Upload
ssnboytb
View
21
Download
0
Embed Size (px)
Citation preview
LEA
NR-8 Norma de Segurança da Informação
versão 3.3 release 6
São Paulo, 16 de Março de 2010
Código e Título NR-8 Norma de Segurança da Informação
Versão versão 3.3 release 6
Data de emissão 16 de Março de 2010
Autor(es) Volnys Borges Bernal
Aprovador Gerente de Segurança
Proprietário Gerente de Segurança
Origem Interna: LEA
Destino Interno: LEA
Classificação de segurança Restrito
Controle de acesso Sem restrições
Restrição de cópia Não é permitida a cópia deste documento
LEA 2/50
Sumário Listas de Ilustrações ................................................................................................................. 5
Controle de versão ................................................................................................................... 6
1 Introdução .............................................................................................................................. 7
1.1 Objetivo ............................................................................................................................ 7
1.2 Público-alvo ..................................................................................................................... 7
1.3 Validade ........................................................................................................................... 7
2 Segurança de Pessoal ............................................................................................................. 8
2.1 Das atribuições da função ................................................................................................ 8
2.2 Do processo de admissão ................................................................................................. 9
2.3 Da conscientização, treinamento e reciclagem .............................................................. 10
2.4 Do desempenho da função e do comportamento do colaborador .................................. 11
2.5 Do processo de desligamento ......................................................................................... 11
2.6 Das responsabilidades e deveres ................................................................................... 11
3 Segurança Física e de Ambiente ......................................................................................... 14
3.1 Níveis de Segurança ....................................................................................................... 14
3.2 Controles físicos ............................................................................................................ 17
3.3 Mecanismos de emergência ........................................................................................... 18
3.4 Prevenção e proteção contra incêndio ............................................................................ 18
3.5 Destruição de ativos de informação impressos e eletrônicos ......................................... 18
3.6 Identificação pessoal e credencial de acesso físico ........................................................ 18
3.7 Controle de equipamentos .............................................................................................. 19
3.8 Ambiente operacional .................................................................................................... 20
4 Classificação e Controle dos Ativos de Informação .......................................................... 21
4.1 Classificação quanto à forma de apresentação ............................................................... 21
4.2 Classificação quanto à criticidade do ativo de informação ............................................ 21
4.3 Rótulo de ativo de informação ....................................................................................... 22
4.4 Tratamento de ativo de informação ............................................................................... 24
5 Manipulação de Ativo de Ensaio ........................................................................................ 29
5.1 Classificação quando à origem ...................................................................................... 29
5.2 Classificação quanto ao tipo do material ....................................................................... 29
5.3 Recebimento ................................................................................................................... 29
5.4 Manipulação ................................................................................................................... 30
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 3/50
5.5 Identificação ................................................................................................................... 30
5.6 Relação de ativos de um processo .................................................................................. 30
5.7 Armazenamento ............................................................................................................. 30
5.8 Cadeia de custódia ......................................................................................................... 31
5.9 Ensaio ............................................................................................................................. 31
5.10 Divulgação .................................................................................................................. 31
6 Uso de material criptográfico .............................................................................................. 32
6.1 Proteção de arquivos com criptografia .......................................................................... 32
6.2 Assinatura digital ........................................................................................................... 33
7 Privacidade .......................................................................................................................... 34
7.1 Uso da sessão de usuário ............................................................................................... 34
7.2 Uso de recursos computacionais .................................................................................... 34
7.3 Uso de recursos computacionais com finalidade pessoal .............................................. 34
7.4 Auditoria ........................................................................................................................ 34
7.5 Monitoração .................................................................................................................. 34
8 Utilização do ambiente computacional .............................................................................. 36
8.1 Uso do ambiente computacional .................................................................................... 36
8.2 Atividades proibidas ...................................................................................................... 37
8.3 Negação de responsabilização pelo uso da Internet ....................................................... 37
8.4 Utilização de correio eletrônico ..................................................................................... 37
8.5 Outros sistemas de comunicação ................................................................................... 39
8.6 Senhas ............................................................................................................................ 39
8.7 Sessão de uso aberta com usuário ausente ..................................................................... 40
8.8 Uso de software, dispositivos e equipamentos ............................................................... 40
8.9 Notificação sobre mau funcionamento .......................................................................... 40
8.10 Notificação de incidente .............................................................................................. 40
8.11 Treinamento para uso do ambiente computacional ...................................................... 41
9 Controles para o ambiente computacional ........................................................................ 42
9.1 Controle de Ativos ......................................................................................................... 42
9.2 Gerenciamento de identidade de usuários ...................................................................... 42
9.3 Compartilhamento de identidade de usuário .................................................................. 44
9.4 Controle de acesso aos recursos computacionais ........................................................... 44
9.5 Controles automatizados ................................................................................................ 44
9.6 Acessos Externos .......................................................................................................... 45 Título Versão Data de emissão Classificação de segurança
NR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 4/50
9.7 Sincronização de tempo ................................................................................................. 46
9.8 Registros (logs) .............................................................................................................. 46
9.9 Segregação de redes ....................................................................................................... 47
9.10 Tecnologias móveis ...................................................................................................... 47
10 Investigação de Infração e Penalidades ........................................................................... 48
10.1 Infração ........................................................................................................................ 48
10.2 Investigação interna ..................................................................................................... 48
10.3 Das Penalidades ........................................................................................................... 48
10.4 Responsabilização ........................................................................................................ 49
Referências Bibliográficas ..................................................................................................... 50
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 5/50
Listas de Ilustrações
Lista de FigurasFigura 1 – Aninhamento dos Níveis de Segurança...................................................................15
Lista de TabelasTabela 1 – Definição dos Níveis de Segurança.........................................................................14
Tabela 2 – Rótulo de Classificação de Informação...................................................................22
Tabela 3 – Componentes de Rotulagem da Informação...........................................................23
Tabela 4 – Obrigatoriedade de Rótulo de Classificação da Informação...................................23
Tabela 5 – Definição do valor dos parâmetros de senhas.........................................................44
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 6/50
Controle de versão
Versão Data Responsável Alterações
2.0.r.1 14/06/2005 Volnys Primeira versão da política de segurança.3.0.r.8 01/02/2006 Volnys Alteração de alguns controles físicos.3.1.r.4 01/06/2006 Volnys Alteração do capítulo “Ambiente
Computacional” separando em dois, um voltado
para o usuário e outro para a equipe de
segurança.
Adequação de alguns controles físicos.3.2.r.4 Volnys Classificação da informação: alteração do termo
“interno” para “restrito”;
Alteração de requisitos de aninhamento de
níveis de segurança para compatibilizar
restrições do ambiente físico.
Alteração do termo “remoção de usuário” para
“bloqueio de usuário”.
Supressão de subseções relacionadas ao
gerenciamento do ciclo de vida dos usuáros
devido à redundância com o “Procedimento de
gerenciamento do ciclo de vida dos usuários”Renata Adequação dos nomes de cargos;
Alteração dos tempos verbais;
Mudança do termo “prestador de serviços” para
“colaborador”;
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 7/50
1 Introdução
1.1 Objetivo
Este documento tem o objetivo de garantir a preservação e segurança da informação durante
as atividades do LEA. As normas devem ser aplicadas nas áreas internas e no trânsito de ativo
de ensaio ou ativo de informação com entidades externas. Sugestões e comentários sobre a
Norma de Segurança da Informação podem ser encaminhados para [email protected].
1.2 Público-alvo
Este documento é direcionado a todos os colaboradores e às pessoas que transitam nas
instalações do LEA. Pessoas não vinculadas devem sempre transitar acompanhadas por um
colaborador e serem informadas das restrições definidas pela Norma de Segurança da
Informação.
1.3 Validade
Esta norma entra em vigor em 1 de junho de 2006 e possui validade indefinida. Pode ser
substituída por uma versão atualizada a qualquer momento. Nesta situação, esta norma torna-
se nula. O leitor deve sempre verificar qual a versão da norma vigente.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 8/50
2 Segurança de Pessoal
Esta seção descreve os controles de segurança dos colaboradores e tem o objetivo de:
1. Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude ou uso
não apropriado dos ativos do LEA.
2. Prevenir e neutralizar as ações sobre as pessoas que possam comprometer a segurança
do LEA.
3. Orientar e capacitar todo colaborador envolvido na realização de trabalhos
relacionados ao LEA, além de colaboradores que desempenham funções de apoio,
como a manutenção das instalações físicas.
4. Adotar medidas de proteção compatíveis com a natureza da função que desempenham.
5. Orientar o processo de avaliação de todo colaborador do LEA, mesmo em caso de
funções desempenhadas por colaboradores terceirizados.
2.1 Das atribuições da função
2.1.1 Atribuições de cada função
As atribuições de cada função devem ser claramente relacionadas de acordo com a
característica da atividade, com objetivo de determinar o grupo (perfil) de usuário de TI
necessário do colaborador considerando-se:
a. A descrição sumária das tarefas inerentes à função.
b. As necessidades de acesso às informações sensíveis.
c. O grau de sensibilidade do setor onde a função é exercida.
d. As necessidades de contato de serviço interno e/ou externo.
e. As características de responsabilidade, decisão e iniciativa inerente à função.
f. A qualificação técnica necessária ao desempenho da função.
