Segurança
na Web
ICP-Brasil
cria política de proteção na Internet
O
Comitê Gestor de Infra-estrutura de Chaves Públicas
- ICP-Brasil aprovou sua política de segurança,
através de uma Resolução. Foram
estabelecidas diretrizes que devem ser adotadas pelas entidades
participantes da ICP-Brasil. Entre elas, estão a segurança
humana, física, lógica e segurança dos
recursos criptográficos na Internet.
Veja a
íntegra da Resolução
Comitê
Gestor da ICP-BRASIL Resolução nº 2, de 25
de Setembro de 2001. Aprova a Política de Segurança
da ICP-Brasil.
O secretário-executivo do comitê
gestor da infra-estrutura de chaves públicas brasileira -
ICP-BRASIL, no uso das competências previstas nos
incisos I, III, V e VI do art. 4º da Medida Provisória
nº 2.200-2, de 24 de agosto de 2001,
Resolve:
Art. 1º Fica aprovada a Política de Segurança
da ICP-BRASIL em anexo.
Art. 2º Esta Resolução
entra em vigor na data de sua publicação.
Murilo
Marques Barbosa
Política de Segurança da
ICP-BRASIL
1- Introdução:
Este
documento tem por finalidade estabelecer as diretrizes de
segurança que deverão ser adotadas pelas entidades
participantes da Infra-estrutura de Chaves Públicas
Brasileira - ICP-Brasil. Tais diretrizes fundamentarão as
normas e procedimentos de segurança a serem elaborados e
implementados por parte de cada entidade, considerando as suas
particularidades;
Para o cumprimento da finalidade
supramencionada são estabelecidos os objetivos a seguir.
2- Objetivos:
2.1- A Política de
Segurança Geral da ICP-Brasil tem os seguintes objetivos
específicos:
2.1.1- Definir o escopo da segurança
das entidades;
2.1.2- Orientar, por meio de suas
diretrizes, todas as ações de segurança das
entidades, para reduzir riscos e garantir a integridade, sigilo e
disponibilidade das informações dos sistemas de
informação e recursos;
2.1.3- Permitir a
adoção de soluções de segurança
integradas;
2.1.4- Servir de referência para
auditoria, apuração e avaliação de
responsabilidades.
3- Abrangência:
3.1-
A Política de Segurança abrange os seguintes
aspectos:
3.1.1- Requisitos de Segurança Humana;
3.1.2- Requisitos de Segurança Física;
3.1.3- Requisitos de Segurança Lógica;
3.1.4- Requisitos de Segurança dos Recursos
Criptográficos.
4- Terminologia
As
regras e diretrizes de segurança deve ser interpretada de
forma que todas as suas determinações sejam
obrigatórias e cogentes.
5- Conceitos e
Definições:
5.1- Conceitos:
5.1.1-
Aplicam-se os conceitos abaixo no que se refere à Política
de Segurança das entidades:
5.1.1.1- Ativo de
Informação - é o patrimônio
composto por todos os dados e informações geradas e
manipuladas durante a execução dos sistemas e
processos das entidades;
5.1.1.2- Ativo de
Processamento - é o patrimônio composto por
todos os elementos de hardware e software necessários
para a execução dos sistemas e processos das
entidades, tanto os produzidos internamente quanto os adquiridos;
5.1.1.3- Controle de Acesso - são
restrições ao acesso às informações
de um sistema exercido pela gerência de Segurança da
Informação das entidades;
5.1.1.4- Custódia
- consiste na responsabilidade de se guardar um ativo para
terceiros. Entretanto, a custódia não permite
automaticamente o acesso ao ativo, nem o direito de conceder
acesso a outros;
5.1.1.5- Direito de Acesso - é
o privilégio associado a um cargo, pessoa ou processo para
ter acesso a um ativo;
5.1.1.6- Ferramentas - é
um conjunto de equipamentos, programas, procedimentos, normas e
demais recursos através dos quais se aplica a Política
de Segurança da Informação das entidades;
5.1.1.7- Incidente de Segurança - é
qualquer evento ou ocorrência que promova uma ou mais ações
que comprometa ou que seja uma ameaça à
integridade, autenticidade, ou disponibilidade de qualquer ativo
das entidades integrantes da ICP-Brasil;
5.1.1.8-
Política de Segurança - é um conjunto
de diretrizes destinadas a definir a proteção
adequada dos ativos produzidos pelos Sistemas de Informação
das entidades;
5.1.1.9- Proteção dos
Ativos - é o processo pelo qual os ativos devem
receber classificação quanto ao grau de
sensibilidade. O meio de registro de um ativo de informação
deve receber a mesma classificação de proteção
dada ao ativo que o contém;
5.1.1.10-
Responsabilidade - é definida como as obrigações
e os deveres da pessoa que ocupa determinada função
em relação ao acervo de informações;
5.1.1.11- Senha Fraca ou Óbvia - é
aquela onde se utilizam caracteres de fácil associação
com o dono da senha, ou que seja muito simples ou pequenas, tais
como: datas de aniversário, casamento, nascimento, o
próprio nome, o nome de familiares, seqüências
numéricas simples, palavras com significado, dentre
outras.
