Professional Documents
Culture Documents
AGENDA
APF
CGTIR - CTIR Gov
Aes em andamento
Aspectos Jurdicos
Ameaas e Vulnerabilidades
Ameaas e Vulnerabilidades
320 principais redes do governo federal e, - 12.000 sites .gov.br (+ de 6 milhes pginas)
GSI-PR
MC-MEC-MCT
SecretariaExecutiva
COMPETNCIAS
(Lei n 10.683, de 29 de maio de 2003)
DSIC/GSI
Decreto 5772 de 08 de maio de 2006 Decreto 6931 de 11 de agosto de 2009
Planejar e Coordenar a execuo das atividades de Segurana da Informao e Comunicaes na Administrao Pblica Federal.
Diretor
Gabinete
Assessoria Jurdica
Operar e manter o CTIR Gov Promover intercmbio Apoiar rgos e entidades da APF Monitorar e analisar os incidentes da APF Implementar mecanismos de avaliao de danos Apoiar, incentivar e contribuir para a capacitao
AGENDA
APF
CGTIR - CTIR Gov
Aes em andamento
Aspectos Jurdicos
RELACIONAMENTOS
CTIR Gov
Viso Nacional:
Centros da APF Centros Universitrios Centros Privados
Fonte: http://www.cert.org/cert/map_open.html
GESTO DE INCIDENTES
Coordenao-Geral de Tratamento de Incidentes em Redes
TIPO DE TRABALHO
Automtico
Semi-Automtico
Manual
ESTATSTICAS
Notificaes enviadas (recebidas de robs do CTIR Gov):
100
80
60
40
20
PHISHING - APF
PHISHING - APF
2% 6% 7%
ROUBO DE INFO BANCRIAS ROUBO DE INFO PESSOAIS ROUBO DE INFO DA INFOSEG BOTNET OTROS
25%
60%
Mquina Controle de Infeces Mquina Spammer Phishing Acesso indevido (Idt da vtima)
Repositrio de Dados
Phishing
TIPO DE TRABALHO
Exemplos de notificaes
TIPO DE TRABALHO
Computador Alvo
Phishing
Tratamento de Incidentes
Acesso indevido (Idt da vtima)
Phishing
Repositrio de Dados
Acompanhamento de iniciativas nacionais e internacionais na rea da segurana e no tratamento de incidentes; CTIR Gov CTIR.gov
AGENDA
APF
Aspectos Jurdicos
48% no possui procedimentos de controle de acesso 64% no tem poltica de segurana da informao 64% no tem rea especfica de segurana da informao 75% no adota anlise de riscos
ATIVIDADE
METODOLOGIA
ALVO
REALIZADO
Sensibilizao
Palestras e Congressos
1.000.000
25.517
Conscientizao
Seminrios e Oficinas
100.000
4.363
Capacitao
Cursos de Fundamentos
10.000
595 150
Especializao
Cursos ps-graduao
1000
80 193
INSTRUO NORMATIVA N 01
INSTRUO NORMATIVA N 01
Art. 3 Atribuies do GSI
Ao Gabinete de Segurana Institucional da Presidncia da Repblica GSIPR, por intermdio do Departamento de Segurana da Informao e Comunicaes DSIC, compete:
I - planejar e coordenar as atividades de segurana da informao e comunicaes na Administrao Pblica Federal, direta e indireta;
II - estabelecer normas definindo os requisitos metodolgicos para implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos e entidades da Administrao Pblica Federal, direta e indireta;
III - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da Administrao Pblica Federal, direta e indireta, denominado CTIR.GOV;
IV - elaborar e implementar programas destinados conscientizao e capacitao dos recursos humanos em segurana da informao e comunicaes; V - orientar a conduo da Poltica de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta; VI - receber e consolidar os resultados dos trabalhos de auditoria de Gesto de Segurana da Informao e Comunicaes da Administrao Pblica Federal, direta e indireta;
VII - propor programa oramentrio especfico para as aes de segurana da informao e comunicaes. CTIR Gov CTIR.gov
INSTRUO NORMATIVA N 01
Art. 3 Atribuies do GSI
Ao Gabinete de Segurana Institucional da Presidncia da Repblica GSIPR, por intermdio do Departamento de Segurana da Informao e Comunicaes DSIC, compete:
I - planejar e coordenar as atividades de segurana da informao e comunicaes na Administrao Pblica Federal, direta e indireta;
II - estabelecer normas definindo os requisitos metodolgicos para implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos e entidades da Administrao Pblica Federal, direta e indireta;