2.1.2 Estagiários
O LEA não admite estagiários no exercício de atividades diretamente relacionadas aos
processos de ensaios.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 9/50
2.1.3 Colaboradores terceirizados
O LEA não admite colaboradores terceirizados no exercício de atividades relacionadas aos
processos de ensaios.
2.2 Do processo de admissão
2.2.1 Processo seletivo
Devem ser adotados critérios rígidos para o processo seletivo de candidatos com o objetivo de
selecionar para os quadros do LEA pessoas reconhecidamente idôneas e sem antecedentes que
possam comprometer a segurança ou credibilidade do LEA.
2.2.2 Levantamento de dados pessoais
Deve ser elaborada uma pesquisa do histórico da vida pública do candidato, com o objetivo de
levantamento de seu perfil.
2.2.3 Procedimento de verificação de antecedentes
Com o propósito de resguardar a segurança e a credibilidade da entidade, todo colaborador
envolvido em atividades diretamente relacionadas aos ensaios deve ser submetido a:
a. Verificação de antecedentes criminais.
b. Verificação de situação de crédito.
c. Verificação de histórico de empregos anteriores.
d. Comprovação de escolaridade.
e. Comprovação de residência.
2.2.4 Entrevista de admissão
Durante a pesquisa para a admissão, a entrevista deve ser realizada por profissional
qualificado, com o propósito de confirmar e/ou identificar dados não-detectados ou não-
confirmados.
2.2.5 Entrevista inicial
Na entrevista inicial devem ser avaliadas as características de interesse e motivação do
candidato, sendo que as informações veiculadas na entrevista do candidato só devem ser
aquelas de caráter público.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 10/50
2.2.6 Termos de compromisso
A gerência de recursos humanos deve garantir que todos os colaboradores do LEA
encarregados de tarefas operacionais terão registrado em contrato ou termo de
responsabilidade os seguintes compromissos:
a. Compromisso de sigilo, mesmo quando desligado, sobre todos os ativos de
informação e de processos do LEA.
b. Ciência das condições do perfil que ocuparão.
c. Compromisso de observar a Norma de Segurança da Informação.
2.3 Da conscientização, treinamento e reciclagem
2.3.1 Conscientização e treinamento
Devem ser definidos procedimentos para atividades de conscientização, treinamento e
reciclagem para os colaboradores. Estes procedimentos devem estar relacionados à:
a. Norma de Segurança da Informação, com o propósito de desenvolver e manter uma
efetiva conscientização de segurança, além de instruir o seu fiel cumprimento.
b. Utilização de certificação digital.
c. Sua função incluindo atividades sob sua responsabilidade.
d. Código de ética.
e. Foco e objetivos.
2.3.2 Reciclagem técnica
Todos os colaboradores envolvidos em atividades diretamente relacionadas aos processos de
ensaio devem ser mantidos atualizados sobre eventuais mudanças tecnológicas nos sistemas.
2.3.3 Divulgação das Normas e Procedimentos
As gerências imediatas devem assegurar que todos os colaboradores tenham conhecimento e
compreensão das normas e procedimentos de segurança em vigor.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 11/50
2.4 Do desempenho da função e do comportamento do colaborador
2.4.1 Desempenho da função
Deve ser definido processo para acompanhar o desempenho e avaliar periodicamente os
colaboradores com o propósito de detectar a necessidade de atualização técnica e de
segurança.
2.4.2 Comportamento do colaborador
Deve ser realizado um processo de avaliação de desempenho da função que documente a
observação do comportamento pessoal e funcional dos colaboradores, realizada pela gerência.
Deve ser motivo de registro atos, atitudes e comportamentos positivos e negativos relevantes,
verificados durante o exercício profissional do colaborador. Os comportamentos
incompatíveis, ou que possam gerar comprometimento à segurança, devem ser averiguados e
comunicados à gerência imediata.
2.5 Do processo de desligamento
2.5.1 Entrevista de desligamento
Deve ser realizada uma entrevista de desligamento para orientar o colaborador ou servidor
sobre sua responsabilidade na manutenção do sigilo de dados e/ou conhecimentos sigilosos de
sistemas críticos aos quais teve acesso durante sua permanência na entidade.
2.5.2 Revogação de acesso
No momento do desligamento de um colaborador, devem ser revogadas sua credencial, sua
identificação, seu crachá, o uso de equipamentos, mecanismos e acessos físicos e lógicos.
2.5.3 Processo de liberação
O colaborador ou servidor deve firmar, antes do desligamento, declaração de que não possui
qualquer tipo de pendência junto às diversas unidades que compõem a entidade.
2.5.4 Acesso
O acesso de ex-colaboradores às instalações será restrito às áreas de acesso público.
2.6 Das responsabilidades e deveres
2.6.1 Responsabilidades e deveres dos colaboradores
Os colaboradores devem:Título Versão Data de emissão Classificação de segurança
NR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 12/50
a. Preservar a integridade e guardar sigilo das informações de que fazem uso, além de
zelar e proteger os respectivos recursos de processamento de informações.
b. Cumprir a norma de segurança, sob pena de incorrer nas sanções disciplinares e legais
cabíveis.
c. Utilizar os ativos de informação e os recursos somente para os fins previstos.
d. Cumprir as regras específicas de segurança estabelecidas para a manipulação dos
ativos de informação.
e. Manter o caráter sigiloso da senha de acesso aos recursos.
f. Não compartilhar, sob qualquer forma, informações confidenciais com outros que não
tenham a devida autorização de acesso.
g. Responder por todo e qualquer acesso aos recursos, além dos efeitos desses acessos
efetivados através do seu código de identificação, ou outro atributo para esse fim
utilizado.
h. Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de
computador ou qualquer outro material, em violação à legislação de propriedade
intelectual pertinente.
i. Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou
desvio.
2.6.2 Responsabilidade e deveres das gerências
A responsabilidade das gerências compreende, dentre outras, às seguintes atividades:
a. Gerenciar o cumprimento da Norma de Segurança da Informação, por parte de seus
colaboradores.
b. Identificar os desvios praticados e adotar as medidas corretivas apropriadas.
c. Impedir o acesso de colaboradores desligados aos ativos de informações, utilizando-se
dos mecanismos de desligamento contemplados pelo respectivo plano de desligamento
dos colaboradores.
d. Proteger, em nível físico e lógico, os ativos de informação e de processamento
relacionados à sua área de atuação.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 13/50
e. Garantir que o colaborador, sob sua supervisão, compreenda e desempenhe a
obrigação de proteger a informação das entidades.
f. Comunicar formalmente à unidade que efetua a concessão de privilégios aos usuários
de TI, quais os colaboradores, sob sua supervisão, que podem acessar as informações
das entidades.
g. Comunicar formalmente à unidade que efetua a concessão de privilégios aos usuários
de TI, quais os colaboradores demitidos ou transferidos, para exclusão no cadastro dos
usuários.
h. Comunicar formalmente à unidade que efetua a concessão de privilégios aos usuários
de TI, aqueles que estejam respondendo aos processos, sindicâncias ou que estejam
licenciados, para inabilitação no cadastro dos usuários.
2.6.3 Responsabilidades e deveres da gerência de segurança
São responsabilidades da gerência de segurança:
a) Realizar o gerenciamento da segurança da informação. O gerenciamento da
segurança da informação compreende as seguintes atividades:
• Coordenar atividades de conscientização e treinamento a respeito da Norma de
Segurança da Informação.
• Coordenar o Comitê responsável pela elaboração e atualização da Norma de
Segurança da Informação e o plano de continuidade de negócios.
• Auxiliar a área de infraestrutura no direcionamento da implantação dos controles
de segurança no ambiente de TI e infraestrutura física.
• Avaliar os controles de segurança implantados pela área de infraestrutura.
• Avaliar a aplicação da norma de segurança nos processos.
• Avaliar o cumprimento da norma de segurança nas dependências.
b) Definir os privilégios de acessos aos recursos.
2.6.4 Responsabilidades dos colaboradores
Devem ser previstas no contrato, cláusulas que contemplem a responsabilidade dos
colaboradores no cumprimento da Norma de Segurança da Informação.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 14/50
3 Segurança Física e de Ambiente
Esta seção descreve os controles de segurança física e de ambiente requeridos nas
dependências do LEA.
3.1 Níveis de Segurança
De acordo com a finalidade e o tipo das atividades realizadas, variam os requisitos de
segurança e consequentemente, mudam os controles de segurança necessários para o ambiente
físico.
O conceito de níveis de segurança do ambiente físico possibilita compatibilizar os requisitos
de segurança exigidos para cada tipo de atividade realizada. Para cada nível de segurança são
definidos os controles mínimo que devem ser atendidos em cada ambiente físico.
3.1.1 Níveis de Segurança
O ambiente físico é dividido em áreas físicas claramente delimitadas e associadas aos níveis
de segurança físicos. Cada nível de segurança físico possui requisitos de segurança
específicos, detalhados nas seções a seguir.
