Universidade de São Paulo USP

PSeg01 - Norma de Segurança da USPNet

Apresentação

Este documento destina-se a estabelecer uma norma de segurança para a USPnet, em complemento às disposições da Portaria GR 3.082, de 06.10.97, disponível em http://www.cci.usp.br/gestao/cci-gati/etica.html.

O documento descreve as Normas quanto ao seu aspecto físico e lógico. Ele é o elemento principal que faz apontamentos para outros documentos relacionados e de leitura recomendada.

Introdução

A cada dia novas ameaças à segurança das redes computacionais aparecem, colocando em risco os negócios das Organizações. Portanto, o desenvolvimento, a freqüente atualização e a eficaz aplicação de normas e regras que permitem lidar com tais ameaças são de fundamental importância nos dias de hoje. Existem diversos tipos de ameaças de uma variedade de fontes tais como, fraudes eletrônicas, sabotagem, vandalismo, fogo, etc. Os problemas proporcionados por vírus, hackers, ataques de deny of service - DoS levam à alteração ilegal dos sistemas, à perda de informações e à interrupção do funcionamento normal dos sistemas. Estes têm se tornado cada vez mais comuns, mais ambiciosos e mais sofisticados.

A dependência nos serviços, a interconexão de redes públicas e privadas e o compartilhamento das informações colocam as Organizações vulneráveis as ameaças de segurança. Isto tudo serve de motivação para a implantação de uma norma de segurança.

1. Objetivo

As Normas de Segurança para a USPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando a proteção e segurança dos equipamentos, dados, pessoas e instalações da Universidade, a saber:

2. Abrangência

Esta Norma tem abrangência para toda Universidade, em relação às instalações, equipamentos, informação e pessoal relacionados à USPnet.

Em conformidade com a Política de Segurança da USPnet, esta norma abrange os seguintes aspectos:

3. Segurança Física das Instalações de Processamento

A Segurança Física tem como objetivos específicos:

 

3.1 Sistema de Proteção contra Descargas Atmosféricas (SPDA) e Aterramento

Recomenda-se que as edificações onde encontram-se instalações de processamento, estejam protegidas por um sistema contra descargas atmosféricas (pára-raios) e possuam sistema de aterramento eficiente, observando-se o seguinte:

 

3.2 Fornecimento de energia

Os equipamentos devem estar protegidos contra falhas de alimentação elétrica, observando-se as especificações do fabricante do equipamento quanto ao fornecimento de energia:

 

3.3 Segurança do cabeamento

A segurança do cabeamento é tão importante quanto a segurança dos equipamentos de rede. Assim, é importante observar o seguinte:

4. Segurança Ambiental

A Segurança Ambiental tem por objetivo adotar medidas que evitem risco às instalações e equipamentos por ocorrência dos seguintes fatores:

Recomenda-se que:

5. Segurança do acesso às instalações

A Segurança das instalações com relação ao acesso físico tem como objetivos específicos:

 

5.1 Controle de Acesso

As instalações de processamento ou outras áreas de segurança devem ser equipadas com controles de entrada apropriados, de forma que somente pessoal autorizado tenha acesso liberado.

O controle de acesso depende dos requisitos de segurança próprios da área considerada e pode se dar através de:

 

5.2 Segurança do acesso à instalação:

Convém que cada Unidade crie normas ou procedimentos que complementem os sistemas de segurança adotados e sugeridos:

Adicionalmente, convém que o Controle de Acesso utilize sistemas eletrônicos complementares:

 

5.3 Segurança para o Sistema de Telefonia

Semelhante às Instalações de Processamento, o sistema de telefonia requer cuidados e procedimentos que visem a segurança:

6. Segurança dos equipamentos

A segurança dos equipamentos está diretamente relacionada aos procedimentos de instalação e proteção, atentando-se ao seguinte:

 

6.1 Segurança de equipamentos instalados fora da USPnet

Os equipamentos instalados fora dos limites da USPnet e interligados a ela, devem ter autorização expressa do responsável pela administração do backbone da USPnet para poder manter a conexão.

 

6.2 Manutenção de equipamentos

Em relação à manutenção dos equipamentos, deve-se observar o seguinte:

7. Segurança lógica ou Segurança da informação

Tão importante quanto a segurança física é a segurança da informação.

Recomenda-se a adoção das seguintes medidas que visem proteger a integridade das informações da Unidade ou Universidade:

 

7.1 Contas de Acesso aos Sistemas

Sobre o acesso aos sistemas, segue:

As penalidades, responsabilidades e atos considerados como infrações quanto ao uso das contas em quaisquer sistemas estão previstos em "Normas de utilização dos Recursos Computacionais" PSeg02.

 

7.2 Segurança para rede de dados

A segurança para a rede sob o aspecto da segurança lógica deve considerar filtros e protocolos habilitados nos ativos.

 

7.3 Segurança de acesso remoto

 

7.4 Segurança para terminais públicos

 

7.5 Segurança para servidores

Além das recomendações, um plano de contingência deve ser criado para a recuperação de desastres.

 

7.6 Segurança para notebooks e PDAs

8. Segurança Administrativa

Cabe ao administrador as seguintes diretivas visando a segurança administrativa:

Os usuários, por sua vez, devem atender às seguintes diretivas básicas:

9. Diretrizes gerais para lidar com incidentes

Os funcionários devem ler e entender as seguintes diretrizes para lidar com incidentes:

 

9.1 Em relação ao acesso físico

 

9.2 Em relação aos ativos de rede

10. Auditoria

É importante que a Unidade adote um esquema de Auditorias. Neste caso, os funcionários devem ler e entender e cooperar com os procedimentos e diretivas adotadas.

 

10.1 Auditorias notificadas

São anunciadas previamente aos funcionários, de modo que tenham tempo para preparar o ambiente e rever suas práticas. Seus propósitos são:

 

10.2 Auditorias não anunciadas

São aleatórias, buscando a identificação de vulnerabilidades e a constante conscientização com a segurança.

Podem ser implementadas na forma de ataques simulados, desde que permaneçam no escopo da rede local.

 

Av. Prof. Luciano Gualberto, travessa 3, n° 71 . Cidade Universitária . São Paulo, SP . 05508-010 . security@usp.br
antispam.br
Valid CSS!
Valid XHTML 1.0 Transitional