Politica de Segurança da Informação da PT
Contents
1. V 0 lt gt que dever o estar inclu dos e intercalados no interior da password o N o cont m palavras em qualquer l ngua dialecto ou cal o o N o s o baseadas em informa o pessoal o N o cont m o user name do respectivo Utilizador ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 2 User access management 11 3 User responsibilities 12 Para verificar se uma password considerada adequadamente forte pode recorrer ao seguinte servi o do Portal Pulso https pwd tester pulso telecom pt Este teste feito localmente no pr prio Browser do utilizador sem que qualquer informa o seja transferida para o Pulso Clas P bl sifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 37 67 ico dos Sistemas e Tecnologias de Informa o e Comunica o q Gees X FX a Gerir Eoprer a Net A rirc bN FORSAS RDIS PP CA Servi o Fixo de Telecomunica es 6 6 Responsabilidades Espec ficas dos Utilizadores 6 6 1 Seguran a das Esta es de Trabalho ET VDi s Desktops e Notebooks proibido aos Utilizadores a Ffectuar ac es que possam danificar interromper ou gerar erros nos sistemas inform ticos da PTP b Efectuar uploads downloads ou transmiss o n o autorizada de qualquer programa ou ficheiro sobre o qual incidam direitos de autor direitos conexos ou outros direitos de propriedade intel2. Information Technology Code of practice for information security management 11 3 User Responsibilities 13 1 2 Reporting security weaknesses 6 7 Controlo de Acessos Rede 6 7 1 Utiliza o de Linhas Anal gicas ISDN e ADSL A utiliza o de kits ADSL ou Modems anal gicos ou ISDN para liga o de desktops ou notebooks simultaneamente Internet e a qualquer das redes internas da PTP incluindo redes de gest o expressamente proibida Excep es a esta regra dever o ser devidamente justificadas e aprovadas pelas chefias correspondentes e comunicadas entidade respons vel pela operacionaliza o e gest o dos servi os de TI s incluindo a sua seguran a operacional Enquanto um desktop ou notebook estiver ligado a uma das redes internas da PT n o pode estar ligado a qualquer outra rede S pode haver uma liga o de cada vez ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 4 Network access control 6 7 2 Utiliza o de Redes Wireless As organiza es da PTP que por necessidades operacionais tenham que disponibilizar acessos Wireless WiFi 3G etc aos seus Utilizadores dever o assegurar autoriza o pr via rea respons vel pela seguran a operacional das redes internas da PTP Essa entidade dever verificar a seguran a desta rede Wireless e do acesso desta s redes internas da PTP Caso n o seja poss vel garantir a seguran a da informa
3. Information Technology Code of practice for information security management 11 6 Application and information access control 12 1 Security requirements of information systems Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 48 67 Gees o QSertif o r RDIS PP CA popcer ER Servi o Fixo de Telecomunica es Q 6 9 2 Passwords de Acesso a Bases de Dados Esta Pol tica estabelece os requisitos para armazenar e devolver User Names e Passwords de Base de Dados ou seja as credenciais de Base de Dados a serem utilizados por uma determinada aplica o que acede a uma Base de Dados da PTP As aplica es dispon veis na rede PTP necessitam habitualmente de aceder a um ou mais servidores de Base de Dados De forma a ser poss vel aceder a uma Base de Dados as aplica es t m que se autenticar na Bases de Dados atrav s da apresenta o das credenciais necess rias Os privil gios de acesso s Base de Dados cujas credenciais dever o restringir poder o ser comprometidos se estas mesmas credenciais forem guardadas de forma incorrecta pelas aplica es De forma a manter a seguran a das Bases de Dados da PTP o acesso por aplica es dever apenas ser permitido mediante a apresenta o das necess rias credenciais Estas credenciais n o dever o residir no corpo do c digo da aplica o em texto
4. o da password de no m ximo um ano e garantir um processo de actualiza o fi vel seguindo as recomenda es referidas no ponto6 5 para passwords robustas Em qualquer dos casos sempre que exista uma suspeita fundada que uma determinada password foi revelada para al m da equipa respons vel pela explora o dos sistemas ou tecnologias envolvidas dever proceder se imediatamente sua substitui o pelo administrador respons vel de sistema aplica o tecnologia Todas as contas aplicacionais dever o ter um respons vel nominal pelos mesmos n o uma entidade email de suporte ou sigla de departamento devidamente Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 35 67 6 Ent taprer ER Ins bN ERI registado na plataforma centralizada de gest o de identidades Identity Management da PTP ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 2 User access management 6 4 Directrizes para Constru o de Passwords para Utilizadores Normais Internos ou Externos Todos os Utilizadores dever o estar consciencializados para a import ncia da escolha de uma password que n o seja uma password fraca Passwords fracas p em em risco a seguran a da informa o na PT Portugal pelo que s o proibidas por esta Pol tica de Seguran a da Informa
5. o dos Utilizadores nessa rede e ou a seguran a do acesso a redes internas da PTP a rede Wireless n o dever ser autorizada Acessos dentro de instala es PTP com ET s ou TD s PTP a redes Wireless n o autorizadas ser o considerados viola es graves a esta Pol tica Igualmente dever ser considerada viola o grave toda e qualquer instala o de equipamentos Wireless exemplo routers com interface WiFi n o autorizados e que Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 42 67 AGITO a amp i hri RDIS PP CA fE Sacer ER kacer gisNe RES Servi o Fixo de Telecomunica es disponibilizem a outros equipamentos exemplo laptops ou computadores pessoais acesso directo rede interna da PTP ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 4 Network access control 6 7 3 T neis para o Exterior A abertura de t neis que permitam a comunica o de dados a partir da rede interna da PTP para o exterior sem ser devidamente analisada documentada e autorizada pelas chefias correspondentes e pela entidade respons vel pela Pol tica de Seguran a da Informa o expressamente proibida para mais detalhe ver gloss rio ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 4
6. DE a rY E LAFA amp pie PA Tomoa F OHSAS 18001 RDIS PP CA Servi o Fixo de Telecomunica es Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o Vers o 2 0 mbito da vers o 2 0 PT Comunica es Tmn e PT Prime As restantes empresas caso n o tenham Pol ticas de Seguran a da Informa o pr prias poder o optar por utilizar esta Pol tica De qualquer das formas quando prestarem servi os PT Comunica es Tmn ou PT Prime prevalece a expressa neste documento Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 1 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o EN Qertif hapcer genea Phire Na EE Forsasisoo RDIS PP CA Servi o Fixo de Telecomunica es Vers o Autor Revis o DELE Observa es Direc o de Gest o de Risco 10 T cnico Seguran a e 21 12 2005 Aprova o em CE da PT Controlo dos Sistemas de Comunica es Informa o DRI Nova vers o 1 Altera o da classifica o Confidencial do documento Alberto Bruno DRI RTS 2 mirgducaoelassilicagag destinat rios Jos Aser DRI RTS 101 Paula Ferreira DRI NCI Alberto Mendes woane o o a ne DRI NCI desajustadas maturidade dos Pedro In cio DRI RTS Pedro Silva DRI PDR processos sistemas 4 Inclus o de novas cl usulas a Passwords admi
7. o da Rede na rede core a DSE Direc o de Servi os Especializados ao Cliente nas redes de clientes empresariais e a DOI Direc o de Opera es de Cliente e Infra Estruturas na rede de acesso e clientes residenciais Estas entidades s o tamb m respons veis por assegurar que todos os seus novos projectos cumprem o determinado nesta Pol tica de Seguran a da Informa o A entidade respons vel pelo desenvolvimento de plataformas de servi o de telecomunica es da Rede da PT Portugal a DPT Direc o de Plataformas e Engenharia de Servi os Esta entidade tamb m respons vel por assegurar que todos os seus novos projectos cumprem o determinado nesta Pol tica de Seguran a da Informa o As entidades respons veis pela opera o e manuten o da Rede da PT Portugal s o a DOMF Direc o de Opera o e Manuten o da rede Wireline para a rede Wireline e a DOMM Direc o de Opera o e Manuten o da rede Wireless para a rede Wireless Estas entidades s o tamb m respons veis por assegurar controlos Por exemplo plataforma e mail acesso internet backups etc Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 7 67 gt rS Toseast oor q E poprer ER REA RDIS PP CA Servi o Fixo de Telecomunica es de seguran a da informa o ao n vel das redes e servi os sob sua
8. s instala es da PTP Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 15 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o Gees o Qeertif o r RDIS PP CA naprer KNet zza Faksas o0 Servi o Fixo de Telecomunica es 4 3 Responsabilidades gerais das chefias e das reas de gest o dos recursos humanos Sempre que exista uma altera o significativa de responsabilidades ou fun es de um Utilizador a respectiva chefia dever informar a rea respons vel pela Gest o de Utilizadores para que possam ser alterados os respectivos privil gios do Utilizador Sempre que termine a colabora o de um funcion rio PTP a rea de recursos humanos dever informar as reas respons veis pela Gest o de Utilizadores para que esse colaborador possa ser o mais rapidamente poss vel desactivado e os seus acessos cancelados em todas as redes sistemas de informa o plataformas tecnol gicas e pontos de acesso f sico aos edif cios PT A rea de gest o de recursos humanos dever tamb m garantir a recolha do cart o de empregado assim como a elimina o de toda a informa o de car cter biom trico associado a esse funcion rio Caso o funcion rio tenha um n vel hier rquico com responsabilidades de gest o ou tenha dentro das suas fun es lidado com informa o confidencial toda a informa o no seu Desktop e ou Notebook dever ser destru da ante
9. Code of practice for information security management 11 6 Application and information access contro 12 1 Security requirements of information systems q 6 9 3 Passwords de Acesso a Aplica es Mesmo nas aplica es residentes em zonas seguras dentro de um Data Center n o devem haver passwords directamente escritas no meio do c digo aplicacional ou no meio de scripts Quando n o houver alternativa pr tica face base tecnol gica em uso e g tecnologias tecnologicamente obsoletas dever se garantir que pelo menos as passwords residem em ficheiro pr prio devidamente protegido e encriptado e s acess vel aplica o ou script que dela precisa Sempre que as aplica es armazenem os identificadores dos seus Utilizadores e as respectivas passwords dentro de uma tabela numa base de dados dever o faz lo de forma cifrada para ambas as colunas login e password A chave de cifra n o dever ser armazenada dentro da base de dados recomendando se a utiliza o de um ficheiro de configura o da aplica o com acesso protegido Quando a componente cliente de uma aplica o a funcionar num desktop notebook precisar de aceder directamente a outra aplica o secund ria dever obrigar o Utilizador a faz lo explicitamente ou recorrer ao processo de Single Sign On da PTP Em Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa
10. K Nesta Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica es poder o despoletar ac es disciplinares bem como procedimento legal civil ou criminal proibido qualquer acesso an nimo aos sistemas ou aplica es da PTP exemplo atrav s de Utilizadores Guest Estas contas devem estar todas desactivadas Pedidos de novos Utilizadores ou de altera o de privil gios dever o passar por um processo de valida o que inclua a rea de Recurso Humanos e devem ser efectuados por escrito utilizando templates pr definidos ou aplica es inform ticas espec ficas para o efeito exemplo atrav s da cria o de um ticket para a equipa de suporte ou via Pulso Acessos e aprovados pela respectiva chefia antes de implementados De forma a assegurarmos o registo hist rico destes processos os registos existentes dever o ser mantidos durante um per odo m nimo de 2 anos Privil gios atribu dos a Utilizadores externos organiza o dever o expirar automaticamente no m ximo ao fim de 90 dias Excep es a esta regra poder o ser implementadas desde que sejam identificadas pelo respectivo interlocutor autorizado da PTP que definir o prazo adequado para o respectivo acesso Sempre que seja necess rio prolongar este per odo dever ser autorizado novo pedido pela mesma entidade Todos os userids inactivos durante 60 dias m ximo dever o ser automaticamente bloqueados
11. O 6 6 7 Comunica o de Situa es An malaS ecassiasanirisgia issneistated reta atuantes gana sainte ssuti treitatene o O 6 6 8 Destrui o Altera o ou Comprometimento n o Autorizado de Logs Aplicacionais ou de Sistema 40 6 6 9 Realiza o de Testes N o Autorizados de Seguran a 6 6 10 Outras Disposi es 6 6 11 Obriga es no Momento de Cessa o de V nculo Laboral ou Contratual serenata 41 6 7 Controlo de Acessos Rede ana aE N A R E na AAR 42 6 7 1 Utiliza o de Linhas Anal gicas ISDN e ADS Lursrussissssrinesausoneseninicenineniannii a RR 42 6 7 2 Utiliza o de Red s WirelesS ssisiinissninnnsnisissisnnsniniinssaniin iini ENRE 42 6 7 3 T neis para o Exterior us ds g me E ma De 43 6 74 Acessos Remotos 6 7 5 Acessos a Extranet s 6 8 Controlo de Acessos a Sistema OperatiVO a sissisaiastsaiiniaiiasisiinsicaresiner ceidatacificiinintasis saida ceam ss n sanada desde A ni 44 6 8 1 Directrizes de Configura o de Esta es de Trabalho ET e TD AM 6 82 Directrizes de Configura o de Esta es de Trabalho de Risco tierra 45 6 8 3 Acesso Remoto a EQUIpamMento ssa sam siegeentesaaes ss ena aa AA i a 46 6 8 4 Acessos a Servidores e outras Tecnologias de Informa o 6 8 5 Acessos a Elementos de Rede e Seguran a de Rede 6 8 6 Directrizes de Configura es eee 6 9 Controlo de Acessos a Aplica es s s11 1 111101r101
12. as seguintes regras dever o ser implementadas e Todos os sistemas tecnologias aplica es dever o ter sistemas de controlo de acessos por mecanismos de autentica o dos Utilizadores e Acessos a sistemas tecnologias aplica es devem ser conseguidos via autentica o por user password que devem ser nicas para cada Utilizador individual N o permitida a partilha de autentica o por grupos de Utilizadores Em casos onde por raz es t cnicas ou por raz es de neg cio seja necess rio manter contas gen ricas ser obrigat rio obter a aprova o da excep o por parte da entidade respons vel pela Pol tica de Seguran a e implementar mecanismos alternativos de controlo que permitam a todo o momento determinar a identidade do Utilizador Contudo os acessos rede ter o de ser sempre nominais e Sempre que poss vel a interface apresentada para autentica o dever incluir o seguinte alerta Este sistema apenas dever ser usado por Utilizadores autorizados Ao continuar a usar este sistema o Utilizador reconhece que um Utilizador autorizado O Utilizador reconhece que as utiliza es deste sistema s o registadas e compreende que as viola es Pol tica de Seguran a da Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 30 67 I RDIS PP CA Servi o Fixo de Telecomunica es Enr tapcrer ER
13. nio de e mail da PTP ou com assinatura contendo refer ncia a uma entidade da PTP neste caso mesmo que enviada de um dom nio de e mail pessoal de um colaborador ser ou poder ser considerada pelo p blico em geral como uma afirma o posicionamento oficial da organiza o Neste sentido o e mail da organiza o n o poder ser utilizado para a cria o e distribui o de qualquer mensagem perturbadora ou ofensiva incluindo coment rios ofensivos sobre ra a g nero tra os f sicos defici ncias idade orienta o sexual pornografia convic es e pr ticas religiosas orienta es pol ticas ou naturalidades proibido o envio de chain letters de um e mail da PTP O envio de e mails massivos i e para uma lista de distribui o de grande dimens o apenas dever ser efectuado por rg os da PTP a esse tipo de comunica o alargada com os colaboradores administra o recursos humanos comunica o corporativa etc Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 23 67 Gees o QSertif o r RDIS PP CA popcer ER Servi o Fixo de Telecomunica es aceit vel que os Utilizadores PTP utilizem para fins pessoais o sistema de e mail da organiza o desde que tal uso seja devidamente moderado n o viole o c digo de conduta da PTP e respeite as regras estabelecidas no Regulamento In
14. o anteriormente em produ o A entidade respons vel pela Pol tica de Seguran a da Informa o proceder periodicamente e sempre que considere necess rio ao controlo das excep es documentadas e registadas A informa o das mesmas um input essencial para o Processo de Gest o de Risco dos Sl s TI s da PTP o qual da sua responsabilidade de acordo com o Manual de Controlo Interno ISO IEC 17799 2005 Information Technology Code of practice for information security management 6 1 Internal Organization amasse 8 4 Comunica o de Incidentes de Seguran a Sempre que seja identificada uma situa o an mala que possa estar relacionada com a seguran a l gica das TI s Sl s ou REDE da PTP esta deve ser imediatamente comunicada ao CSIRT da PTP atrav s dos seguintes pontos de contacto e Pelo CSI Atendimento csi atendimentowtelecom pt que ap s identifica o rigorosa do seu interlocutor far o encaminhamento do incidente para o CSIRT da PTP e Por e mail para o seguinte email CSIRTOTELECOM PT A equipa do CSIRT dever classificar os incidente em quanto sua incid ncia i gt incidente sobre TI s gt incidente sobre SI s gt incidente sobre reas ligadas s Redes Wireline ou Wireless de seguida avaliar o risco envolvido no incidente comunicado e verificar a autenticidade do seu comunicante original ap s o que dever tentar resolv lo caso seja capaz Le caso j conhe a esse tipo de i
