Documente Academic
Documente Profesional
Documente Cultură
TTULO I
DAS GENERALIDADES
a) documentao normativa;
b) riscos;
h) gesto da segurana.
TTULO II
DEFINIES BSICAS
TTULO III
DAS REGRAS GERAIS DE SEGURANA
CAPTULO I
DA DOCUMENTAO NORMATIVA
Art. 6 A documentao normativa deve ser desdobrada em mais de uma norma, caso
a complexidade da rede seja tal que os responsveis pela elaborao dos documentos julguem esse
desdobramento recomendvel. Desta forma, pode-se ter uma norma principal de segurana da
informao para a rede e, por exemplo, outras duas normas especficas para o servio de correio
eletrnico e outra para o firewall.
Art. 7 As normas de redes devem abordar os temas que sejam de relevncia para a
OM onde a rede est implementada, porm nessas normas devero constar regras de segurana nas
seguintes reas bsicas:
CAPTULO II
DA ANLISE DE RISCOS
Art. 9 Todas as aes que impliquem em atualizao, reconfigurao, acrscimo de
hardware ou software ou qualquer outro rearranjo na composio da rede, em particular se a
modificao for em um elemento de segurana, devem ser precedidas de uma anlise de riscos nos
moldes definidos nas Instrues do Exrcito sobre o assunto.
1 Caso no seja possvel a aplicao prvia de uma anlise de risco, deve-se
realiz-la no menor prazo possvel de modo a se aferir o grau de risco introduzido pela modificao
no ambiente da rede.
PLANEJAMENTO
ANLISE
DE RISCOS
ELABORAO
DA PRIMEIRA
VERSO
REFINAMENTO
DA VERSO
NO
A VERSO EST
ADEQUADA?
SIM
VERSO FINAL
Seo I
Da Criptografia
Art. 10. A criptografia um mecanismo que deve ser utilizado na cifrao de dados a
serem transmitidos ou armazenados nas redes do Exrcito sempre que houver necessidade de
preservao do sigilo desses dados e em compatibilidade com as regras se segurana de salvaguarda
de assuntos sigilosos em vigor.
Art. 11. A adoo do uso de criptografia para proteo de sigilo de dados deve ser
precedida de uma anlise de riscos que justifique a escolha da soluo a ser usada.
Art. 12. As solues criptogrficas utilizadas na Fora devem ser ter um das
seguintes origens:
V - devem ter o seu uso disciplinado por regras contidas nas normas de segurana da
rede em que for empregado.
Art. 14. As regras relativas ao uso de criptografia contidas nas normas de segurana
da rede em uma OM devem conter, no mnimo, diretivas relativas ao seguinte:
Art. 15. As OM que fazem uso de sistemas criptogrficos em suas redes devem
notificar o DCT, em documento classificado, sobre as caractersticas e o tipo de uso desses sistemas
para fins de conhecimento e verificao da adequao do uso. Os itens a serem informados so os
seguintes:
I - finalidade do sistema;
VI - uso que est sendo feito na rede da OM (tipos de dados que esto sendo
protegidos);
Pargrafo nico. Caso haja dificuldade em obter as informaes listadas nesse artigo,
a OM dever encaminhar ao DCT o mximo de informaes possveis sobre a soluo para que seja
possvel aferir os parmetros de relevncia para que o Departamento possa prover a orientao
sobre a adequao da soluo.
Art. 17. Todo parmetro crtico, como chaves criptogrficas, cuja exposio indevida
comprometa a segurana do sistema criptogrfico usado na rede da OM, deve ser armazenado em
forma cifrada, sendo essa cifrao realizada com chaves armazenadas em mdias removveis.
Art. 20. O uso de criptografia s deve ser utilizado em mensagens de servio e que
devidamente enquadradas nas normas internas da OM e do Exrcito sobre a matria.
Seo II
Do Acesso Remoto Seguro ( Redes Privadas Virtuais - RPV )
Art. 21. As OM que no tenham acesso rede EBNet, mas possuam Internet devem
fazer uso do acesso remoto seguro para efetivar esse acesso. Para obter o acesso seguro, a seguinte
sistemtica deve ser realizada:
Seo III
Do Firewall e dos Sistemas de Deteco de Intruso
Art. 22. As OM que tiverem suas redes conectadas EBNet e que estiverem
conectadas Internet ou a outras redes inseguras devem fazer uso de firewall para proteger essa
conexo.
VIII - tipo de processo de autenticao que necessrio, assim como outras regras
que estejam de acordo com as peculiaridades da rede.
Pargrafo nico. Nos casos em que forem utilizadas aplicaes de segurana cuja
finalidade monitorar uma ou mais aplicaes, como no caso dos Host Intrusion Detection
Systems (HIDS) admissvel e necessrio a convivncia do servio de segurana com outros
servios no mesmo computador.
Art. 33. O DCT manter, por meio da pgina eletrnica do CITEx, informaes sobre
sugestes de configuraes lgicas e fsicas dos diversos tipos de firewall e sistemas de deteco de
intruso, assim como o nvel de segurana que, em princpio, cada um proporciona.
Seo IV
Da Segurana Contra Cdigos Malficos
Art. 36. A base de dados do software antivrus deve ser mantida atualizada de modo
que sejam minimizadas as possibilidades de um cdigo malfico ser instalado e executado no
computador que o antivrus protege.
Art. 37. Todos os computadores servidores devem estar protegidos por softwares,
devidamente atualizados, de antivrus e demais cdigos maliciosos. Particular ateno deve ser dada
aos servidores de dados corporativos e os de correio eletrnico.