6- Regras Gerais:
6.1- Gestão
de Segurança:
6.1.1- A Política de
Segurança Geral da ICP-Brasil se aplica a todos os
recursos humanos, administrativos e tecnológicos
pertencentes às entidades que a compõem. A
abrangência dos recursos citados refere-se tanto àqueles
ligados às entidades em caráter permanente quanto
temporário;
6.1.2- Esta política deve ser
comunicada para todo o pessoal envolvido e largamente divulgada
através das entidades, garantindo que todos tenham
consciência da mesma e a pratiquem na organização;
6.1.3- Todo o pessoal deve receber as informações
necessárias para cumprir adequadamente o que está
determinado na política de segurança;
6.1.4-
Um programa de conscientização sobre segurança
da informação deverá ser implementado para
assegurar que todo o pessoal seja informado sobre os potenciais
riscos de segurança e exposição a que estão
submetidos os sistemas e operações das entidades.
Especificamente, o pessoal envolvido ou que se relaciona com os
usuários deve estar informado sobre ataques típicos
de engenharia social e como se proteger deles;
6.1.5- Os
procedimentos deverão ser documentados e implementados
para garantir que quando o pessoal contratado ou prestadores de
serviços sejam transferidos, remanejados, promovidos ou
demitidos, todos os privilégios de acesso aos sistemas,
informações e recursos sejam devidamente revistos,
modificados ou revogados;
6.1.6- Previsão de
mecanismo e repositório centralizado para ativação
e manutenção de trilhas, logs e demais
notificações de incidentes. Este mecanismo deverá
ser incluído nas medidas a serem tomadas por um grupo
encarregado de responder a este tipo de ataque, para prover uma
defesa ativa e corretiva contra os mesmos;
6.1.7- Os
processos de aquisição de bens e serviços,
especialmente de Tecnologia da Informação - TI,
devem estar em conformidade com esta Política de
Segurança;
6.1.8- Esta Política de
Segurança deve ser revisada e atualizada periodicamente no
máximo a cada 2 (dois) anos, caso não ocorram
eventos ou fatos relevantes que exijam uma revisão
imediata;
6.1.9- No que se refere a segurança da
informação, deve-se considerar proibido, tudo
aquilo que não esteja previamente autorizado pelo
responsável da área de segurança da entidade
pertencente à ICP-Brasil;
6.2- Gerenciamento de
Riscos:
O processo de gerenciamento de riscos deve
ser revisto, no máximo a cada 18 (dezoito) meses, pela
entidade, para prevenção contra riscos, inclusive
aqueles advindos de novas tecnologias, visando a elaboração
de planos de ação apropriados para proteção
aos componentes ameaçados;
6.3- Inventário
de ativos:
Todos os ativos das entidades integrantes
da ICP-Brasil devem ser inventariados, classificados,
permanentemente atualizados, e possuírem gestor
responsável formalmente designado;
6.4- Plano
de Continuidade do Negócio:
6.4.1- Um plano de
continuidade do negócio deve ser implementado e testado,
pelo menos uma vez por ano, para garantir a continuidade dos
serviços críticos ao negócio;
6.4.2-
Todas as AC deverão apresentar planos de gerenciamento de
incidentes e de ação de resposta a incidentes a
serem aprovados pela AC Raiz ou AC de nível imediatamente
superior;
6.4.3- O certificado da AC deverá ser
imediatamente revogado se um evento provocar a perda ou
comprometimento de sua chave privada ou do seu meio de
armazenamento. Nesta situação, a entidade deverá
seguir os procedimentos detalhados na sua DPC;
6.4.4-
Todos os incidentes deverão ser reportados à AC
Raiz imediatamente, a partir do momento em que for verificada a
ocorrência. Estes incidentes devem ser reportados de modo
sigiloso a pessoas especialmente designadas para isso.