15. o dos servi os de TI s da PTP e No caso de excep es relativas ao Portal Sapo bastar a aprova o do Director respons vel pela tecnologia engenharia e opera o do Portal Sapo e No caso de excep es relativas Rede Wireline da PTP bastar a aprova o do Director respons vel pela opera o e manuten o da Rede Wireline devendo este sempre que necess rio aconselhar se junto das respectivas Direc es de Engenharia e da entidade respons vel pela Pol tica de Seguran a da Informa o da PTP e No caso de excep es relativas Rede Wireless da PTP bastar a aprova o do Director respons vel pela opera o e manuten o da Rede Wireless devendo este sempre que necess rio aconselhar se junto das respectivas Direc es de Engenharia e da entidade respons vel pela Pol tica de Seguran a da Informa o da PTP e Em caso de d vida dever ser consultada a entidade respons vel pela Pol tica de Seguran a da Informa o da PTP A entidade respons vel pela Pol tica de Seguran a da Informa o proceder sempre que considere necess rio ao controlo das excep es documentadas e registadas A informa o das mesmas um input essencial para o Processo de Gest o de Risco dos Sl s TI s da PTP o qual da sua responsabilidade de acordo com o Manual de Controlo Interno Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 55 67 P blico dos Sistemas e Tecnologias de
16. responsabilidade e A entidade respons vel pela tecnologia engenharia opera o e seguran a do Portal Sapo da PT Portugal a DTS Direc o de Tecnologia do Portal Sapo Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 8 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o se BE Fr AGE LER S NERS PT RDIS PP CA Servi o Fixo de Telecomunica es 2 Refer ncias A refer ncia aos diplomas seguidamente indicados incluem a refer ncia s altera es aos mesmos que eventualmente tenham ou venham a ser efectuadas ISO IEC 27001 2005 Information Security Management Systems Requirements ISO IEC 17799 2005 Information Technology Code of practice for information security management Directiva 95 46 DO PARLAMENTO EUROPEU E DO CONSELHO de 24 de Outubro de 1995 Relativa protec o das pessoas singulares no que diz respeito ao tratamento de dados pessoais e livre circula o desses dados Directiva 2002 58 CE DO PARLAMENTO EUROPEU E DO CONSELHO de 12 de Julho de 2002 Relativa ao tratamento de dados pessoais e protec o da privacidade no sector das comunica es electr nicas Directiva relativa privacidade e s comunica es electr nicas Lei 67 98 de 26 de Outubro Lei da Protec o de Dados Pessoais Lei 41 2004 de 18 de Agosto Lei relativa ao tratamento de Dados Pessoais e Protec o da Privacidade no Sector
17. vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 17 67 Gees o QSertif o r RDIS PP CA gaper ER Servi o Fixo de Telecomunica es A atribui o do grau de classifica o PT Muito Secreto compete exclusivamente aos membros da Comiss o Executiva ou quando n o haja do Conselho de Administra o ou do Conselho Ger ncia consoante os casos n o podendo em caso algum ser subdelegada A atribui o do grau de classifica o PT Secreto compete aos membros da Comiss o Executiva ou quando esta n o exista aos membros do Conselho de Administra o ou do Conselho de Ger ncia consoante os casos ou ainda aos Directores das Empresas A atribui o dos graus de seguran a PT Reservado e PT Confidencial compete aos funcion rios que assinarem o documento ou informa o cuja seguran a se deseja garantir tendo em considera o as regras e a necessidade atr s definidas Os ficheiros classificados como Muito Secreto Secreto ou Confidencial armazenados em bases de dados ou ficheiros do sistema devem ser cifrados de forma a evitar a sua consulta por parte da equipa t cnica de opera o e manuten o outros Utilizadores privilegiados ou atrav s de acessos n o autorizados A informa o classificada como PT Confidencial ou PT Reservada n o dever ser reencaminhada a n o ser que tal seja mesmo necess rio e cr tico para o neg cio e a mensagem e respectivos anexos estejam cifr
18. 6 PR 21 5 4 1 Armazenamento de Informa o em ServidoreS s s sssssssssssssisivssstsisrssireststsinsantsrnstntnenststnrnstnenrnanenenstntnrnstnenrnanensnstntnrantnrnran anenee en 21 5 4 2 Gest o e Utiliza o da Documenta o de Sistemas e Tecnologias de Informa o e Comunica o 33 Comunica o de Nf oMa i Onesies aina laii R 5 3 1 nforma o Classificada como PT Muito Secreto ou PT Secreto s sssssssssssisssirivrtstriststsisrtntnssrtstnrnstntnrnstntnenrtntnrnstnrnrnn entat 22 5 5 2 Woiliza o dE FAA aene E rd E N NER 22 5 5 3 Utiliza o de Im pressDras assis fsgemsriesasa afiada Frase fassa east R are enteado E 5 54 Utiliza o de Computadores Portateis aa asscasgrtisiadec pets on ne pda S S a pa 23 5 55 Potica o ee Mal snee e e a A A ea A E 23 5 5 6 Pol tica de e mail Opera o Manuten o e Gest o 5 5 7 Utiliza o de Servi os de Messaging ms 5 5 8 Comunica o de Informa o Classificada como PT Confidencial e PT Reservada 26 5 5 9 Desenvolvimento de Sistemas Utiliza o de Criptografia testes 26 5 5 10 Comunica o de Informa o entre Sistemas e Aplica es teaser 27 5 5 11 Remote Shells SNMP e Administra o de Sistemas e Tecnologias de Informa o e Comunica o 28 5 5 12 Garantia de Seguran a nos Front Ends Extra et Internetisssssssiansnen a e a 29 6 CESLaO OC ACESSOS e carrear T 30 6 1 Gest o de Acessos de Utilizadores s ss
19. Firewall Screen saver activo com password etc Estes mecanismos devem estar sempre activos e devem ser automaticamente actualizados A altera o destas configura es bem como a instala o desinstala o de software da responsabilidade do respectivo Utilizador a quem a esta o de desenvolvimento foi atribu da ISO IEC 17799 2005 Information Technology Code of practice for information security management Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 38 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o ESTA o Qeertif o r RDIS PP CA topcer ER REA Servi o Fixo de Telecomunica es 10 4 Protection against malicious and mobile code 11 3 User responsibilities 6 6 3 Lock e Logout do seu Computador Utilizadores que deixem o seu posto de trabalho sem supervis o durante algum tempo dever o previamente garantir que efectuam o Lock ou Logout do seu computador ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 3 User responsibilities 6 6 4 Escolha de Passwords As passwords escolhidas dever o ser robustas de acordo com as directrizes de constru o de passwords descritas no ponto 6 4 ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 2 User access management 11 3 User responsibilities 6 6 5 Protec o das Passw
20. Network access control 6 7 4 Acessos Remotos Os acessos remotos para o interior da empresa dever o recorrer sempre sem excep o a VPN s oficiais geridas pela entidade respons vel pela Infra estruturas A seguran a operacional destas VPN s dever ser igualmente da responsabilidade operacional daquela entidade Os pedidos de acesso a partir do exterior dever o ser devidamente analisados documentados e autorizados pelas chefias A organiza o dever ter definido um procedimento de suporte aos pedidos de acesso remoto e respectivas autoriza es devendo existir informa o consolidada sobre quem tem este tipo de acesso quem tem acesso quem autorizou qual a infra estrutura utilizada perfil do acesso Dever ser mantido um registo dos acessos efectuados assegurando um hist rico m nimo de 2 anos ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 4 Network access control 6 7 5 Acessos a Extranet s Todos os pedidos de novas liga es a uma extranet dever o ser formalizados por escrito pela entidade requisitante junto da equipa respons vel pela extranet incluindo uma justifica o clara do requisito de neg cio subjacente Estes pedidos dever o ser enviados pela equipa respons vel pela extranet para a entidade respons vel pela cria o destes acessos de forma a serem revistos e autorizados Esta revis o tem como objectivo assegurar que todos os acessos est o
21. Remote diagnostic and configuration port protection A 7 3 Q Acessos a Root e Execu o de Comandos Apenas dever o ter privil gios de administra o Sistemas Base de Dados Aplica es etc t cnicos nominalmente identificados e sujeitos assinatura de um NDA adequado ou sujeitos a regras de confidencialidade no mbito da rela o laboral com a PTP Para sistemas da fam lia UNIX n o dever o ser efectuados acessos root remotos directamente Dever ser sempre feito o acesso como Utilizador nominal e posteriormente elevar privil gios para root garantindo que existem audit logs do processo ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 5 Operating System Access Control Ba 7 4 Aplica o de Patches Deve ser garantido pelos respons veis de cada sistema que todos os patches lan ados pelo fabricante e especialmente os patches relativos seguran a estejam devidamente 13 As melhores pr ticas s o internacionais e est o bem suportadas por exemplo pelo NIST www nist org SANS www sans org Cytab etc Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 53 67 T gt q geRvI GE taprer ER so is h Pirc Fic E RDIS PP CA Servi o Fixo de Telecomunica es instalados no sistema com a excep o de causar impacto no
22. a autentica o de Utilizadores individuais nominalmente identificados e n o de grupos Mesmo nas aplica es residentes em zonas seguras dentro de um Data Center n o devem haver passwords directamente escritas no meio do c digo aplicacional ou no meio de scripts Quando n o houver alternativa pr tica face base tecnol gica em uso e g tecnologias tecnologicamente obsoletas dever se garantir que pelo Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 47 67 a RDIS PP CA Servi o vi gt E q Gs Eoprer a Net A 2 riso som tu Vest Fixo de Telecomunica es menos as passwords residem em ficheiro pr prio devidamente protegido preferencialmente encriptado e s acess vel aplica o ou script que dela precisa Quando a componente cliente de uma aplica o a funcionar num desktop notebook precisar de aceder directamente a outra aplica o secund ria dever obrigar o Utilizador a faz lo explicitamente ou recorrer ao processo de Single Sign On da PTP Em caso algum dever a password da aplica o secund ria residir embutida no c digo da componente cliente especialmente se este for interpretado Devem providenciar um n vel de perfis que permita suportar as diferentes fun es de neg cio dos Utilizadores assegurando a segrega o de fun es de acordo com a m
23. blico dos Sistemas e Tecnologias de Informa o e Comunica o 31 67 I RDIS PP CA Servi o Fixo de Telecomunica es Enr tapcrer ER K Neta Sempre que termine a colabora o de um funcion rio de uma entidade externa a rea na qual desenvolveu a sua actividade dever informar as reas respons veis pela Gest o de Utilizadores para que possa ser o mais rapidamente poss vel desactivado e os seus acessos cancelados em todas as redes sistemas de informa o plataformas tecnol gicas e pontos de acesso f sico aos edif cios PTP A rea interna respons vel pelo servi o prestado pela entidade externa dever tamb m assegurar a recolha de eventuais cart es de acesso assim como a elimina o de toda a informa o de car cter biom trico associado a esse funcion rio externo Caso esse funcion rio externo tenha dentro das suas fun es lidado com informa o confidencial toda a informa o no seu Desktop e ou Notebook dever ser destru da antes que este seja reaproveitado para outro utilizador Em circunst ncia alguma dever se o permitir Desktops ou Notebooks ligados rede interna sem que estes tenham Utilizadores autorizados Para sistemas e aplica es cr ticas como por exemplo as relevantes no mbito SOX imperativa a execu o de um procedimento que reavalie a necessidade da manuten o do acesso aos Utilizadores por parte da sua chefia o procedimento dever ser executado periodicame
24. de acordo com os requisitos de neg cio e as politicas de seguran a definidas e que o princ pio de acesso apenas ao que necess rio cumprido Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 43 67 AGITO a amp i hri RDIS PP CA Haay ropcer glNec Servi o Fixo de Telecomunica es A disponibiliza o de novas conex es entre terceiras partes e a PTP tem de ser formalizada atrav s de contrato o qual dever estar em estrita conformidade com os termos da presente Pol tica Este contrato dever ser assinado pelos representantes das respectivas organiza es que detenham o poder para as representar legalmente A rea da PTP respons vel pelo pedido de conex o dever designar um colaborador que ser o ponto de contacto para tudo o que esteja relacionado com esta liga o extranet Este colaborador actua em nome da rea da PTP respons vel pelo pedido de conex o e respons vel pelo cumprimento desta Pol tica e do acordo estabelecido com a entidade externa Caso seja alterado este ponto de contacto a entidade respons vel pela gest o da extranet dever ser informada e dever ser identificado um novo colaborador para assumir estas fun es Todas as conex es estabelecidas dever o ser baseadas no princ pio de acesso apenas ao que necess rio de acordo com os requisitos de neg ci
25. grau de 7 Ordem de Servi o 001403CE PT SGPS Mat rias Classificadas PT Prepara o Manuseamento Arquivo e Destrui o Entrada em vigor em de 01 08 2003 Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 16 67 Gees o QSertif o r RDIS PP CA popcer ER Servi o Fixo de Telecomunica es protec o Deve ser aplicado unicamente a mat rias cujo conhecimento ou a divulga o por pessoas n o autorizadas para tal possa implicar consequ ncias excepcionalmente graves para a PTP ou para uma das suas Empresas participadas S o exemplos de mat rias a classificar de PT Muito Secreto as que constem de directivas planos ou ordens estrat gicas a n vel de administra o das Empresas PT Secreto Este grau de classifica o aplica se a mat rias cujo conhecimento ou a divulga o por pessoas n o autorizadas para tal possa implicar consequ ncias graves para a PTP ou para uma das suas Empresas participadas S o exemplos de mat rias a classificar de PT Secreto as que constem de estudos e documentos sobre o fornecimento de novas solu es tecnol gicas ou aperfei oamentos considerados estrat gicos para o neg cio das Telecomunica es ou outras circunst ncias que denunciem quest es altamente sens veis para a PTP PT Confidencial Este grau de classifica o aplica se a mat rias cujo conheci
26. o Uma password fraca uma password com pelo menos uma das seguintes caracter sticas e em menos de 8 caracteres e Corresponde a uma palavra que faz parte de um dicion rio e uma palavra de uso comum por exemplo o Nomes de fam lia animais amigos colegas personagens de fic o etc o Termos de inform tica comandos sites organiza es hardware ou software o As palavras PT ou qualquer outra organiza o do grupo PT o Anivers rios ou qualquer outra informa o pessoal tal como morada ou n meros de telefone o Padr es de letras ou algarismo por exemplo aaabbb qwerty zyxwvuts 123321 et o Qualquer uma das express es referidas anteriormente mas escritas do fim para o in cio o Qualquer uma das express es referidas anteriormente mas precedidas ou seguidas de um d gito exemplo PT1 1PT ou de um conjunto sequencial de d gitos ex PT123 123PT Assim as passwords de Utilizadores normais na PTP n o dever o ser passwords fracas e dever o garantir as seguintes caracter sticas o T m pelo menos 8 caracteres o Cont m letras min sculas e mai sculas exemplo a z A Z Para verificar se uma password considerada adequada para contas normais ie que n o sejam de administra o ou de integra o aplicacional pode recorrer ao seguinte servi o de testes da robustez de passwords disponibilizado pelo Portal Pulso http pwd tester pulso telecom pt Este teste feito localmente no pr
27. onde se encontra Privil gio Capacidade autorizada de efectuar uma certa ac o num sistema Classifica o P blico Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o 63 67 a amp i t KT Cr RDIS PP CA elg Ya popcer a Net NER Servi o Fixo de Telecomunica es Protocolos Seguros conjunto de regras standard para a comunica o segura de dados atrav s de um canal de transporte R Remote Shell um programa inform tico que permite aceder remotamente a outro computador O recurso a remote shells ter lugar nos termos e requisitos estritos desta Pol tica RFI Request for Information Consulta ao Mercado para obten o apenas de informa o t cnica relativa a determinado Produto Servi o RFQ Request for Quotation Consulta ao Mercado para obten o de informa o t cnica e comercial relativa a determinado Produto Servi o RFP Request for Proposal Consulta ao Mercado para obten o de proposta t cnica e comercial relativa a determinado Produto Servi o Rede Wireless Uma rede wireless sem fios uma rede de computadores que n o necessita de liga es por cabos sejam eles telef nicos coaxiais ou pticos recorrendo a equipamentos que usam radiofrequ ncia comunica o via ondas de r dio ou comunica o via infravermelho como em dispositivos compat veis com
28. prio Browser do utilizador sem que qualquer informa o seja transferida pela rede ou para o Pulso Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 36 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o ESTO o QSertif o 2 Pirc RDIS PP CA topcer ER REA Servi o Fixo de Telecomunica es o T m d gitos e caracteres de pontua o para al m de letras exemplo 0 9 IDHESHNSEO B0 lt gt 2 7 N o s o uma palavra em qualquer l ngua dialecto ou cal o N o s o baseadas em informa o pessoal N o cont m o username do respectivo Utilizador Finalmente as passwords nunca devem ser escritas ou registadas no computador Os funcion rios dever o criar passwords que consigam facilmente memorizar ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 2 User access management 11 3 User responsibilities a 6 5 R Directrizes para Constru o de Passwords Robustas para Utilizadores com Privil gios de Administra o e para Integra o Aplicacional As passwords de Utilizadores com privil gios de administra o e para integra o aplicacional devem ser robustas de acordo com as seguintes caracter sticas T m pelo menos 12 caracteres Cont m letras min sculas e mai sculas exemplo a z A Z T m d gitos e caracteres de pontua o para al m de letras exemplo 0 9 I ESHA R O
29. reas de Sistemas de Informa o e Infra estruturas Tecnol gicas Planeamento Engenharia e Opera es de Servi os de Rede da PTP ou de entidades externas com responsabilidades t cnicas encontra se classificado com o seguinte s mbolo A Pol tica aqui descrita aplic vel a todos os Sistemas e Tecnologias de Informa o e Comunica o da PTP OSS e BSS bem como comunica o entre estes A aplica o desta Pol tica dever no entanto ser efectuada de forma diferenciada de acordo com a seguinte classifica o dos Sistemas e Tecnologias de Informa o e Comunica o Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 11 67 Gees o QSertif o r RDIS PP CA LACA Eapcer a Net q EN So moor Faksas o0 Servi o Fixo de Telecomunica es Novos sistemas e tecnologias Sistemas e tecnologias j existentes e inclu dos no mbito SOX Sistemas e tecnologias j existentes e n o inclu dos no mbito SOX 3 1 Novos Sistemas e Tecnologias de Informa o e Comunica o Para os novos Sistemas e Tecnologias de Informa o e Comunica o da PTP dever ser garantido o cumprimento integral da Pol tica aqui definida devendo este requisito ser assegurado desde o momento de procura e selec o da solu o tecnol gica a adoptar logo durante a fase de selec o e negocia o com os po