O LEA define cinco níveis de segurança, resumidos na Tabela 1.
Tabela 1 – Definição dos Níveis de Segurança.Nível Descrição
1 Atendimento2 Operação 3 Sensível (CPD e Ensaios)4 Depósito5 Depósito individual
3.1.2 Aninhamento dos Níveis de Segurança
Os níveis de segurança devem ter seus pontos de acesso aninhados de forma que os acessos a
cada nível exijam acesso ao nível anterior como apresentado na Figura 1.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 15/50
Nível 1: Atendimento
Nível 2: Operação
Nível 3: CPD Nível 3: Ensaio
Nível 4: Depósito
Nível 5:
Depósito individual
Nível 5:
Depósito individual
Figura 1 – Aninhamento dos Níveis de Segurança.
Em algumas situações, devido a restrições físicas do ambiente, pode não ser possível o
aninhamento do nível físico 3 ao nível físico 2. Nesta situação, o controle de acesso ao nível
deve também atender aos requisitos do nível não aninhado. Além disso, deve ser realizada
uma análise de risco com eventual proposição de controles adicionais de segurança.
As áreas físicas de cada um destes níveis de segurança devem atender a requisitos específicos
de segurança, descritos a seguir.
3.1.3 Nível 1 - Atendimento
O primeiro nível, ou nível 1, deve se situar após a primeira barreira de acesso às instalações.
Neste nível é obrigatório o porte de credencial de acesso (crachá) pelos colaboradores.
Pessoas estranhas à operação do LEA, denominadas visitantes, para entrar em uma área de
nível 1, devem ter acesso autorizado por um colaborador do LEA.
Nenhum tipo de processo operacional ou administrativo do LEA, excetuando-se recebimento
ou devolução de material de ensaio, deve ser executado neste nível.
Excetuados os casos previstos em lei, o porte de armas não será admitido no nível 1 do LEA.
3.1.4 Nível 2 – Operação
O segundo nível, ou nível 2, será interno ao primeiro. Esse será o nível mínimo de segurança
requerido para a execução de qualquer processo técnico operacional do LEA.
O porte de crachá é obrigatório para todas as pessoas presentes no nível 2. Deve existir um
registro diário dos acessos das pessoas ao nível 2 informando o horário de entrada e o horário
final de saída.
O acesso de pessoas ao segundo nível deve ser restrito por uma porta com tranca.
Colaboradores do LEA devem ter direito de acesso ao nível 2. Porém, pessoas que não fazem
parte do conjunto de colaboradores do LEA, denominadas visitantes, podem ter permissão de
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 16/50
acesso concedida por um colaborador do LEA. Neste caso, deve ser fornecido um crachá de
identificação para o visitante.
Neste nível, equipamentos de gravação, fotografia, vídeo, som ou similares, bem como
computadores portáteis, devem ter sua entrada controlada e somente podem ser utilizados
mediante autorização e supervisão.
3.1.5 Nível 3 – Sensível
No terceiro nível, ou nível 3, interior ao segundo, é onde devem ocorrer as atividades
especialmente sensíveis da operação do LEA.
O acesso de pessoas ao nível 3 deve ser restrito por uma porta com tranca e colaboradores do
LEA que necessitem realizar atividades nestas áreas devem ter direito de acesso a este nível.
O acesso e permanência de outra pessoa neste nível é permitido somente quando autorizada e
acompanhada por um colaborador com direito de acesso. Além disso, deve ser registrado cada
acesso de cada pessoa ao nível 3.
Todos os materiais inseridos e removidos do ambiente nível 3 também devem ser registrados.
Telefones celulares, tokens, mídias de armazenamento, notebook, PDA, bem como outros
equipamentos portáteis de comunicação e componentes sem-fio (wireless), exceto aqueles
exigidos para a operação do LEA, não são admitidos no nível 3.
Devem existir, no mínimo, duas áreas nível 3:
• Centro de processamento de dados (CPD).
• Laboratório de ensaios.
3.1.5.1 Centro de Processamento de Dados
O Centro de Processamento de Dados (CPD) deve acomodar equipamentos como:
• Equipamentos de rede (firewall, roteadores, switches e servidores).
• Servidores do LEA (arquivos, correio eletrônico, etc.).
• Servidores de sistemas de segurança.
Somente pessoas que necessitem realizar atividades de instalação, suporte ou manutenção de
servidores, equipamentos e sistemas devem ter permissão de acesso a este nível. Pessoas que
não possuem permissão de acesso não podem permanecer nesse nível se não estiverem
acompanhadas por pessoas autorizadas.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 17/50
3.1.5.2 Laboratório de Ensaios
Nenhum ativo de ensaio deve ser retirado do nível 3, exceto no momento de sua devolução ou
para condução de ensaio em laboratório externo. Todos os sistemas e equipamentos
necessários a estas atividades devem estar localizados neste nível.
3.1.6 Nível 4 – Sala Depósito
O quarto nível, ou nível 4, interior ao nível 3, se refere a uma sala, um cofre ou um gabinete
reforçado trancado. Ativos físicos de ensaio e ativos eletrônicos de ensaio armazenados em
mídia removível devem ser guardados em ambiente de nível 4 ou superior. Para garantir a
segurança do material armazenado, a sala, o cofre ou o gabinete devem possuir tranca com
chave.
O nível 4 deve possuir os mesmos controles de acesso do nível 3 a cada acesso ao ambiente.
Deve existir um livro de acesso no qual deve ser registrado o motivo do acesso ao nível.
3.1.7 Nível 5 – Depósito Individual
O quinto nível, ou nível 5, interior ao ambiente de nível 4, pode ser composto de dois tipos de
depósitos, de acordo com o tipo de ativo armazenado:
(a) Depósito físico: deve consistir de pequenos depósitos localizados no interior do
nível 4. Cada um desses depósitos deve dispor de fechadura individual. Deve existir
um livro-ata de custódia de material, individual para cada depósito, no qual devem
constar os itens retirados ou devolvidos e o motivo da transferência.
(b) Depósito eletrônico: deve consistir de uma hierarquia de diretórios ou arquivos
individuais protegidos com criptografia (envelope digital). O servidor que hospeda
estes depósitos deve estar localizado em um ambiente nível 3. Associado a cada
depósito eletrônico deve existir um livro de acesso ao material, no qual devem constar
os itens acessados e o motivo do acesso.
3.2 Controles físicos
3.2.1 Localização dos sistemas de segurança
O servidor dos sistemas de segurança e equipamentos correlatos devem estar localizados em
ambiente de nível 3.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 18/50
3.3 Mecanismos de emergência
Controles específicos devem ser implantados pelo LEA para garantir a segurança de seus
colaboradores e de seus equipamentos em situações de emergência. Esses controles devem
permitir o destravamento de portas por meio de acionamento mecânico (antipânico), para a
saída de emergência de todos os ambientes com controle de acesso. A saída efetuada por meio
desses mecanismos deve acionar imediatamente os alarmes de abertura de portas.
O LEA pode especificar e implantar outros controles de emergência, específicos e necessários
para cada tipo de instalação. Todos os procedimentos referentes aos controles de emergência
devem ser documentados e divulgados. Os controles e procedimentos de emergência devem
ser verificados anualmente, por meio de simulação de situações de emergência.
3.4 Prevenção e proteção contra incêndio
Os sistemas de prevenção contra incêndios, internos aos ambientes, devem possibilitar
alarmes preventivos antes de ocorrer fumaça visível, disparados somente com a presença de
partículas que caracterizam o sobreaquecimento de materiais elétricos e outros materiais
combustíveis presentes nas instalações.
Nas instalações do LEA não é permitido fumar ou portar objetos que produzam fogo ou
faísca.
3.5 Destruição de ativos de informação impressos e eletrônicos
Todos os dispositivos eletrônicos não mais utilizáveis e que tenham sido anteriormente
utilizados para o armazenamento de informações sensíveis, devem ser fisicamente destruídos
antes de serem descartados, além de meios impressos que contenham informações do mesmo
gênero.
3.6 Identificação pessoal e credencial de acesso físico
O LEA deve adotar um sistema de identificação pessoal (crachá) que incorpore
funcionalidades de credencial de acesso físico.
3.6.1 Tipos de crachás
Devem existir, no mínimo, dois tipos de credenciais:
• Colaborador do LEA.
• Visitante.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 19/50
3.6.2 Emissão de crachá
A emissão de crachá de colaborador deve ser autorizada pela gerência de recursos humanos,
de acordo com o cargo e/ou a função a ser desempenhada. A emissão de crachá de visitante
deve ser autorizada por um colaborador do LEA.
3.6.3 Validade
A validade dos crachás dos colaboradores será igualmente equivalente à validade de sua
contratação. Sendo assim, caso o contrato seja cancelado ou invalidado por qualquer motivo
legal, o crachá perde imediatamente a validade. O crachá de visitante tem validade limitada ao
horário de expediente do LEA.