7-
Requisitos de Segurança de Pessoal:
7.1-
Definição:
Conjunto de medidas e
procedimentos de segurança, a serem observados pelos
prestadores de serviço e todos os empregados, necessário
à proteção dos ativos das entidades
participantes da ICP-Brasil;
7.2- Objetivos:
7.2.1- Reduzir os riscos de erros humanos, furto, roubo,
apropriação indébita, fraude ou uso não
apropriado dos ativos das entidades participantes da ICP-Brasil;
7.2.2- Prevenir e neutralizar as ações
sobre as pessoas que possam comprometer a segurança das
entidades participantes da ICP-Brasil;
7.2.3- Orientar e
capacitar todo o pessoal envolvido na realização de
trabalhos diretamente relacionados às entidades
participantes da ICP-Brasil, assim como o pessoal em desempenho
de funções de apoio, tais como a manutenção
das instalações físicas e a adoção
de medidas de proteção compatíveis com a
natureza da função que desempenham;
7.2.4-
Orientar o processo de avaliação de todo o pessoal
que trabalhe nas entidades participantes da ICP-Brasil, mesmo em
caso de funções desempenhadas por prestadores de
serviço;
7.3- Diretrizes:
7.3.1- O
Processo de Admissão:
7.3.1.1- Devem ser adotados
critérios rígidos para o processo seletivo de
candidatos, com o propósito de selecionar, para os quadros
das entidades integrantes da ICP-Brasil, pessoas reconhecidamente
idôneas e sem antecedentes que possam comprometer a
segurança ou credibilidade das entidades;
7.3.1.2-
Nenhuma entidade participante da ICP-Brasil admitirá
estagiários no exercício de atividades diretamente
relacionadas com os processos de emissão, expedição,
distribuição, revogação e
gerenciamento de certificados;
7.3.1.3- O empregado,
funcionário ou servidor assinará termo de
compromisso assumindo o dever de manter sigilo, mesmo quando
desligado, sobre todos os ativos de informações e
de processos das entidades integrantes da ICP-Brasil;
7.3.2-
As Atribuições da Função:
7.3.2.1-
Relacionar claramente as atribuições de cada
função, de acordo com a característica das
atividades desenvolvidas, a fim de determinar-se o perfil
necessário do empregado ou servidor, considerando-se os
seguintes itens:
7.3.2.1.1- A descrição
sumária das tarefas inerentes à função;
7.3.2.1.2- As necessidades de acesso a informações
sensíveis;
7.3.2.1.3- O grau de sensibilidade do
setor onde a função é exercida; 7.3.2.1.4-
As necessidades de contato de serviço interno e/ou
externo;
7.3.2.1.5- As características de
responsabilidade, decisão e iniciativa inerentes à
função;
7.3.2.1.6- A qualificação
técnica necessária ao desempenho da função;
7.3.3- O Levantamento de Dados Pessoais:
Deve ser
elaborada pesquisa do histórico da vida pública do
candidato, com o propósito de levantamento de seu perfil;
7.3.4- A Entrevista de Admissão:
7.3.4.1-
Deve ser realizada por profissional qualificado, com o propósito
de confirmar e/ou identificar dados não detectados ou não
confirmados, durante a pesquisa para a sua admissão;
7.3.4.2- Avaliar, na entrevista inicial, as
características de interesse e motivação do
candidato, sendo que as informações veiculadas na
entrevista do candidato só deverão ser aquelas de
caráter público;
7.3.5- Avaliação
Psicológica:
Deve ser realizada por profissional
legalmente qualificado, com o propósito de avaliar o
candidato e a existência de atributos pessoais exigidos
para o cargo e/ou função a ser desempenhada;
7.3.6- O Desempenho da Função:
7.3.6.1-
Acompanhar o desempenho e avaliar periodicamente os empregados ou
servidores com o propósito de detectar a necessidade de
atualização técnica e de segurança;
7.3.6.2- Dar aos empregados ou servidores das entidades
acesso às informações, mediante o
fornecimento de instruções e orientações
sobre as medidas e procedimentos de segurança;
7.3.7-
A Credencial de Segurança:
