativos capaz de determinar as aes, responsabilidades e tarefas a serem executadas metodicamente, a fim de garantir o nvel de segurana designado para cada sistema corporativo. O plano de Segurana de cada sistema deve ser desenvolvido pelo administrador ou responsvel pelo sistema com o apoio do supervisor de segurana. Ao final do processo, o administrador de Segurana de TI estadual deve certificar o plano criado e registr-lo em meio magntico para que possa ser auditado futuramente. Documento Relacionado Poltica de Sistemas Governamentais. DOMINIO 05: Proteo do Uso Adequado dos Servios da rede Governamental Poltica de uso Aceitvel dos Servios da Rede Governamental Esta Poltica definir como os servios oferecidos pela Rede Governamental devem ser utilizados, especificando quais servios e aes so permitidas dentro dos seus limites. Documento Relacionado Poltica de Uso Aceitvel dos Servios da Rede.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 15 -

ADMINISTRAO DE SEGURANA DA REDE GOVERNAMENTAL 7. Modelo de Administrao Cada rgo/entidade possuir o seu prprio modelo de administrao de segurana, que deve definir como a segurana da rede local, dos sistemas, das informaes e infra-estrutura do rgo/entidade ser administrada. Cada setorial colaborar diretamente com a Administrao de Segurana de TI Estadual. A segurana da Rede Governamental, dos sistemas de informao de maior interesse estadual e da infra-estrutura corporativa da rede ser administrada em um ponto central localizado na Secretaria da Administrao do Estado do Cear, como apresentado na figura 3.

Frum de Segurana Auditoria

Solues Resultado de Auditoria Necessidades

Planejamento Estratgico

Solicitaes

Avisos

Novas Tecnologias

ADMINISTRAO CENTRAL

Administrao de Segurana de TI Estadual

Polticas e Prticas de Segurana

Necessidades Especificas

ADMINISTRAO LOCAL DOS RGOS ENTIDADES rgo / Entidade A rgo / Entidade B rgo / Entidade C

Figura 3

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 16 -

A Administrao de Segurana de TI Estadual dever responsabilizar-se pela coordenao das medidas e normas necessrias relacionadas com a segurana da Rede Governamental, interagindo e ajudando os rgos/entidades na implantao de suas polticas locais, integrao e concordncia com a Poltica da Rede Governamental.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 17 -

8. Infra-estrutura da Administrao Central da Segurana da Rede Governamental 8.1 Estrutura de Pessoal A estrutura da Administrao de Segurana de TI Estadual fortemente dependente dos profissionais envolvidos com a execuo das tarefas previamente planejadas e descritas, por isso o Governo do Estado do Cear dever instituir uma entidade ou departamento, no rgo responsvel pela administrao da Rede Governamental que ir exercer gesto, acompanhamento, auditoria e gerncia sobre a certificao e reconhecimento do atendimento pelos rgos/entidades governamentais dos padres de segurana definidos na poltica de segurana para a Rede Governamental e possuir a seguinte estrutura:
RESPONSVEL PROFISSIONAL RESPONSABILIDADE

Gesto Estratgica de TI

Comit (Conselho)

Decises Estratgicas

SEAD

Administrao de Seg. TI Estadual e Superviso de Segurana Estadual

Ponto Central da Administrao. Auditoria, Apoio e Superviso.

SEAD e Setoriais

Admin. de Rede

Admin. de Sistema

Admin. de Dispositivo

Implementao de Medidas e Correes

Administrador de rede e dispositivo: Profissional com responsabilidade de administrar determinados dispositivos e servios da rede. O administrador de redes e dispositivos ser responsvel por instalar, administrar e garantir a manuteno adequada do dispositivo ou rede de dados sob sua responsabilidade, assim como instalar e configurar softwares residentes nestes componentes. Supervisor de segurana: Um profissional responsvel pela garantia e implementao da poltica de segurana da informao. Ser responsvel por desenvolver todas as atividades relacionadas

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 18 -

auditoria, acompanhamento e reviso de segurana, incluindo a configurao dos componentes de auditoria, execuo e anlise. Administrador de Segurana de Tecnologia da Informao Estadual: Profissional responsvel pela conformidade corporativa com a poltica de segurana, incluindo o apoio de suporte executivo e do Comit de Segurana de TI Estadual para o programa de gerenciamento de riscos de sistemas de informao. Comit de Segurana de TI Estadual: A Administrao de Segurana de TI Estadual dever construir um comit de segurana. Este comit dever incluir um representante snior de todos os rgos/entidades usurios ou no da Rede Governamental. A Comisso ir informar o Comit de Segurana de TI Estadual sobre assuntos relacionados ao gerenciamento de riscos da poltica e ir aprovar e projetar modificaes na poltica para serem adotados pelo Estado do Cear.

