Matérias mais recentes - Todas as seções

Diário Oficial da União

Publicado em: 05/09/2018 | Edição: 172 | Seção: 1 | Página: 121

Órgão: Ministério dos Direitos Humanos/Secretaria Executiva

PORTARIA Nº 402, DE 3 DE SETEMBRO DE 2018

PORTARIA Nº 402, DE 3 DE SETEMBRO DE 2018

Institui e regulamenta o funcionamento da equipe de tratamento e resposta a incidentes na rede computacional do Ministério dos Direitos Humanos.

O SECRETÁRIO EXECUTIVO DO MINISTÉRIO DOS DIREITOS HUMANOS, no uso de suas atribuições legais, e tendo em vista o que dispõe a no uso de suas atribuições legais no uso de suas atribuições legais, tendo em vista o que dispõe a Portaria Ministerial nº 160 art. 2º inciso XII, e;

Considerando a importância de manter a Segurança da Informação e Comunicação - SIC em um ambiente computacional mundialmente interconectado e que a estratégia de segurança da informação é implementada por meio de várias iniciativas, sendo uma delas a criação de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR;

Considerando a Instrução Normativa nº 01 do Gabinete de Segurança Institucional da Presidência da República, de 13 de junho de 2008, que disciplina a gestão de SIC no âmbito da Administração Pública Federal - APF;

Considerando a Norma Complementar nº 05 à Instrução Normativa nº 01 do Gabinete de Segurança Institucional da Presidência da República, de 04 de agosto de 2009, que disciplina a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da APF;

Considerando a Norma Complementar nº 08 à Instrução Normativa Nº 01 do Gabinete de Segurança Institucional da Presidência da República, de 19 de agosto de 2010, que disciplina o gerenciamento de Incidentes de Segurança em Redes de Computadores realizado pela ETIR dos órgãos e entidades da APF; resolve:

Art. 1º - Fica instituída a ETIR, na rede computacional em observância à determinação estabelecida pelo art. 31 da Posic do MDH, conforme definido a seguir.

Capítulo I

Da Missão

Art. 2º - A ETIR do MDH tem por missão receber, analisar e propor respostas a notificações e atividades relacionadas a incidentes de Segurança da informação e comunicação no âmbito do MDH.

Capítulo II

Do Público Alvo

Art. 3º - A abrangência das atividades pertinentes ao MDH, entre elas:

I - Os usuários dos serviços de TIC e dos sistemas de informação do MDH;

§ 1º As atividades pertinentes à ETIR serão realizadas com intercâmbio de informações e em cooperação com as seguintes instâncias:

a)Equipes de resposta a incidentes de Segurança da informação e comunicação da APF;

b)Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal - CTIR GOV;

c)Órgãos, entidades e empresas, públicas ou privadas, que tenham contratos, acordos ou convênios com o MDH;

d)Departamento de Segurança da informação e comunicação da Gabinete Institucional da Presidência da República - DSIC.

Capítulo III

Dos Termos e Definições

Art. 4º - Para efeitos desta portaria, ficam estabelecidos os seguintes termos e definições, em complemento daqueles definidos na Posic:

I - Coordenador da ETIR: servidor público ocupante de cargo efetivo de órgão ou entidade da APF incumbido de chefiar e gerenciar a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;

II - Artefato Malicioso: qualquer programa de computador, ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores;

III - Público Alvo: conjunto de pessoas, setores, órgãos ou entidades atendidas por uma Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais;

IV - CTIR GOV: Centro de Tratamento e Resposta a Incidentes de Segurança em Redes de Computadores da Administração Pública Federal, subordinado ao DSIC;

V - Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais - ETIR: grupo de pessoas com a responsabilidade de receber, analisar e propor respostas às notificações e atividades relacionadas a incidentes de segurança na rede computacional;

VI - Incidente de Segurança da Informação: evento ou série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer a continuidade dos serviços ou ameaçar a segurança da informação;

VII - Serviço: conjunto de procedimentos, estruturados em um processo bem definido, oferecido à comunidade atendida pela ETIR;

VIII - Tratamento de Incidentes de Segurança em Redes Computacionais: serviço que consiste em receber, filtrar, classificar e propor respostas às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências;

IX - Usuário - pessoas que fazem uso de serviços de TI e sistemas de informação de propriedade do MDH, independente do cargo ocupado (prestadores de serviço, consultores, conselheiros, servidores, estagiários e etc).

