Resumo elaborado por: Aletheia Schmidt
Data de elaboração do resumo: 05/11/2001
Segurança na Web
ICP-Brasil cria política de proteção na Internet
Política de Segurança da ICP-BRASIL
1- Introdução:
Este documento tem por finalidade estabelecer as diretrizes de segurança que
deverão ser adotadas pelas entidades participantes da Infra-estrutura de Chaves
Públicas Brasileira - ICP-Brasil. Tais diretrizes fundamentarão as normas e
procedimentos de segurança a serem elaborados e implementados por parte de cada
entidade, considerando as suas particularidades.
2- Objetivos:
A Política de Segurança Geral da ICP-Brasil tem vários objetivos específicos, como por exemplo: Orientar, por meio de suas diretrizes, todas as ações de segurança das entidades, para reduzir riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos entre outros.
3- Abrangência:
3.1- A Política de Segurança abrange os seguintes aspectos:
3.1.1- Requisitos de Segurança Humana;
3.1.2- Requisitos de Segurança Física;
3.1.3- Requisitos de Segurança Lógica;
3.1.4- Requisitos de Segurança dos Recursos Criptográficos.
4- Terminologia
As regras e diretrizes de segurança deve ser interpretada de forma que todas as
suas determinações sejam obrigatórias e cogentes.
5- Conceitos e Definições:
5.1.1- Aplicam-se vários conceitos no que se refere à Política de Segurança
das entidades, como por exemplo: Ativo de Informação, Ativo de Processamento,
Controle de Acesso, entre outros.
6- Regras Gerais:
Gestão de Segurança:
A Política de Segurança Geral da ICP-Brasil se aplica a todos os recursos
humanos, administrativos e tecnológicos pertencentes às entidades que a
compõem.
Esta política deve ser comunicada para todo o pessoal envolvido e largamente divulgada através das entidades
Todo o pessoal deve receber as informações necessárias para cumprir adequadamente o que está determinado na política de segurança;
Um programa de conscientização sobre segurança da informação deverá ser implementado para assegurar que todo o pessoal seja informado sobre os potenciais riscos de segurança e exposição a que estão submetidos os sistemas e operações das entidades.
Os procedimentos deverão ser documentados e implementados para garantir que quando o pessoal contratado ou prestadores de serviços sejam transferidos, remanejados, promovidos ou demitidos, todos os privilégios de acesso aos sistemas, informações e recursos sejam devidamente revistos, modificados ou revogados
Plano de Continuidade do Negócio:
Todos os incidentes deverão ser reportados à AC Raiz imediatamente, a partir do momento em que for verificada a ocorrência. Estes incidentes devem ser reportados de modo sigiloso a pessoas especialmente designadas para isso.
7- Requisitos de Segurança de Pessoal:
Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude ou uso não apropriado dos ativos das entidades participantes da ICP-Brasil;
Devem ser adotados critérios rígidos para o processo seletivo de candidatos,
com o propósito de selecionar, para os quadros das entidades integrantes da
ICP-Brasil, pessoas reconhecidamente idôneas e sem antecedentes que possam
comprometer a segurança ou credibilidade das entidades;
8 - Requisitos de Segurança do Ambiente Físico:
As responsabilidades pela segurança física dos sistemas das entidades deverão ser definidos e atribuídos a indivíduos claramente identificados na organização;
A localização das instalações e o sistema de certificação da AC Raiz e das
AC não deverão ser publicamente identificados;
9- Requisitos de Segurança do Ambiente Lógico:
A informação deve ser protegida de acordo com o seu valor, sensibilidade e
criticidade. Para tanto, deve ser elaborado um sistema de classificação da
informação;
As necessidades de segurança devem ser identificadas para cada etapa do ciclo de vida dos sistemas disponíveis nas entidades. A documentação dos sistemas deve ser mantida atualizada. A cópia de segurança deve ser testada e mantida atualizada;
Proteção lógica adicional (criptografia) deve ser adotada para evitar o
acesso não-autorizado às informações;
Mecanismos de segurança baseados em sistemas de proteção de acesso (firewall)
devem ser utilizados para proteger as transações entre redes externas e a rede
interna da entidade;
O sistema de controle de acesso deve possuir mecanismos que impeçam a
geração de senhas fracas ou óbvias;
O sistema de controle de acesso deve solicitar nova autenticação após certo
tempo de inatividade da sessão (time-out);
A impressão de documentos sigilosos deve ser feita sob supervisão do
responsável. Os relatórios impressos devem ser protegidos contra perda,
reprodução e uso não-autorizado;
10- Requisitos de Segurança dos Recursos Criptográficos:
O sistema criptográfico da ICP-Brasil deve ser entendido como sendo um
sistema composto de documentação normativa específica de criptografia aplicada
na ICP-Brasil, conjunto de requisitos de criptografia, projetos, métodos de
implementação, módulos implementados de hardware e software, definições
relativas a algoritmos criptográficos e demais algoritmos integrantes de um
processo criptográfico, procedimentos adotados para gerência das chaves
criptográficas, métodos adotados para testes de robustez das cifras e detecção
de violações dessas;
11- Auditoria:
Deverão ser realizadas auditorias periódicas nas entidades integrantes da
ICP-Brasil, pela AC Raiz ou por prestadores de serviço por ela contratados;
A auditoria deve ser realizada tendo como orientação básica os atos normativos
que disciplinam as atividades exercidas no âmbito da ICP-Brasil;
12- Gerenciamento de Riscos:
Os riscos que não puderem ser eliminados devem ter seus controles documentados e devem ser levados ao conhecimento da AC-Raiz e do CG ICP-Brasil;
13- Plano de Continuidade do Negócio:
Plano cujo objetivo é manter em funcionamento os serviços e processos críticos das entidades integrantes da ICP-Brasil, na eventualidade da ocorrência de desastres, atentados, falhas e intempéries
Link para o artigo do autor: http://buscalegis.ccj.ufsc.br/arquivos/m4-segurancaW.html