Política de Segurança da Informação da Entidade
Contents
1. sseeeessesssseoeeresssssssceeresssssssseeersssss 7 Organiza o da Seguran a da Informa o ssseeeeeessesssseeeerssssssssceeressssssseseeees 9 Defini o do N vel de Seguran a da Informa o ssssssseeeessssssssoeerssssssssseerees 10 Objectivos da Pol tica Nacional de Seguran a da Informa o 11 Responsabilidades na Seguran a da Informa o sessseooeesssssssssseersssssssseeerees 14 Recomenda es para a Implementa o eneesseeoeeeesssssssseerrssssssssceeressssssseeerees 15 P blico 3 ENSI Pol tica de Seguran a da Informa o da Entidade 1 Pref cio A Pol tica de Seguran a da Informa o da Entidade PSIE apresenta a Estrutura Nacional de Seguran a de Informa o ENSI a ser aplicada pelas entidades p blicas portuguesas Cada entidade dever desenvolver a sua pr pria Pol tica de Seguran a de Informa o PSIE de modo a assegurar a confidencialidade integridade e disponibilidade dos seus recursos Este documento descreve os princ pios gerais que devem ser aplicados por cada entidade e encontra se definido do seguinte modo e Audi ncia e Valor da Informa o e Import ncia da Seguran a da Informa o e Defini o do n vel de Seguran a da Informa o e Objectivos da Pol tica Nacional de Seguran a da Informa o e Responsabilidade na Seguran a da Informa o e Organiza o da Seguran a da Informa o e Recomend2. UNISYS Imagine it Done sa tro assis ANACOM ecn Estrutura Nacional de Seguran a da Informa o ENSI Pol tica de Seguran a da Informa o da Entidade Fevereiro 2005 Vers o 1 0 P blico ENSI Pol tica de Seguran a da Informa o da Entidade O PRESENTE DOCUMENTO N O PRESTA QUALQUER GARANTIA SEJA QUAL FOR A SUA NATUREZA Todo e qualquer produto e materiais aqui relacionados e revelados s o exclusivamente fornecidos nos termos e sujeitos s cl usulas e condi es de uma licen a ou contrato de aquisi o ou loca o de equipamento devidamente celebrados As nicas garantias prestadas pela Unisys caso existam referentes aos produtos descritos no presente documento est o indicadas na licen a ou no contrato supra mencionado A Unisys n o poder aceitar qualquer responsabilidade financeira ou outra que possa resultar do vosso uso da informa o contida no presente material em forma de documento ou software incluindo responsabilidade por qualquer tipo de danos A informa o aqui contida est sujeita a altera o sem pr vio aviso Podem ser emitidas revis es para avisar sobre as referidas altera es e ou aditamentos A Unisys uma marca registada da Unisys Corporation P blico 2 ENSI Pol tica de Seguran a da Informa o da Entidade O o Q OA aa A U Nm NDICE Preta Oane E T E E SS aa 4 AO E a a ra E a 5 Valor da A OnI O EAEEREN 6 Import ncia da Seguran a da Informa o
3. mbito de uma Investiga o P blico 13 ENSI Pol tica de Seguran a da Informa o da Entidade 8 Responsabilidades na Seguran a da Informa o A Politica de Seguran a da Informa o da Entidade PSIE implementada pela entidade em conformidade com a Estrutura Nacional de Seguran a da Informa o ENSI A PSIE define os objectivos de controlo tal como s o aplicados a toda a entidade Ser definida uma estrutura de gest o para iniciar e controlar a implementa o da Seguran a da Informa o dentro da entidade Esta ter de aprovar a PSIE a Politica de Seguran a da Informa o da Entidade em Detalhe PSIED atribuir fun es e coordenar a implementa o da Seguran a da Informa o em toda a entidade A estrutura de gest o inclui uma fun o de gest o de risco respons vel pela defini o de prioridades nas implementa es de seguran a da informa o e assegurar um compromisso entre o custo e o risco associado P blico 14 ENSI Pol tica de Seguran a da Informa o da Entidade 9 Recomenda es para a Implementa o dio Cada entidade da administra o p blica dever desenvolver e implementar uma politica de seguran a de informa o que seja apropriada s fun es e riscos associados da entidade A Direc o respons vel pela integra o dos princ pios e planos de uma estrutura coordenada e sistematizada para identificar avaliar e tratar os riscos de Seguran a da Informa o