A separao de obrigaes e responsabilidades das pessoas envolvidas um conceito muito importante no gerenciamento da segurana da Rede Governamental. Em geral, quanto maior a organizao, maior deve ser a formalidade desta separao. O objetivo impor responsabilidade de aes em indivduos chaves e minimizar a funo individual no programa como um todo. Todos os profissionais sero formalmente nomeados para desempenhar as atividades que eles sero responsveis. 8.2 Ambiente de Trabalho Para garantir o funcionamento adequado deste modelo de segurana, necessrio que exista um ambiente de produtividade especfico para esta finalidade de forma a garantir a exigidade do modelo. Este ambiente deve: Ser exclusivo para o desenvolvimento desta atividade (dos profissionais envolvidos com a segurana de Rede Governamental Administrador de segurana, supervisor, etc.), Possuir recursos computacionais com as ferramentas de apoio e softwares de gerenciamento, superviso e controle de segurana. Os participantes deste ambiente devero executar as tarefas de gerenciamento da segurana da rede, auditoria de segurana, resposta a incidentes, elaborao e manuteno do plano de contingncia, notificao de incidentes, verificao do cumprimento

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 19 -

das polticas estabelecidas por parte dos rgos/entidades que se interconectam atravs da Rede Governamental, dentre outras. 8.3. Ferramentas de Apoio Atravs das ferramentas abaixo listadas, a administrao central de segurana vai fazer a gerncia da comunicao entre os profissionais participantes do projeto. Website de Segurana um site restrito apenas aos rgos/entidades conectados Rede Governamental para comunicao das polticas, solues, normas e avisos da administrao Central da Segurana estadual, contendo frum para discusso das questes tcnicas. Sistema de Acompanhamento de Segurana um sistema restrito apenas aos profissionais integrantes da administrao central da Rede Governamental que faz a gerncia de comunicao de todas as atividades relacionadas segurana desta e dos chamados solicitados pelos administradores de rede dos rgos/entidades. Todos os documentos de solues adotadas que forem de carter restrito sero mantidos neste sistema, por causa do sistema de controle de usurios do mesmo.

Documento Plano Diretor de Segurana 9.

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 20 -

Capacitao do Pessoal Envolvido A Capacitao dos participantes da estrutura organizacional da administrao central de segurana responsvel pela execuo da poltica um fator preponderante para o sucesso desta poltica, onde cada membro desta administrao dever receber treinamento sobre o funcionamento da poltica de segurana global e sobre a realizao de suas tarefas especificas. Para isto, deve ser elaborado um plano de capacitao contemplando atualizao peridica de todos os envolvidos. A capacitao peridica dos participantes da estrutura organizacional da administrao de segurana dever envolver cursos e treinamentos nas reas de segurana de rede, segurana de banco de dados, criptografia, segurana de sistemas operacionais, segurana de aplicaes web alm de participao em fruns e listas de discusses para que os profissionais possam se manter sempre atualizados.

10. Estrutura para Resposta a Incidentes de Segurana A administrao de Segurana de TI Estadual tem a responsabilidade de desenvolver e implementar procedimentos de relato de incidentes de segurana, atravs de um checklist de todos os procedimentos necessrios para manter a Rede Governamental segura. Tambm dever manter uma equipe sempre preparada para atender aos incidentes de segurana que possam vir a ocorrer, realizando atividades tais como: 1. Investigao de anomalias quando necessrio; 2. Investigao, coordenao, relatos e follow-up (acompanhamento) de possveis incidentes de segurana. Procedimentos Procedimentos de resposta a incidentes de segurana sero definidos e publicados a todos os administradores de sistemas e redes para os domnios de comunicao de redes, sistemas corporativos e servios crticos. O escopo e funcionamento de tais procedimentos sero tratados em treinamentos de segurana especficos. Equipe de Resposta Uma equipe governamental de resposta a incidentes deve ser constituda por membros da consultoria em segurana e membros da estrutura da Rede Governamental preparados para iniciar uma investigao imediatamente no momento de uma suspeita de segurana.

Documento Plano Diretor de Segurana Tempo de Resposta Atendimento Suporte Crtico:

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 21 -

Suporte no Crtico:

Apoio a Decises:

Descrio Resposta Chamados oriundos de problemas At 02hs afetando a segurana, suspeita de invases rede ou parada da rede ocasionadas por mecanismos de segurana, tais como, Firewall e outros. Chamados oriundos de problemas que At 08hs no ocasionam a parada das atividades da rede nem comprometem a integridade e segurana dos dados. Chamados para apoio a tomada de At 24hs decises da Administrao de Segurana de TI Estadual, envolvendo a rede e segurana dos dados.