3.6.4 Informações constantes no crachá
O crachá de colaborador do LEA deve conter a foto do colaborador, seu nome completo, sua
categoria funcional e os níveis de segurança os quais possui direito de acesso. O crachá de
visitante deve informar o nome completo da pessoa e a entidade a qual está representando. Os
visitantes não possuem direitos de acesso às instalações do LEA. Portanto, devem seguir as
restrições definidas nos níveis de segurança.
3.6.5 Destruição
Crachás ou qualquer outro dispositivo de identificação que sejam intransferíveis tecnicamente
devem ser destruídos no caso de desligamento ou mau funcionamento. Dispositivos passíveis
de reprogramações devem ter seus conteúdos apagados na totalidade para reprogramação
posterior.
3.7 Controle de equipamentos
3.7.1 Manutenção de equipamento
O equipamento do LEA que necessitar de manutenção por um profissional externo ao LEA
deve, antes de ser disponibilizado, atender aos controles descritos a seguir.
3.7.1.1 Salvaguarda do conteúdo
Os dados sensíveis contidos no ativo devem ser transferidos para um local seguro e os
resquícios remanescentes no ativo devem ser destruídos com segurança, garantindo que
pessoas não autorizadas tenham acesso a eles.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 20/50
3.7.1.2 Troca de senhas
Sempre que possível, devem ser reiniciadas as senhas de monitor e senha de administrador.
3.7.1.3 Divulgação de senhas
Caso seja necessário divulgar a senha de um equipamento (de monitor ou de administrador)
deve ser assegurado que não existam outros equipamentos configurados com a mesma senha.
3.7.2 Descarte de equipamentos
Todo e qualquer equipamento que seja enviado para descarte deve passar por uma última
análise para constatar e documentar os motivos e o estado. Deve haver uma verificação no
conteúdo do equipamento para garantir que informações sensíveis sejam devidamente
asseguradas e posteriormente destruídas de forma irreversível.
3.8 Ambiente operacional
3.8.1 Fornecimento de energia
Devem ser providenciados recursos ou mecanismos para garantir a continuidade do
fornecimento de energia nas áreas críticas, mantendo os ativos críticos de informação em
funcionamento até que todos os processos e dados sejam assegurados caso o fornecimento de
emergência se esgote.
3.8.2 Mecanismos de controle climático
Nos locais dos ativos críticos mais sensíveis, como ambiente de servidores, devem existir
sistemas de controle ambiental para evitar problemas de umidade, temperatura, iluminação e
oscilação na corrente elétrica.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 21/50
4 Classificação e Controle dos Ativos de Informação
4.1 Classificação quanto à forma de apresentação
Um ativo de informação pode ser classificado, quanto à forma de apresentação, em:
• Eletrônico;
• impresso;
• falado.
4.2 Classificação quanto à criticidade do ativo de informação
Um ativo de informação deve ser classificado, quanto ao tipo, em:
• Público: qualquer ativo de informação, de propriedade do LEA ou não, que pode vir
ao público sem consequências danosas ao funcionamento normal. Pode ser acessado
por qualquer pessoa, interna ou externa ao LEA. Integridade da informação não é
vital.
• Pessoal: qualquer ativo de informação relacionado à informação pessoal. Por
exemplo: mensagem pessoal de correio eletrônico, arquivo pessoal, dados pessoais,
etc.
• Restrita: qualquer ativo de informação, de propriedade do LEA ou não, que não seja
considerado público. Ativo de informação relacionado às atividades do LEA que é
direcionado estritamente para uso interno. A divulgação não autorizada do ativo de
informação pode causar impacto à imagem do LEA. Por exemplo: código-fonte de
programa, cronograma de atividades, atas de reuniões, etc.
• Confidencial: qualquer ativo de informação que seja crítico para as atividades do
LEA em relação ao sigilo e integridade. A divulgação não autorizada do ativo de
informação pode causar grande impacto à imagem e às atividades do LEA. Cada
unidade do LEA deve definir quais ativos de informação devem ser classificados
como confidencial. Qualquer material e informação recebida para ensaio, assim como
qualquer resultado do ensaio (como relatório) deve ser considerado confidencial.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 22/50
4.3 Rótulo de ativo de informação
Todo ativo de informação classificado como pessoal, restrito ou confidencial, quando
apresentado de forma impressa ou eletrônica, deve ser rotulado.
4.3.1 Informações presentes no rótulo:
O rótulo de ativo de informação deve conter as seguintes informações:
• Título: título do ativo de informação.
• Versão: versão do ativo de informação.
• Data de emissão: data da última emissão do ativo de informação. Para os ativos de
informação nas fases de desenvolvimento ou minuta, deve constar a data da última
modificação.
• Classificação de segurança: público, pessoal, restrito ou confidencial, confome Tabela
2;
Tabela 2 – Rótulo de Classificação de Informação.Classificação Rótulo de classificação Público LEA:PUBLICOPessoal LEA:PESSOALRestrito LEA:RESTRITOConfidencial LEA:CONFIDENCIAL
• Autor(es): identificação dos autores do ativo de informação.
• Identificação do proprietário: papel da pessoa, departamento ou entidade proprietária
da informação. Quando for documento de entidade externa deve ser informada qual a
entidade proprietária ou entidade que disponibilizou a informação.
• Identificação do aprovador: pessoa responsável pela aprovação do documento.
Necessária somente para os ativos de informação do tipo documento (diretriz, norma,
procedimento, ...).
• Autorizações de acesso: conjunto de pessoas ou entidades que podem ter acesso ao
ativo de informação.
• Restrições de cópia: devem ser informadas eventuais restrições em relação à cópia
eletrônica, cópia física ou impressão do documento.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 23/50
4.3.2 Componentes de rotulagem
Para possibilitar a aplicação de controles de segurança associados à classificação da
informação, os componentes de rotulagem relacionados na Tabela 3, devem estar presentes
em diferentes locais, dependendo do formato de apresentação.
Tabela 3 – Componentes de Rotulagem da Informação.
Componente de rotulagem
Descrição
Página de rosto Página de rosto contendo título, versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.
Rodapé Rodapé presente em todas as páginas, exceto na página de rosto, contendo título, versão, data e classificação do ativo da informação.
Rótulo em mídia Rótulo em mídia de armazenamento removível contendo título da mídia, título do conteúdo, versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.
Rótulo em invólucro Rótulo em mídia de armazenamento removível contendo título da mídia, título do conteúdo, versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.
4.3.3 Obrigatoriedade do rótulo
A Tabela 4 apresenta as condições de obrigatoriedade dos rótulos de classificação.
Tabela 4 – Obrigatoriedade de Rótulo de Classificação da Informação.Classificação Obrigatoriedade Componentes obrigatóriosPúblico OpcionalPessoal OpcionalRestrito Obrigatório Página de rosto e rodapé (*) ou
Rótulo em mídia ou
Rótulo em invólucroConfidencial obrigatório Página de rosto e rodapé (*) ou
Rótulo em mídia ou
Rótulo em invólucro (*) Quando o ativo de informação for gerado por entidade externa o requisito de componente
de rótulo em rodapé, não é aplicável.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 24/50
Quando um ativo de informação impresso for gerado por uma entidade externa deve ser
adicionado à “página de rosto”.
Quando um ativo de informação eletrônico for gerado por uma entidade externa e quando
armazenado em mídia não removível, deve ser gerada uma página de rosto e armazenada
próximo ao ativo.
Quando não for possível aplicar o rótulo do documento original eletrônico armazenado em
uma mídia removível deve ser aplicado, se possível, o rótulo na mídia de armazenamento.
Caso não seja possível, a mídia deve ser armazenada em um invólucro que possibilite a sua
rotulagem.
4.3.4 Alteração do rótulo de classificação
Sempre que necessário, o proprietário da informação deve alterar o rótulo de classificação da
informação com objetivo de adequá-la às novas necessidades:
• Novas entidades de acesso (inclusão ou exclusão);
• reclassificação;
• proprietário da Informação.
4.4 Tratamento de ativo de informação
De acordo com a classificação aplicada ao ativo de informação podem existir restrições à sua
manipulação, relacionadas às seguintes operações:
• Acesso;
• proteção;
• armazenamento;
• transmissão;
• cópia;
• impressão;
• destruição.
A seguir estão descritos os requisitos que devem ser aplicados aos ativos de informação, de
acordo com sua classificação.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 25/50
4.4.1 Ativo de informação pública
4.4.1.1 Acesso
Qualquer entidade pode ter acesso a um ativo de informação pública.
4.4.1.2 Proteção
Um ativo de informação pública no formato eletrônico não deve ser protegido com
criptografia nas dependências do LEA. É opcional o uso de outros controles de segurança aos
ativos de informação pública.
4.4.1.3 Cópia
Deve ser verificado se existe “restrição de cópia” aplicável ao ativo de informação antes de
ser realizada a sua cópia.
4.4.1.4 Impressão
Deve ser verificado se existe “restrição de cópia” aplicável ao ativo de informação antes de
ser realizada a sua impressão.
4.4.2 Ativo de informação pessoal
4.4.2.1 Acesso
Somente o proprietário da informação pode ter acesso a um ativo de informação pessoal. O
proprietário deve configurar os controles de acesso adequados.