4. na entidade A pol tica de Seguran a da Informa o ser baseada numa avalia o da estrat gia e contexto da entidade A pol tica de Seguran a da Informa o suporta as metas e os objectivos definidos pela entidade A pol tica de Seguran a da Informa o dever identificar os activos da informa o da entidade Cada bem de informa o ou grupo de classes de bens de informa o requerido pela entidade publica precisa de ser listado na pol tica juntamente com a identifica o dos grupos de pessoas ou organiza es que est o autorizados a aceder e para que prop sito Cada entidade p blica dever realizar an lises de risco de seguran a da informa o de forma regular Avalia es de risco de seguran a de informa o regulares cobrindo amea as disponibilidade confidencialidade e integridade dos bens de informa o da entidade s o utilizadas para o desenvolvimento e revis o da pol tica de seguran a de informa o da entidade A politica de Seguran a da Informa o da entidade dever ser monitorizada e revista de forma a minimizar os riscos Para assegurar que as medidas de seguran a s o relevantes para as altera es das condi es a politica de seguran a de informa o da entidade vai necessitar de ser analisada e sujeita a um processo cont nuo de revis o e avalia o Os incidentes de seguran a de informa o necessitam de ser investigados atempadamente A investiga o deve identificar
5. a es para a Implementa o Este documento n o dever ser utilizado tal como est mas sim adaptado s actividades desenvolvidas pelas entidades No entanto importante que a Politica de Seguran a de Informa o da Entidade PSIE se mantenha em conformidade com a Pol tica Nacional de Seguran a da Informa o PNSD P blico 4 ENSI Pol tica de Seguran a da Informa o da Entidade 2 Audi ncia A Pol tica de Seguran a da Informa o da Entidade destina se a todos os colaboradores de uma entidade independentemente do seu v nculo empregados fornecedores consultores tempor rios volunt rios etc t m de estar em conformidade com a Pol tica de Seguran a de Informa o da Entidade e com os demais documentos relacionados com a Seguran a de Informa o Os colaboradores que deliberadamente violem esta ou outras pol ticas devem ser sujeitos a ac es disciplinares que podem ir at cessa o do contrato de trabalho P blico 5 ENSI Pol tica de Seguran a da Informa o da Entidade 3 Valor da Informa o O acesso informa o um aspecto Importante da nossa opera o A nossa efici ncia dependente da disponibilidade dos Sistemas e infra estruturas de informa o A seguran a e protec o do tratamento e transmiss o de informa o s o um factor vital para manter a nossa for a Qualquer interrup o do servi o ou fuga de informa o para partes n o autorizadas ou modifica o
6. a atingido e mantido Objectivo 5 Consciencialzar para a seguran a todos os funcion rios p blicos e empregados de empresas do sector privado que fornecem servi os de infra estrutura cr tica consciencializa o para a seguran a e qualidade de todos os funcion rios p blicos e empregados de empresas do sector privado um pr requisito para o cumprimento dos controlos de Seguran a da Informa o e o seu cont nuo aperfei oamento bem como a introdu o de servi os de Seguran a da Informa o modernos A consciencializa o de seguran a permite a Portugal fornecer servi os de qualidade para benef cio do Estado e seus cidad os das entidades p blicas e privadas e seus clientes parceiros e seus empregados Objectivo 6 Assegurar a protec o de dados e recursos das TIC atrav s de iniciativas adequadas a tomar por cada membro da Sociedade da Informa o A informa o e dados pertencentes ou confiados a qualquer membro da Sociedade da Informa o de acordo com os contractos estabelecidos bem como os recursos de TIC utilizados para inserir transferir processar ou armazenar dados ser o protegidos contra a divulga o ou modifica o n o autorizada Medidas rigorosas de Seguran a da Informa o quer de origem t cnica quer de origem organizacional s o implementadas de modo a garantir a adequada confidencialidade integridade e disponibilidade dos dados e recursos sens veis Os incidentes de Seguran a
7. a da Informa o se encontra organizada de acordo com os princ pios definidos em Portugal A organiza o da seguran a de informa o da entidade n o apresentada aqui uma vez que est demasiado dependente da pr pria entidade Contudo recomendado que siga os princ pios definidos pela ENSI e que t m de estar reflectidos na Politica de Seguran a da Informa o Detalhada da Entidade PSIDE Estrutura Nacional de Seguran a da Informa o ENSI Define a Estrat gia da ENSI Define a Pol tica de Topo para Portugal Pol tica de Seguran a da Define a Pol tica de Topo da Entidade Informa o da Entidade Define os Controlos Espec ficos da Entidade Descreve as Medidas e Controlos Implementados P blico 9 ENSI Pol tica de Seguran a da Informa o da Entidade 6 Defini o do N vel de Seguran a da Informa o A Seguran a da Informa o baseada em 3 factores a Confidencialidade garantia de que a informa o est acess vel apenas por pessoas que t m autoriza o para tal b Integridade salvaguarda da exactid o da informa o e dos m todos de processamento c Disponibilidade garantia de que utilizadores autorizados tenham acesso Informa o e activos correspondentes sempre que necess rio Informa o um bem t o importante como qualquer outro bem da organiza o pelo que tem de ser protegido da forma mais apropriada A Seguran a da Informa o prot