Art. 38. Os softwares antivrus e cdigos malficos devem ser adquiridos mediante a
garantia de atualizao contnua da base de dados sobre vrus de computador, assim como de outros
cdigos maliciosos.
Art. 39. As aplicaes de proteo contra cdigos malficos antivrus devero estar
configuradas de tal modo a registrar, por meio da funo de log, qualquer ocorrncia desses
cdigos.
Art. 40. O uso de softwares contra cdigos malficos deve ser regido por regras de
segurana, as quais devem figurar nas normas de segurana da rede do OM, cujo modelo encontra-
se no ANEXO A.
Seo V
Dos Mecanismos de Autenticao e Controle de Acesso
Art. 41. O acesso aos dados e servios corporativos de rede no Exrcito, seja em
conexes locais ou remotas, s pode ser concedido mediante a verificao da autenticidade da
identificao do usurio por meio de tcnicas de autenticao de rede.
Art. 42. Dentre as regras de segurana que compem a norma de segurana de rede,
cujo modelo encontra-se no ANEXO A, devero estar includas regras sobre as formas de
autenticao e de controle de acesso peculiares rede para qual a norma ser elaborada.
1 Dentre os aspectos bsicos de autenticao a serem considerados para constar da
norma de segurana da rede devem figurar regras sobre:
V - assinatura digital;
III - definio de privilgios especiais para usurios internos, tais como o gerente da
rede ou o pessoal que realiza a manuteno dos equipamentos;
Art. 44. Os servios de certificao digital usados nas redes do Exrcito devem estar
de acordo com as orientaes e regras vigentes da Infra-Estrutura de Chaves Pblicas do Brasil
(ICP-Brasil).
Art. 45. Nas redes em que for utilizada certificao digital, a salvaguarda do
certificado de responsabilidade nica e exclusiva do seu possuidor.
Art. 46. O servio de assinatura digital deve ser implementado por meio do uso de
certificados digitais.
Seo VI
Da Monitorao e Registro dos Eventos
Art. 50. A concluso de que eventos devam ser registrados devem resultar,
preferencialmente, de anlises de risco. Como eventos relevantes a serem considerados, sugere-se a
seguinte lista:
I - identificao dos usurios;
II - data e hora de entrada e sada no sistema;
III - nmero de tentativas de conexo;
IV - origem ou localizao do equipamento est requisitando a conexo;
V - concesses e cancelamentos de privilgios de usurios;
VI - concesses e cancelamentos de conta e senha para acesso rede local;
VII - concesses e cancelamentos de acesso s redes externas via rede local;
VIII - endereos externos acessados por meio da rede local;
IX - acessos aos servidores;
X - desconexo ou conexo de estaes e servidores;
XI - modificaes nas configuraes das barreiras de proteo externa ( firewall ) e
de cada computador ( firewall de estao ou de servidor);
XII - modificaes na configurao de sistemas de deteco de intruso ou de
prevenso de intruso ( intrusion detection systems - IDS / intrusion prevention systems IPS /
host intrusion detection systems - HIDS);
XIII - modificaes nas configuraes de roteadores, switches ou outros
equipamentos de redes passveis de serem configurados remotamente;
XIV - acesso a informaes sobre o volume de trfego de informaes que circulam
internamente na rede local; e
XV - acesso a informaes sobre o volume de trfego de informaes que so
trocadas com redes externas.
Art. 51. Os computadores de uma rede devem ter seus relgios sincronizados para
que os registros de eventos mantenham sua credibilidade, logo, as estaes devem ser sincronizadas
com o servidor da rede, que, por sua vez, deve estar ajustado com um padro local de tempo.
Art. 52. Os registros de eventos devem ser periodicamente auditados para fins de
verificao do correto funcionamento do equipamento ou software.
Seo VII
Das Cpias de Segurana ( Backup )
Art. 54. Toda rede do Exrcito deve normatizar e aplicar procedimentos para
execuo peridica de cpias de segurana para salvaguardar os dados da Unidade, assim como
viabilizar a recuperao desses dados em situaes de violao dos originais.
Art. 57. As cpias de segurana devem ser preservadas por mais de uma gerao,
sendo o nmero mnimo de duas verses.
Art. 58. A recuperao dos dados deve ser testada periodicamente para que se tenha a
certeza da sua disponibilidade e integridade.
Art. 59. As normas de segurana de rede de cada OM devem conter regras que
disciplinem os procedimentos de produo, armazenamento, preservao, teste, atualizao e
descarte das cpias de segurana.
Art. 60. Alm das regras relativas aos procedimentos de gerenciamento das cpias de
segurana, devem ser elaboradas duas outras documentaes: procedimentos operacionais padro
(POP) relativos aos procedimentos de backup e relatrios que informem os eventos associados a
cada procedimento do processo ( data-hora, arquivos copiados, operador, tipo de cpia realizada
etc).
Seo VIII
Das Comunicaes e da Telefonia
Art. 61. Dentre as regras de segurana que compem a norma de segurana de rede,
cujo modelo encontra-se no ANEXO A, devero estar includas regras sobre a utilizao das redes
de comunicao e de telefonia, levando-se em considerao, os aspectos das instalaes fsicas onde
se encontram, a manuteno dos equipamentos, os protocolos e servios utilizados e prerrogativas
de uso e manuteno.