III - operacionalizar e manter centro de tratamento e resposta a incidentes ocorridos nas redes de computadores da Administrao Pblica Federal, direta e indireta, denominado CTIR.GOV;
IV - elaborar e implementar programas destinados conscientizao e capacitao dos recursos humanos em segurana da informao e comunicaes; V - orientar a conduo da Poltica de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta; VI - receber e consolidar os resultados dos trabalhos de auditoria de Gesto de Segurana da Informao e Comunicaes da Administrao Pblica Federal, direta e indireta;
VII - propor programa oramentrio especfico para as aes de segurana da informao e comunicaes. CTIR Gov CTIR.gov
III - propor programa oramentrio especfico para as aes de segurana da informao e comunicaes;
IV - nomear Gestor de Segurana da Informao e Comunicaes; V - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais; VI - instituir Comit de Segurana da Informao e Comunicaes; VII - aprovar Poltica de Segurana da Informao e Comunicaes e demais normas de segurana da informao e comunicaes;
VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gesto de Segurana da Informao e Comunicaes para o GSIPR. CTIR Gov CTIR.gov
INSTRUO NORMATIVA N 01
Art. 8 O cidado, como principal cliente da Gesto de Segurana da Informao e Comunicaes da Administrao Pblica Federal, direta e indireta, poder apresentar sugestes de melhorias ou denncias de quebra de segurana que devero ser averiguadas pelas autoridades.
NC n 03 - POSIC
PORTARIA N 29, DE 30 DE JUNHO DE 2009
NC n 03 - POSIC
A POSIC um documento que registra as diretrizes estratgicas, responsabilidades, competncias e o apoio para implementar a gesto de SIC da APF. - visa viabilizar e assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informao (DICA). - Expressa a importncia que a Organizao d para a informao.
da
NC n 03 - POSIC
Pessoas
Tecnologia
Ambiente
Processos
Ativos de Informao
NC n 05 - ETIR
PORTARIA N 38, DE 14 DE AGOSTO DE 2009
a criao de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR nos rgos e entidades da Administrao Pblica Federal, aprovada pelo Diretor do
disciplina Departamento de Segurana da Informao e Comunicaes, em anexo. Art. 2 Esta portaria entra em vigor na data de sua publicao. JORGE ARMANDO FELIX
NC n 05 - ETIR
Responsabilidade Os Gestores de Segurana da Informao e Comunicaes so os responsveis por coordenar a instituio, implementao e manuteno da infra-estrutura necessria s Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais. Definio da Misso A misso deve fornecer uma breve e inequvoca descrio dos objetivos bsicos e a funo da ETIR.
NC n 05 - ETIR
Modelo de Implementao Cada rgo ou entidade dever estabelecer aquele que melhor se adequar s suas necessidades e limitaes. Utilizando a equipe de Tecnologia da Informao - TI Centralizado Descentralizado Combinado ou Misto
NC n 05 - ETIR
Estrutura Organizacional A estrutura depender do modelo de implementao a ser adotado, do tamanho da organizao, do nmero de localizaes geogrficas, do nmero de sistemas e plataformas suportadas, do nmero de servios a serem oferecidos e do conhecimento tcnico do pessoal existente.
Autonomia da ETIR A autonomia descreve o escopo de atuao e o nvel de responsabilidade que a Equipe tem sobre as suas prprias aes e sobre as atividades de resposta e tratamento dos incidentes na rede de computadores. Autonomia Completa Autonomia Compartilhada Sem Autonomia
NC n 05 - ETIR
Anexo A Documento de Constituio da ETIR A fim de regulamentar o funcionamento da ETIR, os rgos e entidades da APF devero elaborar e publicar o Documento de Constituio da ETIR, alinhado com a Poltica de Segurana da Informao e Comunicaes, devidamente aprovado pela Alta Administrao do rgo ou entidade. No documento de constituio da ETIR devero constar, no mnimo, os seguintes pontos: Misso; Comunidade ou pblico alvo; Modelo de implementao; Estrutura organizacional; Autonomia da ETIR; Servios que sero prestados.
MUITO OBRIGADO !