Criao da Poltica de Resposta Emergencial a Incidentes Os procedimentos de resposta a incidentes devero ser desenvolvidos ao final da fase de implantao do Projeto de Segurana inicial, atravs de tcnicas publicadas e aprovadas por instituies de contingncia de segurana, para atender as medidas de contingncia. Tais procedimentos devero estar descritos na poltica de contingncia, devidamente documentados e constantemente atualizados mediante modificao desta Poltica.

11. Administrao das Necessidades Futuras de Segurana As necessidades futuras de segurana da Rede Governamental esto relacionadas atualizao dos procedimentos de segurana e aplicao e atualizao das polticas de segurana. 11.1 Manter a Segurana da Rede Governamental Manter a segurana da Rede Governamental depende de um processo de conscientizao dos administradores de rede e usurios de sistemas corporativos, da implantao e reviso contnua das polticas de segurana estabelecidas com a possvel introduo de novas regras a serem seguidas e do acompanhamento contnuo deste plano diretor e seus documentos relacionados.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 22 -

Segurana dos Servios e Dispositivos da Rede Depois de certificado, todo sistema de segurana necessita de vigilncia dobrada pela grande quantidade de vulnerabilidades que surgem para seus componentes em curto espao de tempo. Tal vigilncia ser conseguida atravs do acompanhamento e do monitoramento das vulnerabilidades da rede.

Segurana das Redes de Dados dos rgos/Entidades Todo rgo/entidade deve responsabilizar-se pela manuteno dos seus sistemas de proteo de rede, seja atravs de consultoria especializada para esta finalidade ou atravs da equipe de informtica interna de cada rgo/entidade. As auditorias e revises iro verificar a existncia de possveis falhas nestes ambientes que devem ser corrigidas com prazo prdeterminado mediante a gravidade do problema.

Segurana do Servio de Comunicao de Informaes entre Entidades Todo ME deve ser revisado, reavaliado e recertificado periodicamente (verificar na Poltica de Interconexo) para garantir que todas as interconexes estabelecidas mantm-se seguras e com ME atualizados. O supervisor de segurana deve ser responsvel por esta reviso peridica com apoio dos administradores de rede e com a utilizao das ferramentas disponveis.

Segurana dos Sistemas Corporativos e Servios da Rede Governamental Periodicamente, o plano de segurana destes sistemas e servios sero auditados e as recomendaes de segurana sero enviadas para que os administradores de sistemas providenciem as correes no prazo pr-estabelecido de acordo com o grau do risco da vulnerabilidade encontrada.

Capacitao de todo pessoal envolvido O Administrador de Segurana de TI Estadual deve estabelecer um programa de treinamento pr-ativo especfico para todos os membros da administrao de segurana que pertence Rede Governamental. A consultoria especializada em segurana ser responsvel por manter toda a equipe atualizada em relao a novos procedimentos

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 23 -

de administrao de segurana, reciclagem dos profissionais e transferncia tecnolgica. O treinamento de todo pessoal ser acompanhado e reportado para o Administrador de Segurana Estadual a fim de manter a conformidade da poltica de segurana estadual. 11.2 Garantir a Segurana do Governo Eletrnico Futuramente, com o crescimento da viso estadual de compartilhamento de informaes entre rgos/entidades e consultas centrais e distribudas em todos os rgos/entidades, ser necessrio proteger as transaes entre os diversos bancos de dados mantidos pelos rgos/entidades estaduais com a devida garantia de confidencialidade, integridade e no repdio de tais transaes dentro do permetro de segurana ao qual estas entidades participam e disponibilizar o resultado de tais consultas, que originaram a transao, com a segurana adequada ao solicitante. Para que seja possvel tal implementao, primeiramente necessrio que os propsitos atuais de segurana da Rede Governamental estejam devidamente implantados.

Documento Plano Diretor de Segurana

Aplicao REGOV

Verso 1.0

Reviso 6/12-2006

Pgina - 24 -

ANEXO I PLANO DE AES DA REDE GOVERNAMENTAL Todas as aes relacionadas a implantao deste plano esto devidamente listadas no quadro abaixo:
Nomeao dos responsveis pela Administrao de Segurana governamental.

FASE 01 Estabelecimento da Administrao

Capacitao de todos profissionais envolvidos.

os

FASE 02 - Mapeamento e Classificao da Rede Governamental

Mapear e classificar todas as informaes governamentais

Classificar todos os sistemas governamentais

FASE 03 Aplicao das Polticas

Implementar a fase inicial da Poltica de Interconexo de redes para todas as comunicaes realizadas na rede governamental. Implementar a fase inicial da Poltica de Sistemas corporativos e Servios Crticos para todos os sistemas e servios classificados com nvel 03 e 04.

FASE 04 Continuidade e Melhoria

Gerncia da Administrao de Segurana Governamental Melhoria Continua dos procedimentos Capacitao em novas tecnologias Manuteno do Frum de profissionais envolvidos Auditoria peridica