Subseo I
Das Redes Rdio
Art. 63. Em aplicaes de operao real, as operaes rdio, seja da rede estratgica
ou de uma rede ttica, devero realizar as comunicaes de forma controlada pelos instrumentos
normativos adequados como as Instrues Padro de Comunicaes ( IPCOM ) e as Instrues de
Emprego das Comunicaes ( IECom ).
Art. 64. Nos processos de aquisio de material de comunicaes para as redes rdio
do Exrcito, deve-se buscar as implementaes com possibilidade de uso de criptografia aprovada
pelo Exrcito, em particular aquelas de desenvolvimento prprio, sendo que, na impossibilidade,
deve-se buscar produtos para os quais seja vivel realizar as adaptaes de hardware e software
necessrias desde que tais adaptaes no comprometam a funcionalidade do produto.
Art. 65. Nos casos em no seja possvel utilizar solues de criptografia aprovadas
no Exrcito nos rdios j em emprego, deve-se realizar anlises de risco para avaliar que tipo de
configuraes so admissveis e em que tipo de operao pode ser empregado, sendo que o
resultado dessas anlises deve ser refletidos nas normas que disciplinem o uso dos rdios
envolvidos.
Subseo II
Das Redes de Telefonia
Art. 66. As comunicaes telefnicas que necessitem ser tratadas com preservao de
sigilo do seu teor ( telefone seguro ) devem ser efetuadas apenas pelo equipamentos destinados para
este fim e obedecendo-se as orientaes da seo de inteligncia da OM previstas pela para seu uso
e manuteno.
Subseo III
Das Redes Sem Fio
Art. 69. As OM usurias de redes sem fio, ainda que em termos experimentais,
devem averiguar quais dados esto acessveis pela rede e adequar as configuraes segurana dos
dispositivos, conforme as funcionalidades que o equipamento e o padro de rede sem fio
implementado, uma vez que possvel que elementos estranhos ao servio monitorem e at
acessem os dados dos equipamentos da rede a partir de pontos localizados de algumas dezenas at
algumas centenas de metros, dependendo do padro de rede utilizado.
Art. 70. Nos dispositivos baseados no padro IEEE 802.15 ou equivalente devem ser
utilizados apenas no manuseio de dados de natureza ostensiva, ainda assim, para garantia de
condies mnimas de integridade da informao e autenticidade de usurio, os devidos ajustes das
configuraes dos parmetros criptogrficos, tais como extenso da chave, o algoritmo escolhido,
identificadores no bvios e o tempo de uso, devem ser previamente ajustados.
VII - no fazer uso de conexes de equipamentos ligados redes sem fio a redes
corporativas;
X - realizar auditorias e anlises de risco com freqncia nas redes sem fio;
Seo IX
Da Infra-estrutura de Alimentao Eltrica
Art. 72. O sistema de alimentao eltrica que as redes das OM fazem uso devem
estar de acordo com as recomendaes e normas utilizados no Exrcito pelas Comisses Regionais
de Obras (CRO).
I - condies de estabilidade;
IV - aterramento;
V - estado das baterias dos sistemas para proteo contra interrupo de energia (
nobreak );
VI - estado dos estabilizadores de energia, assim como outros equipamentos
existentes na rede e com funo no sistema de alimentao eltrica.
Seo X
Da Configurao da Rede
Art. 77. A combinao dos elementos de segurana para proteo das redes
especfica para cada caso, porm como requisitos bsicos, tanto para as redes de computadores
quanto as redes de comunicaes e telefonia, seguintes recomendaes devem ser adotadas:
a) adoo das regras de segurana dispostas nestas Instrues que sejam compatveis
com o ambiente da rede da OM;
Seo I
Dos Servios de Rede
Art. 78. Os servios de rede oferecidos nas redes locais ou na rede corporativa do
Exrcito devem ser regulados por normas especficas ou em captulos prprios de normas
elaboradas para cada ambiente de rede em particular. As regras de segurana bsicas para os esses
servios devem considerar, no mnimo, os seguintes aspectos:
I - configurao do servio;
Art. 79. Os servios de rede cujos dados processados contenham informaes cujo
teor seja considerado "sensvel" devem ser executados em segmentos isolados da rede, sendo que o
isolamento pode ser fsico ou lgico conforme o grau do risco envolvido. Considere-se informao
sensvel aquela que, ainda que no seja classificada, no convm que trafegue na mesma rede
juntamente com dados administrativos.
Art. 80. O planejamento de servios ou sistemas corporativos para uso em redes deve
prever, dentre os requisitos do sistema, a incluso de controles que permitam testes de auditoria
para verificao da efetividade das funcionalidades do servio ou sistema, assim como o registro de
eventos ocorridos.
Seo II
Dos Sistemas Operacionais de Rede
Art. 82. Os sistemas operacionais de rede devem funcionar de forma atualizada, com
as ltimas correes de segurana fornecidas pelo seu fabricante. O DCT, por meio de publicao
em pgina eletrnica do Centro Integrado de Telemtica do Exrcito, disponibilizar informaes
sobre as atualizaes necessrias.
Art. 83. As regras administrativas relativas aos sistemas operacionais de rede em uso
no Exrcito devem considerar os seguintes aspectos:
Seo III
Dos Aplicativos de Rede
Seo IV
Dos Bancos de Dados
Art. 85. Os dados corporativos armazenados em bando de dados devem contar com
ferramentas de segurana, sejam inerentes ao produto que implementa o banco ou implementadas
por produtos de segurana externos ao banco, que garantam a integridade, a disponibilidade e, se for
o caso, a confidencialidade dos dados, assim como controlem as formas de autenticao e os
privilgios de acesso de quem acesse o banco.