30. reten o definido para cada tipo de informa o antes de avan ar com a sua elimina o nomeadamente verificar o per odo de conserva o da documenta o e do tipo de dados nos termos previstos na lei aplic vel designadamente em mat ria contabil stica e fiscal e nas legaliza es notificadas Comiss o Nacional de Protec o de Dados ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 7 2 Disposal of media 5 3 2 Elimina o de Media Todos os CDs DVD s discos magn ticos bandas cartridges magn ticas etc que j n o sejam necess rios devem ser fisicamente destru dos ou colocados em recipientes adequados para que sejam posteriormente destru dos por uma empresa devidamente certificada para o efeito O processo de destrui o f sica dever impossibilitar qualquer recupera o de informa o mesmo que parcial Esta destrui o dever ser sempre devidamente acompanhada por um quadro autorizado da PTP e ap s verifica o do per odo de conserva o do tipo de dados nos termos previstos na lei aplic vel designadamente em mat ria contabil stica e fiscal e nas legaliza es notificadas Comiss o Nacional de Protec o de Dados Sempre que termine a colabora o de um funcion rio interno ou de uma entidade externa a respectiva chefia dever informar a rea respons vel pela Gest o de Equipamentos para que possam ser eliminados os registos de informa
31. segura com interfaces internas da DMZ para os backends e externas da DMZ para a rede onde est o os Utilizadores devidamente protegidas e monitorizadas pelo Security Operations Center SOC da PTP As DMZ s expostas Internet dever o estar segregadas das DMZ s expostas s redes internas da PTP Idem para as DMZ s expostas a qualquer extranet Se a solu o for cr tica para a PTP dever se garantir adicionalmente m ltiplos front ends Web distintos no m nimo 2 em cluster divididos por infra estruturas f sicas diferentes e devidamente balanceados por um load balancer com capacidade adequada Desta forma assegura se e Uma melhor gest o dos recursos especialmente se a carga crescer pois facilmente se adiciona um novo servidor Web ao cluster e Uma menor exposi o de portos IP Extranet ou Internet permitindo consolidar os acessos vindos do exterior e facilitar a monitoriza o dos mesmos pelo Security Operations Center SOC da PTP e Uma maior simplifica o na configura o e gest o dos dispositivos de seguran a da DMZ monitorizados pelo SOC da PTP e Preven o e mitiga o de eventuais ataques Dos Denial of Service entrada do load balancer poupando os servidores a ele conectados Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 29 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o Gee o QSertif o r RDIS PP CA ER o
32. user ids inactivos durante 1 ano m ximo dever o se poss vel tecnicamente e sem impacto na rastreabilidade dos Utilizadores ser automaticamente removidos caso contr rio dever o ser mantidos bloqueados Sempre que exista uma altera o significativa de responsabilidades ou fun es de um Utilizador a respectiva chefia dever informar a rea respons vel pela Gest o de Utilizadores para que possam ser alterados os respectivos privil gios do Utilizador Sempre que termine a colabora o de um funcion rio PTP a rea de recursos humanos dever informar as reas respons veis pela Gest o de Utilizadores para que esse colaborador possa ser o mais rapidamente poss vel desactivado e os seus acessos cancelados em todas as redes sistemas de informa o plataformas tecnol gicas e pontos de acesso f sico aos edif cios PT A rea de gest o de recursos humanos dever tamb m garantir a recolha do cart o de empregado assim como a elimina o de toda a informa o de car cter biom trico associado a esse funcion rio Caso o funcion rio tenha um n vel hier rquico com responsabilidades de gest o ou tenha dentro das suas fun es lidado com informa o confidencial toda a informa o no seu Desktop e ou Notebook dever ser destru da antes que este seja reaproveitado para outro utilizador 10 http acessos pulsotelecom pt Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P
33. 1sts1tstsstststsnstentststsnorststststsnentnastatanenonontatanentntnaatantntntnastantnantnas tenenan tatnanen tatata nanrntaaa tanara naast 47 6 9 1 Standards para Desenvolvimento de Aplica es teeremessamereasmmessareeesreeesreressmeesssreeessrmeessrreasa 47 6 9 2 Passwords de Acesso a Bases de Dados esaeeeemaesaeeesaeaeaameeesmeeesreeesemeeesreessmeessrreesreeessrereas AD 6 9 2 1 Armazenamento de User Names e Passwords de acesso a Bases de Dados 49 6 9 2 2 Extrair User Names e Passwords de Bases de Dados reter 50 6 9 2 3 Acesso a User Names e Passwords de Bases de Dados tasas 50 6 9 3 Passwords de Acesso a Aplica es sssssssesssrsrsrseserersrerorsrstststststststsesosenarerroeestsaststststnenostststeteeetoteensnnanststs ests tstststststaenenenenanetate tetea asentaen et 50 610 Monitoriza o de ACESSOS nasunie aan a aaa D 7 Disposi es Adicionais ao N vel da Gest o e Administra o de Sistemas Bases de Dados Aplica ES erzaseeezareseniiegena org aaegaaiad assadas a N RRR ERNE 52 71 Garantia de Zonas Seguras Per metros SEGUROS iasssasassessiatasiniata doando ae ad nad esa ssa a ataca 52 72 Hardening de Sistemas Bases de Dados Aplica es e Elementos de Rede serenata 53 73 Acessos a Root e Execu o de Comandos 74 Aplica o de Patches 8 Excep es Pol tica de Seguran a da Informa o e Comunica o de Incidentes de SEQUIANCA a a 8 1 Novos Sistemas e Tecnologias 8 2 Os Siste
34. EN ropcer aaNet Servi o Fixo de Telecomunica es Cabe ao Director de cada rea a identifica o e autoriza o das ET para as quais dever o ser indisponibilizadas as drives para os meios amov veis Deve no entanto ser garantido que n o s o disponibilizadas ou permitidas drives para meios amov veis no caso das Esta es de Trabalho de risco ver 6 8 2 estritamente proibida a execu o de software n o autorizado a partir de qualquer meio amov vel ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 7 Media handling 5 2 2 Transporte de Informa o Classificada Sempre que seja necess rio efectuar o transporte de um documento ou qualquer meio amov vel USB pens Discos externos CDs DVD s Tapes etc com informa o classificada dever o ser garantidas todas as medidas necess rias para proteger a confidencialidade integridade e disponibilidade antes durante e depois do transporte A informa o constante dos meios amov veis a utilizar dever ser cifrada previamente ao transporte O transporte de informa o classificada ser feito sempre por Utilizadores autorizados para o efeito ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 7 Media handling 5 3 Elimina o de Informa o 5 3 1 Elimina o de Documentos Classificados Devem ser destru dos periodicamente e logo que conv
35. Informa o e Comunica o vi X a q Gs Eoprer a Net A 2 risosom S AE eras Pirc YFC RDIS PP CA Servi o Fixo de Telecomunica es Nota Importante As Direc es respons veis pela concretiza o de novos projectos na PTP que venham a resultar em novas aplica es ou novos sistemas e tecnologias de informa o e comunica o s o igualmente respons veis por garantirem o cumprimento integral da Pol tica de Seguran a da Informa o da PTP Em particular importante avaliar logo em fase de projecto o n vel de seguran a que uma nova solu o deva ter Por exemplo caso seja prov vel que uma nova aplica o ou um novo sistema venha a ter impacto directo no relato financeiro da PTP deve ser consequentemente considerado prov vel que esse sistema venha a ser no futuro inclu do no mbito do SOX pelo que as respectivas implica es em mat ria de seguran a dever o de ser consideradas Corrigir lacunas de seguran a a posteriori sempre uma proposi o mais cara do que resolv las em fase de projecto ISO IEC 17799 2005 Information Technology Code of practice for information security management 6 1 Internal Organization a 8 2 Q Os Sistemas e Tecnologias j existentes e inclu dos no mbito SOX Para os Sistemas e tecnologias j existentes e inclu dos no mbito SOX em que se verifiquem situa es em que a Pol tica de Seguran a da Informa o n o seja aplic vel po
36. IrDA Router executa o roteamento do tr fego de rede Os Core Router s o os routers que se encontram localizados nos backbone ou centros nevr lgicos da rede S SCP Secure Copy Protocol SFTP Secure File Transfer Protocol Sistema Cr tico Para efeitos desta Pol tica de Seguran a s o considerados sistemas cr ticos aqueles sistemas onde um acesso n o autorizado ou a execu o de uma opera o n o autorizada pode originar um impacto financeiro negativo na organiza o SMTP Simple Mail Transport Protocol Sniffer s Passivos e Activos Programa que monitoriza e analisa tr fego de rede passivamente sem causar qualquer interven o na comunica o ou activamente provocando interac o na comunica o e for ando os restantes sistemas a responderem ac o iniciada pelo sniffer SNMP Simple Network Management Protocol SOC Security Operations Center SpyWare e SpyWare Bots Software infiltrado num computador que recolhe informa o de uma organiza o ou pessoa sem o seu conhecimento e a transmite de um outro computador normalmente na Internet Um SpyWare Bot um SpyWare mais sofisticado controlado por computadores remotos na Internet Bot Controllers Sondas de Rede Network Probes Computadores com capacidade de capturar e analisar tr fego de rede Classifica o P blico Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Te
37. Tecnologias de Informa o e Comunica es ISO IEC 17799 2005 Information Technology Code of practice for information security management 5 1 2 Review ofthe information security policy Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 58 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o vi Pat Wa q Gs Eoprer a Net A 2 risosom tu estas is RDIS PP CA Servi o Fixo de Telecomunica es 9 2 Conselho de Administra o da PTP CA PTC CA TMN CA PT Prime O Conselho de Administra o da PTP CA PTC CA TMN CA PT Prime efectuar altera es Pol tica de Seguran a da Informa o da PT Portugal PT Comunica es Imn e PT Prime a n vel dos Sistemas e Tecnologias de Informa o e Comunica es sempre que o considere necess rio ISO IEC 17799 2005 Information Technology Code of practice for information security management 5 1 2 Review ofthe information security policy Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 59 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o a amp i Ke cr RDIS PP CA elg Ya popcer glNec E Servi o Fixo de Telecomunica es 10 Gloss rio A Audit Trail Trata se de um log que de uma forma cronol gica regista a sequ ncia de eventos audit veis contendo evid ncia da execu o de transac
38. a aprova o do Director respons vel pela operacionaliza o e gest o dos servi os de TI s o Situa es mais complexas que possam tamb m p r em causa directa ou indirectamente a seguran a da informa o residente ou processada por SI s BSS ou OSS para al m da aprova o do Director respons vel pela operacionaliza o e gest o dos servi os de T s a excep o dever ter adicionalmente a aprova o do Director respons vel pela explora o e opera o dos Sl s na PTP e Nocaso de excep es relativas a Sl s BSS ou OSS Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 54 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o Faksas o0 T gt A Gs Eoprer a Net A Portes Tio oor ANG RDIS PP CA Servi o Fixo de Telecomunica es o Situa es da estrita responsabilidade da entidade respons vel pela explora o e opera o dos Sl s da PTP BSS e OSS e que n o tenham impacto na seguran a de qualquer Tl bastar nestes casos a aprova o do Director respons vel pela explora o e opera o dos SI s na PTP o Simetricamente situa es mais complexas que possam tamb m p r em causa directa ou indirectamente a seguran a de TI s da PTP para al m da aprova o do Director respons vel pela explora o e opera o dos Sl s na PTP a excep o dever ter adicionalmente a aprova o do Director respons vel pela operacionaliza o e gest
39. a Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 27 67 AGITO a amp i hri RDIS PP CA Haay popcer glNet Servi o Fixo de Telecomunica es Sempre que uma ac o de renova o tecnol gica n o conduza ao cumprimento integral da Pol tica de Seguran a da Informa o da PT Portugal PT Comunica es Tmn e PT Prime a n vel dos Sistemas e Tecnologias de Informa o e Comunica es dever pelo menos ser mantida a identifica o deste sistema como uma excep o documentada salvaguardando que nenhuma altera o possa conduzir a uma situa o de risco acrescido de seguran a comparativamente situa o anteriormente em produ o para mais detalhe ver ponto 8 3 ISO IEC 17799 2005 Information Technology Code of practice for information security management 12 1 Security requirements of information systems 12 3 Cryptographic Controls B 5 5 11 Remote Shells SNMP e Administra o de Sistemas e Tecnologias de Informa o e Comunica o Para os sistemas das e tecnologias legadas que por raz es t cnicas hist ricas s tenham Telnet ou outro protocolo id ntico de remote shell n o seguro os acessos dever o ser apenas permitidos dentro de um per metro seguro e a partir dos IP s espec ficos das consolas autorizadas devendo o acesso estar bloqueado para todo e qualquer outro IP e g atrav s de mecanismos baseados por exemp
40. a transmiss o por meios electr nicos de qualquer tipo incluindo assim e mail fax telefone telem vel e Internet de mat ria ou documento classificado como PT Muito Secreto ou PT Secreto ainda que parcial 5 5 2 Utiliza o de FAX Informa o PT Confidencial ou PT Reservada apenas poder ser enviada por fax se n o for poss vel efectuar a transmiss o por meios mais seguros O emissor da informa o e o destinat rio dever o aprovar a respectiva transmiss o previamente que pelo menos quanto a informa o PT Confidencial deve ser acompanhada de comunica o paralela para o destinat rio de forma a assegurar que a informa o chegou aos eu destinat rio ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 8 Exchange of Information 5 5 3 Utiliza o de Impressoras Informa o classificada como PT Confidencial ou PT Reservada n o poder ser enviada para uma impressora de rede sem que algu m autorizado salvaguarde a confidencialidade durante a impress o e recolha do documentos 8 Este ponto encontra se alinhado com a Ordem de Servi o 001403CE PT SGPS Mat rias Classificadas PT Prepara o Manuseamento Arquivo e Destrui o Entrada em vigor em de 01 08 2003 a sua altera o apenas vi vel ap s revis o dessa OS Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o
41. abelecer comunica es mais seguras quando o protocolo envolvente permite encripta o Existem tamb m t neis criados para dissimular comunica es com protocolos proibidos numa organiza o encapsulando os em protocolos comuns como https Esta ltima utiliza o estritamente proibida na PTP U USB Storage Dispositivo de armazenamento que se liga a uma porta USB Universal Serial Bus Utilizador final Elemento que usa um computador para suportar as actividades de neg cio da PTP e que actua como a fonte ou destino da informa o que flu sobre um sistema de informa o ou rede V T Time Stamping o processo de garantir de forma segura o registo do tempo de cria o e modifica o de um documento VDi Virtual Desktop Infrastructure Esta o de trabalho baseada num ecr teclado e rato mas estando o seu processamento entregue a uma m quina virtual que corre centralmente num servidor em ambiente de Datacenter V rus Programa que se replica copiando se para o c digo de outro programa sistema de arranque do computador ou documento e que normalmente persegue objectivos il citos e ou nocivos W Classifica o P blico Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o 65 67 EA a Gs Ss is RDIS PP CA o1 Faksas o0 ropcer a Net bN ERI Servi o Fixo
42. ados As instala es da PTP que contenham informa o classificada como PT Muito Secreto e PT Secreto dever o assegurar mecanismos de controlo de entrada acrescidos tais como cart es de identifica o restri o de acesso aos pisos detec o de impress o digital por via ptica ou outros meios biom tricos de forma a identificar autenticar e registar as entradas e desloca es A n o classifica o expressa de informa o como Classificada n o obsta a que a mesma deva ser considerada como tal em fun o do seu conte do Na d vida quanto ao grau de classifica o de determinada informa o dever ser a mesma considerada como sujeita mais segura das que se considerarem mais adequadas A informa o de dom nio P blico dever ser expressamente classificada como PT P blico ISO IEC 17799 2005 Information Technology Code of practice for information security management 7 2 Information Classification 5 2 Gest o de Meios Amov veis 5 2 1 Utiliza o de Meios Amov veis As drives para meios amov veis nomeadamente USB pens Discos externos CDs DVD s Tapes etc n o dever o estar dispon veis nas Esta es de Trabalho ET quando n o houver uma raz o de neg cio que o justifique Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 18 67 ASIA a amp i hri RDIS PP CA N
43. alquer aplica o sistema tecnologia na PTP dever se garantir que de imediato todas as passwords de f brica atribu das por defeito pelos fornecedores de contas com privil gios de administra o s o alteradas de acordo com as regras definidas nesta Pol tica de Seguran a De igual forma todas as contas de Guest ou outras n o necess rias ao funcionamento da PTP dever o ser imediatamente inibidas As passwords atribu das por defeito a novos Utilizadores de aplica es sistemas tecnologias dever o cumprir as regras de robustez definidas nesta Pol tica e ser obrigatoriamente alteradas ap s o primeiro logon A validade dos novos Utilizadores de 48 horas per odo ap s o qual a conta dever ficar bloqueada De forma a prevenir poss veis ataques seguran a da informa o o n mero de tentativas consecutivas de um Utilizador para autentica o num sistema aplica o tecnologia dever ser de no m ximo 3 tr s Sempre que o sistema suportar 3 tentativas falhadas de autentica o a partir do mesmo ponto o sistema dever bloquear o acesso a esse Utilizador a partir do ponto identificado at que um administrador reinicie a respectiva password password reset e impedir o processo de autentica o por um per odo nunca inferior a 10 minutos Sempre que a seguran a de um sistema aplica o tecnologia tenha sido comprometida ou exista uma suspeita nesse sentido o respons vel do mesmo sistema aplica o tecn