AGENDA
APF
CGTIR - CTIR Gov
Aes em andamento
Aspectos Jurdicos
O QUE UM ASSESSOR JURDICO TERIA A TRANSMITIR DIANTE DO CONTEDO AT ENTO APRESENTADO? VOC J DIGITOU SEU NOME NO GOOGLE HOJE?
Condenado 1 instncia e absolvido em 2 / ao de despejo
Segurana da Informao: proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes, armazenados, em processamento ou em trnsito, abrangendo, inclusive, a segurana dos recursos humanos, da documentao e do material, das reas e instalaes das comunicaes e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaas a seu desenvolvimento (Decreto n 3.505, 13 de junho de 2000) Segurana da Informao e Comunicaes: aes que objetivam viabilizar e assegurar a disponibilidade (acessvel e utilizvel), a integridade (sem modificao ou destruio no autorizada ou acidental) , a confidencialidade (disponvel somente para autorizados)e a autenticidade (produzida, expedida, modificada ou destruda por determinada pessoa fsica, ou sistema, rgo ou entidade) das informaes (Instruo Normativa n 01/GSI, 13 de junho de 2000) Quebra de segurana: ao ou omisso, intencional ou acidental, que resulta no comprometimento da segurana da informao e das comunicaes (Instruo Normativa n 01/GSI, 13 de junho de 2000)
A RESPOSTA EST NO FATO DE QUE OS CONCEITOS CITADOS REVELAM QUE SEGURANA DA INFORMAO E COMUNICAES NO SE RESTRINGE A TI E EST INTIMAMENTE RELACIONADO AO COMPORTAMENTO , POR VIA DE CONSEQUNCIA, DEVE-SE FALAR EM MUDANA DE COMPORTAMENTO. POTENCIAL LESIVO DA INTERNET VERBA VOLANT SCRIPTA MANENT
EX. DEIXAR O FERRO LIGADO OU A PORTA ABERTA AO SAIR DE CASA / E O COMPUTADOR LOGADO, COMO DEVO PROCEDER?
EX. JAMAIS ASSINE QUALQUER DOCUMENTO SEM LER O QUE EST ESCRITO / VC LEU O CONTRATO DE COMPRA DE SUA PASSAGEM AREA? EX. VOC LEU O CONTRATO DA CONTA GRATUITA DE E-MAIL? dados podem ser usados aps encerramento da conta; No se garante a segurana da informao em e-mail particular; Servio pode ser cancelado sem aviso prvio e sem back up. EX. CIDADE PEQUENA MENINA ENGRAVIDA MUDANA DA CIDADE / FILME OU FOTO NA INTERNET (PRIVACIDADE) SEM AUTORIZAO MUDO DE PLANETA?
Art. 327 (CP) - Considera-se funcionrio pblico, para os efeitos penais, quem, embora transitoriamente ou sem remunerao, exerce cargo, emprego ou funo pblica. 1 - Equipara-se a funcionrio pblico quem exerce cargo, emprego ou funo em entidade paraestatal, e quem trabalha para empresa prestadora de servio contratada ou conveniada para a execuo de atividade tpica da Administrao Pblica179. 2 - A pena ser aumentada da tera parte quando os autores dos crimes previstos neste Captulo forem ocupantes de cargos em comisso ou de funo de direo ou assessoramento de rgo da administrao direta, sociedade de economia mista, empresa pblica ou fundao instituda pelo poder pblico
CRIMES DIGITAIS OU CIBERNTICOS Ou Cybercrime consiste toda conduta criminosa em que o processamento eletrnico de dados serve como meio para a prtica do delito ou alvo desse ato
IMPRPRIOS conduta ilcita praticada atravs de um sistema informatizado (previstos no Cdigo Penal 95%). O processamento eletrnico o meio para cometimento do delito.
IMPRPRIOS
Daqueles 95%, 70% das condutas so punidas eficientemente e o restante punido, mas com alguma deficincia. Ex. disseminar cdigo malicioso e como consequncia derruba-se uma rede. Tipo no especfico. Dano (pena inferior a um ano) - PL - crimes contra a honra: calnia (art. 138, CP); difamao (art. 139, CP); injria (art. 140, CP); - fraudes bancrias e de carto de crdito;
- pornografia infantil;
- falsificao e adulterao de dados e documentos a exemplo de cheques e cartes de crdito.