III - ter o acesso aos dados viabilizado sempre por alguma tcnica de autenticao
adequada;
VI - garantir a disponibilidade dos dados tanto em relao ao acesso via rede ou por
meio da recuperao de cpias de segurana para os usurios com privilgio de acesso;
Art. 88. O acesso fsico aos equipamentos onde servios de segurana da informao
ou outros servios considerados crticos estejam instalados deve ser restrito ao mnimo necessrio
de usurios autorizados.
Art. 89. Os pontos de rede disponveis nas reas da OM devem ser ativados apenas
conforme a necessidade para prevenir tentativas de conexes no autorizadas de computadores
portteis.
Art. 90. O acesso fsico, de pessoal que no seja usurio de recursos crticos da rede,
s dependncias onde esses recursos esto instalados deve ser controlado.
CAPTULO VI
DAS CONTINGNCIAS
Art. 92. O Plano de Contingncia da rede deve seguir o modelo descrito no ANEXO
E.
Art. 95. O perodo de que trata este artigo deve ser atribudo de acordo com as
caractersticas de cada OM e sua estipulao est a cargo do Comandante, mediante proposta a ser
apresentada pelo responsvel pela segurana da informao na OM.
III - anlise de riscos sobre os recursos e servios identificados no item anterior para
que se tenha uma medida da sua importncia, seu grau de vulnerabilidade, as chances de violao e
o impacto gerado por essa violao;
VIII - estabelecimentos dos processos para lidar com cada tipo de categoria de
violao;
Pargrafo nico. O mesmo tratamento dever ser aplicado aos arquivos eletrnicos
que originaram a documentao em pauta.
Art. 99. Os pontos de contato devero ser de tantos tipos quanto forem necessrios ao
tratamento das possveis situaes de contingncias devendo haver, pelo menos, dois tipos:
I - gerncia da rede da OM: responsvel(is) pelas primeiras medidas para lidar com
os problemas de segurana ocorridos na rede de comunicaes ou de computadores e que tenham
reflexos no contexto da prpria rede;
Art. 100. Em casos em que as caractersticas das reas e instalaes, alm das
condies ambientais, forem tais que existam riscos para a rede da OM, a elaborao do plano de
contingncia deve levar em considerao situaes de desastre, tais como:
b) inundao;
c) infiltraes;
d) desabamento;
e) exploses.
CAPTULO VIII
DA VERIFICAO DA EFETIVIDADE
Art. 102. As normas de segurana de rede devem conter regras relativas aos
controles necessrios para verificar a efetividade das medidas de segurana implementadas para
proteger a rede e os dados nela processados.
Art. 103. Os controles bsicos para verificao da efetividade so:
I - legislao vigente;
Art. 104. A verificao da efetividade um processo que pode ter carter preventivo
ou de investigao de acordo com a necessidade.
Art. 106. A tcnica bsica a ser empregada para a verificao a das "listas de
verificao", as quais podem ser obtidas por meio do acesso pgina eletrnica do CITEx.
V - (se for o caso) avaliao dos pontos de controle selecionados por meio da
aplicao de tcnicas especficas selecionada pela equipe de auditoria ( auditoria externa -
CITEX/CTA/CT);.
Seo I
Do Processo de Gerenciamento
Art. 111. A gerncia da segurana da rede deve atuar nas seguintes reas:
IV - identificao dos requisitos que impem como deve ser conduzido o processo de
segurana na rede ( processos administrativos que a segurana deve proteger, regras estabelecidas
em normas de segurana ou de contra-inteligncia, requisitos de equipamentos ou softwares,
normas tcnicas, ordens do Comandante, obrigaes contratuais, legislao do Pas, demandas do
servio ou do usurio etc );
Pargrafo nico. O processo de que trata este artigo est representado na figura 2.
Seo II
VIII - obteno de informaes sobre boas prticas, alertas e estado da arte sobre
segurana da informao.
Pargrafo nico. Caso no seja possvel realizar a operao de destruio dos dados
de que trata este artigo, caber ao Comandante, assessorado pelo seu corpo tcnico, decidir se o
equipamento ou parte dele poder sofrer a manuteno fora da OM.
INCIO
IDENTIFICAO DOS
PROCESSOS ADMINISTRATIVOS
IDENTIFICAO DA FINALIDADE E
NO DOS OBJETIVOS DA REDE
Seo III
Dos Aspectos Tcnicos
Art. 123. As aes gerenciais devem surgir como resultado dos requisitos de
segurana de cada ambiente de rede, no entanto, os seguintes aspectos devem ser considerados
quando da realizao da anlise de riscos e da elaborao das normas de segurana:
I - elaborao, aplicao e atualizao das polticas;
II - direitos e privilgios no controle de acesso a dados;
III - uso de criptografia;
IV - assinatura digital;
V - certificao digital;
VI - identificao e autenticao de usurios da rede;
VII - acesso remoto;
VIII - uso de mais de servio de rede em um s computador;
IX - senhas;
X - contas de acesso rede de usurios ( particular ateno deve ser dada s contas
do pessoal em frias, transferidos, convidados e annimos );
XI - cpias de segurana ( backup );
XII - ativao e armazenamentos de log de eventos;
XIII - atualizao dos sistemas operacionais;
XIV - contedo de stios Internet das OM;
XV - configurao e uso de aplicativos ou plataformas de gerencia de rede.
Art. 125. O POP da gerncia deve prever procedimentos para checar as atualizaes.