44. as infra estruturas dever garantir que a porta 25 est fechada em todas as Esta es de Trabalho VDi s ET s e TD s e em todos os servidores que n o tenham que usar o protocolo SMTP As aplica es legadas que usem o protocolo SMTP e a respectiva porta 25 dever o estar cadastradas na CMDB da PTP Todas as aplica es novas dever o preferencialmente usar a plataforma oficial de e mail para emitir e mails e sempre de forma autenticada Em qualquer dos casos este facto deve ficar tamb m registado na respectiva CMDB Finalmente s dever o ter privil gios de administra o das plataformas de e mail da PTP e g MS Exchange t cnicos nominalmente identificados e sujeitos assinatura de um NDA adequado ou sujeitos a regras de confidencialidade no mbito da rela o laboral com a PTP ISO IEC 17799 2005 Information Technology Code of practice for information security management Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 25 67 e Sacer ER popcer aaNet 7 Vegeta Servi o Fixo de Telecomunica es 10 4 Protection against malicious and mobile code 10 8 4 Electronic messaging 5 5 7 Utiliza o de Servi os de Messaging permitida a utiliza o de servi os de messaging atrav s de e MS Messenger e Mensageiro do Sapo e Microsoft Office Communicator ou Alcatel OTUC conforme a s
45. as para acesso a Base de Dados dever o estar de acordo com as directrizes de cria o de Passwords descritas no ponto 6 5 Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 49 67 Gees o QSertif o r RDIS PP CA topcer ER RAS Servi o Fixo de Telecomunica es R 6 9 2 2 Extrair User Names e Passwords de Bases de Dados e Se estiverem guardados num ficheiro os User Names e Passwords de acesso a Bases de Dados dever o ser lidos no momento imediatamente anterior sua utiliza o Imediatamente a seguir autentica o na Base de Dados a mem ria contendo o User Name e Password dever ser limpa ou libertada iz 6 9 2 3 Acesso a User Names e Passwords de Bases de Dados e Cada aplica o que implemente uma fun o de neg cio dever ter credenciais nicas de Bases de Dados A partilha de credenciais por diversas aplica es n o permitida e As Passwords utilizadas para acesso a Bases de Dados dever o estar de acordo com as directrizes para constru o de passwords definidas no ponto 6 5 As equipas respons veis pelas Bases de Dados dever o ter um processo definido que garanta que as passwords de Bases de Dados s o controladas e devendo incluir um m todo para restringir o conhecimento das passwords de Bases de Dados apenas a quem necessita ISO IEC 17799 2005 Information Technology
46. ation Technology Code of practice for information security management 11 6 Application and information access control 11 4 5 Segregation in networks Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 52 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o EA a Gs SS is RDIS PP CA popcer ER Servi o Fixo de Telecomunica es A 7 2 Q Hardening de Sistemas Bases de Dados Aplica es e Elementos de Rede Dever ser garantido que em todos os sistemas se elimine o maior n mero de poss veis riscos de seguran a desabilitando todas as contas servi os interfaces incluindo portas IP desnecess rias sua fun o final Em particular os frontends aplicacionais Web expostos na internet extranets dever o ser sujeitos a security hardening de acordo com as melhores pr ticas existentes para a tecnologia em causa Os sistemas que deixem de ter fun es operacionais porque foram entretanto substitu dos por sistemas mais actuais ou por qualquer outra raz o n o dever o permanecer acess veis nas redes internas da PTP Enquanto n o forem definitivamente desligados ou reaproveitados para outras fun es dever o permanecer sob controlo da seguran a operacional do respectivo datacenter ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 4 Protection against malicious and mobile code 11 4 4
47. atriz definida pelo controlo interno OS 001108 CE PT SGPS Devem providenciar algum tipo de gest o de perfis para que um Utilizador possa assumir as fun es de outro sem que tenha que saber a password do colega observando sempre que poss vel o ponto anterior As aplica es que lidem com informa o classificada devem ser testadas contra vulnerabilidades de seguran a dentro das melhores pr ticas de seguran a aplicacional e g buffer overflows sql injection etc As aplica es que lidem com informa o classificada devem garantir um audit trail relativo s altera es a essa informa o classificada indicando no m nimo a Opera o realizada consulta s obrigat ria para informa o classificada acima de Confidencial Altera o feita valor antigo valor novo Estado da opera o e g sucesso ou insucesso Timestamp da opera o ag T2 Quem realizou a opera o user id IP Origem D D Esta informa o deve estar dispon vel por um per odo m nimo a definir para cada uma das aplica es devendo tamb m ser definido em fun o da finalidade e necessidade da recolha dessa informa o o per odo m ximo de conserva o da mesma de modo a garantir o rigoroso cumprimento das leis de protec o de dados nomeadamente no que toca elimina o de informa o contendo dados pessoais Deve suportar TACACS RADIUS LDAP ou Single Sign On sempre que poss vel ISO IEC 17799 2005
48. bom funcionamento dos sistemas Estas actualiza es dever o ser formalmente planeadas devendo ser identificados os riscos associados e definidos os planos de testes e os procedimentos de fall back ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 4 Protection against malicious and mobile code 12 5 2 Technical review of applications after operating system changes 12 6 Technical Vulnerability Management 8 q Excep es Pol tica de Seguran a da Informa o e Comunica o de Incidentes de Seguran a a 8 1 Q Novos Sistemas e Tecnologias Para os novos Sistemas e Tecnologias em que se verifiquem situa es em que a Pol tica de Seguran a da Informa o n o seja aplic vel por raz es t cnicas e ou funcionais a equipa respons vel por esse sistema ou tecnologia dever proceder identifica o das excep es documentar as mesmas A documenta o dever incluir medidas que possam entretanto mitigar os riscos em causa Ap s documentadas e registadas na CMDB respectiva ou na falta desta em meio equivalente estas excep es dever o ser aprovadas pelos seguintes Directores de primeira linha e Nocaso de excep es relativas a TI s o Situa es da estrita responsabilidade da entidade respons vel pela operacionaliza o e gest o dos servi os de TI s da PTP e que n o tenham impacto na seguran a de qualquer SI BSS e OSS bastar nestes casos
49. boradores de entidades externas ou outras entidades e ou pessoas que acedam aos Sistemas e Tecnologias de Informa o e Comunica es da PTP pelo que a todos dever ser disponibilizada Nesta Pol tica de Seguran a da Informa o o termo utilizadores ser utilizado como refer ncia a qualquer um dos indiv duos atr s referidos indispens vel assegurar que todos os Utilizadores independentemente do seu n vel hier rquico fun o e ou v nculo contratual internos PTP ou afectos a entidades externas ou outros com quem a PTP contratou um fornecimento de Produtos Servi os t m conhecimento desta politica e acesso adequado informa o necess ria para O desempenho das suas fun es sendo exigido destes o respeito pelos controlos de seguran a implementados e o cumprimento dos seguintes valores Integridade preven o contra a modifica o e ou destrui o n o autorizada de Informa o salvaguardando a respectiva fiabilidade e origem Confidencialidade preven o contra o acesso e ou divulga o n o autorizados de Informa o Disponibilidade garantia do acesso autorizado Informa o sempre e na medida do necess rio A seguran a da informa o ou seja a sua confidencialidade integridade e disponibilidade uma responsabilidade de todos O conte do da Pol tica de Seguran a da Informa o destinado exclusivamente aos Utilizadores das reas T cnicas por exemplo das
50. ca es estar sujeito ao disposto no Acordo de Empresa em vigor igualmente e designadamente no que respeita ao poder disciplinar 4 2 Responsabilidades gerais de entidades externas Os equipamentos inform ticos disponibilizados pela PTP aos Utilizadores externos destinam se execu o do servi o contratado devendo estes Utilizadores zelar pela sua boa conserva o e utiliza o adequada da responsabilidade do Utilizador a salvaguarda da sua informa o pessoal e garantir que esta n o il cita ou impr pria face ao c digo de tica da PT Os colaboradores externos da PTP enquanto Utilizadores do software disponibilizado pela PTP dever o cumprir integralmente os termos e condi es de utiliza o do software Caso se verifique uma viola o presente Pol tica atrav s do incumprimento das disposi es descritas neste documento por parte de fornecedores consultores ou colaboradores de entidades externas que acedem aos Sistemas e Tecnologias de Informa o e Comunica o da PTP poder proceder se a uma ac o legal e despoletar as penaliza es previstas nos contratos existentes entre a PTP e a entidade em causa bem como recorrer aos outros mecanismos previstos na lei sendo ainda imediatamente revogados todos os direitos de acesso aos sistemas e tecnologias da PTP por parte do elemento incumpridor Para o efeito dever ser alterada a respectiva password de acesso aos sistemas e desactivado o respectivo acesso
51. cnologias de Informa o e Comunica o 64 67 ESTO A Gs o rirc RDIS PP CA ERES DICEN Net bN ERI ESA Servi o Fixo de Telecomunica es SOX Sarbanes Oxley A lei Sarbanes Oxley resultou das iniciativas do Senador Paul Sarbanes presidente do Comit Banc rio do Senado Americano e do Congressista Michael Oxley A lei foi aprovada em Julho de 2002 por ambas as c maras legislativas Americanas Senado e o Congresso O seu objectivo refor ar as regras de controlo interno da informa o financeira divulgada pelas empresas de forma a restaurar a confian a nos mercados financeiros abalada pelos esc ndalos financeiros da Enron WorldCom Tyco entre outros Spam email n o solicitado primariamente com objectivos publicit rios enviado em grandes quantidades para indiv duos listas grupos etc SSH Secure Shell Strong Authentication Tamb m designado T FA Two factor authentication um protocolo de autentica o que requer duas formas de autentica o para aceder a um sistema em que a 12 forma de autentica o corresponde a algo que o Utilizador conhece exemplo um PIN ou uma password e a 22 forma corresponde a algo que o Utilizador possui exemplo cart o magn tico ou impress o digital Switch de Rede Comutador de rede T neis Tunneling Tecnologia que permite encapsular pacotes de um protocolo em pacotes de um outro protocolo Existem t neis para est
52. das Comunica es Electr nicas Decreto Lei n 122 2000 de 4 de Julho Protec o Jur dica das Bases de Dados Decreto Lei n 134 2009 de 2 de Junho estabelece o regime jur dico aplic vel presta o de servi os de promo o informa o e apoio aos consumidores e utentes atrav s de centros telef nicos de relacionamento Call Centers Lei n 109 2009 de 15 de Setembro Lei do Ciber Crime Decreto lei n 252 94 de 20 de Outubro Protec o Jur dica de Programas de Computador Decreto lei n 290 D 99 republicado pelo Decreto Lei n 62 2003 de 3 de Abril Regime Jur dico das Assinaturas Electr nicas Decreto lei n 7 2004 de 7 de Janeiro Com rcio Electr nico Decreto Lei n 256 2003 de 21 de Outubro Factura o Electr nica Lei n 7 2009 de 12 de Fevereiro C digo do Trabalho Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 9 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o BE ee a Gerir Z NGA Criei bA P T Faksas oo RDIS PP CA Servi o Fixo de Telecomunica es Lei Sarbanes Oxley Act de Julho 2002 C digo do Direito de Autor e dos Direitos Conexos C digo da Propriedade Industrial Resolu o do Concelho de Ministros n 37 89 Normas para a seguran a nacional salvaguarda e defesa das mat rias classificadas seguran a industrial tecnol gica e de investiga o SEGNAC 2 Resolu o do C
53. de Telecomunica es Worm Programa que se replica para outros computadores atrav s de falhas de seguran a e essencialmente via rede de comunica o World Wide Web WWW Sistema de servidores Internet que suportam documentos formatados em HTML HyperText Markup Language Espa o de informa o no qual os recursos s o identificados por identificadores globais denominados Uniform Resource Identifiers URI Classifica o P blico Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o 66 67 q Es paprer EA bN BERS I RDIS PP CA Servi o Fixo de Telecomunica es P gina deixada explicitamente em branco Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 67 67
54. dos os acessos l gicos desnecess rios para impedir a sua utiliza o como base de ataque inform tico ISO IEC 17799 2005 Information Technology Code of practice for information security management 9 2 Equipment security Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 21 67 i KT cr RDIS PP CA NEN Lopcer aaNet Servi o Fixo de Telecomunica es q 5 4 2 Gest o e Utiliza o da Documenta o de Sistemas e Tecnologias de Informa o e Comunica o A documenta o relativa aos sistemas e tecnologias de informa o e comunica o da organiza o exemplo manuais operacionais e de utiliza o dever estar actualizada e acess vel apenas a quem for autorizado nomeadamente equipas de suporte e manuten o ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 7 4 Security of system documentation 5 5 Comunica o de Informa o As regras constantes desta Pol tica relativas utiliza o das ferramentas electr nicas disponibilizadas pela PTP n o dispensam a consulta do Regulamento Interno da PTC e TMN acerca da utiliza o de e mail fax telefone telem vel acesso Internet bem como as ordens de servi o com este relacionadas 5 5 1 Informa o Classificada como PT Muito Secreto ou PT Secreto N o permitida
55. e Comunica o 22 67 Gees o QSertif o r RDIS PP CA topcer ER RAS Servi o Fixo de Telecomunica es ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 8 Exchange of Information 5 5 4 Utiliza o de Computadores Port teis Funcion rios que utilizem computadores port teis da PTP dever o ter um cuidado acrescido em n o deixar o equipamento sem supervis o e sem o respectivo cadeado Informa o classificada apenas poder ser guardada no respectivo port til se estiver cifrada n o sendo suficiente a protec o de documentos por password usualmente disponibilizada em algumas aplica es Sempre que termine a colabora o de um funcion rio interno ou de uma entidade externa a respectiva chefia dever informar a rea respons vel pela Gest o de Equipamentos para que possam ser eliminados os registos de informa o desse colaborador com meio adequado confidencialidade da informa o relativa fun o desempenhada ISO IEC 17799 2005 Information Technology Code of practice for information security management 7 1 3 Acceptable use ofassets 11 7 1 Mobile computing and communications 5 5 5 Pol tica de e mail Esta Pol tica define qual a utiliza o apropriada de e mails enviados da PTP de forma a prevenir danos na imagem da organiza o essencial que se tenha em considera o que qualquer mensagem enviada de um dom
56. e semelhantes dever o ser imediatamente apagados inclusive da pasta de itens eliminados e nunca dever o ser reenviados O Utilizador dever igualmente reportar de imediato entidade competente indicada no ponto 1 desta Politica qualquer suspeita que um e mail recebido possa causar uma quebra de seguran a nos sistemas da PTP bem como qualquer suspeita de roubo de password ou de usurpa o de identidade O Utilizador dever notificar os respons veis pela gest o operacional dos sistemas caso a recep o de spam e chain letters se torne frequente ISO IEC 17799 2005 Information Technology Code of practice for information security management 7 1 3 Acceptable use ofassets 10 8 Exchange of information Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 24 67 AGITO a amp i rric RDIS PP CA NEN Lopcer aaNet Servi o Fixo de Telecomunica es q 5 5 6 Pol tica de e mail Opera o Manuten o e Gest o Certificados digitais dever o ser utilizados no caso de a organiza o ter dispon vel infra estrutura de PKI Com esta solu o poss vel dar garantias ao receptor que o emissor aut ntico e que a mensagem n o foi alterada durante o seu percurso De forma a assegurar a seguran a e performance dos sistemas dever o ser realizadas regularmente tarefas de controlo de e mails de for
57. ecomunica es que suportam as suas opera es e o seu neg cio Esta Pol tica de Seguran a da Informa o abrange igualmente todos os Sistemas e Tecnologias de Informa o e Comunica es usados ou operadas por terceiros internos ou externos ao Grupo Portugal Telecom quando ligados directamente em rede aos Sistemas e Tecnologias de Informa o e Comunica es da PT Comunica es Tmn ou PT Prime PTP Pol tica da PTP proibir acessos n o autorizados distribui o duplica o altera o destrui o ou apropria o indevida da informa o das suas organiza es tamb m Pol tica da PTP proteger a informa o de entidades externas que tenha sido confiada PTP de forma consistente com o seu n vel de classifica o bem como em conformidade com todos os acordos requisitos legais e normativos aplic veis Pretende se que a mesma Pol tica conduza a PTP aplica o de pr ticas mais seguras propondo e definindo pr ticas m nimas bem como caracterizando os meios e processos que observam medem e interv m em casos relacionados com seguran a da Informa o Para al m desta Pol tica de Seguran a da Informa o dever o existir para as reas operacionais da PTP com especificidades tecnol gicas relevantes Procedimentos Complementares de Seguran a que sem violarem o esp rito desta Pol tica estabele am os procedimentos espec ficos de Seguran a da Informa o a serem complementarmente se
58. ectual nomeadamente ficheiros de m sica v deos etc para fins n o profissionais c Proceder instala o de cookies Todas as esta es de trabalho independentemente de serem VDi s Desktops ou Notebooks devem ser instaladas pela estrutura da PTP respons vel pela gest o de desktops e devem garantir suporte activo ao conjunto de mecanismos de protec o estipulados pelas regras de seguran a em vigor na PTP Antiv rus Anti Spam Anti Spyware Anti malware Personal Firewall Screen saver activo com password etc Estes mecanismos devem estar sempre activos e devem ser automaticamente actualizados Os Utilizadores n o podem alterar estas configura es nas suas esta es de trabalho de forma a garantir a seguran a da informa o no uso da mesma Excep es a esta regra dever o ser previamente autorizadas pela entidade respons vel pelas esta es de trabalho ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 4 Protection against malicious and mobile code 11 3 User responsibilities 6 6 2 Seguran a das Esta es de Desenvolvimento TD Desktops ou Notebooks Todas as esta es de trabalho devem ser instaladas pela estrutura da PTP respons vel pela gest o de desktops e devem garantir suporte activo ao conjunto de mecanismos de protec o estipulados pelas regras de seguran a em vigor na PTP Antiv rus Anti Spam Anti Spyware Anti malware Personal
