POLÍTICA COMPLEMENTAR DE
POLÍTICA COMPLEMENTAR DE
RESPOSTA A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
2016
HISTÓRICO DE VERSÕES
DATA | VERSÃO | DESCRIÇÃO | AUTOR |
03/08 | 1.0 | Versão sem a formatação validada pela equipe de elaboração. | Equipe de Elaboração |
25/08 | 2.0 | Versão formatada e validada pela Assessoria de Projetos, Aquisições e Contratos - ASPAC | Equipe de Elaboração/ASPAC |
05/09 | 3.0 | Versão revisada e validada pela Gerência Geral de Tecnologia da Informação (GGTI) e Gerência de Infraestrutura e Tecnologia da Informação (GITI) | Gestor da GGTI/Gestor da GITI |
09/09 | 4.0 | Versão formatada e validada pela Assessoria de Projetos, Aquisições e Contratos - ASPAC | ASPAC |
21/11 | 5.0 | Versão revisada pela Agência de Tecnologia da Informação de PE (ATI) | Equipe da ATI |
SUMÁRIO
DIRETRIZES DA RESPOSTA A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO 4
O tratamento de incidentes envolvendo a segurança da informação é fundamental no combate a eventos que possam resultar em perda, dano ou acesso não-autorizado às informações. Esse tratamento corresponde a medidas planejadas e organizadas para detecção, análise e reação em situações que levem a um rompimento na tríade que configura a segurança da informação: confidencialidade, integridade e disponibilidade.
Dentre as ações que podem gerar esse rompimento, é possível destacar: negação de serviço; código malicioso; vírus; acesso não autorizado ou uso inapropriado de contas ou sistemas; instalação ou uso de softwares não autorizados; perda de arquivos essenciais as atividades; roubo ou perda de equipamentos; dano acidental ou proposital a equipamentos de tecnologia; saída não-autorizada de dados; divulgação não-autorizada de informações confidenciais ou secretas; pichação de websites, entre outros.
Definir os critérios para a gestão de incidentes de Segurança da Informação, possibilitando uma resposta rápida e eficaz ao Incidente, preservando a reputação e a imagem da SEE-PE, minimizando os prejuízos financeiros e de imagem da organização.
Esta política se aplica a todos os colaboradores da SEE-PE, quais sejam: funcionários servidores ou comissionados, estagiários, menor aprendiz, terceirizados ou indivíduos que direta ou indiretamente utilizam ou suportam os sistemas, infraestrutura ou informações da SEE-PE. Todos os esses colaboradores serão tratados nesta política como usuários.
DIRETRIZES DA RESPOSTA A INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
1. Contexto Geral
As respostas aos incidentes de Segurança da Informação visam assegurar o restabelecimento do nível normal do ambiente tecnológico, após o acontecimento de um sinistro, através do direcionamento na utilização dos recursos e procedimentos fundamentais, no intuito de garantir uma resposta efetiva.
2. Planejamento
Esta atividade compreende identificar, prever e descrever situações de possíveis sinistros, bem como suas respectivas ações de mitigação, responsáveis, tempos e registros, de forma que, em situações reais, as atividades já estejam previamente mapeadas e as ações já preestabelecidas. Assim, deve constar no planejamento:
a) A definição de uma equipe de planejamento, suas responsabilidades e papéis predefinidos, para prever situações de sinistro e as possíveis respostas, assim como atuar no monitoramento e na resposta aos incidentes. Essa equipe será denominada Equipe de Resposta a Incidentes (ERI);
b) A definição do catálogo dos recursos tecnológicos existentes no parque da SEE-PE, bem como aqueles necessários para possibilitar uma atuação efetiva na resposta aos incidentes, como por exemplo: cadastro de todas as máquinas do tipo servidor;
c) O detalhamento das ações necessárias na resposta a incidentes, conforme o tipo e criticidade desses, deve abordar o tempo mínimo de resposta e a quem os incidentes devem ser reportados, entre outros. Como exemplo, tem-se:
INCIDENTE | CRITICIDADE | AÇÃO | RESPONSABI- LIDADE | TEMPO MÍNIMO DE RESPOSTA | A QUEM REPORTAR | COMO REPORTAR |
Pasta (repositório) não encontrado ou excluído no servidor de arquivos | Alta | Restaurar pasta (repositório) do servidor de arquivo | GGTI | 24h | Gestor da GITI | Por meio da Central de Serviços |
d) Os casos que, em virtude de sua relevância, devem ser previamente autorizados pela alta gestão.