Art. 128. Ferramentas especficas para quebra de segurana no devem ser utilizadas,
exceto por pessoal autorizado e de forma controlada pelo responsvel pela administrao da rede
para fins de teste de segurana da rede.
Seo IV
Dos Aspectos do Pessoal
Art. 129. O pessoal responsvel pela operao e gesto da segurana deve estar
treinado e atualizado no manuseio e conduo do processo de gesto da segurana, logo as OM
devero incluir em seus planejamentos financeiros recursos para esse fim.
Seo V
Dos Aspectos de Tratamento de Incidentes e Preservao de Evidncias
TTULO IV
DAS RESPONSABILIDADES
CAPTULO I
DO DEPARTAMENTO DE CINCIA E TECNOLOGIA
a) notificar uma OM, a partir da qual estejam sendo originados eventos de violao
de segurana na rede corporativa, para as devidas providncias de neutralizao do problema;
CAPTULO II
DO CENTRO DE DESENVOLVIMENTO DE SISTEMAS
CAPTULO III
DO CENTRO INTEGRADO DE TELEMTICA DO EXRCITO
CAPTULO IV
DO INSTITUTO MILITAR DE ENGENHARIA
CAPTULO VI
III - disseminar, por meio dos seus cursos, a doutrina contida nestas Instrues, com
as adaptaes julgadas pertinentes para a rea de Guerra Eletrnica.
CAPTULO VII
IV - zelar para que estas Instrues sejam aplicadas no ambiente desta rede;
CAPTULO IX
DOS USURIOS DAS REDES
I - manter a confidencialidade dos dados sob sua responsabilidade, assim como sua
senha pessoal de acesso rede ou a servios especficos;
III - alterar quaisquer uma de suas senhas em caso de suspeita ou constatao de ela
foi exposta ou descoberta;
MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM
1. FINALIDADE
2. OBJETIVOS
4. REGRAS DE SEGURANA
a. Regras Gerais ( regras de segurana de carter geral e voltadas para medidas de segurana dos
dados, informaes e conhecimentos armazenados, processados ou disseminados nos enlaces
ou equipamentos da rede )
4) Dos Sistemas Operacionais de Rede (subttulo referente aos sistemas operacionais utilizados ).
1) Computadores servidores;
4) Perifricos de rede;
6) Outros equipamentos.
5. RESPONSABILIDADES
6. PRESCRIES DIVERSAS
( Deve-se fazer uso deste item, caso existam particularidades do contexto da OM que no se
enquadrem nos itens anteriores, mas que sejam julgados importantes para a norma. )
-----------------------------------
Assinatura Comandante
ANEXO B
MODELO DE RELATRIO DE MUDANAS NA REDE
MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM
1. FINALIDADE
( finalidade do documento )
2. ASSUNTO
( descrio sumria da modificao em pauta )
3. DATA DA MODIFICAO
( data em que ocorreu a modificao; caso a mudana ocorra num perodo que abranja mais de
um dia, o perodo, destacando-se a data de incio e fim, deve ser explicitado )
4. DESCRIO DA MODIFICAO
( descrio detalhada da modificao necessria e do processo de como a modificao foi
feita )
5. RESPONSVEIS
( registro de quem efetuou a mudana e que acompanhou ou fiscalizou )
6. DOCUMENTAO ENQUADRANTE
( se for o caso, deve ser citada a documentao normativa ou contratual sob a qual o processo
de mudana foi realizado )
7. REGISTROS ADICIONAIS
( deve-se registrar informaes adicionais julgadas pertinentes, em particular a respeito de
anlises de risco realizadas )
-----------------------------------
Oficial responsvel
-----------------------------------
Assinatura Comandante
ANEXO C
MODELO DE SOLICITAO PARA ACESSO REMOTO
MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
XXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXX
Of n
Do
a. ...
b. ...
3. Esta OM no possui acesso EBNet (ou somente possui acesso EBNet por
intermdio de linha discada, o que implica em alto custo para as chamadas telefnicas).
CLASSIFICAO
MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM
1. FINALIDADE
( Deve-se transcrever a finalidade do documento. )
2. OBJETIVOS
( Deve-se transcrever os objetivos a serem atingidos pela aplicao da norma e que, em
conjunto, cumpram a finalidade estabelecida. )
3. NORMAS DE REFERNCIA
( Relao de normas relacionadas e que possam complementar ou respaldar o uso da norma de
firewall. )
4. REGRAS DE SEGURANA
( Deve-se transcrever todas as regras de segurana julgadas necessrias. )
1.2) Rotas especficas (rotas estabelecidas de maneira forada, por motivo de segurana )
2) Roteador(es) internos (regras relativas ao (s) roteador(es) que esto como interface entre as
redes internas ou entre segmentos da rede )
2.2) Rotas especficas (rotas estabelecidas de maneira forada, por motivo de segurana ).
2.3) Sistemas Operacionais ( regras referentes aos sistemas operacionais utilizados nos roteadores,
se for o caso ).
2.4) Configurao para registro de eventos (logs).
CLASSIFICAO
CLASSIFICAO
3.2) Rotas especficas (rotas estabelecidas de maneira forada, por motivo de segurana ).
3.3) Regras de filtragem de aplicaes e servios ( servios e aplicaes de rede permitidas, seu
sentido [dentro para fora da rede ou vice-versa], em que parte ou segmento da rede
permitido, usurios permitidos, tipo de autenticao requerida etc )
3.4) Sistemas Operacionais ( regras referentes ao(s) sistema(s) operacional(is) utilizado(s) no(s)
servidor(es) onde est(o) instalado(s) o software(s) de firewall ).
e. Testes de efetividade (regras sobre os testes par a verificao da eficcia e eficincia do sistema
de firewall e sua periodicidade ).
