Ministério da Justiça e Segurança Pública
|
|
PORTARIA DTIC/SE/MJSP Nº 5, de 31 de março de 2022
|
Institui a Norma de Segurança de Gestão de Vulnerabilidades Técnicas no âmbito da Diretoria de Tecnologia da Informação e Comunicação do Ministério da Justiça e Segurança Pública |
O DIRETOR DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO, no uso da competência lhe foi subdelegada pelo art. 4º da Portaria nº 1411, de 25 de novembro de 2021, da Secretaria-Executiva do Ministério da Justiça e Segurança Pública,
RESOLVE:
Art. 1º Fica instituída a NORMA DE SEGURANÇA DE GESTÃO DE VULNERABILIDADES TÉCNICAS do Ministério da Justiça e Segurança Pública - MJSP, na forma do Anexo a esta Portaria.
Art. 2º Esta norma entra em vigor no 1º dia útil do segundo mês da publicação desta Portaria.
RODRIGO LANGE
ANEXO
NORMA DE SEGURANÇA DE GESTÃO DE VULNERABILIDADES TÉCNICAS
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Esta norma de Segurança de Gestão de Vulnerabilidades do Ministério da Justiça e Segurança Pública - MJSP complementa a Política de Segurança da Informação e Comunicação, com a finalidade de definir o modelo de gestão de vulnerabilidades a ser adotado pela Diretoria de Tecnologia da Informação e Comunicação no âmbito do Ministério da Justiça e Segurança Pública.
Art. 2º As disposições apresentadas nesta norma adotam como terminologia o Glossário de Segurança da Informação do GSI e observam os normativos legais e regulamentares vigentes.
CAPÍTULO II
DOS PAPÉIS E RESPONSABILIDADES
Art. 3º A gestão de vulnerabilidades é de responsabilidade de todas as unidades da Diretoria de Tecnologia da Informação e Comunicação - DTIC e tem como objetivo prevenir a exploração de vulnerabilidades técnicas na rede corporativa do Ministério da Justiça e Segurança Pública por meio da aplicação sistemática de ações de identificação, classificação e tratamento de vulnerabilidades, compreendendo:
a obtenção de informações para identificar vulnerabilidades técnicas em tempo hábil;
a avaliação de exposição às vulnerabilidades técnicas; e
a adoção de medidas apropriadas e tempestivas para lidar com os riscos identificados.
Art. 4º Cabe às unidades da DTIC manter um processo de gestão de vulnerabilidades técnicas que permita gerir continuamente as vulnerabilidades em seu ambiente de TI e os riscos associados a elas.
Art. 5º O processo de gestão de vulnerabilidades deve assegurar que sejam disponibilizadas à Alta Administração e ao Comitê de Governança Digital e Segurança da Informação e Comunicação - CGDSIC, sempre que solicitado, as informações sobre vulnerabilidades referentes aos ativos de rede e de sistemas informatizados geridos pela DTIC.
Art. 6º Para assegurar a rastreabilidade adequada das vulnerabilidades técnicas, as responsabilidades e competências no âmbito da segurança da informação devem ser segregadas da seguinte forma:
A Coordenação-Geral de Infraestrutura e Serviços é responsável por:
a) implementar e garantir a execução de processo de implantação de patches de correção de forma tempestiva, sistemática, responsável e documentada;
b) implantar inventário dos recursos de TIC para determinar quais equipamentos de hardware, sistemas operacionais e aplicativos de software são usados dentro da organização; e
c) corrigir as vulnerabilidades técnicas ou adotar medidas para sua mitigação visando minimizar a probabilidade de exploração.
A Coordenação-Geral de Gestão de Governança de TIC, por meio da Coordenação de Riscos e Segurança de TIC, é responsável por:
a) analisar e avaliar os riscos das vulnerabilidades técnicas no ambiente da rede corporativa do Ministério;
b) acompanhar o tratamento das vulnerabilidades e proposição de melhorias no processo;
c) identificar vulnerabilidades que possam interromper ou comprometer a segurança do Ministério, autorizando o desligamento dos ativos de rede ou sistemas informatizados comprometidos e seus recursos associados, mediante notificação - quando possível - à área negocial associada e comunicação ao Gestor de Segurança da Informação e Comunicação; e
d) utilizar regularmente ferramentas automatizadas para a identificação de vulnerabilidades técnicas na rede corporativa do Ministério.