59. em testar ou comprometer as medidas de seguran a associadas aos sistemas Incidentes envolvendo captura e an lise de tr fego network tapping ou sniffing tentativa de acesso n o autorizado a sistemas aplica es ou plataformas de comunica es password cracking decifra o de ficheiros de terceiros ou outras actividades similares geralmente classificadas como hacking que podem comprometer a seguran a dos sistemas e tecnologias de informa o e comunica o ser o consideradas viola es graves desta Pol tica Excep es a esta regra dever o ser devidamente justificadas e aprovadas pelas chefias correspondentes e comunicadas entidade respons vel pela Pol tica de Seguran a da Informa o 6 6 10 Outras Disposi es A PTP disponibiliza aos seus colaboradores programas anti v rus cuja utiliza o e resultados n o vinculam sob qualquer forma a PTP O facto de o programa examinar as disquetes CDs DVDs ou dispositivos de armazenamento de informa o ex USB pens do Utilizador nos computadores da PTP n o implica a autoriza o para a sua utiliza o Uma vez que os Recursos Inform ticos e de Comunica o s o disponibilizados pela PTP como instrumentos de trabalho auxiliares ao desempenho da actividade contratada constituindo a possibilidade da sua utiliza o para fins privados uma mera liberalidade da empresa esta reserva o direito de sem preju zo da manuten o da vig ncia da presente Pol tica re
60. eniente todos os documentos j substitu dos ou caducados salvo no caso de mat rias classificadas como PT Muito Secreto em rela o s quais a destrui o apenas ser feita ap s solicita o ao arquivo pela entidade emissora Sempre que o detentor de mat ria ou documento classificado de PT Muito Secreto entenda que o mesmo se tornou in til deve propor entidade emissora que proceda ou mande proceder sua destrui o Os servi os respons veis pelo arquivo de mat rias classificadas n o necessitam de aguardar instru es para procederem destrui o de rotina de documentos classificados De qualquer modo o bom senso a racionalidade econ mica e a seguran a devem presidir decis o da oportunidade da destrui o Em regra deve evitar se a Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 19 67 Gees o QSertif o r RDIS PP CA ER E DICEN Net bN ERI Servi o Fixo de Telecomunica es manuten o em arquivo de documentos classificados com mais de 5 anos cujo interesse hist rico n o seja reconhecido ou que se tenham tornado desnecess rios Na destrui o de rotina de documentos classificados devem ser usadas m quinas trituradoras retalhadores ou incineradores que garantam eficazmente a inutiliza o efectiva da informa o neles contidos Dever ser sempre considerado o tempo de
61. er aplicado sempre que um Utilizador se esque a da sua password e esta tenha de ser reiniciada pela equipa de suporte manuten o password resetting Dever o ser implementados mecanismos autom ticos em sistemas aplica es tecnologias que forcem o Utilizador a periodicamente alterar a password de acordo com as seguintes regras o No m ximo uma password s poder ser utilizada durante 90 dias ap s o que dever expirar e for ar a sua altera o o N o dever ser poss vel utilizar nenhuma das ltimas 10 passwords usadas anteriormente o Ap s a defini o da nova password o Utilizador s a poder novamente alterar ap s pelo menos 1 hora o Os sistemas aplica es tecnologias apenas dever o permitir passwords que estejam de acordo com as regras de constru o definidas no ponto 6 4 ou 6 5 ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 2 User access management Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 34 67 Sri RDIS PP CA Servi o Fixo de Telecomunica es E taprer ER A 6 3 Q Pol tica de User ld s e Passwords para Uso Aplicacional Sempre que um sistema aplica o ou base de dados target permitir o acesso directo a outros sistemas ou aplica es clientes atrav s de um logon sobre um user id e password
62. es ou fun es de sistema O mesmo deve conter informa o relativa a Quem fez O que fez Quando fez devendo guardar o valor par metro anterior e novo B BotNet roBOT NETwork um grande n mero de computadores comprometidos com bots instalados que executam actividades pr programadas muitas vezes controladas em tempo real por um ou mais computadores na Internet Bot Controllers BSS Business Support Systems Base de dados Conjunto de dados logicamente ligados entre si num suporte que permite armazenamento de grande quantidade dos dados e geridos por um programa especializado denominado Sistema de Gest o de Bases de Dados Este programa encarrega se de armazenar e pesquisar os dados garante independ ncia entre a estrutura de armazenamento e outros programas que utilizam os dados garante a seguran a no acesso aos mesmos e assegura redund ncia e toler ncia a falhas dos programas de consulta Biometria uma tecnologia de seguran a baseada no reconhecimento de uma caracter stica f sica nica e intransmiss vel das pessoas como por exemplo a impress o digital e a ris Bot roBOT Programa que funciona como um agente para um Utilizador ou outro programa e simula actividades pr programadas C Caderno de Encargos Documento interno da PTP elaborado pelo Cliente Interno PTP no mbito de determinada Consulta ao Mercado que cont m informa o de
63. ever o ser implementadas de imediato as altera es necess rias para garantir o cumprimento integral da Pol tica aqui definida excepto quando forem identificadas raz es t cnicas ou de neg cio que inviabilizem a implementa o das altera es referidas As excep es identificadas dever o ser documentadas e sujeitas a parecer da entidade respons vel pela Pol tica de Seguran a da Informa o acompanhada de proposta de medidas que possam entretanto mitigar os riscos em causa para mais detalhe ver ponto 8 2 3 3 Sistemas e Tecnologias j Existentes mas N o Inclu dos no mbito SOX Para os sistemas e tecnologias nestas condi es assumido o n o cumprimento integral da Pol tica aqui definida devendo no entanto existir um plano de mitiga o ou de correc o das partes em incumprimento Estes casos dever o ser identificados como excep es e devem ser devidamente documentados Sempre que uma ac o de renova o tecnol gica n o conduza ao cumprimento integral da Pol tica de Seguran a da Informa o da PT Portugal PT Comunica es Tmn e PT Prime a n vel dos Sistemas e Tecnologias de Informa o e Comunica es dever ser mantida a identifica o deste sistema como uma excep o documentada salvaguardando que nenhuma altera o possa conduzir a uma situa o de risco acrescido de seguran a comparativamente situa o anterior A responsabilidade pela documenta o do incumprimento que le
64. forma o supra referida por parte dos respectivos colaboradores que a ela a qualquer t tulo tenham acesso 4 Os concorrentes obrigam se ainda a cumprir a legisla o em vigor sobre Protec o de Dados Pessoais nomeadamente nos termos do disposto na Lei n 67 98 de 26 de Outubro relativa protec o de dados pessoais Todos os sistemas e tecnologias de informa o e comunica o instalados ap s a data de aprova o deste documento Os textos dever o ser transcritos na ntegra pelo que n o devem ser alterados Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 12 67 EA a Gs Srs Zrri RDIS PP CA f S Servi o Fixo de Telecomunica es topcer e ou na Lei 41 2004 de 18 de Agosto relativa ao tratamento de dados pessoais e protec o da privacidade no sector das comunica es electr nicas se no mbito da presta o de servi os objecto da presente consulta vierem a ter acesso aos mesmos Cl usula de Conformidade com a Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o Os concorrentes obrigam se a garantir que os Produtos Servi os a serem fornecidos no mbito da presente consulta ao mercado est o em conformidade com a Pol tica de Seguran a da Informa o da PT Portugal PT Comu
65. guidos nessas reas operacionais A presente Pol tica dever ser aplicada tamb m i s entidades externas prestadoras de servi os a quem a PTP adjudica servi os sempre que estas trabalhem directamente sobre sistemas e tecnologias da PTP ou tenham os seus sistemas e tecnologias ligados directamente em rede com os sistemas e tecnologias da PTP bem como ii ao administrador do sistema e iii qualquer outra pessoa ou entidade com acesso aos sistemas e tecnologias da PTP e iv a outras sociedades do Grupo PT que integrem ou se encontrem ligadas aos sistemas e tecnologias da PTP Por ligados directamente em rede queremos dizer ligados atrav s de interfaces de rede em que n o seja poss vel garantir antecipadamente de forma permanente e com 100 de certeza a segrega o absoluta entre os sistemas e tecnologias que acedem e os sistemas e tecnologias acedidos e que suportam as opera es e o neg cio da PT Comunica es Tmn ou PT Prime No decorrer deste documento usaremos a sigla PTP como representando o seguinte conjunto das empresas da PT Portugal do Grupo Portugal Telecom PT Comunica es Tmn e PT Prime Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 6 67 Pirc Ot talo Faksas o0 RDIS PP CA Servi o Fixo de Teleco vi X a q Gs Eoprer a Net A 2 risosom S EE Ra I munica es A
66. ica o 39 67 AGITO a amp i hri RDIS PP CA ENER ropcer a Net Servi o Fixo de Telecomunica es Se algu m pedir a indica o de uma password os funcion rios n o a dever o disponibilizar e dever o relembrar a essa pessoa a presente Pol tica As passwords dever o ser alteradas no m nimo trimestralmente ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 2 User access management 11 3 User responsibilities 6 6 6 Partilha de Informa o A partilha de discos com privil gios de leitura escrita dever ser evitada Para a partilha de informa o dever o ser utilizados os sistemas existentes na organiza o exemplo Shares Intranets etc para as quais se encontram definidas e implementadas as necess rias pol ticas de acesso ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 2 User access management 11 3 User responsibilities 6 6 7 Comunica o de Situa es An malas Sempre que um Utilizador suspeite de um uso indevido de uma sua conta de acesso a um sistema aplica o tecnologia ou que a sua password tenha sido revelada dever informar imediatamente o SOC de acordo com o descrito na sec o 8 4desta Pol tica Comunica o de Incidentes de Seguran a ISO IEC 17799 2005 Information Technology Code of practice for information security managemen
67. ionais e de sistema e toda e qualquer outra informa o n o essencial ap s o seu per odo de utilidade legal e pr tica dever ser eliminada dos sistemas e arquivos de dados discos e outros meios magn ticos Assim os prazos m ximos de reten o de informa o n o abrangida por leis ou regulamentos externos dever o ser determinados por Ordem de Servi o espec fica ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 Communications and operations management A 5 4 Q Armazenamento de Informa o ir 5 4 1 Armazenamento de Informa o em Servidores Todos os servidores com informa o relevante da PTP ter o de estar alojados em Data Center sob a responsabilidade de uma entidade operacional reconhecida que assegure a sua administra o de sistemas e a sua seguran a f sica e l gica dentro das melhores pr ticas e do disposto na presente Pol tica Sempre que um servidor deixe de ser utilizado deve ser imediatamente desligado da rede e a sua informa o destru da ap s verifica o do per odo de conserva o do tipo de dados nos termos previstos na lei aplic vel designadamente em mat ria contabil stica e fiscal e nas legaliza es notificadas Comiss o Nacional de Protec o de Dados No caso excepcional em que este servidor tenha de ser mantido mais algum tempo ligado rede ser obrigat rio garantir a sua seguran a l gica atrav s da elimina o de to
68. lica es sistemas e tecnologias de informa o e comunica o dever o por princ pio suportar Protocolos Seguros para comunicar entre si Excepcionalmente o protocolo FTP pode ser usado nos sistemas legados que tenham de transferir informa o classificada e que por raz es t cnicas hist ricas n o suportem vers es seguras de transfer ncia de ficheiros e g SFTP ou SCP Nestes casos o acesso dever e Ser apenas permitido entre os equipamentos que destes servi os necessitem devendo o acesso estar bloqueado para todo e qualquer outro IP e g atrav s de mecanismos baseados por exemplo em TCP Wrappers Viola es a este ponto dever o constituir eventos monitorizados pelo Security Operations Center SOC da PTP e Ser efectuado sempre que poss vel atrav s do Entreposto de Ficheiros e Estar cadastrado na respectiva CMDB para controlo peri dico Os Sistemas e Tecnologias legadas que por raz es estritamente t cnicas n o possam cumprir integralmente o disposto atr s dever o ter devidamente documentadas na respectiva CMDB todas as suas excep es Pol tica No caso de estarem no mbito SOX dever o adicionalmente estar sujeitos a parecer da entidade respons vel pela Pol tica de Seguran a da Informa o acompanhados de uma proposta de medidas que possam entretanto mitigar os eventuais riscos a que est o expostos para mais detalhe ver ponto 8 2 Classifica o Pol tica de Seguran a d
69. lo em TCP Wrappers No caso de impossibilidade em identificar todos os IP autorizados p e IP s atribu dos via DHCP os acessos dever o ser efectuados via entreposto de administra o reconhecido pela entidade respons vel pela operacionaliza o e gest o dos servi os de TI s Apenas dever o ter privil gios de administra o Sistemas Base de Dados Aplica es etc t cnicos nominalmente identificados e sujeitos assinatura de um NDA adequado ou sujeitos a regras de confidencialidade no mbito da rela o laboral com a PTP Em todos os sistemas da fam lia UNIX dever ser proibido o login directo a root Os administradores de sistemas ou respons veis pela opera o dever o fazer primeiro login em conta pr pria nominal que tenha apenas os privil gios estritamente necess rios para a sua fun o e sempre que necess rio e s nessas circunst ncias fazer SUDO a root a partir da sua conta nominal Acessos SNMP s o estritamente proibidos a entidades n o autorizadas Acessos SNMP n o seguros e g com SNMP 1 x fora do per metro seguro dos sistemas alvo s o proibidos Todos os sistemas e tecnologias novas dever o suportar SSH para acessos interactivos ao sistema mesmo dentro de um per metro seguro Trata se de uma 12 linha de defesa Vulgarmente conhecido como M quina de Salto Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecno
70. logias de Informa o e Comunica o 28 67 q Gio X FX a Gerir Eoprer a Net A rirc bN FORAS RDIS PP CA Servi o Fixo de Telecomunica es b sica Dever o ser evitados acessos utilizando protocolos n o seguros como por ex Telnet Nota para efeitos de RFP s a Todos os novos sistemas e tecnologias de informa o e comunica o dever o suportar Protocolos Seguros para a sua gest o remota e g SSH b Todos os novos sistemas e tecnologias de informa o e comunica o dever o suportar a vers o 3 x do SNMP ISO IEC 17799 2005 Information Technology Code of practice for information security management 12 1 Security requirements of information systems 12 3 Cryptographic Controls ir 5 5 12 Garantia de Seguran a nos Front Ends Extranet Internet Para as solu es Internet Extranet da PTP dever ser obrigatoriamente utilizado o protocolo https nas zonas da aplica o envolvendo informa o classificada podendo ser usado o protocolo http apenas nas situa es em que toda a informa o seja de car cter p blico Para as solu es Intranet da PTP dever ser obrigatoriamente utilizado o protocolo https nas zonas da aplica o envolvendo informa o classificada podendo ser usado o protocolo http nas outras situa es Em qualquer das circunst ncias os front ends Web das solu es atr s referidas dever o estar sempre protegidos num Datacenter da PTP dentro de uma DMZ
71. ma o de uma empresa Esta o de Desenvolvimento TD Computador pessoal fixo e ou port til e respectivo software disponibilizado pela PTP a um grupo restrito de Utilizadores para uso profissional na PTP ficando estes com privil gios de administra o local do equipamento Esta o de Trabalho ET Computador pessoal virtual VDi fixo e ou port til e respectivo software disponibilizado pela PTP maioria dos Utilizadores para uso profissional na PTP ficando estes sem qualquer privil gio de administra o local do equipamento processos acedam para al m de um determinado ponto da rede sem que tenham previamente passado uma valida o de seguran a exemplo fornecer uma password FTP File Transfer Protocol H http https Protocolos de comunica o da World Wide Web sendo o https a vers o mais segura e recomendada para aplica es Web Intranet envolvendo informa o classificada ou sens vel F File Share P blicos Privados S o espa os em disco para partilha de ficheiros para um n mero restrito de Utilizadores Privados ou para toda a rede em que se encontram P blicos Firewall Barreira l gica que tem como objectivo impedir que Utilizadores ou IDS Intrusion Detection System Sistema de detec o de intrus es ou de tentativas de intrus o IPS Intrusion Prevention System Sistema de preven o de intrus es Informa o Confide
72. ma aleat ria e filtragens de certos ficheiros inclu dos em e mails nomeadamente os afectados por v rus inform ticos ou aqueles que pelo seu formato e g exe bmp possam representar um potencial perigo para a integridade dos sistemas e tecnologias de informa o e comunica es Por uma quest o de seguran a e de racionalidade econ mica em termos de espa o em disco e em espa o de backup os registos e logs relativos a e mails internos da PTP ie n o directamente associados a contratos com clientes dever o ser obrigatoriamente eliminados ao fim de um per odo m ximo de reten o determinado por Ordem de Servi o da PTP Os respons veis pela gest o operacional dos sistemas e tecnologias de informa o e comunica o dever o por princ pio bloquear as portas TCP 25 em todos os sistemas desktops servidores impressoras elementos de rede etc da PTP para evitar que estes possam ser usados para o envio de e mails ad hoc fora do controlo da infra estrutura oficial Microsoft Exchange da PTP Os casos em que por raz es aplicacionais e ou de neg cio tal n o seja poss vel dever o estar devidamente documentados como excep es regra e dever o estar sob monitoriza o do SOC obriga o das equipas respons veis por esse sistema ou tecnologia de informa o e comunica es a identifica o documenta o e monitoriza o das excep es mais detalhe ver ponto 8 A entidade respons vel pela gest o d