7.3.7.1- Identificar o
empregado por meio de uma credencial, habilitando-o a ter acesso
a informações sensíveis, de acordo com a
classificação do grau de sigilo da informação
e, conseqüentemente, com o grau de sigilo compatível
ao cargo e/ou a função a ser desempenhada;
7.3.7.2- A Credencial de Segurança somente será
concedida por autoridade competente, ou por ela delegada, e se
fundamentará na necessidade de conhecimento técnico
dos aspectos inerentes ao exercício funcional e na análise
da sensibilidade do cargo e/ou função;
7.3.8-
Treinamento em Segurança da Informação:
Deve ser definido um processo pelo qual será
apresentada aos empregados, servidores e prestadores de serviço
a Política de Segurança da Informação
e suas normas e procedimentos relativos ao trato de informações
e/ou dados sigilosos, com o propósito de desenvolver e
manter uma efetiva conscientização de segurança,
assim como instruir o seu fiel cumprimento;
7.3.9-
Acompanhamento no Desempenho da Função:
7.3.9.1-
Deve ser realizado processo de avaliação de
desempenho da função que documente a observação
do comportamento pessoal e funcional dos empregados, a ser
realizada pela chefia imediata dos mesmos;
7.3.9.2-
Deverão ser motivo de registro atos, atitudes e
comportamentos positivos e negativos relevantes, verificados
durante o exercício profissional do empregado;
7.3.9.3-
Os comportamentos incompatíveis, ou que possam gerar
comprometimentos á segurança, deverão ser
averiguados e comunicados à chefia imediata;
7.3.9.4-
As chefias imediatas assegurarão que todos os empregados
ou servidores tenham conhecimento e compreensão das normas
e procedimentos de segurança em vigor;
7.3.10- O
Processo de Desligamento:
7.3.10.1- O acesso de
ex-empregados às instalações, quando
necessário, será restrito às áreas de
acesso público;
7.3.10.2- Sua credencial,
identificação, crachá, uso de equipamentos,
mecanismos e acessos físicos e lógicos devem ser
revogados;
7.3.11- O Processo de Liberação:
O empregado ou servidor firmará, antes do
desligamento, declaração de que não possui
qualquer tipo de pendência junto às diversas
unidades que compõem a entidade;
7.3.12- A
Entrevista de Desligamento:
Deverá ser realizada
entrevista de desligamento para orientar o empregado ou servidor
sobre sua responsabilidade na manutenção do sigilo
de dados e/ou conhecimentos sigilosos de sistemas críticos
aos quais teve acesso durante sua permanência nas
entidades;
7.4- Deveres:
7.4.1- Deveres
dos empregados ou servidores:
7.4.1.1- Preservar a
integridade e guardar sigilo das informações de que
fazem uso, bem como zelar e proteger os respectivos recursos de
processamento de informações;
7.4.1.2-
Cumprir a política de segurança, sob pena de
incorrer nas sanções disciplinares e legais
cabíveis;
7.4.1.3- Utilizar os Sistemas de
Informações das entidades e os recursos a ela
relacionados somente para os fins previstos pela Gerência
de Segurança;
7.4.1.4- Cumprir as regras
específicas de proteção estabelecidas aos
ativos de informação;
7.4.1.5- Manter o
caráter sigiloso da senha de acesso aos recursos e
sistemas das entidades;
7.4.1.6- Não compartilhar,
sob qualquer forma, informações confidenciais com
outros que não tenham a devida autorização
de acesso;
7.4.1.7- Responder, por todo e qualquer
acesso, aos recursos das entidades bem como pelos efeitos desses
acessos efetivados através do seu código de
identificação, ou outro atributo para esse fim
utilizado;
7.4.1.8- Respeitar a proibição
de não usar, inspecionar, copiar ou armazenar programas de
computador ou qualquer outro material, em violação
da legislação de propriedade intelectual
pertinente;
7.4.1.9- Comunicar ao seu superior imediato o
conhecimento de qualquer irregularidade ou desvio;
7.4.2-
Responsabilidade das Chefias:
7.4.2.1- A responsabilidade
das chefias compreende, dentre outras, as seguintes atividades:
7.4.2.1.1- Gerenciar o cumprimento da política de
segurança, por parte de seus empregados ou servidores;
7.4.2.1.2- Identificar os desvios praticados e adotar as
medidas corretivas apropriadas;
7.4.2.1.3- Impedir o
acesso de empregados demitidos ou demissionários aos
ativos de informações, utilizando-se dos mecanismos
de desligamento contemplados pelo respectivo plano de
desligamento do empregado;
7.4.2.1.4- Proteger, em nível
físico e lógico, os ativos de informação
e de processamento das entidades participantes da ICP-Brasil
relacionados com sua área de atuação;
7.4.2.1.5- Garantir que o pessoal sob sua supervisão
compreenda e desempenhe a obrigação de proteger a
Informação das entidades;
7.4.2.1.6-
Comunicar formalmente à unidade que efetua a concessão
de privilégios a usuários de TI, quais os
empregados, servidores e prestadores de serviço, sob sua
supervisão, que podem acessar as informações
das entidades;
7.4.2.1.7- Comunicar formalmente à
unidade que efetua a concessão de privilégios aos
usuários de TI, quais os empregados, servidores e
prestadores de serviço demitidos ou transferidos, para
exclusão no cadastro dos usuários;
7.4.2.1.8-
Comunicar formalmente à unidade que efetua a concessão
de privilégios a usuários de TI, aqueles que
estejam respondendo a processos, sindicâncias ou que
estejam licenciados, para inabilitação no cadastro
dos usuários;
7.4.3- Responsabilidades Gerais:
7.4.3.1- Cada área que detém os ativos de
processamento e de informação é responsável
por eles, devendo prover a sua proteção de acordo
com a política de classificação da
informação da entidade;
7.4.3.2- Todos os
ativos de informações deverão ter claramente
definidos os responsáveis pelo seu uso;
7.4.3.3-
Todos os ativos de processamento das entidades devem estar
relacionados no plano de continuidade do negócio;
7.4.4-
Responsabilidades da Gerência de Segurança:
7.4.4.1- Estabelecer as regras de proteção
dos ativos das entidades participantes da ICP-Brasil;
7.4.4.2
- Decidir quanto às medidas a serem tomadas no caso de
violação das regras estabelecidas;
7.4.4.3
- Revisar pelo menos anualmente, as regras de proteção
estabelecidas;
7.4.4.4- Restringir e controlar o acesso e
os privilégios de usuários remotos e externos;
7.4.4.5- Elaborar e manter atualizado o Plano de
Continuidade do negócio;
7.4.4.6- Executar as
regras de proteção estabelecidas pela Política
de Segurança;
7.4.4.7- Detectar, identificar,
registrar e comunicar a AC Raiz as violações ou
tentativas de acesso não autorizadas;
7.4.4.8-
Definir e aplicar, para cada usuário de TI, restrições
de acesso à Rede, como horário autorizado, dias
autorizados, entre outras;
7.4.4.9- Manter registros de
atividades de usuários de TI (logs) por um período
de tempo superior a 6 (seis) anos. Os registros devem conter a
hora e a data das atividades, a identificação do
usuário de TI, comandos (e seus argumentos) executados,
identificação da estação local ou da
estação remota que iniciou a conexão, número
dos processos e condições de erro observadas
(tentativas rejeitadas, erros de consistência, etc.);
7.4.4.10- Limitar o prazo de validade das contas de
prestadores de serviço ao período da contratação;
7.4.4.11- Excluir as contas inativas;
7.4.4.12-
Fornecer senhas de contas privilegiadas somente aos empregados
que necessitem efetivamente dos privilégios, mantendo-se o
devido registro e controle;
7.4.5- Responsabilidades dos
prestadores de serviço:
Devem ser previstas no
contrato, cláusulas que contemplem a responsabilidade dos
prestadores de serviço no cumprimento desta Política
de Segurança da Informação e suas normas e
procedimentos;
7.5- Sanções:
Sanções previstas pela legislação
vigente.