CTRL C / CTRL V
CP, art. 153 1: deteno de 1 a 4 anos e multa por crime de divulgao de informao sigilosa contida ou no nos sistemas ou bancos de dados da Administrao Pblica. CP, art. 154: deteno de 3 meses a 1 ano ou multa - violao de segredo profissional. CP, art. 184: deteno de 3 meses a 1 ano - Violao de Direito Autoral; Art. 195 da Lei 9.279/96 (Concorrncia desleal). crime de furto (um a quatro anos de RECLUSO)? Qual o momento da consumao? E CTRL X?
PRPRIOS (Substitutivo 89/03 ao PL 84/99) 1) Criar e propagar phishing forma de captao de dados de usurio estelionato eletrnico (art. 171); 2) Falsificar ou alterar dado eletrnico ou documento pblico (art. 297); 3) Falsificar ou alterar dado eletrnico ou documento particular carto de crdito (art. 298); 4) Dano destruir, inutilizar ou deteriorar coisa alheia ou dado eletrnico alheio pichar um site (art. 163)
PRPRIOS (Substitutivo 89/03 ao PL 84/99) 5) Inserir ou difundir cdigo malicioso criar ou propagar vrus (art. 163-A); 6) Inserir ou difundir cdigo malicioso seguido de dano vrus derruba uma rede (art. 163-A); 7) Acessar redes ou sistemas expressamente protegidos sem autorizao invases a sistemas (art. 285-A); 8) Obter ou transferir informaes disponveis em redes ou sistemas sem autorizao invaso do sistema com apropriao de dados (art. 285-B);
PRPRIOS (Substitutivo 89/03 ao PL 84/99) 9) Divulgar ou usar indevidamente dados e informaes pessoais ter acesso autorizado a dados e informaes e utiliz-los de forma inadequada ou pblica sem autorizao (art. 154-A) 10) Atentado contra a segurana de servio de utilidade pblica gua, luz, calor, informao, telecomunicao etc. (art. 265); 11) Interrupo ou perturbao de servio telegrfico, informtico, telemtico, dispositivo de comunicao, rede de computadores ou sistema informatizado (art. 266);
PRPRIOS (Substitutivo 89/03 ao PL 84/99) 12) Os provedores de acesso a internet devero armazenar por trs anos os dados de origem, data, hora e local dos acessos feitos por intermdio de suas redes.
Lei n 11.829/08 altera o ECA Art. 241-B. Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vdeo ou outra forma de registro que contenha cena de sexo explcito ou pornogrfica envolvendo criana ou adolescente: Pena recluso, de 1 (um) a 4 (quatro) anos, e multa. 2o No h crime se a posse ou o armazenamento tem a finalidade de comunicar s autoridades competentes a ocorrncia das condutas descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicao for feita por: I agente pblico no exerccio de suas funes; 3o As pessoas referidas no 2o deste artigo devero manter sob sigilo o material ilcito referido.
CRIMES FUNCIONAIS:
CP, art. 313-A. Inserir ou facilitar, o funcionrio autorizado, a insero de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administrao Pblica com o fim de obter vantagem indevida para si ou para outrem ou para causar dano (Pena recluso, de 2 a 12 anos, e multa) - Vtima: Estado e o cidado. CP, art. 313-B. Modificar ou alterar, o funcionrio, sistema de informaes ou programa de informtica sem autorizao ou solicitao de autoridade competente (Pena deteno, de 3 (trs) meses a 2 (dois) anos, e multa) Pargrafo nico. As penas so aumentadas de um tero at a metade se da modificao ou alterao resulta dano para a Administrao Pblica ou para o administrado. CP, art. 314 - Extraviar livro oficial ou qualquer documento, de que tem a guarda em razo do cargo; soneg-lo ou inutiliz-lo, total ou parcialmente (Pena recluso, de um a quatro anos, se o fato no constitui crime mais grave)
2)
Criar uma comunidade ou montar homepage incitando o uso de entorpecentes ou qualquer outro crime (Apologia de crime ou fato criminoso - Art. 287 do C.P.) Usar certificado digital de terceiro (Falsa identidade Art. 307 do C.P.)
3)
4)
Entrar no sistema da Fazenda e transferir dinheiro de precatrio (Exerccio arbitrrio das prprias razes Art. 345 do C.P.)