4.4.2.2 Proteção
Um ativo de informação pessoal no formato eletrônico não deve ser protegido com
criptografia nas dependências do LEA. É opcional o uso de outros controles de segurança aos
ativos de informação pessoal.
4.4.2.3 Armazenamento
Um ativo de informação pessoal no formato impresso não deve ser armazenado no nível 3. O
LEA deve definir um local reservado para esta finalidade para cada usuário.
Para um ativo de informação pessoal no formato eletrônico, o LEA deve definir para cada
usuário, um local reservado para armazenamento de ativo de informação pessoal.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 26/50
4.4.3 Ativo de informação restrito
4.4.3.1 Acesso
Somente as pessoas autorizadas, relacionadas no rótulo, podem ter acesso ao ativo de
informação. Devem ser especificados controles de acesso adequados.
4.4.3.2 Proteção
Ativo de informação restrito no formato eletrônico não pode ser protegido com criptografia
nas dependências do LEA. Ativo de informação no formato impresso deve ser armazenado
com controles de segurança adequados.
4.4.3.3 Transmissão para entidades externas
Ativo de informação restrito não pode sair das dependências do LEA sem autorização do
proprietário da informação.
4.4.3.4 Destruição
Um ativo de informação no formato impresso deve ser destruído, obrigatoriamente, em
picotadora.
4.4.3.5 Cópia
Cópia de ativo de informação restrito deve seguir as restrições descritas no rótulo de
classificação do ativo de informação.
4.4.3.6 Impressão
A impressão de ativo de informação restrito deve seguir as restrições relacionadas à cópia
descritas no rótulo de classificação do ativo de informação.
4.4.4 Ativo de informação confidencial
4.4.4.1 Acesso
Somente uma entidade autorizada que esteja relacionada no rótulo, pode ter acesso a um ativo
de informação confidencial.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 27/50
4.4.4.2 Proteção
Um ativo de informação confidencial no formato eletrônico deve ser obrigatoriamente
protegido com criptografia (ver política de uso de material criptográfico). Ativo de
informação em papel deve ser armazenado em local protegido por chave.
4.4.4.3 Impressão
A impressão de ativo de informação confidencial deve seguir as restrições relacionadas à
cópia descritas no rótulo de classificação do ativo de informação.
O processo de impressão de ativo de informação confidencial deve ser acompanhado pelo
responsável pela impressão.
4.4.4.4 Transmissão para entidades externas
Ativo de informação confidencial não pode ser retirado das dependências do LEA exceto
quando forem atendidos os requisitos descritos a seguir.
O LEA deve divulgar internamente um documento contendo a relação de “Entidades
autorizadas para comunicação de ativo de informação confidencial” que deve relacionar as
entidades envolvidas e a natureza da informação trocada. Para cada uma destas entidades deve
ser mantido um contrato de sigilo relacionado à manipulação de informação confidencial.
Qualquer transmissão de ativo de informação confidencial para outra entidade não definida
previamente como entidade autorizada deve possuir contrato de sigilo e autorização por
escrito do Coordenador Geral do LEA.
A transmissão de um ativo de informação confidencial para uma entidade externa pode ser
realizada somente se a entidade estiver relacionada no rótulo do ativo, na lista de entidades
com direito de acesso.
Todo ativo de informação confidencial disponibilizado para o ambiente externo deve ser
numerado e armazenado em um repositório específico para este fim, juntamente com a
autorização por escrito e a identificação do destinatário.
A transmissão de um ativo de informação confidencial pode ser realizada somente de forma
protegida e para entidades autorizadas.
4.4.4.5 Destruição
Ativo de informação eletrônico deve ser destruído utilizando técnicas de sobreposição (wipe).
Ativo de informação em papel deve ser destruído em picotadora.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 28/50
4.4.4.6 Cópia
Cópia de ativo de informação confidencial deve seguir as restrições descritas no rótulo de
classificação do ativo de informação.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 29/50
5 Manipulação de Ativo de Ensaio
Ativos de ensaio são aqueles recebidos no processo de depósito de material para homologação
(incluindo módulos, dispositivos, mídias eletrônicas, documentação em papel, etc.) ou aqueles
ativos gerados internamente no LEA decorrentes do processo de ensaio e auditoria (incluindo
laudos, relatórios, resultados de ensaios, etc.).
5.1 Classificação quando à origem
Um ativo de ensaio deve ser classificado, quanto à sua origem, em:
• Ativo de ensaio depositado.
• Ativo de ensaio gerado pelo LEA.
5.2 Classificação quanto ao tipo do material
Um ativo de ensaio deve ser classificado, quanto ao tipo do material, em:
• Ativo físico
o Hardware ou Dispositivo.
o Mídia de armazenamento eletrônico.
o Documento impresso.
• Ativo eletrônico
o Documento eletrônico.
o Software.
Um ativo de ensaio no formato eletrônico deve ser depositado preferencialmente em mídias
eletrônicas do tipo “read-only” (como, por exemplo, CDROM).
5.3 Recebimento
Nenhum ativo de ensaio deve ser recebido sem passar pelo processo formal de depósito de
material para ensaio definido no Procedimento de Depósito de Material de Ensaio. O
recebimento do material deve ser acompanhado por duas pessoas do LEA não relacionadas
aos ensaios.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 30/50
5.4 Manipulação
Qualquer ativo de ensaio deve ser manipulado em uma área de nível 3. Material de ensaio não
pode ser retirado de uma área de nível 3 exceto nas seguintes situações:
o Na devolução.
o Quando for necessária realização de ensaio em laboratório externo.
o Quando encaminhado ao ITI.
5.5 Identificação
Todo ativo de ensaio material deve ser identificado de forma única e discriminado
precisamente no momento de seu recebimento (no processo de depósito de material para
ensaio) ou no momento de sua geração (relatórios, laudos, resultados de ensaios, etc.).
Um ativo de ensaio depositado deve ser identificado de acordo com o definido no
Procedimento Depósito de Ativo de Ensaio.
Um ativo de ensaio gerado deve ser identificado de acordo com o definido no Procedimento
Administrativo de Elaboração de Ativo de Informação.
5.6 Relação de ativos de um processo
Associada a cada processo de ensaio deve ser mantida uma relação com a identificação e
discriminação de cada ativo de ensaio (depositado ou gerado). Esta relação deve ser
armazenada junto ao ativo de ensaio no depósito de nível 5.
5.7 Armazenamento
Todo ativo de ensaio depositado deve ser armazenado em um depósito individual de nível 5.
Deve existir um livro-ata de custódia de material, para cada depósito individual de nível 5,
relacionando cada retirada (discriminando a data, horário, nome da pessoa, finalidade da
retirada) e devolução (discriminando a data, horário, nome da pessoa e observações relativas à
preservação do item).
Um ativo de ensaio gerado do LEA pode ser armazenado em meio eletrônico removível do
tipo “read-write” para que possa ser armazenado no depósito individual eletrônico de nível 5.
Um ativo de ensaio que não esteja sendo manipulado não deve estar armazenado em outra
localidade exceto no seu depósito de nível 5.
Cuidados rígidos devem ser seguidos para eliminar qualquer vestígio de ativo de ensaio nos
equipamentos.Título Versão Data de emissão Classificação de segurança
NR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 31/50
5.8 Cadeia de custódia
Nenhum ativo de ensaio pode ter sua custódia transferida entre pessoas diretamente. O
material deve ser devolvido ao depósito individual de nível 5 e então retirado, seguindo os
procedimentos de registro.
5.9 Ensaio
Todo ensaio realizado em ambiente computacional deve:
• Garantir a integridade do sistema antes do início do ensaio.
• Durante a realização do ensaio devem ser coletadas evidências suficientes.
• Depois de encerrado o ensaio devem ser eliminados todos os seus vestígios.
A realização do ensaio deve atender aos requisitos definidos no Procedimento Geral de
Realização de Ensaio.
5.10 Divulgação
Qualquer informação interna a respeito de ensaios (resultados, datas, análises, etc.) somente
pode ser divulgada ao ITI. Esta comunicação deve ser realizada pelo Coordenador Geral do
LEA ou pessoa delegada por ele.
Toda comunicação de ativo de ensaio de informação no formato eletrônico com o ITI deve ser
assinada digitalmente.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 32/50
6 Uso de material criptográfico
O uso de material criptográfico para finalidade de sigilo e assinatura digital, nas dependências
do LEA, para uso interno ou para comunicação com entidades externas, é normalizado.
6.1 Proteção de arquivos com criptografia
6.1.1 Condições para uso de criptografia
Todo ativo de informação confidencial deve ser protegido com criptografia sempre que
precisar ficar armazenado em computadores. Os destinatários devem ser somente
colaboradores do LEA.
Somente ativos de informação classificados como confidencial devem ser protegidos com
criptografia. Ativos de informação não classificados como confidencial não devem ser
protegidos com criptografia.
6.1.2 Formato de conteúdo criptografado
Os ativos de informação que precisem de proteção com criptografia devem utilizar o formato
de envelope digital. Deve ser utilizado o formato CMS (Criptographic Message Syntaxe)
envelopedData.