5. RESPONSABILIDADES
( Deve-se transcrever as obrigaes de cada responsvel pela operao, gerncia e manuteno
do firewall. )
6. PRESCRIES DIVERSAS
( Deve-se fazer uso deste item, caso existam particularidades do contexto da OM que no se
enquadrem nos itens anteriores, mas que sejam julgados importantes para a norma. )
CLASSIFICAO
ANEXO E
MODELO DE PLANO DE CONTINGNCIA
MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM
(Este modelo se refere ao caso genrico com vrias possibilidades para composio do Plano
de Contingncia, NO SENDO OBRIGATRIO a reproduo todos os itens. Assim,
recomendvel que sejam confeccionadas as partes realmente necessrias e que a elaborao do
documento e sua vigncia sejam feitas gradualmente, elegendo-se escopos considerados prioritrios
e para esses escopos sejam realizadas as verses correspondentes.)
1. FINALIDADE
Transcrio da finalidade do plano. (Exemplo: A finalidade deste plano descrever os
procedimentos necessrios para lidar com situaes emergenciais de indisponibilidade dos servios
de informtica e de comunicaes necessrias continuidade dos servios da OM ....)
2. OBJETIVOS
Transcrio dos objetivos necessrios para cumprir a finalidade do plano. (Exemplo: A fim de
cumprir a finalidade anunciada, os seguintes objetivos so estipulados: definio dos grupos
envolvidos na conduo do processo, assim como as respectivas responsabilidades; descrio dos
procedimentos na ativao e desenvolvimento do plano para lidar com situaes emergenciais; e
descrio dos procedimentos para propiciar a restaurao das condies operacionais normais.)
3. PERODO DE VIGNCIA
( data da ltima atualizao, perodo de vigncia do plano e periodicidade do treinamento do
plano ).
1) Configurao do recurso: ( descrio de como o recurso deve estar configurado para operar).
2) Computador onde est instalado ( se for o caso ): ( identificao do computador e
configurao do hardware ).
3) O sistema operacional utilizado ( se for o caso ) no recurso: ( nome do sistema, verso, service
packs ou patches instalados e configurao do sistema ).
4) Localizao fsica: ( local onde est instalado o recurso ).
5) Localizao fsica dos softwares necessrios (localizao e forma de aceso aos softwares
necessrios para reativar o recurso ).
6) Servios adicionais instalados no mesmo recurso ( se for o caso ) : ( identificao do(s)
software(s), verso, service packs ou patches instalados e configurao do(s) software(s) ).
7) Responsveis pela manuteno e operao: ( relao nominal do pessoal a ser acionado nas
situaes de crise e formas de contato ).
8) POP para ativar a contingncia: ( procedimentos operacionais bsicos (POP) necessrios para
acionar os meios alternativos para manter o recurso utilizvel, tais meios devero abranger
aspectos humanos, materiais, instrumentais, computacionais, de instalaes fsicas etc ).
9) POP para as aes que devero vigorar durante a contingncia: ( POP necessrios para manter o
recurso utilizvel, tais meios devero abranger aspectos humanos, materiais, instrumentais,
computacionais, de instalaes fsicas etc ).
10) POP para retorno normalidade ( reinstalao e reativao ): ( procedimentos operacionais
bsicos (pop) para reinstalar e configurar todo o conjunto ( hardware e software ) que compe
o recurso como se fosse a primeira instalao ).
11) POP de reinstalao: ( procedimentos operacionais bsicos (pop) para reinstalar e configurar
todo o conjunto ( hardware e software ) como se fosse a primeira instalao ).
a. Grupo de Coordenao
1) Exerce a coordenao geral do plano de contingncia. Composto por:
2) Comandante;
3) Subcomandante;
4) Estado-Maior;
5) Oficiais de comunicaes e de informtica;
6) Inteligncia;
7) Segurana de informaes;
8) outros (a ser definido conforme a necessidade em funo das caractersticas de cada OM).
b. Apoio Administrativo
Prov o apoio administrativo necessrio para a execuo do plano de contingncia. Composto
por:
1) Seo de Pessoal ou equivalente.
1) comunicaes;
2) informtica;
5) administrao da rede;
d. Hardware
Prov apoio na rea de equipamentos. Composto por membros das seguintes reas:
1) suporte tcnico ou o que o equivalha;
2) manuteno de equipamentos rdio e de informtica.
e. Software
Prov apoio na rea de software bsico (sistemas operacionais e aplicativos administrativos), de
apoio (softwares de manuteno ou diagnstico) e sistemas corporativos Composto por
membros das seguintes reas:
1) comunicaes e de informtica;
2) suporte tcnico ou o que o equivalha.
f. Comunicaes
Prov apoio na manuteno e operacionalizao da estrutura de comunicaes rdio necessria
ao plano de contingncia. Composto por membros das seguintes reas:
1) comunicaes;
2) suporte tcnico ou o que o equivalha.