8. a fun o as entidades p blicas dever o manter a capacidade de avaliar o desempenho em termos de seguran a dessa mesma fun o Cada entidade deve assegurar que a seguran a estabelecida de forma apropriada para todas as fun es e recursos oficiais do governo Isto igualmente importante se a fun o da entidade for contratada fora necess rio garantir que os a fornecedores contratados s o informados das pol ticas e recomenda es da Seguran a da Informa o da entidade 8 Os recursos de informa o utilizados num ambiente de tele trabalho ou m vel dever o ser adequadamente seguros A entidade p blica respons vel por assegurar as medidas de seguran a apropriadas de forma a permitir um manuseamento correcto da informa o pelos funcion rios da entidade no desempenho das suas fun es De forma a assegurar a Seguran a de Informa o nos ambientes de tele trabalho e m vel a entidade deve apoiar o empregado na identifica o e gest o dos potenciais riscos de Seguran a da Informa o tendo em aten o o seu ambiente de trabalho P blico 16
9. as causas minimizar as consequ ncias adversas e recomendar ac es que permitam que incidentes similares n o se repitam Caso seja necess rio deve ser criado uma rea de Investiga o e processos criminais e ou civis Dever o ser protegidos os recursos de informa o nomeadamente os sistemas TIC de serem comprometidos ou indevidamente utilizados ou seja o conjunto de meios pelos quais poderia ser comprometida a informa o especialmente perda corrup o fuga quer sejam deliberados ou acidentais A informa o recolhida e gerada pelas entidades p blicas valiosa quer para a Administra o P blica quer para os indiv duos ou entidades privadas Recursos de informa o valiosos devem ser identificados e protegidos e fundamentados numa avalia o de risco formal P blico 15 ENSI Pol tica de Seguran a da Informa o da Entidade 6 As pessoas contratadas para desempenharem fun es governamentais t m de ser id neas e integras seguran a da informa o de uma entidade depende da integridade e honestidade das pessoas que trabalham para esta Portanto as entidades p blicas necessitam de assegurar que os princ pios de idoneidade descrevem as responsabilidades a serem atribu das aos empregados que os empregados s o informados das suas responsabilidades e que os empregados est o em conformidade com a sua responsabilidade e regulamenta es governamentais relevantes 7 Quando se faz outsourcing de um
10. de Informa o s o registados e analisados atrav s de meios adequados no sentido de precaver uma recorr ncia futura A equipa de Seguran a da Informa o incentivada a identificar lacunas no Sistema de Gest o da Seguran a da Informa o SGSI e a eliminar qualquer fragilidade em coopera o com os respons veis dos departamentos afectados A Administra o P blica de Portugal assegura que todas as actividades e incidentes relacionados com a seguran a s o registados no sentido de refor ar a responsabilidade pela sua rede sistemas e bases de dados P blico 12 ENSI Pol tica de Seguran a da Informa o da Entidade Objectivo 7 Assegurar um elevado n vel de Seguran a da Informa o durante todo o ciclo de vida dos sistemas de informa o No sentido de se obter servi os de seguran a com qualidade todo o ciclo de vida dos sistemas de informa o est sujeito a uma gest o de qualidade Para este fim s o definidos procedimentos seguros para o desenvolvimento e a introdu o de novas aplica es a gest o de recursos a avalia o da seguran a dos produtos a opera o e manuten o de recursos de TIC e a desactiva o controlada Objectivo 8 Garantir a continuidade do neg cio Todas as entidades da Administra o P blica e empresas do sector privado que fornecem servi os de infra estrutura cr tica t m um plano de continuidade do neg cio de forma a salvaguardar interrup es deste e proteger os pr