5) Bitknapping: rapto de dados e ameaa de destruio se no houver pagamento em dinheiro (Extorso - Art. 158 do C.P.) 6) Criar uma comunidade online que fale mal de religies (Escrnio por motivo de religio - Art. 208 do C.P.) 7) Mandar e-mail com informaes sigilosas para terceiros (Violao de segredo profissional - Art. 154 do CP) 8) Reproduzir software sem autorizao com fim comercial (Pirataria - Art. 12 da Lei 9.609/98)
9) Empregar meio fraudulento para desviar clientela de outrem (desviar usurio da pgina da concorrente) (Concorrncia desleal - Art. 195 da Lei 9.279/96) 10) Instalar cmeras e transmitir na internet em tempo real cenas de sexo explicito (Ato obsceno - Art. 233 do C.P)
11) Subtrair dinheiro de conta-corrente por meio de transferncia via internet, sem autorizao do titular da conta (Furto qualificado mediante fraude - Art. 155 4 inciso II do C.P.) se no subtrair dinheiro estelionato (art. 171)
12) Alterar ou destruir dados essenciais ao funcionamento do sistema (Dano - Art. 163 do C.P.)
CTIR.gov
17) Montar pgina de comrcio eletrnico de mercadorias para lavar os lucros de outros delitos ou fazer sucessivas transferncias em home bank (Crime de lavagem de dinheiro - Art. 1 da Lei 9.613/98) 18) Vender produtos na internet descrevendo a mercadoria de maneira enganosa ou receber o dinheiro e no entregar o produto Estelionato - Art. 171 do CP 19) Denunciar algum falsamente em conversa on-line com vrias pessoas (Calnia - Art. 138 do C.P.) 20) Dar forward para vrias pessoas de um boato eletrnico (Difamao - Art. 139 do C.P.)
21) Enviar um e-mail para algum ofendendo sua dignidade ou decoro (Injria - Art. 140 do C.P.)
25) Reproduzir programa de computador, no todo ou em parte, para fins de comrcio, sem autorizao expressa do autor ou de quem o represente (Violao de direitos autorais de programa de computador - Lei 9.609/98, art. 12) 26) Estabelecer ou explorar jogo de azar na internet mediante o pagamento de entrada ou sem ele (Contraveno de Jogos de Azar - Art. 50 do Decreto-lei 3.688/41)
Como esse dispositivo prev de forma especfica a pena de demisso e dispensa a comprovao de dano efetivo no importaria a amplitude do acesso aos sistemas garantida pela senha ou o efetivo acesso a dados sigilosos , no seria possvel a aplicao do princpio da proporcionalidade. O princpio da proporcionalidade serve para dosar a pena a ser aplicada, mas no para descaracterizar o tipo a que os fatos se subsumem, concluiu o relator. CTIR Gov CTIR.gov
Segundo a Polcia Civil de So Paulo, 95% dos casos em que foram identificadas infeces por cdigos maliciosos tiveram como origem e-mails corporativos. O e-mail funcional e a prpria internet, segundo entendimento consagrado pela jurisprudncia dos Pretrios, no so obrigaes contratuais, mas meras ferramentas de trabalho, cabendo a cada rgo definir sua utilizao. Portanto, sujeitos a monitoramento, desde que se d cincia ao usurio (servidor) deste procedimento que tem por objeto resguardar a infraestrutura tecnolgica e eventuais aes de responsabilidade, haja vista ser objetiva em se tratando de Administrao Pblica. Decorrente dessa responsabilidade, que objetiva, o monitoramento no apenas um direito do Administrador, mas uma obrigao uma vez que o rgo responsvel pelos danos causados a terceiros decorrentes do mau uso de suas ferramentas de trabalho, includas a as tecnolgicas, ressalvado o direito de regresso contra o causador do dano que agiu dolosa ou culposamente. Mas e os e-mails de provedores particulares acessados em estaes de trabalhos consideradas ferramentas de trabalho? Este no poder ser monitorado, porque o e-mail particular no funcional mesmo sendo acessado de equipamento funcional. Da a necessidade de se estabelecerem polticas de acesso internet onde o acesso ilimitado seja restrito.
VOC EST ACESSANDO A REDE CORPORATIVA DA INSTITUIO XXX. ESTE AMBIENTE MONITORADO E RESTRITO A PESSOAS AUTORIZADAS, COM O USO DE SENHA INDIVIDUAL, INTRANSFERVEL E SIGILOSA
MUITO OBRIGADO
gerson.charbel@planalto.gov.br