3) informtica.
a. Grupo de Coordenao
1) Permanentes:
1.1) identificar as funes e recursos crticos para a OM e, portanto, estabelecer o que deve constar
do plano de contingncia;
1.2) analisar e definir alternativas para o processamento das funes e recursos crticos para o caso
da sua indisponibilidade;
1.3) definir os recursos financeiros e materiais necessrios para viabilizar o plano;
1.4) coordenar as atividades dos demais grupos;
1.5) elaborar o plano de contingncia e normas correlacionadas e julgadas necessrias;
1.6) reviso peridica do plano de contingncia;
1.7) distribuio de cpias do plano e normas a todos os envolvidos;
1.8) organizar e coordenar a execuo das simulaes do plano;
1.9) dar apoio a todos os envolvidos;
1.10) resolver conflitos entre os diversos grupos;
1.11) estabelecer qual a infra-estrutura de hardware e software de comunicaes e computacional
alternativa com a qual se deve contar durante a ativao do plano de contingncia, assim como sua
localizao fsica;
1.12) informar aos demais envolvidos quanto s atualizaes sofridas pelos sistemas e recursos
crticos;
1.13) definir, com o grupo de aplicativos, as atividades envolvidas com os sistemas crticos.
1.14) definir e montar a estrutura de retorno normalidade;
1.15) manter atualizado os procedimentos para operacionalizar o plano de contingncia.
2) Na ativao do plano de contingncia:
2.1) coordenar a ativao do plano de contingncia;
2.2) coordenar as atividades dos demais grupos.
3) Durante a execuo do plano de contingncia
3.1) coordenar as atividades do plano de contingncia;
3.2) estabelecer diretrizes para situaes imprevistas.
4) Retorno normalidade:
4.1) coordenar as atividades de retorno normalidade.
b. Apoio Administrativo
1) Permanentes:
1.1) manter atualizados as listas de contatos para comunicao com os envolvidos no plano
(nmeros de telefone, fax, e-mail etc.);
1.2) divulgar aos membros do plano de contingncia as listas de contatos de todos os envolvidos;
1.3) providenciar a requisio dos recursos necessrios para operacionalizar o plano.
2.) Durante a contingncia
2.1) fornecer local apropriado para um "Centro de Operaes de Contingncia";
2.2) suprir o local com as facilidades de comunicao.
2.3) fornecer os suprimentos bsicos (lpis, papel, mesa, cadeira, armrio);
2.4) fornecer meios de transporte de pessoas e materiais.
c. Servios de Rede
1) Permanentes
1.1) desenvolver os procedimentos especficos destinadas aos servios de redes considerados
crticos;
1.2) manter atualizadas todos os procedimentos para manuteno do funcionamento dos servios
de redes;
1.3) manter atualizadas e em lugar seguro cpias da documentao dos sistemas de hardware e
software que constituem os servios de redes crticos;
1.4) prever e desenvolver procedimentos para atender a todas as condies de retorno
normalidade, para as rotinas de contingncia.
1.5) providenciar local livre de riscos e guardar as cpias de segurana dos sistemas necessrios
para a contingncia;
1.6) estabelecer procedimentos de operao em caso de emergncia;
2) Na ativao da contingncia
2.1) ativar a contingncia, conforme os servios atingidos;
3.) Durante a contingncia
3.1) solucionar problemas imprevistos relacionados aos servios de redes;
3.2 efetuar os acertos que se fizerem necessrios nos servios de rede ativados durante a
contingncia.
3.3) se for o caso, tornar acessvel o(s) local(is) alternativo(s) para operao em caso de
contingncia;
3.4) operar os sistemas que tero sua contingncia ativada em funo da emergncia que venha a
ocorrer.
3.5) gerar e manter as cpias de segurana dos dados necessrios ao retorno normalidade.
4) Retorno normalidade
4.1) Executar o processo de retorno normalidade, conforme previsto no plano de contingncia.
d. Hardware
1) Permanentes:
1.1) manter atualizada o inventrio dos equipamentos existentes e a situao de cada um;
1.2) estabelecer os requisitos sobre uma infra-estrutura de hardware alternativa com
caractersticas necessrias contingncia;
1.3) analisar e propor as melhores alternativas de contingncia para o hardware considerado com
crtico para a rede;
1.4) providenciar local livre de riscos e guardar as cpias de segurana dos sistemas necessrios
para a contingncia;
1.5) estabelecer procedimentos de operao em caso de emergncia;
1.6) se for o caso, tornar acessvel o(s) local(is) alternativo(s) para operao em caso de
contingncia.
2) Na ativao da contingncia:
2.1) comunicar aos envolvidos no plano de contingncia quaisquer avarias que possam afetar o
processamento dos servios de rede considerados crticos misso da OM, fornecendo a
previso para a correo do problema.
3) Durante a contingncia:
3.1) providenciar os reparos dos equipamentos danificados;
3.2) providenciar o equipamento alternativo e ativ-lo;
3.3) contatar os fornecedores, se for o caso, visando reposio de componentes ou dos prprios
equipamentos;
3.4) operar os sistemas que tero sua contingncia ativada em funo da emergncia que venha a
ocorrer.
3.5) gerar e manter as cpias de segurana dos dados necessrios ao retorno normalidade.
4) No retorno normalidade:
4.1) concluir as correes e comunicar a todos os envolvidos para se efetuar retorno normalidade.
e. Software
1) Permanentes:
1.1) manter atualizada o inventrio de todos os softwares e sistemas informatizados disponveis na
OM, identificando sua utilizao;
1.2) criar e manter atualizada a estrutura de cpias dos sistemas operacionais e dos aplicativos
administrativos nos equipamento alternativos;
1.3) analisar e colocar em prtica as melhores alternativas de contingncia para os diversos
softwares e sistemas usados na OM.
2) Na ativao da contingncia
2.1) ativar o sistema operacional e os softwares de contingncia na instalao alternativa.