Parágrafo Único. Cabe à Coordenação-Geral de Infraestrutura e Serviços e à Coordenação de Riscos e Segurança de TIC monitorar regularmente sítios de fabricantes, fóruns especializados, grupos especiais e outras fontes de consulta para obter informações relacionadas a vulnerabilidades técnicas e medidas de correção
CAPÍTULO III
DO PROCESSO DE GESTÃO DE VULNERABILIDADES
Art. 7º O Processo de Gestão de Vulnerabilidades deve ser estabelecido e documentado de forma a permitir a eficaz detecção e remediação de vulnerabilidades no menor tempo possível.
Art. 8º O processo deve ser revisado a cada dois anos ou sempre que ocorrerem mudanças significativas no ambiente que possam impactá-lo.
Art. 9º PO inventário completo e atualizado dos ativos de rede e sistemas informatizados é pré-requisito para o efetivo processo de gestão de vulnerabilidades e deve identificar, no mínimo, os ativos de hardware, software, serviços em nuvem, o grau de criticidade e o respectivo responsável pela sua gestão.
Art. 10º O processo de gestão de vulnerabilidades compreende, minimamente, as seguintes fases:
Preparação;
Identificação de Vulnerabilidades Técnicas;
Verificação de Vulnerabilidades Técnicas;
Avaliação da Exposição;
Tratamento de Vulnerabilidades Técnicas;
Monitoramento de Vulnerabilidades Técnicas.
CAPÍTULO IV
DA PREPARAÇÃO
Art. 11º A fase de preparação abrange as seguintes ações:
definição do escopo de varredura inicial;
definição do tipo de varredura, se interna ou externa;
definição se a varredura deverá ou não ser autenticada;
planejamento do tempo necessário e agendamento para a varredura de vulnerabilidades de acordo com o número de verificações e o tipo de varredura que será executada;
comunicação aos proprietários dos ativos, quando necessário, sobre a realização da varredura, a data e a hora da realização e as formas como o processo poderá afetar os ativos;
comunicação ao Gestor de Segurança da Informação e Comunicação;
definição da emissão de alertas às partes interessadas; e
coleta das autorizações necessárias.
CAPÍTULO V
DA IDENTIFICAÇÃO DE VULNERABILIDADES TÉCNICAS
Art. 12º Informações sobre vulnerabilidades técnicas relacionadas aos ativos de rede e sistemas informatizados em uso no Ministério devem ser pesquisadas periodicamente para permitir a implantação de medidas de segurança capazes de dirimir os riscos associados. Para tanto, devem ser considerados, no mínimo:
uso de ferramentas atualizadas para identificação de vulnerabilidades técnicas;
uso de procedimentos automatizados para varreduras de vulnerabilidades técnicas; e
realização de testes de invasão para detecção de falhas de segurança na rede corporativa.
CAPÍTULO VI
DA VERIFICAÇÃO DE VULNERABILIDADES TÉCNICAS
Art. 13º A verificação das vulnerabilidades técnicas deve atender às seguintes condições:
utilização da fonte Common Vulnerabilities and Exposures (CVE) como base para a verificação de vulnerabilidades nos ativos de rede e sistemas informatizados;
compatibilidade com Security Content Automation Protocol (SCAP) ou outro protocolo de automatização para a verificação de configurações de segurança;
mecanismo de controle estatístico e emissão de relatórios para assegurar que somente varreduras de vulnerabilidades autorizadas possam ser executadas; e
uso de credenciais (ou contas de acesso) dedicadas e exclusivas para varreduras de vulnerabilidades.
CAPÍTULO VII
DA IDENTIFICAÇÃO DE VULNERABILIDADES TÉCNICAS
Art. 14º A análise do risco de impacto das vulnerabilidades técnicas no ambiente da rede corporativa do Ministério deve atender às seguintes condições:
identificação dos ativos de rede e sistemas informatizados do inventário afetados pela vulnerabilidade técnica, incluindo seu valor para a organização, seus requisitos de segurança da informação e sua classificação de segurança;
avaliação de como a vulnerabilidade técnica pode afetar o ambiente da rede corporativa do Ministério, considerando interfaces e interdependências internas e externas, requisitos de segurança da informação implementados e classificação de segurança dos ativos de rede e sistemas informatizados considerados críticos;
avaliação quanto à necessidade de criação de ambiente de teste, realização de provas de conceito, desativação de serviços/funcionalidades ou aplicação de patches de correção;
documentação dos procedimentos de correção das vulnerabilidades técnicas, contemplando instalação, configuração, regras estabelecidas e procedimentos de restauração caso a correção introduza comportamento instável na rede corporativa do Ministério;
utilização de processo de classificação de risco para priorizar a correção da vulnerabilidade técnica, conforme procedimento definido pela Coordenação de Riscos e Segurança de TIC; e
comunicação imediata ao Gestor de Segurança da Informação e Comunicação da impossibilidade de tratamento de vulnerabilidade técnica classificada como crítica.