Capítulo IV

Do modelo de Implantação e Funcionamento

Art. 5º - A implantação e o funcionamento da ETIR seguirá a metodologia definida na Norma Complementar nº 05 à Instrução Normativa nº 01 do Gabinete de Segurança Institucional da Presidência da República, de 04 de agosto de 2009, conforme definido a seguir:

I - será composta por profissionais com experiência e conhecimentos técnicos compatíveis com a importância da missão da equipe;

II - será composta por servidores públicos;

III - ficará vinculada à área de tecnologia da Informação;

IV - o Coordenador da ETIR será o Gestor de Segurança de Informação e Comunicação nomeado pelo MDH.

Art. 6º - O processo de tomada de decisão sobre quais respostas e medidas devam ser adotadas será compartilhado com o Gestor de Segurança da Informação do MDH.

§ 1º A ETIR participará no resultado da decisão, recomendando os procedimentos, medidas e ações técnicas a serem executados para o tratamento e a recuperação durante um incidente, bem como indicando as repercussões se as recomendações não forem seguidas;

§ 2º Durante um incidente de segurança, se houver comprovado prejuízo à imagem institucional, a Equipe poderá tomar a decisão de executar as medidas de recuperação, sem esperar pelo processo de tomada de decisão definido no caput;

§ 3º Uma vez tomada a decisão, caberá à ETIR adotar as medidas técnicas necessárias para a recuperação e tratamento do incidente e demais providências técnicas previstas.

Art. 7º - A ETIR guiar-se-á por padrões e procedimentos técnicos e normativos no contexto de tratamento de incidentes de rede, conforme prescrições do CTIR GOV e do Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil - CERT.Br.

Art. 8º - A ETIR poderá usar boas práticas de mercado, desde que não conflitem com os dispositivos legais em vigor.

Art. 9º - A ETIR deverá comunicar a ocorrência de todos os incidentes de segurança ocorridos na sua área de atuação ao CTIR GOV, conforme padrão definido por aquele órgão, a fim de permitir a geração de estatísticas e soluções integradas para a Administração Pública Federal.

Art. 10. - Compete ao Gestor de Segurança da informação e comunicação:

I - Coordenar a instituição da infraestrutura necessária à equipe de tratamento e resposta a incidentes na rede computacional do MDH, conforme inciso V do art. 5º da Instrução Normativa nº 01, do Gabinete de Segurança Institucional, de 13 de junho de 2008;

II - Havendo indícios de ilícitos criminais, informar as autoridades policiais competentes para a adoção dos procedimentos legais julgados necessários, sem prejuízo do disposto no item 6 da Norma Complementar nº 08/IN01/DSIC/GSIPR e do item 10.6 da Norma complementar nº 05/IN01/DSIC/GSIPR.

Art. 11. - Compete à ETIR:

I - Prover na sede do MDH os serviços definidos no Capítulo;

II - Definir e documentar metodologia e procedimentos internos para o tratamento e resposta a incidentes;

III - Criar as estratégias de resposta a incidentes de rede, elaborar procedimentos de resposta para incidentes previamente conhecidos, gerenciar e atribuir as atividades para a equipe;

IV - Auxiliar o Gestor de Segurança da informação e comunicação e o Coordenador da ETIR na tomada de decisões.

Art. 12. - Compete ao Coordenador da ETIR:

I - Designar os servidores que farão parte da ETIR e os substitutos, suas atribuições e responsabilidades;

II - Coordenar as atividades da equipe de tratamento e resposta a incidentes em redes computacionais;

III - Interagir com o CTIR GOV;

IV - Gerenciar as atividades, os procedimentos internos e distribuir as tarefas para os integrantes da ETIR.