3) Durante a contingncia e no retorno normalidade
3.1) dar apoio e resolver situaes imprevistas relacionadas com softwares;
3.2) operar os sistemas que tero sua contingncia ativada em funo da emergncia que venha a
ocorrer.
3.3) gerar e manter as cpias de segurana dos dados necessrios ao retorno normalidade.
f. Comunicao
1) Permanentes:
1.1) manter atualizada o inventrio dos recursos de hardware, software e canais que compem a
estrutura de comunicao;
1.2) analisar e viabilizar rotas alternativas para os enlaces de comunicao da OM;
1.3) providenciar local livre de riscos e guardar as cpias de segurana dos sistemas necessrios
para a contingncia;
1.4) estabelecer procedimentos de operao em caso de emergncia;
1.5) se for o caso, tornar acessvel o(s) local(is) alternativo(s) para operao em caso de
contingncia.
2) Durante a contingncia:
2.1) providenciar a instalao e reconfigurao dos enlaces de comunicao para o local onde se
processar a contingncia;
2.2) dar apoio e resolver situaes imprevistas relacionadas com a estrutura de comunicaes;
2.3) operar os sistemas que tero sua contingncia ativada em funo da emergncia que venha a
ocorrer.
2.4) gerar e manter as cpias de segurana dos dados necessrios ao retorno normalidade.
7. INFORMAES COMPLEMENTARES
Neste item deve constar a relao dos fornecedores, fabricantes, representantes tcnicos ou
qualquer outra entidade que esteja vinculada formalmente com a manuteno do funcionamento de
um recurso crtico ou de parte dele. recomendvel que, no mnimo, constem as seguintes
informaes:
1) Nome da empresa.
2) Pessoas para contato.
3) Telefones (comercial, residencial, celular).
4) Pager.
5) E-mail.
: : : :
Recurso / Servio
: : :
crtico n
recomendvel que as aes a serem tomadas sejam subdivididas em trs categorias: aes
que deflagram a execuo do plano, aes que perduram durante a aplicao do plano e aes para
retorno a normalidade.
ANEXO F
MODELO PARA APLICAO DE LISTA DE VERIFICAO
MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM
MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM
1. SNTESE:
(Resumo informativo sobre o corpo do documento explicitando os seus pontos principais de
modo a esclarecer rapidamente s autoridades sobre o seu teor)
2. OBJETIVO:
(Descrio do objetivo da auditoria e, se necessrio for, de objetivos secundrios ou especficos)
3. PERODO DA VERIFICAO:
(perodo em que a auditoria foi realizada)
4. EQUIPE RESPONSVEL:
(lista do pessoal que executou a auditoria e as respectivas atribuies)
5. METODOLOGIA ADOTADA:
(Mtodo adotado para executar a verificao. O mtodo mais simples o da conferncia da
conformidade baseada em listas de verificao. Outros mtodos; tais como anlise de logs,
entrevistas, questionrios, simulaes, anlise de programa fonte etc; variaro conforme a
necessidade e a capacitao do pessoal envolvido)
6. OBJETO:
(Elemento(s) sobre o(s) qual(is) a verificao ser focada)
7. CONTEXTO:
(descrio sumria sobre o ambiente verificado, esclarecendo sobre servios, hardware,
software, infra-estruturas e pessoal relevante)
8. FATOS RELEVANTES:
(descrio detalhada dos fatos relevantes no que diz respeito conformidade entre as aes
implementadas e as recomendadas ou estabelecidas e, se necessrio for, com subdivises por
assunto; comentrios dos auditores sobre as causas e conseqncias do que foi constatado; e as
recomendaes pertinentes)
9. CONCLUSO:
(A concluso deve ser objetiva e, preferencialmente do tipo resumo, ou seja, destacando pontos
principais e as recomendaes)
Local, data
Assinatura do responsvel pela verificao
10. PARECER:
(parecer da autoridade competente aprovando o relatrio ou no e o despacho correspondente)
CLASSIFICAO
ANEXO H
MODELO DE NORMA DE GERENCIAMENTO DA SEGURANA DE REDE
MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
OM
1. FINALIDADE
2. OBJETIVOS
4. REGRAS DE SEGURANA
a. Regras Gerais ( regras de segurana de carter geral e voltadas para medidas de segurana dos
dados, informaes e conhecimentos armazenados, processados ou disseminados nos enlaces ou
equipamentos da rede );
CLASSIFICAO
CLASSIFICAO
1.2) Senhas ( regras relativas s configuraes para escolha, periodicidade e expirao de senhas);
1.4) Inventrio da rede ( regras relativas ao controle do inventrio do software e hardware da rede
);
1.5) Registro de operaes ( regras relativas aos registros das operaes ocorridas nos sistemas da
rede )
1.6) Registros de violaes (regras relativas ao registro das violaes de segurana ocorridas na
rede );
1.7) Acesso Remoto para Administrao (regras relativas configurao do servio de conexo
remota para fins administrao da rede );
2.4) Uso de Certificados Digitais ( subttulo referente s regras de para a gesto de certificados
digitais );
4) Dos Sistemas Operacionais de Rede (subttulo referente aos sistemas operacionais utilizados ).
CLASSIFICAO
CLASSIFICAO
6. PRESCRIES DIVERSAS
( Deve-se fazer uso deste item, caso existam particularidades do contexto da OM que no se
enquadrem nos itens anteriores, mas que sejam julgados importantes para a norma. )
-----------------------------------
Assinatura Comandante
CLASSIFICAO
Art. 2 Determinar que esta Portaria entre em vigor na data de sua publicao.