Não deve ser utilizada criptografia simétrica diretamente, ou seja, não deve ser utilizado o
formato CMS encriptedDat.
6.1.3 Certificado digital
O envelope digital deve ser realizado utilizando-se certificados digitais ICP-Brasil de sigilo
(S1, S2, S3 ou S4).
6.1.4 Chave de recuperação do LEA
Um ativo de informação confidencial deve, obrigatoriamente, ser também protegido com a
chave pública de recuperação do LEA.
A chave pública de recuperação do LEA é um par de chaves assimétrico especialmente
gerado para esta finalidade associado a um certificado ICP-Brasil de sigilo (S1, S2 S3 ou S4).
O LEA deve gerar um par de chaves de sigilo para recuperação de informação criptografada
cujo certificado digital deve ser disponibilizado de forma pública nas dependências do LEA.
Este par de chaves deve ser utilizado somente em casos de recuperação em situações
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 33/50
excepcionais e autorizadas. São as seguintes situações previstas: medida judicial, auditoria do
sistema, impossibilidade de recuperação da informação por perda da chave privada ou
impossibilidade do usuário utilizá-la. O proprietário da chave de recuperação deve ser um
membro do corpo gerencial do LEA que deve guardá-la em um cofre do LEA, cuja chave de
tranca deve ficar de posse do Gerente de infraestrutura.
6.2 Assinatura digital
6.2.1 Certificado digital
A assinatura digital deve ser realizada utilizando-se certificados digitais ICP-Brasil de
assinatura (A1, A2, A3 ou A4).
6.2.2 Formato da assinatura digital
Os ativos de informação que necessitem de assinatura digital devem utilizar o formato CMS
signedData attached. Deve ser anexada toda a cadeia de certificação ao documento assinado
digitalmente. Sempre deve ser incluída a estampilha temporal (RFC 3161) emitida por
autoridade autorizada pelo Observatório Nacional.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 34/50
7 Privacidade
7.1 Uso da sessão de usuário
A sessão de usuário é disponibilizada ao colaborador para auxiliá-lo no desenvolvimento de
suas atividades.
7.2 Uso de recursos computacionais
Os recursos computacionais (como computadores, servidores, sistemas, impressoras, dentre
outros) serão disponibilizados aos colaboradores para auxiliá-los no desenvolvimento de suas
atividades. O ambiente computacional pertence ao LEA e deve ser utilizado somente para
tarefas definidas pelo LEA.
Usuários não deve possuir qualquer expectativa de privacidade em nada que for criado,
armazenado, enviado ou recebido no ambiente computacional do LEA, exceto nas áreas e
sistemas devidamente autorizadas para uso pessoal.
7.3 Uso de recursos computacionais com finalidade pessoal
O uso dos recursos do LEA para finalidades pessoais (como arquivo e/ou mensagem pessoal
de correio eletrônico) é proibido, exceto nas áreas e sistemas devidamente autorizados para
esa finalidade.
Usuários devem possuir expectativa de privacidade somente nas áreas e sistemas devidamente
autorizados para uso pessoal e desde que manipulada segundo o definido na Política de
Segurança da Informação.
7.4 Auditoria
Usuários devem estar cientes de que colaboradores do LEA ou outros especificamente
autorizados para esta tarefa (como, por exemplo, colaboradores do ITI ou auditores
independentes) consultem e revisem todo material criado, armazenado, enviado ou recebido
através do ambiente computacional ou Internet. A autorização para tarefas de auditoria deve
ser do Coordenador Geral do LEA.
7.5 Monitoração
Com objetivo de garantir que os recursos computacionais sejam utilizados somente para as
finalidades autorizadas, pelos usuários autorizados e também, para garantir a segurança dos
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 35/50
ativos relacionados aos ensaios, o LEA pode necessitar monitorar ativos eletrônicos
(arquivos, acessos WEB, correio eletrônico de usuários) e acessos de comunicação
(comunicação local, comunicação Internet, etc.).
O LEA possui o direito, mas não o dever, de monitorar qualquer recurso do ambiente
computacional incluindo, mas não limitado à monitoração de sites visitados pelos usuários,
monitoração de grupo de chat, monitoração de material “downloaded” ou “uploaded” e
exame de mensagens de correio eletrônico enviados ou recebidos pelos usuários, exceto na
área reservada para uso pessoal. Na área reservada para uso pessoal devem ser mantidos
controles suficientes para rastreamento para determinação do usuário que estava utilizando
um recurso em caso de incidente.
Usuários devem ter ciência de que a corporação pode utilizar software automatizado para
monitorar o material criado, armazenado, enviado ou recebido através do ambiente
computacional em qualquer área do LEA.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 36/50
8 Utilização do ambiente computacional
A utilização dos recursos computacionais, por parte dos usuários, incluindo a utilização de
computadores, de correio eletrônico e de acesso à Internet, pode tornar o LEA vulnerável ao
comprometimento de informações confidenciais, à ocorrência de ações de responsabilização
legal e ao aumento desnecessário da taxa de utilização dos recursos computacionais.
Como exemplo destes problemas é possível citar:
a. Utilização de software não-licenciado (software pirata).
b. Circulação de mensagens de correio eletrônico contendo piadas, pornografia, conteúdo
racista ou discriminador, difamação de terceiros e mesmo conteúdo calunioso em
relação aos colaboradores.
c. Negociação de segredos e outras informações altamente sensíveis roubadas do
ambiente computacional.
d. Utilização da Internet em atividades não relacionadas às atividades corporativas que
possam comprometer a segurança corporativa ou mesmo a perda de produtividade.
e. Armazenamento e uso de software não homologado (pirata ou não).
f. Armazenamento de material pornográfico.
g. Acesso a sites (perigosos) e instalação de software malicioso, como vírus, cavalos de
tróia, etc.
Devido a estes fatores, recomenda-se aos usuários do ambiente computacional cuidado na
utilização destes recursos. Eles devem ser utilizados de forma consciente e somente para
atividades relacionadas ao exercício funcional. Além disso, o usuário deve atentar para os
controles descritos a seguir.
8.1 Uso do ambiente computacional
O ambiente computacional é propriedade do LEA e pode ser utilizado somente para
atividades da empresa. Aos usuários é permitido acesso aos recursos computacionais
(computadores, impressoras, sistemas de comunicação, etc.) com objetivo de auxiliar no
exercício de suas atividades funcionais. O usuário tem a responsabilidade de utilizar os
recursos computacionais de maneira profissional, ética e legal. A utilização do ambiente
computacional é um privilégio que pode ser revogado a qualquer momento.Título Versão Data de emissão Classificação de segurança
NR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 37/50
8.2 Atividades proibidas
Material que seja fraudulento, racista, sexualmente explícito, profano, obsceno, intimidador,
difamatório ou qualquer outro ilegal ou inapropriado não pode ser enviado por correio
eletrônico, mostrado no monitor, ou armazenado no ambiente computacional da corporação.
Usuários que encontrem ou recebam este tipo de material devem notificar imediatamente a
equipe de incidentes de segurança da corporação (ver Seção 8.10).
8.3 Negação de responsabilização pelo uso da Internet
O LEA não é responsável pelo material visto ou obtido pelos usuários da Internet. A Internet
é uma rede mundial de computadores que contém milhões de páginas de informação.
Usuários devem estar cientes de que muitas destas páginas incluem material ofensivo, abusivo
ou inapropriado. Em geral é difícil evitar ao menos algum contato com tal material no acesso
à Internet. Mesmo as pesquisas na Internet podem levar a sites com conteúdo inadequado.
Caso seja realizado acesso a uma página WEB contendo material inadequado, o usuário deve
interromper imediatamente o acesso. Se necessário informe o incidente à equipe de segurança,
conforme definido na Seção 8.10.
8.4 Utilização de correio eletrônico
8.4.1 Correio eletrônico
A identidade de correio eletrônico será disponibilizada ao colaborador para possibilitar o
envio e recebimento de mensagens relacionadas às atividades decorrentes da função exercida.
A identidade de correio eletrônico nunca deve ser utilizada para atividades de fins pessoais.
Além disso, o usuário não deve possuir nenhuma expectativa de privacidade nas mensagens
de correio eletrônico.
8.4.2 Envio de posições pessoais por correio eletrônico
O colaborador não deve utilizar a identidade de correio eletrônico para divulgar para usuários
externos posições pessoais a respeito de um tema não relacionado às suas atividades.
8.4.3 Autorização para uso de correio eletrônico pessoal
O usuário deve requisitar autorização formal para utilização de identidade de correio
eletrônico pessoal (conta externa de correio eletrônico). A autorização, quando concedida,
deve informar as restrições de uso relacionadas ao horário, equipamento de uso e local de
armazenamento das mensagens.Título Versão Data de emissão Classificação de segurança
NR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 38/50
8.4.4 Repasse de mensagens de correio eletrônico
Usuários não devem repassar (forward) mensagens de correio eletrônico para nenhuma outra
pessoa ou entidade sem a expressa permissão do emissor.
