Campanha de SIC Segurança da Informação é você que faz, teve o lançamento oficial no dia 26 de outubro de 2011 na biblioteca do Ministério da Saúde. O lançamento contou com a presença do então Secretário da Gestão Estratégica e Participativa, do Diretor do Departamento de Informática do SUS – DATASUS, do representante do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República – DSIC/GSIPR.

Vídeo de lançamento da Campanha de SIC - Segurança da Informação é você que faz – pelo então Ministro da Saúde Alexandre Padilhacampanhas

Por meio de pesquisa realizada com os usuários da rede foram identificados os principais pontos abordados na Campanha de SIC que tem por objetivo disseminar a cultura de SIC no MS sensibilizando a todos os usuários da rede coorporativa a necessidade da adoção de medidas para Segurança da Informação.

Foram abordados os seguintes temas:

- Contas e Senhas;

- Controle de Acesso;

- Integridade de Sistemas;

- Utilização Adequada dos Recursos;

- Classificação da Informação;

- Identificação e Autenticação;

- Ambiente de Trabalho;

- Incidentes de Segurança.

Segurança da Informação é o conjunto de procedimentos que deve ser adotado para proteger as informações a qualquer projeto, ação ou trabalho do Ministério da Saúde.

Este material contém dicas simples, mas muito importante, para deixar o dia a dia mais eficiente e ainda mais seguro.

SegInfo_Cartilha_POSIC/MS

Cartilha Golpes na Internet_CertBR

 

Acesse aqui a Cartilha Informativa sobre Quarentena de E-mails Suspeitos

 

 

 08

 

São alguns conceitos:

Ativo: qualquer bem, tangível ou intangível que tenha valor para a organização;

Ativo de informação: ativo que guarda informações do órgão;

Autenticidade: é a garantia de que o conteúdo da informação seja
verdadeiro, como também a fonte geradora da informação e o seu 
destinatário sejam realmente quem alegam ser. Propriedade de que a informação e comunicação sejam produzidas, expedidas, modificadas ou destruídas por determinada pessoa física, ou por determinado sistema, órgão ou entidade.

Ciclo de vida da informação: compreende as fases de criação, manuseio, armazenamento, transporte e descarte da informação, considerando sua confidencialidade, integridade e disponibilidade;

Código Malicioso: programa desenvolvido para executar ações danosas em um computador, rede ou sistema.

Classificação da informação: atribuição, pela autoridade competente, de grau de sigilo dado à informação, documento, material, área ou instalação;

Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;

Conta de acesso: conjunto do "nome de usuário" e "senha" utilizado para acesso aos sistemas informatizados e recursos de TIC;

Controles de Segurança: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal;

Dado: informação preparada para ser processada, operada e transmitida por um sistema ou programa de computador;

Dados confidenciais: dados pessoais que permitam a identificação da pessoa e possam ser associados a outros dados referentes ao endereço, idade, raça, opiniões políticas e religiosas, crenças, ideologia, saúde física, saúde mental, vida sexual, registros policiais, assuntos familiares, profissão e outros que a Lei assim o definir, não podendo ser divulgados ou utilizados para finalidade distinta da que motivou a estruturação do banco de dados, salvo por ordem judicial ou com anuência expressa do titular ou seu representante legal;

Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário;

Evento: ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente conhecida que possa ser relevante para a segurança da informação; (ISO/IEC TR 18044:2004);

Gestão de Riscos: processo que visa identificar, quantificar e mitigar os riscos a que estão submetidas as informações de um determinado sistema órgão ou entidade.

Gestor da informação: agente público do Ministério da Saúde responsável pela administração das informações geridas nos processos de trabalho sob sua responsabilidade;

Grau de sigilo: gradação de segurança atribuída a dados e informações em decorrência de sua natureza ou conteúdo;

Incidente de Segurança: todo e qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação ou de redes de computadores;

Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento; 

Quebra de segurança: a ação ou omissão, intencional ou acidental, que resulta no comprometimento ou no risco de comprometimento da informação;

Recursos de TIC: recursos de tecnologia da informação e comunicação que processam, armazenam e transmitem informações, tais como aplicações, sistemas de informação, estações de trabalho, notebooks, servidores de rede, equipamentos de conectividade e infraestrutura.

Segurança da informação e Comunicações: preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas;

SPAM: são mensagens eletrônicas que são enviadas o consentimento contendo propagandas e conteúdos mais agressivos (como vírus) e ainda conseguem obter suas informações pessoais — como dados bancários, por exemplo.

Vírus: são os programas mais utilizados para causar danos, roubar informações, etc. Têm a capacidade de infectar um sistema, fazer cópias de si mesmo e tentar se espalhar para outros computadores;

Worms: é um programa malicioso que se utiliza de uma rede para se espalhar por vários computadores sem que nenhum usuário interfira neste processo

Malware: é a combinação das palavras inglesas malicious e software, ou seja, programas maliciosos. São programas e comandos feitos para diferentes propósitos: apenas infiltrar um computador ou sistema, causar danos e apagar dados, roubar informações, divulgar serviços, etc.

Phishing: tem o objetivo de “pescar” informações e dados pessoais importantes através de mensagens falsas.

Trojan: é um conjunto de funções desenvolvido para executar ações indesejadas e escondidas.