73. mas e Tecnologias j existentes e inclu dos no mbito SOX 8 3 Sistemas e Tecnologias j existentes e n o inclu dos no mbito SOX 84 Comunica o de Incidentes de Seguran a teeaaereemeeesareesareeesrererareeesrreeraareeesrreessreeasrrressrreessteteaa 57 9 Revis o Actualiza o da Pol tica de Seguran a da Informa o teses 58 Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 4 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o Sri o gt q Gs toprer ER RDIS PP CA Servi o Fixo de Telecomunica es 9 1 Entidade respons vel pela Pol tica de Seguran a da Informa o 9 2 Conselho de Administra o da PTP CA PTC CA TMN CA PT Prime OE EOI AO 60 Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 5 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o Gees o Qeertif o r RDIS PP CA A Y a N opcer glNet E Faksas o0 Servi o Fixo de Telecomunica es 1 Introdu o O objectivo desta Pol tica de Seguran a da Informa o estabelecer requisitos para garantir o n vel apropriado de protec o da Informa o das principais empresas do Grupo Portugal Telecom que constituem a PT Portugal PT Comunica es Tmn e PT Prime a n vel de todos os Sistemas e Tecnologias de Informa o e Comunica es incluindo plataformas de servi os de tel
74. mento ou a divulga o por pessoas n o autorizadas para tal pode ser prejudicial para a PTP ou para uma das suas Empresas participadas S o exemplos de mat rias a classificar de PT Confidencial as que constem de e Documentos ou informa o operacional t cnica ou comercial que possa conter informa o til concorr ncia e Informa es ou estudos sobre grandes clientes ou segmentos de mercado que possam conter informa o til concorr ncia e Ficheiros com dados pessoais de clientes ou de outras pessoas singulares e Processos de natureza pessoal ou disciplinar PT Reservado Este grau de classifica o aplicado a mat rias limitadas a uso departamental que embora n o requerendo classifica o mais elevada n o devem ser do conhecimento de pessoas que delas n o necessitem para o estrito cumprimento das suas fun es S o exemplos de mat rias a classificar de PT Reservado Informa es referentes a aos colaboradores e Textos t cnicos cujo conte do exija protec o no interesse das Empresas e Informa o de firmas ou organiza es relativas a ofertas propostas ou transac es cujo conhecimento indevido possa prejudicar ou favorecer indevidamente terceiros O grau de classifica o de seguran a atribu do a uma mat ria documento n o deve ser nem superior nem inferior ao requerido pela mat ria em an lise Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n
75. n a da Informa o O acesso a servi os deve ser protegido por mecanismos de controlo de acessos por exemplo TCP wrappers ou Host Firewalls se poss vel Dever o ser instalados imediatamente os patches de seguran a assim que emitidos sendo a nica excep o quando se verificar que a sua aplica o imediata interfere com um requisito de neg cio As rela es de confian a entre sistemas s o um risco de seguran a devendo ser evitado o seu uso Esta solu o s poder ser utilizada se n o existir nenhuma op o de comunica o alternativa Os privil gios de acesso devem ser definidos tendo por base o princ pio que cada Utilizador s pode executar as ac es estritamente necess rias na sua fun o Sempre que exista dispon vel um canal de comunica o seguro se for tecnicamente exequ vel acessos privilegiados dever o ser efectuados sobre estes canais exemplo conex es cifradas utilizando por exemplo HTTPS SSH SSL TSL SFTP SCP ou IPSec ISO IEC 17799 2005 Information Technology Code of practice for information security management 9 2 Equipment security 11 4 Network access control 11 5 Operating system access control a 6 9 Q Controlo de Acessos a Aplica es i 6 9 1 Standards para Desenvolvimento de Aplica es AS equipas de desenvolvimento dever o garantir que as solu es por si desenvolvidas cont m as seguintes precau es de seguran a As aplica es devem suportar
76. ncial Designa o do n vel de sensibilidade da informa o cuja distribui o provocar danos expect veis na PTP ou em empresas relacionadas Os graus de classifica o de seguran a da informa o definidos na PTP s o os seguintes e PT Muito Secreto e PT Secreto e PT Confidencial e PT Reservado Ordem de Servi o 001403CE PT SGPS Mat rias Classificadas PT Prepara o Manuseamento Arquivo e Destrui o Entrada em vigor em de 01 08 2003 Classifica o P blico Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o 62 67 Gees ertif S rric RDIS PP CA topcer ER R S Servi o Fixo de Telecomunica es A descri o do significado de cada classifica o poder ser encontrada no ponto 5 1 Interlocutor Autorizado Colaborador PTP com compet ncias atribu das ou delegadas para a aprova o de pedidos de acessos e ou pedidos de resolu o de incidentes e ou pedidos de altera es Network TAP s Dispositivo de hardware que possibilita o acesso aos dados que passam na rede de comunica o entre computadores 0 OSS Operational Support Systems L P Load balancer T cnicas e ou solu es que permitem distribuir carga de trabalho pelos recursos em causa Os recursos podem ser categorizados da seguinte forma Storage Rede ou CPU M Mal
77. ncidente bem como a solu o ou processo de mitiga o recomendado Caso o incidente seja novo ou complexo dever encaminh lo imediatamente para a entidade respons vel pela investiga o do mesmo e Incidentes associados a Tl s para a entidade respons vel pela operacionaliza o e gest o dos servi os de T s da PTP e Incidentes associados a Sl s para a entidade respons vel pela Pol tica de Seguran a da Informa o da PTP Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 57 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o is vi gt ED q Gs poprer a Net A 2 risosom tu estas RDIS PP CA Servi o Fixo de Telecomunica es e Incidentes associados REDE Wireline para a entidade respons vel pela opera o e manuten o da Rede Wireline devendo esta sempre que necess rio apoiar se nas respectivas Direc es de Engenharia e entidade respons vel pela Pol tica de Seguran a da Informa o da PTP e Incidentes associados REDE Wireless para a entidade respons vel pela opera o e manuten o da Rede Wireless devendo esta sempre que necess rio apoiar se nas respectivas Direc es de Engenharia e entidade respons vel pela Pol tica de Seguran a da Informa o da PTP Estas entidades dever o depois proceder ao registo do incidente numa base de informa o segura do CSIRT concebida para o efeito e onde tamb m dever registar a
78. neg cio necess ria e suficiente especifica es t cnicas e ou requisitos do Produto Servi o identificado bem como outras informa es relevantes e que ser disponibilizado ao Fornecedor PTP para servir de base respectiva elabora o da resposta a um RFI RFQ ou RFP Chain Letters Chain e mails Chave de cifra Encryption Key Conjunto de bytes utilizados para controlo do algoritmo do processo de cifra Chave de cifra sim trica O mesmo conjunto de bytes utilizado para cifrar e decifrar os dados Cifrar Encryption Processo que envolve a codifica o de dados de forma Classifica o P blico Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o 60 67 Gees o QSertif o rirc RDIS PP CA o 14001 Faksas o0 ERES DICEN Net bN ERI Servi o Fixo de Telecomunica es confidencialidade anonimato time outros objectivos de a garantir a autenticidade stamping e seguran a Cliente interno As pessoas unidades operacionais sociedades ou servi os do grupo PT que recorrem a outras unidades operacionais sociedades ou servi os dentro da estrutura da PTP CMDB Configuration Management Database Content Filter um automatismo que permite bloquear o acesso a sites ou a recep o de emails baseado na an lise dos conte dos envolvidos prevenindo situa es de spam v rus wo
79. nem dever o ser armazenadas numa localiza o acess vel atrav s de um web server e da utiliza o de protocolos inseguros R 6 9 2 1 Armazenamento de User Names e Passwords de acesso a Bases de Dados e Os User Names e Passwords de acesso a Bases de Dados podem ser guardados em zona segura num ficheiro separado do c digo da aplica o Este ficheiro n o dever ser num formato que permita a sua leitura e As credenciais de Base de Dados podem residir no servidor Neste caso um n mero de hash que identifique as credenciais poder estar inclu do no c digo da aplica o e As credenciais de Base de Dados podem residir num servidor de autentica o tal como um servidor LDAP utilizado para autentica o de Utilizadores A autentica o da aplica o na Base de Dados pode ocorrer como parte do processo de autentica o de Utilizador no servidor de autentica o Neste caso n o existe necessidade de utiliza o de credenciais a n vel da programa o da aplica o e As credenciais de Base de Dados n o podem residir na rvore de documentos de um web server e A autentica o de Utilizadores de base de dados Oracle nunca deve usar o mecanismo Oracle que delega essa tarefa no sistema operativo do cliente tamb m conhecido por autentica o OPSS e Para linguagens execut veis a partir do c digo as respectivas credenciais n o devem residir no mesmo direct rio onde se encontra o c digo fonte e As passwords utilizad
80. nica es Tmn e PT Prime a n vel dos Sistemas e Tecnologias de Informa o e Comunica es inclu da em anexo cujo conte do se encontra sujeito a obriga o de confidencialidade O Cliente interno dever incluir como anexo ao documento para Consulta ao Mercado a Pol tica de Seguran a da Informa o da PT Portugal PT Comunica es Tmn e PT Prime a n vel dos Sistemas e Tecnologias de Informa o e Comunica es Na contrata o de um produto servi o o Cliente interno dever salvaguardar que a proposta apresentada pelo fornecedor refere expressamente por escrito que os Produtos Servi os a serem contratados est o em conformidade com a Pol tica de Seguran a da Informa o da PT Portugal PT Comunica es Tmn e PT Prime a n vel dos Sistemas e Tecnologias de Informa o e Comunica es e que est o explicitamente reflectidas nessa proposta as cl usulas de confidencialidade e protec o de dados pessoais constantes desta Pol tica de Seguran a da Informa o sendo o fornecedor respons vel pelos danos decorrentes para a PTP e ou terceiros pela viola o da presente Pol tica por parte do fornecedor e ou seus colaboradores agentes e ou subcontratados Ap s a adjudica o o Cliente interno da PTP dever Garantir que todos os desenvolvimentos t m por base as boas pr ticas de desenvolvimento de software reconhecidas internacionalmente em mat ria de seguran a de forma a e
81. nistra o sistema Actualiza o de acordo com os coment rios da DPS DSW e Gabinete Jur dico da PT Comunica es 11 Paula Ferreira DRI NCI Jos Alegria DRI 12 01 2008 Actualiza o das refer ncias ISO IEC 17799 de 2005 Simplifica o sem perda dos n veis de seguran a face experi ncia com a vers o 1 0 Simplifica o do processo de gest o de passwords aplicacionais Integra o das restantes Alberto Mendes DES EDS a da R Erime e Tmin Jos Alegria DES EDS Jos Alegria Actualiza o face a e Jose Aser DES EDS DES EDS 213024003 resultados da aplicabilidade da Paula Ferreira DES EDS anterior vers o Pedro In cio DES EDS resultados das peritagens de seguran a efectuadas controlos definidos no mbito SOX novas tecnologias na PTP Alberto Mendes DES EDS Jos Alegria DES EDS Jos Alegria Actualiza o de acordo com 21 Jos Aser DES EDS DES EDS 19 02 2010 coment rios das reas DJR AIC Paula Ferreira DES EDS DTI DOMM DSE e DOI Pedro In cio DES EDS Classifica o P blico Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o 2 67 Sri RDIS PP CA Servi o Fixo de Telecomunica es ndice 1 Introdu o 2 Refer ncias T q Gs toprer ER Nesta E ro PA MONO dad 3 1 Novos Sistemas e Tecnologia
82. nte no m nimo anualmente Nos casos de esquecimento da password de uma conta de acesso rede Active Directory por parte de um Utilizador dever ser solicitado ao pr prio ou ao interlocutor chefia pela linha de suporte informa o que o identifique inequivocamente p e Nome completo N mero de Contribuinte N mero de Cart o do Cidad o Bl morada de resid ncia N mero de empregado etc n o podendo esta informa o estar dispon vel para consulta p blica Caso esta informa o n o seja prestada correctamente dever ser um interlocutor chefia autorizado a contactar a linha de suporte Sempre que um t cnico com acessos activos a contas de administra o de qualquer equipamento ou cesse fun es obrigat ria a suspens o imediata de todas as suas contas nesses sistemas ou equipamentos Adicionalmente obrigat ria a execu o de um procedimento que reavalie periodicamente a necessidade da manuten o de contas com privil gios de administra o em todas as tecnologias sistemas e aplica es quer sejam de informa o BSS ou OSS ou de comunica o Este procedimento dever ser executado periodicamente no m nimo trimestralmente Finalmente todos os indiv duos com acesso a contas de administra o de sistemas tecnologias aplica es dever o estar cobertos por NDA apropriado ou cobertos por disposi o contratual ou legalmente equivalente A concess o de acessos deve respeitar o princ pio need
83. o desse colaborador com meio adequado confidencialidade da informa o relativa fun o desempenhada da responsabilidade do funcion rio interno ou de uma entidade externa com o qual terminou a colabora o a salvaguarda da sua informa o pessoal ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 7 2 Disposal of media Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 20 67 ASIA a amp i rric RDIS PP CA ENER ropcer aaNet Servi o Fixo de Telecomunica es 5 3 3 Reten o e Elimina o de Informa o Hist rica Devem ser estritamente garantidos os prazos de reten o para os diferentes tipos de informa o de acordo com as diferentes leis a que a PTP est obrigada Por outro lado uma medida b sica de seguran a e de racionalidade econ mica n o manter informa o que j n o seja de utilidade pr tica e que j n o tenha de ser retida por obriga es legais ou regulamentares externas CNPD SOX Tribunais Autoridades Policiais etc Informa o hist rica que apenas tenha de ser retida por raz es judiciais dever ser mantida guarda reservada da Direc o Jur dica que dever depois garantir a sua elimina o quando esta informa o deixar de ser necess ria Em particular emails audit trails logs aplicac
84. o e Comunica o 50 67 Gees o QSertif o r RDIS PP CA ERE DICEN A Net bN ERI Servi o Fixo de Telecomunica es caso algum dever a password da aplica o secund ria ser embutida no c digo da componente cliente especialmente se este for interpretado As aplica es novas que lidem com informa o classificada dever o garantir autentica o via rede atrav s de Protocolos Seguros com base criptogr fica exemplo HTTPS SSH SSL TSL ou IPSec ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 6 Application and information access control 12 1 Security requirements of information systems A 6 10 Q Monitoriza o de Acessos Os sistemas operativos bases de dados e aplica es devem funcionar com o sistema de monitoriza o de acessos activo No seu n vel m nimo de funcionamento este sistema deve registar entradas e sa das assim como acessos a dados classificados PT Confidencial PT Reservado dados de cliente dados de neg cio ou outro tipo de dados protegidos por legisla o Os sistemas e tecnologias mais cr ticas incluindo todos os sistemas e aplica es SOX todas as DMZ s todos os dispositivos de seguran a e todos os sistemas e elementos de rede mais relevantes dever o estar sob monitoriza o no SOC da PTP Dever o ser estabelecidos processos de monitoria que permitam e Detectar entradas ou tentativas de ent
85. o e a revis o efectuada pela entidade respons vel pela cria o dos acessos Em nenhum caso dever a PTP depender da entidade terceira para a protec o da sua rede e recursos As altera es a um acesso j existente dever o ser requeridas seguindo o mesmo processo de um novo pedido descrito anteriormente Quando um acesso j n o necess rio a entidade requerente atrav s do colaborador identificado como ponto de contacto colaborador que dever desempenhar fun es de contacto com a equipa respons vel pela Extranet no que se refere respectiva liga o bem como assegurar o cumprimento desta Pol tica por parte dos Utilizadores e equipas da Extranet dever notificar a equipa respons vel pela extranet que ir desactivar esse acesso extranet Esta ac o poder corresponder a uma modifica o das permiss es existentes exemplo remo o de um Utilizador ou desactiva o total da conex o daquela entidade terceira Este processo dever ser revalidado no m nimo semestralmente de forma a garantir que as conex es existentes ainda s o necess rias ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 4 Network access control 6 8 Controlo de Acessos a Sistema Operativo A 6 8 1 Q Directrizes de Configura o de Esta es de Trabalho ET e TD As Esta es de Trabalho de todos os colaboradores devem ter um Antiv rus Anti Spyware e Personal Fire
86. o sistema aplica o target dever garantir 1 Userid s distintos e passwords igualmente distintas para cada sistema ou aplica o que sejam seus clientes independentemente do m todo de acesso usado 2 As passwords usadas dever o seguir as directrizes de constru o de passwords robustas desta Pol tica de Seguran a da Informa o ponto 6 5 3 O sistema aplica o base de dados target dever no m nimo recusar o logon se o IP origem n o pertencer a um range reconhecido 4 De forma a prevenir poss veis ataques seguran a da informa o o n mero de tentativas consecutivas de um sistema processo para autentica o num outro sistema aplica o tecnologia dever ser de no m ximo 1 uma 5 Quando um logon falhar quer pela password estar errada quer pelo IP n o pertencer ao range esperado o logon dever falhar sem devolver qualquer feedback entidade cliente 6 Todos os logons devem ser registados em og apropriado mantido em zona segura quer os ogons tenham tido sucesso quer n o Caso se verifiquem todos os pontos anteriores sem excep o e tanto as aplica es processos cliente e o sistema aplica o ou base de dados target residam em zonas seguras dentro de Data Centers PTP as passwords n o ter o de ser alteradas de forma peri dica obrigat ria Caso contr rio os respons veis pelo sistema ou processo cliente dever o assumir um per odo de expira