11. de dados n o autorizada pode levar a uma perda de confian a e ou violar as obriga es para com a entidade e os cidad os Associado a crescente depend ncia dos utilizadores em utilizarem as redes surge o paradigma da mudan a A mudan a leva nos de sistemas de processamento cl ssicos em mainframes baseados em centros inform ticos fechados para as mais variadas formas de processamento de dados distribu dos em ambientes abertos e heterog neos cliente servidor Esta mudan a traz riscos adicionais que necessitam de ser geridos de forma a assegurar os nossos objectivos uma vez que a informa o de seguran a relevante e as aplica es est o a aumentar e s o utilizadas em locais cujo controlo dif cil ou mesmo Imposs vel Para atingir os objectivos as entidades p blicas privadas e os cidad os est o dependentes do funcionamento ininterrupto da tecnologia de informa o e comunica es Isto apenas poss vel com a implementa o de medidas de seguran a com a utiliza o correcta e com cria o da alta disponibilidade de todos os sistemas de tecnologias de informa o acompanhados por uma supervis o e forma o de todas as pessoas que lidam com dados e recursos sens veis P blico 6 ENSI Pol tica de Seguran a da Informa o da Entidade 4 Import ncia da Seguran a da Informa o Informa o os seus processos de suporte sistemas aplica es e redes s o activos valiosos para as nossas entidades e cidad
12. ege a informa o contra uma multiplicidade de amea as entre as quais compreende assegurar a continuidade do neg cio minimizar os efeitos negativos no neg cio e maximizar a rentabiliza o dos investimentos e as oportunidades de neg cio O n vel atingido de Seguran a da Informa o depende do esfor o dispendido No entanto o esfor o ou o investimento dispendido n o proporcional s melhorias a alcan ar Atingir um n vel de seguran a de 100 n o poss vel Dever existir um compromisso na defini o do n vel de seguran a pretendido Nestas condi es e de acordo com o gr fico apresentado a seguir recomenda se o n vel de seguran a elevado a adoptar para a Entidade Esta orienta o geral permite ajudar na selec o dos meios para a cria o da Seguran a da Informa o Da m ximo Custo Do q ul SO Do recemons X P blico 10 ENSI Pol tica de Seguran a da Informa o da Entidade 7 Objectivos da Pol tica Nacional de Seguran a da Informa o Em baixo relembramos os objectivos de seguran a de informa o do governo e apontamos as principais ac es a tomar para os cumprir Objectivo 1 Ser parte integral dos objectivos da Administra o P blica e servir de orienta o ao sector privado Os objectivos da Administra o P blica incluem n o s qualidade e tecnologia como tamb m justi a economia e flexibilidade Para atingir estes objectivos necess rio um elevad
13. o n vel de Seguran a da Informa o em todos os processos da Administra o P blica Como tal a Seguran a da Informa o dever ser tida em conta durante a fase de desenho de todos os processos Objectivo 2 Proteger os interesses do estado e seus cidad os as entidades p blicas e privadas e seus clientes e os parceiros e seus empregados Este objectivo de seguran a tem influ ncia no desenvolvimento dos processos e sua implementa o As medidas e controlos t cnicos de Seguran a da Informa o est o a ser actualizadas para que os cidad os entidades p blicas e privadas e seus clientes parceiros e seus empregados encontrem se protegidos enquanto perseguem os seus Interesses leg timos Objectivo 3 Assegurar que todos os requisitos legais e da Ind stria s o cumpridos e de que existe o registo de evid ncias para efeitos de auditoria de todos os processos TIC relevantes em cada entidade do sector p blico ou privado A ades o aos requisitos legais e afins relativamente Seguran a da Informa o al m de ser obrigat ria contribui n o s para o cumprimento dos objectivos da entidade como tamb m para a protec o do pa s da entidade dos seus clientes parceiros e seus empregados Deste modo as altera es legisla o e outros regulamentos relevantes para a seguran a encontram se a ser constantemente monitorizadas e as consequ ncias destas para a Seguran a da Informa o a serem identificadas Os control
14. ocessos cr ticos do mesmo contra os efeitos de erros e desastres O conselho f rum de seguran a da entidade define as normas base dos planos de recupera o em caso de emerg ncia Estes especificam localiza es alternativas e os procedimentos de armazenamento de dados off site Os planos de recupera o cont m toda a informa o necess ria para uma r pida recupera o das aplica es e servi os Os planos de recupera o s o testados regularmente de acordo com a criticidade do servi o que protegem dos requisitos legais das expectativas dos clientes e ou dos Acordos dos N veis de Servi o Objectivo 9 Honrar a confian a de todos os membros da Sociedade da Informa o As entidades do sector p blico e privado dependem n o s de tecnologias cada vez mais sofisticadas e complexas utilizadas no ciclo de desenho e desenvolvimento como tamb m na rela o pr xima com o cidad o fornecedores clientes e outros membros da Sociedade da Informa o Portanto cada entidade do sector p blico ou privado garante a salvaguarda adequada de todos os seus dados Toda a informa o pessoal armazenada pode ser vista modificada ou apagada pelo cidad o ou pela entidade propriet ria dos dados A menos que indicado em contr rio na legisla o os dados armazenados apenas podem ser utilizados para a finalidade para a qual foram recolhidos Existem excep es lei definidas em regulamenta o pr pria e g Pol cia Judici ria no