3. Identificação
Esta atividade compreende realizar ações para identificação e registro dos sinistros.
a) Através dos recursos de detecção na rede, no monitoramento dos servidores e recursos de tecnologia ou através de problemas reportados pelos usuários, podem ser identificados alertas de segurança que configurem incidentes de segurança. Diante disso, a Equipe de Repostas a Incidentes (ERI) poderá ser acionada para que o alerta seja analisado e sejam tomadas as devidas providências, tanto no tratamento do incidente, quanto no encaminhamento do problema para a gestão;
b) Algumas situações podem ser consideradas na notificação de um evento de Segurança da Informação:
I. Violação da disponibilidade, confidencialidade e integridade da informação;
II. Inconformidade das políticas e/ou procedimentos;
III. Alterações de sistemas sem controle;
IV. Funcionamento indevido de software ou hardware;
V. Violação de acesso lógico.
c) Eventos, mesmo que apenas suspeitos, devem ser analisados e validados rapidamente. Uma vez confirmada a ocorrência de um incidente, então a análise do escopo daquele incidente deverá ser executada. Essa análise deve prover informações suficientes que permitam identificar e priorizar as atividades subsequentes;
d) Todos os usuários são responsáveis por relatar qualquer tipo de eventos e fragilidades, que possam causar danos à segurança da Informação. A notificação do evento ou fragilidades por parte do usuário deverá ser registrada através da Central de Serviços.
4. Resposta
A atividade de resposta a incidentes de segurança da informação compreende reações aos possíveis ataques realizados.
a) A partir de uma detecção de um incidente de segurança, é importante controlá-lo antes que uma possível extensão comprometa outros recursos. Como exemplo, tem-se uma infecção por vírus em um computador e que, se não for controlado em tempo, pode comprometer outros computadores da rede;
b) A estratégia de resposta ao incidente de segurança da informação a ser adotada deve ser baseada no tipo (ex: vírus, perda de arquivo, incêndio, etc.) e na criticidade do incidente (ex: impacta na imagem ou na operação da SEE-PE, compromete várias áreas, entre outros);
c) Após a identificação e a confirmação que o incidente se trata de um evento de Segurança da Informação, ou seja, que viole a disponibilidade, a confidencialidade ou a integridade da informação, a resposta deverá ser realizada a partir das seguintes ações:
I. Preservar, na medida do possível, todas as evidências, para que seja possível identificar o problema e rastrear a possível causa;
II. Verificar se existem planos de ação em que o sinistro identificado esteja previsto, no intuito de seguir o planejamento;
III. Agir para que os serviços afetados sejam disponibilizados em seu estado normal de funcionamento no menor tempo possível;
IV. Utilizar todos os recursos necessários para a implementação de uma estratégia de reação, seja permanente ou provisória;
V. Utilizar atividades de recuperação, tais como: a restauração de backups de sistemas, a instalação de patches, a alteração de senhas e a revisão da segurança do perímetro da rede da SEE-PE.
d) Quando as consequências do incidente estiverem contidas, é necessário que sejam removidos todos os componentes do incidente, como por exemplo: um código malicioso ou desabilitar contas de usuários violadas.
5. Vistoria
A vistoria consiste em ações realizadas após a ocorrência do incidente, como auditorias e análises de vulnerabilidade.
a) É fundamental assegurar que as atividades envolvidas nas respostas aos incidentes sejam adequadamente registradas para futuras análises. Os registros servirão de banco de conhecimento para resposta em incidentes semelhantes;
b) De acordo com o incidente, uma análise mais aprofundada deve ser conduzida para identificar a origem do incidente para que o tratamento das fragilidades e/ou não conformidade encontradas contribuam para a resolução do incidente;
c) Periodicamente, a área de tecnologia da informação deve realizar uma análise no ambiente tecnológico com o objetivo de identificar possíveis vulnerabilidades e, de forma antecipada, eliminá-las;
d) Após a identificação das possíveis vulnerabilidades, deverá ser aberto uma ocorrência na Central de Serviços e comunicada às áreas responsáveis para as devidas tratativas. Após a resolução, deve ser encerrada a ocorrência e registrada as ações realizadas.
6. Melhores Práticas
a) Evitar implantações ou atualizações de softwares que estejam fora das especificações ou escopo da infraestrutura atual do ambiente, pois isso pode acarretar em novos incidentes de segurança;
b) Os usuários não podem tentar provar a fragilidade do ambiente tecnológico, salvo a equipe técnica responsável com a devida autorização;
c) O processo de recuperação pode envolver o acionamento de um processo de continuidade do negócio, a fim de restabelecer a operação normal da SEE-PE. Assim, é fundamental ter um Plano de Continuidade do Negócio (PCN) que envolva os ambientes e processos críticos da SEE-PE.
7. Adequação à Política
a) Os novos projetos ou novas aquisições devem seguir os padrões estabelecidos nesta política;
b) As implementações para o ambiente tecnológico existente deverão ser adequadas a esta política no prazo de 1(um) ano, a partir de sua publicação;
c) Caso não seja possível a adequação das ferramentas, o Comitê de TI da SEE-PE deve documentar essa informação, bem como seus motivos, para fins de auditoria interna.