87. ologia dever o Reiniciar todas as passwords relevantes o For ar que todas as passwords relacionadas com o mesmo sejam alteradas na pr xima vez que cada Utilizador se autentique Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 33 67 3 Curves EA RDIS PP CA Servi o Fixo de Telecomunica es AA Gs tapcrer ER READ o Caso n o seja poss vel implementar a recomenda o anterior por limita es t cnicas ent o o respons vel dever divulgar uma mensagem que notifique todos os Utilizadores e os informe que dever o alterar imediatamente as respectivas passwords Sempre que exista uma suspeita fundada que uma determinada password foi revelada para al m do seu Utilizador dever proceder se imediatamente sua substitui o quer pelo pr prio Utilizador ou pelo administrador respons vel de sistema aplica o tecnologia proibida a apresenta o por uma aplica o sistema tecnologia de qualquer password no ecr ou impressa em papel devendo sempre ser dissimulada durante a sua inser o Sempre que as aplica es sistemas tecnologias o permitam a password inicial atribu da a um Utilizador dever ser v lida apenas durante a primeira autentica o do Utilizador Durante esse acesso o Utilizador dever ser for ado a alterar essa primeira password Este mesmo processo tamb m dever s
88. olu o adoptada para a ptNet Este canal de comunica o n o poder em qualquer circunst ncia ser utilizado para transmiss o de informa o corporativa classificada ISO IEC 17799 2005 Information Technology Code of practice for information security management 7 1 3 Acceptable use ofassets 10 8 Exchange of information 5 5 8 Comunica o de Informa o Classificada como PT Confidencial e PT Reservada A comunica o de informa o PT Confidencial e PT Reservado para fora de um per metro seguro da PTP dever ser sempre feita de forma cifrada encriptada ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 8 Exchange of information q 5 5 9 Desenvolvimento de Sistemas Utiliza o de Criptografia O objectivo desta Pol tica proporcionar directrizes para o uso de criptografia tendo por base a utiliza o de algoritmos que tenham sido revistos publicamente e sejam considerados eficazes Dever o ser utilizados como base das tecnologias de criptografia algoritmos standard tais como AES DES apenas se n o existir alternativa v lida Blowfish RSA RC5 e IDEA Estes algoritmos representam os mecanismos de cifra utilizados em qualquer aplica o aprovada Chaves de sistemas de criptografia sim trica dever o ter no m nimo 256 bits ou uma dimens o que assegure pelo menos o mesmo grau de seguran a Os requisitos da dimens o da chave de cifra ser o re
89. oncelho de Ministros n 5 90 Normas para a seguran a nacional salvaguarda e defesa das mat rias classificadas seguran a inform tica SEGNAC 4 Ordem de Servi o 001403CE PT SGPS Mat rias Classificadas PT Prepara o Manuseamento Arquivo e Destrui o Entrada em vigor em de 01 08 2003 Ordem de Servi o 001705CEPTC PT Comunica es Mat rias Classificadas PT Prepara o Manuseamento Arquivo e Destrui o Entrada em vigor em de 30 03 2005 Ordem de Servi o 0S001403CE Tmn alinhamento com as directivas do Grupo PT nomeadamente com a ordem de servi o emitida a 01 08 2003 que introduz o n vel Muito Secreto e estabelece algumas regras de prepara o manuseamento arquivo e destrui o de Informa o classificada Ordem de Servi o 0S002303CF Pol tica Corporativa de Seguran a de Sistemas de Informa o da PT Comunica es Ordem de Servi o 0S001108CF de 17 07 2008 PT SGPS Princ pios a observar no modelo de gest o de acessos das empresas do Grupo PT Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 10 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o Gio o QSertif o r RDIS PP CA DAFA nopcer aaNet bN A a Faksas o0 Servi o Fixo de Telecomunica es 3 mbito A Pol tica de Seguran a da Informa o aqui descrita aplic vel a todos os funcion rios fornecedores consultores incluindo os cola
90. ords Os Utilizadores n o dever o utilizar a mesma password para acessos na PTP e para acessos externos PTP exemplo acesso a um SP acesso banca on line etc As passwords nunca dever o ser partilhadas com ningu m incluindo assistentes administrativos ou secret rias Todas as passwords dever o ser tratadas como informa o classificada da organiza o Eis uma lista do que N O dever ser feito pelos funcion rios N o dever o revelar a sua password por telefone a ningu m N o dever o revelar a sua password em nenhuma mensagem de e mail N o dever o revelar a sua password sua chefia N o dever o falar de uma password na presen a de outras pessoas O O O O O N o dever o revelar pistas sobre a sua password exemplo o meu nome de fam lia N o dever o revelar a sua password em inqu ritos ou outros meios N o dever o partilhar a sua password com membros da fam lia N o dever o revelar a sua password a colegas quando vai de f rias O O O O N o dever o revelar utilizar a funcionalidade Remember Password dispon vel em algumas aplica es exemplo OutLook Netscape Messenger o N o dever o escrever a sua password e guard la no escrit rio ou em qualquer dispositivo incluindo o seu computador telem veis PDA s ou Smart Phones Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comun
91. pcer iNet E Faksas o0 Servi o Fixo de Telecomunica es e Implementa o de endere amento virtual de servi os na rede de servidores afecta e impedindo dessa forma que seja conhecido e acedido directamente do exterior Quaisquer excep es a estas regras dever o ser documentadas e justificadas bem como comunicadas sempre que poss vel previamente ou caso tal n o seja poss vel imediatamente ap s a sua verifica o entidade respons vel pela seguran a a qual emitir parecer a este respeito ISO IEC 17799 2000 Information Technology Code of practice for information security management 8 7 1 Information and Software Exchange Agreements 6 Gest o de Acessos a 6 1 2 Gest o de Acessos de Utilizadores A PTP deve adoptar transversalmente um sistema de gest o de identidades centralizado Nesse sistema devem estar armazenados os dados que identificam todos os Utilizadores sem excep o internos e externos definindo os seus privil gios de acesso aos diferentes sistemas tecnologias e aplica es e o per odo de validade de cada um desses privil gios Por outro lado todos os sistemas tecnologias e aplica es devem permitir autenticar e validar os privil gios de acesso de cada um dos seus Utilizadores As configura es de seguran a de todos os sistemas tecnologias e aplica es dever o ser adaptadas a este mecanismo De forma a garantir um n vel de seguran a adequado organiza o
92. presente Pol tica dever ser disponibilizada previamente s pessoas e entidades referidas no par grafo anterior pela pessoa respons vel na PTP pela rela o com a pessoa ou entidade em causa No mbito da PTP A entidade respons vel pela Pol tica de Seguran a da Informa o referenciada ao longo deste documento corresponde ao Departamento EDS Efici ncia Disponibilidade e Seguran a da DES Direc o de Explora o e Opera o de SI s A entidade respons vel pela concep o operacionaliza o e gest o dos servi os de TI s e redes corporativas da PT Portugal a DTI Direc o de Servi os e Tecnologias Informa o que tamb m respons vel pela seguran a operacional de todas as TI s e servi os corporativos sob sua gest o A entidade respons vel pelo desenvolvimento dos Sl s da PT Portugal a DDS Direc o de Desenvolvimento de Sistemas de Informa o que tamb m respons vel por assegurar que todos os novos projectos de Sl s cumprem o determinado nesta Pol tica de Seguran a da Informa o A entidade respons vel pela explora o e opera o dos Sl s da PT Portugal a DES Direc o de Explora o e Opera o de Sistemas de Informa o que atrav s do seu Departamento EDS tamb m respons vel pelo controlo da seguran a da informa o e dos Sl s em explora o As entidades respons veis pela constru o da Rede da PT Portugal s o a DPL Direc o de Planeamento e Implementa
93. r exemplo o funcion rio da loja tem que se deslocar do posto de trabalho para ir ao armaz m buscar um equipamento para o cliente Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 45 67 ERR aQMertif Laprer gone Variety Nesta Estas Esta es de Trabalho de risco n o dever o ter dispon veis as drives para meios amov veis diminuindo assim o risco da exist ncia de c pias n o autorizadas da informa o da PTP No caso de Esta es de Trabalho virtuais VDi s sem qualquer possibilidade de ler ou escrever dados e ou programas a partir de drives USB Disquette CD DVD ou outros mecanismos de protec o equivalentes poder o ser implementados ao n vel da plataforma de virtualiza o e n o necessariamente ao n vel de cada Desktop Virtual ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 4 Protection against malicious and mobile code 11 4 Network access control 11 5 Operating system access control 6 8 3 Acesso Remoto a Equipamento Dever o ser utilizados Protocolos Seguros sempre que os sistemas o permitam ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 4 Network access control 11 5 Operating system access control q 6 8 4 Acessos a Servidores e outras Tecnologias de Informa o Todos os se
94. r raz es t cnicas e ou funcionais as excep es dever o ser documentadas e sujeitas a parecer da entidade respons vel pela Pol tica de Seguran a da Informa o acompanhada de proposta de medidas que possam entretanto mitigar os riscos em causa ISO IEC 17799 2005 Information Technology Code of practice for information security management 6 1 Internal Organization a 8 3 Q Sistemas e Tecnologias j existentes e n o inclu dos no mbito SOX Para os Sistemas e tecnologias j existentes e n o inclu dos no mbito SOX da responsabilidade da equipa respons vel por esse sistema ou tecnologia a identifica o da excep o devendo a mesma excep o encontrar se documentada e registada na CMDB respectiva ou na falta desta em meio equivalente Sempre que uma ac o de renova o tecnol gica n o conduza ao cumprimento integral da Pol tica de Seguran a da Informa o da PT Portugal PT Comunica es Tmn e PT Prime a n vel dos Sistemas e Tecnologias de Informa o e Comunica es dever ser mantida a identifica o deste sistema como uma excep o documentada salvaguardando que nenhuma altera o Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 56 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o ERR o Querti ropcer aaNet Ure bN ERI possa conduzir a uma situa o de risco acrescido de seguran a comparativamente situa
95. ra o de Esta es de Trabalho de Risco Qualquer Esta o de Trabalho deve ser instalada de acordo com as regras de seguran a em vigor na PTP incluindo activa es de screen saver anti spyware e personal firewall bem como actualiza es autom ticas estando os Utilizadores proibidos de alterar as respectivas configura es salvo com pr via autoriza o da entidade respons vel pela aplica o em causa Entende se como Esta o de Trabalho de risco as que se encontram mais expostas e como tal apresentando maior risco de utiliza o por Utilizadores n o autorizados como por exemplo as lojas e call centers da PTP Dever existir uma esta o padr o com acesso e privil gios de utiliza o mais restritivos para as situa es em que sejam consideradas Esta es de Trabalho de risco Qualquer Utilizador que se autentique numa destas Esta es de Trabalho ter apenas acesso funcionalidade e aplica es definidas para o perfil deste posto de trabalho Apenas existir uma excep o a esta regra para os colaboradores da equipa de suporte manuten o Estas esta es padr o dever o conter software antiv rus anti spyware e firewall activados de modo a fornecer um n vel de seguran a adequado organiza o O screen saver deve estar configurado para activar ap s dois minutos de inactividade no posto de trabalho protegendo o acesso por password de forma a prevenir acessos n o autorizados por aus ncia do Utilizado
96. radas ileg timas nos sistemas e Detectar pr ticas que coloquem em risco as salvaguardas do controlo de acessos e Detectar tentativas de aumentar os privil gios atribu dos e Garantir a exist ncia de provas suficientes para melhorar os procedimentos de seguran a e ou permitir accionar procedimentos disciplinares ou processo criminal ou c vel quando algum incidente ocorrer e Permitir definir modelos de comportamento normais que permitam por compara o detectar cen rios an malos ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 10 Monitoring Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 51 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o T gt q geRvI GE toprer ER so is h Pirc MFI E RDIS PP CA Servi o Fixo de Telecomunica es N 7 Q Disposi es Adicionais ao N vel da Gest o e Administra o de Sistemas Bases de Dados e Aplica es A 7 1 Q Garantia de Zonas Seguras Per metros Seguros Todos os sistemas e aplica es relevantes dever o estar sempre que poss vel em per metros seguros tanto ao n vel f sico como ao n vel l gico Apenas os frontends aplicacionais dever o ficar expostos numa DMZ Ao n vel da seguran a f sica para um per metro ser considerado seguro ter de estar totalmente protegido dentro de um Datacenter oficial da PTP e o ace
97. rms denial of service attacks trojans spyware malware pornografia etc Vulgarmente utilizado em ambientes internet filtrando emails ficheiros anexos a emails e acessos a sites na internet que apresentem riscos de seguran a Controlo de Acessos Sistema que restringe as actividades dos Utilizadores e processos baseado no que estritamente necess rio saber fazer Permite implementar a segrega o de fun es D Dado Representa o de um facto medi o conceito ou ideia atrav s da utiliza o de letras n meros caracteres especiais imagens ou sons e armazenado num computador permitindo a sua posterior consulta transmiss o ou processamento usando meios inform ticos Dados Pessoais Qualquer informa o relativa a uma pessoa singular identificada ou identific vel titular dos dados considerada identific vel a pessoa que possa ser identificada directa ou indirectamente designadamente por refer ncia a um n mero de identifica o ou a um ou mais elementos espec ficos da sua identidade f sica fisiol gica ps quica econ mica cultural ou social Lei 67 98 de 26 de Outubro Lei da Protec o de Dados Pessoais al nea a do artigo 3 Data Center Local com as condi es ambientais e t cnicas incluindo de seguran a f sica e l gica adequadas ao alojamento de equipamentos sistemas e onde existe um rigoroso controlo de acessos f sicos e l gicos Direct rio
98. rvidores sistemas de storage e backup e outras tecnologias de informa o cr ticas para a PTP dever o estar sob a responsabilidade de um grupo operacional que assegure a sua administra o operacionalidade e seguran a Os servidores dever o estar sempre localizados num ambiente em que exista um rigoroso controlo de acessos f sicos bem como condi es ambientais adequadas para a manuten o do equipamento sistemas 6 8 5 Acessos a Elementos de Rede e Seguran a de Rede Todos os routers switches firewalls IDS s IPS s e outros elementos de redes da PTP dever o estar sob a responsabilidade de grupos operacionais que assegurem a sua administra o e seguran a Estes elementos de rede dever o estar sempre localizados em ambientes em que exista um rigoroso controlo de acessos f sicos bem como condi es ambientais adequadas para a sua opera o e manuten o Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 46 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o x RDIS PP CA Servi o Fixo de Telecomunica es q Gees X FX riif apCer a Net A B 6 8 6 Directrizes de Configura es A configura o dos sistemas operativos dever ser sempre efectuada tendo em considera o as normas de seguran a emitidas pelos respectivos fornecedores e ou elaboradas pelas reas operacionais bem como os normativos emitidos pela entidade respons vel pela Pol tica de Segura
99. s Unidades organizacionais utilizados para organizar ficheiros ou outros direct rios que se encontram abaixo da sua hierarquia DMZ Demilitarized Zone um per metro de seguran a f sico ou l gico utilizado para colocar front ends dos servi os da empresa que se pretendem expor a um maior e n o necessariamente confi vel p blico alvo normalmente na Internet DoS Denial of Service e DDoS Distributed Denial of Service Tipo de ataque a um sistema de informa o ou rede com a inten o de provocar a indisponibilidade do servi o aos restantes Utilizadores normalmente atrav s da perda de conectividade e servi os pelo consumo agressivo da largura de banda da rede atacada ou de sobrecarga dos Classifica o P blico Pol tica de Seguran a da Informa o da PT Portugal a n vel dos Sistemas e Tecnologias de Informa o e Comunica o 61 67 ESTO A Gs o rirc RDIS PP CA ERES DICEN Net bN ERI ESA Servi o Fixo de Telecomunica es recursos dos sistemas atacados Designa se DDoS quando o ataque envolve m ltiplos sistemas distribu dos na Internet E Empresa Estendida Ambiente alargado de uma empresa tendo em conta as infra estruturas dos seus parceiros quando estas se tenham de interligar s suas pr prias infra estruturas para prestarem os seus servi os Esta realidade estendida tem de ser tida em conta na an lise global da seguran a da infor
100. s ac es de resolu o ou mitiga o empregues e seus resultados Sempre que tal fa a sentido o conhecimento adquirido dever ser passado equipe do CSIRT A entidade respons vel pela Pol tica de Seguran a da Informa o proceder periodicamente e sempre que considere necess rio ao controlo de todas as excep es documentadas e registadas A informa o relativa a estas excep es um input essencial para o Processo de Gest o de Risco dos Sl s TI s da PTP o qual da responsabilidade da entidade respons vel pela Pol tica de Seguran a da Informa o de acordo com o Manual de Controlo Interno ISO IEC 17799 2005 Information Technology Code of practice for information security management 13 1 Reporting information security events and weaknesses 9 Revis o Actualiza o da Pol tica de Seguran a da Informa o 9 1 Entidade respons vel pela Pol tica de Seguran a da Informa o A entidade respons vel pela Pol tica de Seguran a da Informa o far proposta ao Conselho de Administra o da PTP CA PTC CA TMN CA PT Prime de revis o e actualiza o da Pol tica sempre que a evolu o tecnol gica ou os dados hist ricos da organiza o o justifiquem ou quando para fazer face a exig ncias Legais Nacionais e ou Internacionais seja imperativo a transcri o da mesma para a Pol tica de Seguran a da Informa o da PT Portugal PT Comunica es Tmn e PT Prime a n vel dos Sistemas e