8.4.5 Corrente de correio eletrônico
Usuários não podem iniciar ou propagar mensagens associadas a corrente de correio
eletrônico. Corrente de correio eletrônico é uma mensagem enviada para várias pessoas
requisitando que cada recipiente envie cópias com a mesma requisição para várias outras.
8.4.6 Acuracidade
O conteúdo de toda comunicação realizada deve ser acurado. Usuários devem ter o mesmo
cuidado na escrita da mensagem de correio eletrônico como qualquer outro documento
escrito.
8.4.7 Envio de mensagem de correio eletrônico não-solicitado (spam)
Sem a expressa permissão de seu superior, usuários não podem enviar mensagens de correio
eletrônico não-solicitadas a pessoas com as quais não possuam nenhum tipo de
relacionamento.
8.4.8 Alteração de identificação da origem da mensagem
A identificação do emissor da mensagem de correio eletrônico (linha “From”, ou qualquer
outro parâmetro para identificação do emissor) nunca deve ser alterada. Comunicação
anônima ou com pseudônimos é proibida.
8.4.9 Restrições no envio de informações confidenciais por correio eletrônico
A comunicação por correio eletrônico, assim como a maioria dos outros métodos de
comunicação na Internet, não é segura. Quando um usuário envia informação através de
correio eletrônico ou a torna disponível para usuários locais ou usuários externos (Internet)
existe sempre a possibilidade de que a informação possa ser vista por indivíduos não
autorizados. Assim, comunicação por correio eletrônico ou outro método equivalente da
Internet deve ser considerada método de comunicação pública.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 39/50
8.4.10 Rodapé de mensagem de correio eletrônico
Este rodapé deve ser padrão em toda mensagem de correio eletrônico enviado por usuários do
LEA:
Este e-mail e todos os arquivos transmitidos em anexo são confidenciais e
direcionados somente ao indivíduo ou entidade endereçada. Se você não for o
destinatário ou a pessoa responsável por retransmitir o e-mail para o
destinatário, então possivelmente você recebeu este e-mail por engano. Nesta
situação, destrua este e-mail. Qualquer uso, disseminação, encaminhamento
(forwarding), impressão ou cópia é estritamente proibido. Se você recebeu este e-
mail por engano, por favor, notifique imediatamente a equipe de segurança do
LSI-TEC utilizando o endereço eletrônico de e-mail [email protected].
8.5 Outros sistemas de comunicação
8.5.1 Utilização de outros sistemas de comunicação
A utilização de qualquer outro sistema de comunicação eletrônica, além de correio eletrônico,
nas dependências do LEA, não é permitida exceto com autorização formal. Incluem-se nesta
classe os sistemas de mensagens instantâneas como Chat e Messenger, os sistemas de
telefonia eletrônica, como Skype, e os sistemas do tipo Peer-to-Peer para distribuição de
conteúdo.
8.5.2 Autorização para uso de outros sistemas de comunicação
O usuário deve requisitar autorização formal para utilização de outro sistema de comunicação.
A autorização, quando concedida, deve informar o sistema de comunicação e restrições de uso
relacionadas ao horário, equipamento de uso e local de armazenamento.
8.6 Senhas
8.6.1 Qualidade da senha
Os usuários devem escolher senhas de difícil descoberta, contendo, no mínimo, oito caracteres
dentre os quais, dois devem ser caracteres não-alfabéticos.
8.6.2 Periodicidade de troca de senhas
Os usuários devem trocar a senha a cada 30 trinta dias.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 40/50
8.7 Sessão de uso aberta com usuário ausente
Usuários nunca devem deixar uma sessão de uso de um sistema computacional aberta em sua
ausência.
8.8 Uso de software, dispositivos e equipamentos
8.8.1 Uso de software, dispositivo e equipamento homologado
Todo software, dispositivo removível e equipamento de telecomunicação instalado ou
utilizado no ambiente computacional do LEA deve estar homologado e autorizado. A gerência
de infraestrutura deve manter e divulgar a relação dos softwares, dispositivos removíveis e
equipamentos de telecomunicação homologados.
8.8.2 Licença de uso de software
Todo software deve possuir a respectiva licença de uso. O controle das licenças de uso é de
responsabilidade da gerência de infraestrutura. A gerência de infraestrutura deve manter a
relação de licenças de uso e equipamentos nos quais estão instalados.
8.8.3 Direito de cópia de software
Parte do software, documentos e outros ativos de informação existentes no ambiente são
comprados ou adquiridos amparados por um acordo de licença de uso, sendo protegidos pela
lei de propriedade intelectual. Estes acordos ou leis restringem o direito de realizar cópias e,
em alguns casos, restringem o modo no qual o software pode ser utilizado. Não deve ser
realizada cópia de nenhum ativo licenciado ou com direito de cópia (“copyright”) do ambiente
computacional sem aprovação prévia do LEA.
8.9 Notificação sobre mau funcionamento
Qualquer mau funcionamento no ambiente deve ser notificado imediatamente à gerência de
infraestrutura utilizando o endereço de correio eletrônico [email protected].
8.10 Notificação de incidente
Qualquer suspeita de incidente deve ser notificada imediatamente à chefia de segurança
utilizando o endereço de correio eletrônico [email protected].
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 41/50
8.11 Treinamento para uso do ambiente computacional
O LEA deve realizar treinamento e seminários para os colaboradores em relação à utilização
apropriada dos recursos e serviços computacionais oferecidos.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 42/50
9 Controles para o ambiente computacional
9.1 Controle de Ativos
9.1.1 Inventário de ativos de software
A gerência de infraestrutura deve manter o inventário dos ativos de softwares utilizados no
LEA. Além disso, deve periodicamente verificar a localização dos ativos inventariados.
9.1.2 Inventário de ativos físicos
A gerência de infraestrutura deve manter o inventário dos ativos físicos utilizados no LEA.
Além disso, deve periodicamente verificar a localização dos ativos inventariados.
9.2 Gerenciamento de identidade de usuários
O LEA deve garantir a segurança no processo de gerenciamento de identidade de usuários no
ambiente computacional. O gerenciamento de identidade de usuários relaciona-se às seguintes
atividades:
a. Gerenciamento de perfis de usuários.
b. Definição do modelo de identidade de usuário.
c. Gerenciamento do ciclo de vida de identidade de usuário.
9.2.1 Gerenciamento de perfis de usuários
Devem existir, no mínimo, os seguintes perfis (grupos) de usuários:
a. Operador de sistema.
b. Administrador de sistema.
c. Administrativo (financeiro, recursos humanos, jurídico, secretaria, apoio
administrativo).
d. Analista de ensaio.
e. Auditor.
f. Chefe de segurança.
g. Visitante.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 43/50
9.2.2 Definição do modelo de identidade de usuário
9.2.2.1 Padrão de nomeação
O LEA deve definir um padrão de nomeação de identidade de usuário.
9.2.2.2 Identidade única
Cada usuário deve possuir uma única identidade para todos os sistemas do LEA.
9.2.2.3 Gerenciamento centralizado
Deve ser adotado um modelo de gerenciamento centralizado da identidade dos usuários para o
ambiente computacional do LEA.
9.2.3 Gerenciamento do ciclo de vida de identidade de usuário
O gerenciamento do ciclo de vida de identidade de usuário está relacionado às seguintes
atividades:
a. Cadastro de identidade de usuário e atribuição de perfil.
b. Alteração de atribuição de perfil para uma identidade de usuário.
c. Suspensão de identidade de usuário.
d. Bloqueio de identidade de usuário.
e. Custódia da documentação.
O LEA possui procedimentos específicos que definem os requisitos para o gerenciamento do
ciclo de vida de identidade de usuário no ambiente computacional do LEA.
A um usuário externo deve ser atribuído o perfil visitante, exceto em usuários com privilégios
específicos, como é o caso de auditores externos.
A suspensão de identidade de usuário deve ser realizada para os períodos de férias, licenças
prolongadas e punições administrativas dos colaboradores.
O bloqueio de identidade de usuário deve ser realizado sempre que um colaborador for
desligado de suas atividades. Nesta situação, a identidade do usuário não pode ser removida
do sistema pois dificultaria a interpretação de registros dos sistemas que geralmente são
baseados no “userid”. Porém, o bloqueio impede a utilização dos sistemas por parte do
usuário.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 44/50
9.2.3.1 Custódia da Documentação
Todos os documentos (autorizações e fichas de cadastro) referentes ao ciclo de vida do
usuário de TI devem ser armazenados e mantidos pela área de recursos humanos.
9.3 Compartilhamento de identidade de usuário
Não é permitido o compartilhamento de identidade de usuário entre usuários. Exceção é feita
às sessões nativas do sistema (como, por exemplo, administrador) em situações nas quais não
é possível o uso de uma identidade de usuário individual. Mesmo na existência de identidade
de usuário compartilhada devem ser utilizados controles para possibilitar que os registros
(logs) gerados identifiquem o usuário efetivo que gerou o evento.
O compartilhamento de uma identidade de usuário deve ser evitado pois:
a. Impede a rastreabilidade dos acessos: não é possível precisar qual foi o usuário que
realizou tal acesso.
b. Causa problemas relacionados ao compartilhamento da senha: toda mudança de senha
deve ser informada aos outros usuários. Esta comunicação muitas vezes é realizada de
maneira insegura. Existe também a tendência de escolha de senhas triviais nesta
situação.