CAPÍTULO VIII
DO TRATAMENTO DE VULNERABILIDADES TÉCNICAS
Art. 15º A correção das vulnerabilidades técnicas ou mitigação da probabilidade de exploração deve atender às seguintes condições:
definição de janela temporal para a implementação das ações de remediação, coerente com a urgência associada ao nível de risco avaliado;
comunicação das ações aos proprietários dos ativos, quando necessário;
adoção de testes e homologação da correção da vulnerabilidade técnica, quando aplicáveis, antes de sua instalação no ambiente de produção da rede corporativa;
elaboração de plano de controles compensatórios quando uma estratégia de remediação do risco não for possível;
atualização dos procedimentos adotados para instalação, configuração, definição de regras e restauração, quando for o caso;
realização de backup dos dados e aplicações afetados pelo procedimento, quando necessário; e
geração de registros de eventos (logs) das ações realizadas para correção da vulnerabilidade técnica.
Art. 16º As mudanças no ambiente da rede corporativa do Ministério motivadas pelas correções das vulnerabilidades técnicas devem ser implantadas de acordo com o processo de Gestão de Mudanças vigente.
Art. 17º Devem ser regularmente aferidos os resultados dos tratamentos de vulnerabilidades técnicas quanto à sua tempestividade.
Art. 18º Poderão, em caráter excepcional, ser tomadas medidas alternativas às previstas para mitigação de riscos, em ocasiões específicas e justificáveis, inclusive em emergências, devendo as ocorrências serem comunicadas de forma imediata ou assim que possível ao Gestor de Segurança da Informação e Comunicação.
CAPÍTULO IX
DO MONITORAMENTO DE VULNERABILIDADES TÉCNICAS
Art. 19º O monitoramento das vulnerabilidades técnicas deve atender às seguintes condições:
acompanhamento regular do nível de exposição dos principais ativos de rede e sistemas informatizados;
acompanhamento regular da evolução do quantitativo e da gravidade das vulnerabilidades técnicas no ambiente da rede corporativa do Ministério;
comunicação ao Comitê de Governança Digital e Segurança da Informação e Comunicação – CGDSIC e a Alta Administração a respeito da evolução, dos riscos e dos achados dos testes e das varreduras, quando solicitado; e
proposição de melhorias nos processos da gestão de vulnerabilidades.
Art. 20º O monitoramento regular de sítios de fabricantes, fóruns especializados, grupos especiais e outras fontes de consulta para obter informações relacionadas a vulnerabilidades técnicas e medidas de correção deve adotar os seguintes critérios para seleção preferencial das fontes de consulta:
fontes oficiais de informação dos fabricantes;
boletins e comunicados de equipes governamentais de resposta a incidentes;
fontes primárias de informação; e
fóruns e sítios especializados com alto grau de precisão e atualização das informações fornecidas, reconhecidos como confiáveis pela comunidade de segurança da informação.
Parágrafo único. As informações pesquisadas devem incluir:
notícias e alertas sobre ameaças, vulnerabilidades, ataques e patches, com especial atenção às vulnerabilidades de dia zero;
melhores práticas de segurança da informação adotadas pelo mercado: políticas, procedimentos, diretrizes e listas de verificação;
tendências do mercado de segurança da informação relacionadas ao setor: leis e regulamentos, requisitos de clientes e soluções de fornecedores
dados sobre segurança da informação de consultorias especializadas, outras organizações, polícias, agências de segurança do governo ou congêneres; e
notícias relacionadas a novas tecnologias e produtos de segurança da informação e comunicação.
CAPÍTULO X
DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 21º Havendo fundados indícios de responsabilidade por descumprimento da presente norma, caberá à Diretoria de Tecnologia da Informação e Comunicação - DTIC a avaliação dos fatos para consideração acerca de enquadramento, ou não, de infração à Política de Segurança da Informação e Comunicação - POSIC, sujeitando os agentes transgressores às sanções cabíveis.
Art. 22º Dúvidas, casos omissos, ou situações excepcionais em relação a esta norma serão dirimidos pela Diretoria de Tecnologia da Informação e Comunicação.
Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).