101. s de Informa o e Comunica o teeaesesmaesaeasaeasereartasaesreetattaas 32 Sistemas e Tecnologias j Existentes e Inclu dos no mbito SOX 3 3 Sistemas e Tecnologias j Existentes mas N o Inclu dos no mbito SOX 4 Responsabilidades GeraiS ssssessssssesssssssssesssstssesessostssestsstsnesenostenosnontsnentsnostononontsntntenonontsnonnantnentsnostnnonnrneneansa earnet 4 1 Responsabilidades Gerais dos UtilizadoreS u s ssv s 11v 1s1r1s111ss1stvrsstrtsrtrtstvrnststsrnstnenrnstsrnnntstnrantnenrnstntnnstnroantnennntnrnstntnrnantn rnr antnrns ternen anent 4 2 Responsabilidades gerais de entidades externas reeesreaessaesresrsreaesresrsres res resrssresrescessress 5 4 Responsabilidades gerais das chefias e das reas de gest o dos recursos humanos messes 16 5 Comunica o e Gest o da Informa o eeerteeemmateeeeeeeeeeeeeeemtrreeeeeeeaeertrreeeeereeeeeeeeeerrrrrreeeraes 16 5 1 Classifica ao de NOMIGI Gessa e aaa E a En da ce 16 52 Gestao de Meios AmoVIVEIS aan en eR a a a a pa O 5 2 1 Utiliza o de Meios Amov veiS rsssmsnnnsnsenensrenninanen neninn RRN AREE n 8 522 Transporte de Informa o Classificada 19 53 Elimina o de Informa o 53l Elimina o de Documentos Classificados 53 2 Elimina o de Mediaren ad E RR a a a aen 20 533 Reten o e Elimina o de Informa o Hist rica eseessmessasssmeasressresssreasmaersrtisesseesressmessreesress 21 54 Armazenamento de a o de a 07
102. s que este seja reaproveitado para outro utilizador Sempre que termine a colabora o de um funcion rio de uma entidade externa a rea na qual desenvolveu a sua actividade dever informar as reas respons veis pela Gest o de Utilizadores para que possa ser o mais rapidamente poss vel desactivado e os seus acessos cancelados em todas as redes sistemas de informa o plataformas tecnol gicas e pontos de acesso f sico aos edif cios PTP A rea interna respons vel pelo servi o prestado pela entidade externa dever tamb m assegurar a recolha de eventuais cart es de acesso assim como a elimina o de toda a informa o de car cter biom trico associado a esse funcion rio externo Caso esse funcion rio externo tenha dentro das suas fun es lidado com informa o confidencial toda a informa o no seu Desktop e ou Notebook dever ser destru da antes que este seja reaproveitado para outro utilizador Em circunst ncia alguma dever se o permitir Desktops ou Notebooks ligados rede interna sem que estes tenham Utilizadores autorizados 5 Comunica o e Gest o da Informa o 5 1 Classifica o de Informa o Os graus de classifica o de seguran a da informa o correspondentes ao n vel de sensibilidade da informa o definidos na empresa s o os seguintes PT Muito Secreto O grau de classifica o PT Muito Secreto limitado a informa es documentos e materiais que necessitem do mais elevado
103. ss veis fornecedores pelo que aos mesmo dever ser disponibilizada ao abrigo de cl usula de confidencialidade nos termos dos par grafos seguintes O Cliente interno respons vel por aquando da elabora o de documentos para Consulta ao Mercado como por exemplo o Caderno de Encargos RFI RFP ou RPQ incluir as seguintes cl usulas Cl usula de Confidencialidade e Protec o de Dados Pessoais 1 Os concorrentes obrigam se a manter e tratar como absolutamente confidencial toda a informa o trocada no mbito da presente consulta abstendo se de qualquer uso fora deste contexto quer em benef cio pr prio quer de terceiro independentemente dos fins salvo a Em situa es de lit gio entre a Entidade Adjudicante e o concorrente caso em que a informa o relevante poder ser apresentada perante a autoridade competente b Quando a informa o em causa for solicitada por uma autoridade p blica com poderes para o requerer devendo dessa solicita o o concorrente dar conhecimento de imediato Entidade Adjudicante 2 A obriga o prevista no n mero anterior manter se por um per odo de 3 tr s anos a contar da data de abertura do presente procedimento 3 Os concorrentes s o respons veis por todos e quaisquer danos decorrentes do incumprimento culposo ou negligente das obriga es referidas em 1 e 2 relativamente ao uso das informa es trocadas assim como pela confidencialidade e utiliza o da in
104. sso f sico ao mesmo ter de implicar a identifica o autoriza o controlo e acompanhamento de quem quer que pretenda o acesso As excep es a esta regra ser o os t cnicos do Datacenter ou as equipas de administra o que normalmente trabalhem na zona onde se encontra o per metro em causa Ao n vel da seguran a l gica para um per metro ser considerado seguro na PTP ter de garantir que sem excep o todos os acessos por rede a qualquer dos sistemas ou tecnologias dentro ou nesse per metro sejam previamente conhecidos e comprovadamente monitorizados e controlados por sistemas de seguran a operacional da PTP Firewalls e IDS s IPS s devidamente integrados no SOC da PTP Adicionalmente um per metro s ser considerado seguro se todos os sistemas e elementos de rede nele contidos estiverem seguros de acordo com as melhores pr ticas de seguran a de informa o e n o exista qualquer rela o de confian a entre um sistema dentro do per metro seguro e um outro sistema fora desse per metro Finalmente um per metro seguro exige obrigatoriamente que a sua administra o quando remota recorra sem excep o a Protocolos Seguros e a consolas seguras A entidade respons vel pela Pol tica de Seguran a da Informa o dever periodicamente pelo menos uma vez por ano e sempre que considere necess rio efectuar peritagens seguran a l gica e f sica dos per metros seguros da PTP ISO IEC 17799 2005 Inform
105. sssssssssssssssstsrsrstststststststototseneronsrstatstststststntntntnosenanareranstsaststsas entse ontsteteteretnensas tettet estates tata taenene netetat 30 6 2 Pol tica de Passwords de Utilizadores Indiv duos 33 6 3 Pol tica de User ld s e Passwords para Uso Aplicacional s s s s v s s1 1111s1s1s11ststststs1vtv1stvevevensnrssttststststststntstntnenenenrnrororornnsnstststsesesenenene 3D 64 Directrizes para Constru o de Passwords para Utilizadores Normais Internos ou Externos 36 6 5 Directrizes para Constru o de Passwords Robustas para Utilizadores com Privil gios de Administra o pata Integra o O er oi o E ONO 74 6 6 Responsabilidades Espec ficas dos Utilizadores itteamesaaeaaaeareaaesareaareaareasreaarersreasaeasrtasaataa 38 Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 3 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o Sri T q Gs taprer ER Neta RDIS PP CA Servi o Fixo de Telecomunica es 6 6 1 Seguran a das Esta es de Trabalho ET VDi s Desktops e Notebooks emestateea 38 6 6 2 Seguran a das Esta es de Desenvolvimento TD Desktops ou Notebooks 6 6 3 Lock e Logout do seu Computador 6 6 4 Escolha de Pass WOrdS ker snn mennen NA A ENE T ENEE ARE 6 6 5 Protec o das PassivoraS sasasineas ess sdo casei ada AAAA ta aa ai na 39 6 6 6 Bartilharde In fORMa O ass sssesssessisssago spears
106. t 13 1 Reporting information security events and weaknesses 6 6 8 Destrui o Altera o ou Comprometimento n o Autorizado de Logs Aplicacionais ou de Sistema Os Utilizadores n o podem destruir alterar ou comprometer quaisquer logs aplicacionais ou de sistema O n o cumprimento desta regra constitui uma viola o grave a esta Pol tica Excep es a esta regra dever o ser devidamente justificadas e aprovadas pela entidade respons vel pela Pol tica de Seguran a da Informa o ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 3 User Responsibilities 13 1 2 Reporting security weaknesses Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 40 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o a amp i Ke cr RDIS PP CA AE ropcer aaNet Servi o Fixo de Telecomunica es 6 6 9 Realiza o de Testes N o Autorizados de Seguran a Os programas de testes e demonstra o que n o perten am PTP s poder o ser utilizados ap s exame e autoriza o pr via por da entidade respons vel pela Seguran a da Informa o referida no ponto 1 designadamente no que respeita a v rus e ou compatibilidade Os Utilizadores n o poder o em caso algum executar opera es inform ticas que possam constituir viola o de quaisquer disposi es legais aplic veis Os Utilizadores n o pod
107. terno supra referido e nesta Pol tica Os Utilizadores dever o ter um cuidado adicional quando enviam e mail interno da PTP para uma rede exterior Como tal nunca dever ser efectuado reencaminhamento de forma autom tica para e mails externos de qualquer e mail interno Informa o classificada PT Confidencial e PT Reservado nunca dever ser reencaminhada a n o ser que tal seja mesmo necess rio e cr tico para o neg cio da PTP e a mensagem e respectivos anexos estejam cifrados n o devendo o c digo de acesso informa o ser comunicado ao destinat rio na mesma mensagem que envia a informa o devendo preferencialmente tal c digo ser enviado atrav s de outra plataforma meio de comunica o estritamente proibido que qualquer Utilizador envie e mails com meios da PTP ou dentro da PTP sem ser atrav s dos sistemas de e mail autorizados A cria o de e mails fazendo se passar por terceiro uma viola o grave desta Pol tica de Seguran a e poder dar origem a procedimentos disciplinares e legais Os Utilizadores nunca dever o abrir documentos ficheiros macros ou URL s links que recebam em anexos de um e mail cuja origem seja desconhecida ou suspeita ou de que haja suspeita de que o conte do possa ser prejudicial ao bom funcionamento do sistema inform tico Estes e mails dever o ser imediatamente apagados e posteriormente dever esvaziar a pasta Itens Eliminados Todos os e mails de Spam chain letters
108. to know ou seja os acessos devem ser facultados com base nas necessidades funcionais de cada colaborador Sempre que poss vel a concess o de acessos deve assegurar a segrega o de fun es dos utilizadores de desenvolvimento teste e produ o os utilizadores Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 32 67 5 RDIS PP CA Servi o Fixo de Telecomunica es 6 2 q Gees X FX a Gerir Eoprer a Net A da equipa de desenvolvimento n o dever o ter privil gios de acesso com permiss es de escrita ao ambiente de produ o ISO IEC 17799 2005 Information Technology Code of practice for information security management 11 2 User access management a Q Pol tica de Passwords de Utilizadores Indiv duos Todos os Utilizadores devem ter a sua pr pria password de acesso aos sistemas inform ticos da PTP sendo esta password pessoal e intransmiss vel As passwords s o utilizadas para as mais diversas finalidades na PTP Algumas dessas finalidades incluem contas de acesso a aplica es contas de administra o de sistemas contas de plataformas de servi o contas de administra o de equipamentos de rede contas web contas de e mail protec es screen saver protec es do voice mail etc Nesse sentido dever o ser implementadas as seguintes regras 1 Ap s a instala o de qu
109. vistos e actualizados de acordo com as evolu es tecnol gicas Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o ASIA a amp i rric RDIS PP CA LAE popcer glNec Servi o Fixo de Telecomunica es A utiliza o de algoritmos de cifra propriet rios n o permitida excepto quando revisto e aprovado pela entidade respons vel pela Pol tica de Seguran a da Informa o ISO IEC 17799 2000 Information Technology Code of practice for information security management 8 7 1 Information and Software Exchange Agreements 10 3 Cryptographic Controls A 5 5 10 Comunica o de Informa o entre Sistemas e Aplica es Sempre que informa o classificada tenha de circular fora de um per metro seguro dever o ser obrigatoriamente utilizados Protocolos Seguros por exemplo HTTPS SSL TSL SSH ou IPSec De igual forma sempre que informa o classificada tenha de circular entre duas aplica es ou sistemas fora de um per metro seguro dever o ser obrigatoriamente utilizados Protocolos Seguros nessa comunica o No caso de n o ser poss vel segregar a informa o classificada da informa o n o classificada ter se que actuar como se toda a informa o fosse classificada sendo adoptadas todas as medidas de seguran a Nota para efeitos de RFP s e novas aquisi es Todas as novas ap
110. vitar se a ocorr ncia de erros comuns e de vulnerabilidades de seguran a conhecidas Garantir segundo um plano de testes especificamente desenhado para as conformidades de seguran a da informa o que antes dos novos sistemas ou tecnologias da informa o ou comunica o entrarem em produ o s o efectuados testes espec ficos relativamente aos mesmos Garantir que antes dos novos sistemas ou tecnologias da informa o ou comunica o entrarem em produ o estes est o em conformidade com a Pol tica de Seguran a da Informa o da PT Portugal PT Comunica es TMN e PT Prime a n vel dos Sistemas e Tecnologias de Informa o e Comunica es Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 13 67 T q Gs toprer ER IS room RDIS PP CA Servi o Fixo de Telecomunica es Garantir que qualquer fornecedor da PTP antes do in cio do fornecimento de um Produto Servi o que implique o acesso a sistemas e tecnologias de informa o ou de comunica o da PTP assina um Acordo de Confidencialidade NDA Non Disclosure Agreement que garanta o cumprimento desta Pol tica de Seguran a da Informa o para al m de outras disposi es espec ficas ao fornecimento em causa 3 2 Sistemas e Tecnologias j Existentes e Inclu dos no mbito SOX Para os sistemas e tecnologias nestas condi es d
111. vogar a todo o tempo e sem qualquer aviso pr vio a utiliza o dos recursos inform ticos e de comunica o para fins profissionais com a inerente obriga o do Utilizador entregar imediatamente todos os recursos inform ticos e de comunica o que se encontrem em seu poder 6 6 11 Obriga es no Momento de Cessa o de V nculo Laboral ou Contratual Em caso de cessa o do contrato de trabalho seja por que raz o for incluindo assim despedimento reforma e situa es an logas ou mudan a de fun es o Utilizador obrigado a a entregar ao seu superior hier rquico os equipamentos software e demais ferramentas de trabalho e informa o elaborada e ou em seu poder n o podendo Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 41 67 ESTA a Gs SS a RDIS PP CA Ya hacer glNec E oi Faksas o0 Servi o Fixo de Telecomunica es conservar ou utilizar qualquer da referida informa o para qualquer efeito sem autoriza o pr via e escrita da PTP b eliminar todas as mensagens e informa o de natureza pessoal que tenha armazenado ou que se encontrem dispon veis nos sistemas da empresa e ou nos recursos electr nicos disponibilizados pela mesma c entregar os e mails de car cter profissional ao seu imediato superior hier rquico em formato digital ISO IEC 17799 2005
112. vou excep o dever caber equipa respons vel por esse sistema ou tecnologia de informa o e comunica es para mais detalhe ver ponto 8 3 De acordo com minuta a solicitar Direc o Jur dica Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel 14 67 P blico dos Sistemas e Tecnologias de Informa o e Comunica o is vi Pat Wa q Gs Eoprer a Net A 2 risosom th sz ts RDIS PP CA Servi o Fixo de Telecomunica es 4 Responsabilidades Gerais 4 1 Responsabilidades Gerais dos Utilizadores Os equipamentos inform ticos disponibilizados pela PTP aos Utilizadores destinam se ao exerc cio da respectiva actividade profissional devendo os Utilizadores zelar pela sua boa conserva o e utiliza o adequada da responsabilidade do Utilizador a salvaguarda da sua informa o pessoal e garantir que esta n o legalmente il cita ou impr pria face ao c digo de tica da PT Os colaboradores da PTP enquanto Utilizadores do software disponibilizado pela PTP dever o cumprir integralmente os termos e condi es de utiliza o do software Um colaborador da PTP que cometa uma viola o presente Pol tica atrav s do incumprimento das disposi es descritas neste documento estar sujeito ao disposto na Lei Geral de Trabalho designadamente no que respeita ao seu sancionamento disciplinar ou no caso de ser colaborador com v nculo contratual com a PT Comuni
113. wall activos e com actualiza es autom ticas O Utilizador da Esta o de Trabalho TD deve ser impedido de alterar a configura o destes programas No caso de Esta es de Trabalho virtuais VDi s sem qualquer possibilidade de ler ou escrever dados e ou programas a partir de drives USB Disquette CD DVD ou outros Classifica o Pol tica de Seguran a da Informa o da PT Portugal a n vel P blico dos Sistemas e Tecnologias de Informa o e Comunica o 44 67 Gees o Qeertif o r RDIS PP CA DICE Net Servi o Fixo de Telecomunica es mecanismos de protec o equivalentes poder o ser implementados ao n vel da plataforma de virtualiza o e n o necessariamente ao n vel de cada Desktop Virtual O screen saver dever estar configurado para ap s cinco minutos de inactividade no posto de trabalho o mesmo ser activado protegendo o acesso por password Na altura da autentica o dos Utilizadores que pretendem utilizar um posto de trabalho os servidores de dom nio devem validar e for ar a configura o de seguran a acima referida Caso o posto de trabalho n o cumpra com algum dos crit rios a sua entrada na rede deve ser recusada ISO IEC 17799 2005 Information Technology Code of practice for information security management 10 4 Protection against malicious and mobile code 11 4 Network access control 11 5 Operating system access control A 6 8 2 Q Directrizes de Configu
114. ware Refere toda a classe de software malicioso v rus spyware worms desenhado para se infiltrar no computador tirando partido de vulnerabilidades de seguran a sem o consentimento do Utilizador e que normalmente persegue objectivos il citos e ou nocivos N NDA Non Disclosure Agreement Acordo de confidencialidade Networking S rie de pontos ou n s computadores activos de rede impressoras etc interligados por um meio de comunica o cabo de cobre ptico wireless etc 13 De acordo com minuta a solicitar Direc o Jur dica Password Conjunto secreto de caracteres utilizado para identificar um Utilizador ou um processo Password default ou Password de f brica Password inicial atribu da quando um novo Utilizador criado ou password inicial disponibilizada por um fornecedor de hardware software Plataforma de Servi os s o normalmente plataformas t cnicas que permitem a disponibiliza o de funcionalidades associadas parametriza o de qualquer tipo de servi os nas redes cobre fibra etc criar activar desactivar controlar sess es protocolos etc P los T cnicos Trata se de instala es t cnicas com acesso controlado localizadas em edif cios normais da PTP fora dos Datacenters onde se encontram equipamentos de suporte aos Sistemas de Informa o e Tecnologias de Comunica o tipicamente com fun es locais zona da rede
Download Pdf Manuals
Related Search