15. os A perda de confidencialidade integridade e ou disponibilidade podem levar a uma futura perda de credibilidade dos nossos servi os Hoje em dia as organiza es e os seus sistemas de informa o e redes encontram se expostos a muitas amea as de seguran a Alguns dos exemplos s o fraude espionagem sabotagem vandalismo inc ndio ou inunda es Alguns perigos como os v rus hackers e ataques do tipo Nega o de Servi o est o a tornar se mais frequentes criativos e complexos de gerir A informa o armazenada e transferida sob v rias formas Pode ser transferida escrita em papel como uma impress o atrav s do correio tradicional ou electr nico filmes ou passada verbalmente Esta informa o deve ser protegida independentemente do meio uso ou suporte e A protec o da informa o tem de estar ajustada sua import ncia e valor que s o determinados pelo detentor da informa o sendo que apenas este pode permitir o acesso mesma e A Seguran a da Informa o num projecto Inser o colecta processamento armazenamento transfer ncia relacionamento e resultado pesquisa da informa o t o importante quanto a funcionalidade e o cumprimento de objectivos e A Seguran a da Informa o deve alcan ar e manter de forma permanente um n vel de qualidade elevada de forma a evitar o descontentamento ou eventuais queixas dos detentores da informa o Para isso dever ser criada uma equipa de ges
16. os apropriados s o implementados utilizando m todos ou ferramentas de seguran a adequados A protec o dos dados uma preocupa o constante e importante Os registos de evid ncias para efeitos de auditoria devem permitir uma reconstru o de como a informa o foi recebida tratada e ou modificada No m nimo os requisitos de auditoria da Lei de Protec o de Dados necessitam ser cumpridos se poss vel devem ser estendidos a toda a informa o sujeita Pol tica de Privacidade da Entidade P blico 11 ENSI Pol tica de Seguran a da Informa o da Entidade Objectivo 4 Assegurar que a Pol tica de Seguran a da Informa o da Entidade implementada por uma equipa de Seguran a da Informa o de acordo com as normas de Seguran a da Informa o mandat rias As entidades do sector privado s o incentivadas a proceder da mesma forma As normas de seguran a da entidade cobrem e definem as fun es responsabilidades e compet ncias da gest o da Seguran a da Informa o para todos os t picos relevantes de seguran a A defini o de normas assegurada por um conselho f rum de seguran a que define objectivos de seguran a incluindo risco aceit vel estrat gias requisitos medidas e servi os que est o integrados numa estrutura da entidade Isto assegura a implementa o coordenada da Pol tica de Seguran a da Informa o da Entidade e garante que o n vel de Seguran a da Informa o pretendido sej
17. t o de seguran a da informa o e A Seguran a da Informa o um pr requisito fundamental para o sucesso dos servi os e da responsabilidade de todos os funcion rios fornecedores ou pessoas que t m acesso Informa o e Atrav s das orienta es da Direc o das entidades da Administra o P blica e disponibiliza o de material de forma o adequado todos os funcion rios e parceiros t m de conseguir compreender e agir em conformidade com os requisitos da Estrutura Nacional de Seguran a da Informa o ENSI e As amea as Seguran a da Informa o est o em constante evolu o o que torna necess rio adaptar continuamente as medidas de seguran a de modo a acompanhar altera es tecnologia e ou sociais e As medidas de seguran a devem ser t cnica e economicamente vi veis e n o devem limitar de forma inadequada a produtividade da empresa p blica privada ou do cidad o Os riscos residuais devem ser conhecidos e explicitamente aceites pelas Direc es das entidades P blico 7 ENSI Pol tica de Seguran a da Informa o da Entidade e A Seguran a da Informa o tem implica es estrat gicas para Portugal e representa uma parte integral dos objectivos do pa s P blico S ENSI Pol tica de Seguran a da Informa o da Entidade 5 Organiza o da Seguran a da Informa o A Estrutura Nacional de Seguran a da Informa o ENSI apresentada para descrever a forma como a Seguran
Download Pdf Manuals
Related Search