Capítulo IV

Dos Serviços

Art. 13. - A ETIR proverá, a partir de sua instituição, o serviço de Tratamento de Incidentes de Redes Computacionais.

Parágrafo único. Este serviço tem por objetivo manter os sistemas e a estrutura de segurança o mais confiável possível. Faz parte deste serviço os procedimentos de receber, filtrar, classificar e responder solicitações e alertas, analisando essas informações a fim de identificar tendências de ataques.

Art. 14. - Observadas as limitações institucionais e de forma gradativa, a ETIR deverá oferecer os seguintes serviços complementares, conforme definido na Norma Complementar nº 08/IN01/DSIC/GSIPR:

I - Tratamento de vulnerabilidades - recebimento de informações sobre vulnerabilidades, quer sejam em hardware ou software, objetivando analisar sua natureza, mecanismo e suas consequências e desenvolver estratégias para detecção e correção dessas vulnerabilidades;

II - Emissão de alertas e advertências - divulgação de alertas ou advertências imediatas como uma reação diante de um incidente de segurança em redes de computadores ocorrido, com o objetivo de advertir a comunidade ou dar orientações sobre como a comunidade deve agir diante do problema;

III - Anúncios - divulgação, de forma proativa, alertas sobre vulnerabilidades e problemas de incidentes de segurança em redes de computadores em geral, cujos impactos sejam de médio e longo prazo, possibilitando que a comunidade se prepare contra novas ameaças;

IV - Prospecção ou monitoração de novas tecnologias - prospecção e/ou monitoramento do uso de novas técnicas das atividades de intrusão e tendências relacionadas, as quais ajudarão a identificar futuras ameaças. Inclui a participação em listas de discussão sobre incidentes de segurança em redes de computadores e o acompanhamento de notícias na mídia em geral sobre o tema;

V - Avaliação de segurança - análise detalhada da infraestrutura de segurança em redes de computadores e de sistemas de informação da organização com base em requisitos da própria organização ou em melhores práticas de mercado. Pode incluir: revisão da infraestrutura, revisão de processos, análise de aplicativos, avaliação de sistemas de informação, varredura da rede e testes de penetração;

VI - Detecção de intrusão - análise do histórico de dispositivos que detectam as tentativas de intrusões em redes de computadores, com vistas a identificar e iniciar os procedimentos de resposta a incidente de segurança em redes de computadores, com base em eventos com características pré-definidas, que possam levar a uma possível intrusão e, ainda, possibilitar o envio de alerta em consonância com padrão de comunicação previamente definido entre a ETIR e o CTIR Gov;

VII - Disseminação de informações relacionadas à segurança - busca de informações úteis no auxílio do tratamento de incidentes de segurança em redes computacionais.

Parágrafo único. Os serviços deverão ser divulgados pelo Comitê de Segurança da informação e comunicação - CSIC.

Art. 15. - Observado os art. 13 e 14, a ETIR deverá adotar os seguintes aspectos e procedimentos:

I - Registro de incidentes de segurança em redes de computadores: todos os incidentes notificados ou detectados devem ser registrados, com a finalidade de assegurar registro histórico das atividades da ETIR;

II - Tratamento da informação: o tratamento da informação pela ETIR deve ser realizado de forma a viabilizar e assegurar disponibilidade, integridade, confidencialidade e autenticidade da informação, observada a legislação em vigor, naquilo que diz respeito ao estabelecimento de graus de sigilo;

III - Capacitação dos membros da ETIR: os membros da ETIR devem estar capacitados para operar os recursos disponíveis para a condução dos serviços de sua competência.

Capítulo V

Das Disposições Finais

Art. 16. - Assuntos de interesse relevantes serão levados ao CSIC visando, principalmente, a prevenção de novos incidentes de segurança.

Art. 17. - Casos omissos serão resolvidos pelo Gestor de Segurança da informação e comunicação, observando-se a Posic e a legislação em vigor.

Art. 18. - Esta Portaria entra em vigor na data de sua publicação.

ENGELS AUGUSTO MUNIZ

Este conteúdo não substitui o publicado na versão certificada.

ArticlePagination