9.4 Controle de acesso aos recursos computacionais
9.4.1 Privilégio mínimo no acesso aos recursos
O direito de acesso aos recursos deve ser atribuído de tal forma que o usuário possua
privilégio mínimo para realização de suas atividades.
9.4.2 Direito de acesso aos recursos computacionais
O LEA deve preferencialmente utilizar um modelo de controle de acesso baseado em papel,
utilizando os perfis atribuídos às identidades de usuários em relação à definição do direito de
acesso aos recursos computacionais. Direito de acesso discreto pode ser também definido.
9.5 Controles automatizados
9.5.1 Controles automatizados associados às senhas
Se possível, devem ser configurados diretamente no sistema os seguintes controles
automatizados relacionados aos parâmetros mostrados na Tabela 5:
Tabela 5 – Definição do valor dos parâmetros de senhas.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 45/50
Parâmetro Valor
Quantidade mínima de caracteres 8
Quantidade mínima de caracteres não-alfabéticos 2
Período mínimo entre troca de senha 7 dias
Período máximo entre troca de senha 30 dias
Impedir a reutilização das últimas senhas 4
9.5.2 Controles automatizados asssociados ao login
Os sistemas devem suspender a identidade de um usuário após cinco tentativas de login mal-
sucedidas.
9.5.3 Controle automatizado de inatividade
Os sistemas devem, sempre que possível, travar ou encerrar a sessão de terminal em caso de
inatividade.
9.5.4 Controle automatizado de expiração da identidade de usuário
Devem ser ativados os controles de bloqueio de identidade de usuário em relação à validade
definida para a identidade expirar.
9.6 Acessos Externos
9.6.1 Acesso de terminal remoto externo
Entende-se como “acesso de terminal remoto externo” aos acessos procedentes de qualquer
ponto externo da rede para um equipamento interno à rede que possibilite a execução de
comandos do sistema. Portanto, isto refere-se aos seguintes protocolos:
a. Acesso de terminal remoto em comando de linha: TELNET, rlogin, SSH.
b. Acesso de terminal remoto com ambiente gráfico: VNC, TerminalServices.
9.6.2 Restrição de protocolo de acesso de terminal remoto externo
Por motivos de segurança, acesso de terminal remoto que não garanta o sigilo da
comunicação, como telnet, rlogin e VNC, não devem ser utilizados. Neste sentido, devem ser
utilizados somente os protocolos que possibilitem sigilo da comunicação como SSH e
TerminalServices (com opção segura habilitada).
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 46/50
9.6.3 Classificação dos acessos externos
Os acessos podem ser classificados em:
a. Acesso privilegiado: aquele cujo privilégio de acesso é de administrador.
b. Acesso não privilegiado: aquele cujo privilégio de acesso é de usuário normal.
9.6.4 Acesso remoto privilegiado
Nunca deve ser permitido o acesso remoto privilegiado (com privilégio de administrador).
Acessos externos de terceiros, para manutenção, não são permitidos.
9.6.5 Ponto de controle e concentração de acesso de terminal remoto externo
Todo acesso de terminal remoto externo deve ser direcionado a um servidor especialmente
concebido para esta finalidade. Assim, existe um único ponto de concentração e controle de
acessos externos. Configurando desta maneira será possível:
a. Armazenar o registro (log) de acesso de todos os acessos externos.
b. Restringir o acesso externo somente para os usuários de TI autorizados.
9.7 Sincronização de tempo
Todos os equipamentos devem ter seu horário sincronizado com uma fonte confiável de
tempo.
9.8 Registros (logs)
9.8.1 Geração de registros
A existência de registros (logs) tem o objetivo de garantir a rastreabilidade do sistema. Para
isto, devem ser mantidos registros, principalmente de:
a. Registros de tentativas de login (sucesso e falhas).
b. Registros de acesso a serviços (WEB, correio eletrônico, etc).
c. Registros das conexões TCP e datagramas UDP em elementos de roteamento com a
Internet, quando for utilizado NAT (Network Address Translation). Apesar da
quantidade de registros gerada, estes registros são fundamentais para possibilitar a
identificação da origem da sessão de comunicação no caso de notificação de incidentes.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 47/50
9.8.2 Servidor de registros
Se possível, deve ser mantido um servidor de registros (logs) com a finalidade de possibilitar
a integridade desta informação (no caso de um incidente de segurança – invasão externa – o
log local do equipamento passa a não ser confiável, pois pode ser alterado).
9.9 Segregação de redes
O ambiente computacional deve possuir redes segregadas de forma a restringir a comunicação
entre os ambientes. Devem existir no mínimo as seguintes redes segregadas:
• DMZ – Rede desmilitarizada. Deve conter os servidores com necessidade de acesso
externo da Internet como, por exemplo, servidores WEB, correio eletrônico e DNS.
• Intranet – Rede interna. Deve conter os equipamentos internos, exceto os equipamentos
utilizados no laboratório de ensaio.
• Ensaios – Deve conter somente os equipamentos do laboratório de ensaios.
9.10 Tecnologias móveis
Todo e qualquer tipo de tecnologia móvel, como celular de alta tecnologia, PDA, notebook,
pendrive, dentre outros, devem seguir os mesmos requisitos que esta norma confere aos
computadores internos.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 48/50
10 Investigação de Infração e Penalidades
10.1 Infração
É denominada infração a violação de qualquer dispositivo legal ou dispositivo de alguma
política.
É considerada infração, qualquer obstrução, omissão ou má-fé por parte do colaborador que
tentar prejudicar a ação fiscalizadora.
10.2 Investigação interna
10.2.1 Comissão de investigação
Assim que uma suspeita de infração for detectada, deve ser formada uma comissão de
investigação com, no mínimo, dois componentes nomeados pelo Coordenador Geral. A
comissão de investigação deve relatar formalmente o ocorrido, notificar o(s) colaborador(es)
envolvido(s), apurar a veracidade dos fatos e consolidar todos os fatos apurados em um
relatório denominado “Relatório de Investigação”.
10.2.1.1 Direito de defesa
Ao colaborador deve ser dado, o quanto antes, conhecimento dos fatos sob investigação e
programada uma oportunidade para realização de sua defesa.
10.2.1.2 Relatório de investigação
A Comissão de Investigação, ao término da investigação, deve apresentar o “Relatório de
Investigação” ao Coordenador Geral do LEA que é responsável por tomar as medidas
cabíveis.
10.3 Das Penalidades
No caso de uma infração, o prestador de serviço estará sujeito às seguintes penalidades:
I – Advertência.
II – Suspensão.
III - Demissão ou encerramento de contrato.
As penalidades são consideradas em razão da natureza e da gravidade da infração cometida e
podem ser aplicadas isoladamente ou cumulativamente.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 49/50
Compete ao Coordenador-Geral do LEA a aplicação motivada das penalidades.
10.4 Responsabilização
Além da responsabilidade ética e profissional, o colaborador de acordo com seu cargo e
atribuições, deve responder legalmente por qualquer dano causado.
A responsabilização civil do colaborador se dará por ação ou omissão, negligência ou
imprudência, comportando indenização, nos termos da lei.
A propriedade intelectual que incide sobre os programas de computador, inclusive os
chamados softwares livres, é definida nos respectivos termos de uso e contratos de licença e
os casos de violação ensejarão indenizações, além de eventual ação criminal.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito
LEA 50/50
Referências Bibliográficas
LABORATÓRIO DE ENSAIOS E AUDITORIA (LEA). GG-1 Glossário Geral. São Paulo.
LEA. 2009.
LABORATÓRIO DE ENSAIOS E AUDITORIA (LEA). MQ-1 Manual da Qualidade.
versão 1.0. São Paulo. LEA. 2009.
ADAMS, C.; CAIN, P.; PINKAS, D.; ZUCCHERATO, R.; RFC 3161: Internet X.509
Public Key Infrastructure Time-Stamp Protocol (TSP). August, 2001. 26p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 11515/ NB 1334: Critérios
de segurança física relativos ao armazenamento de dados. Rio de Janeiro: ABNT, 1990.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:
Tecnologia da informação - código de prática para a gestão da segurança da informação.
Rio de Janeiro: ABNT, 2003. 56p.
COMITÊ GESTOR DA ICP-BRASIL. Resolução N° 8: Requisitos mínimos para as
declarações de práticas de certificação das autoridades certificadoras da ICP-Brasil.
Brasília: ICP-BRASIL, 2001. 36 p.
HOUSLEY, R; RFC 3852: Cryptographic Message Syntax (CMS3). July, 2004. 56p.
LABORATÓRIO DE ENSAIOS E AUDITORIA (LEA). PT-11 Procedimento Técnico de
Depósito de Material de Ensaio. versão 1.0. São Paulo. LEA. 2009.
Título Versão Data de emissão Classificação de segurançaNR-8 Norma de Segurança da Informação v3.3.r.6 16/03/2010 Restrito