8 - Requisitos de Segurança do
Ambiente Físico:
8.1- Definição:
Ambiente físico é aquele composto por todo
o ativo permanente das entidades integrantes da ICP-Brasil;
8.2- Diretrizes Gerais:
8.2.1- As
responsabilidades pela segurança física dos
sistemas das entidades deverão ser definidos e atribuídos
a indivíduos claramente identificados na organização;
8.2.2- A localização das instalações
e o sistema de certificação da AC Raiz e das AC não
deverão ser publicamente identificados;
8.2.3-
Sistemas de segurança para acesso físico deverão
ser instalados para controlar e auditar o acesso aos sistemas de
certificação;
8.2.4- Controles duplicados
sobre o inventário e cartões/chaves de acesso
deverão ser estabelecidos. Uma lista atualizada do pessoal
que possui cartões/chaves deverá ser mantida;
8.2.5- Chaves criptográficas sob custódia
do responsável deverão ser fisicamente protegidas
contra acesso não autorizado, uso ou duplicação;
8.2.6- Perdas de cartões/chaves de acesso deverão
ser imediatamente comunicadas ao responsável pela gerência
de segurança da entidade. Ele deverá tomar as
medidas apropriadas para prevenir acessos não autorizados;
8.2.7- Os sistemas de AC deverão estar localizados
em área protegida ou afastada de fontes potentes de
magnetismo ou interferência de rádio freqüência;
8.2.8- Recursos e instalações críticas
ou sensíveis devem ser mantidos em áreas seguras,
protegidas por um perímetro de segurança definido,
com barreiras de segurança e controle de acesso. Elas
devem ser fisicamente protegidas de acesso não autorizado,
dano, ou interferência. A proteção fornecida
deve ser proporcional aos riscos identificados;
8.2.9- A
entrada e saída, nestas áreas ou partes dedicadas,
deverão ser automaticamente registradas com data e hora
definidas e serão revisadas diariamente pelo responsável
pela gerência de segurança da informação
nas entidades da ICP-Brasil e mantidas em local adequado e sob
sigilo;
8.2.10- O acesso aos componentes da
infra-estrutura, atividade fundamental ao funcionamento dos
sistemas das entidades, como painéis de controle de
energia, comunicações e cabeamento, deverá
ser restrito ao pessoal autorizado;
8.2.11- Sistemas de
detecção de intrusão deverão ser
utilizados para monitorar e registrar os acessos físicos
aos sistemas de certificação nas horas de
utilização;
8.2.12- O inventário de
todo o conjunto de ativos de processamento deve ser registrado e
mantido atualizado, no mínimo, mensalmente;
8.2.13-
Quaisquer equipamentos de gravação, fotografia,
vídeo, som ou outro tipo de equipamento similar, só
devem ser utilizados a partir de autorização formal
e mediante supervisão;
8.2.14- Nas instalações
das entidades integrantes aICP-Brasil, todos deverão
utilizar alguma forma visível de identificação
(por exemplo: crachá), e devem informar à segurança
sobre a presença de qualquer pessoa não
identificada ou de qualquer estranho não acompanhado;
8.2.15- Visitantes das áreas de segurança
devem ser supervisionados. Suas horas de entrada e saída e
o local de destino devem ser registrados. Essas pessoas devem
obter acesso apenas às áreas específicas,
com propósitos autorizados, e esses acessos devem seguir
instruções baseadas nos requisitos de segurança
da área visitada;
8.2.16- Os ambientes onde
ocorrem os processos críticos das entidades integrantes da
ICP-Brasil deverão ser monitorados, em tempo real, com as
imagens registradas por meio de sistemas de CFTV;
8.2.17-
Sistemas de detecção de intrusos devem ser
instalados e testados regularmente de forma a cobrir os
ambientes, as portas e janelas acessíveis, nos ambientes
onde ocorrem processos críticos. As áreas não
ocupadas devem possuir um sistema de alarme que permaneça
sempre ativado.
9- Requisitos de Segurança do
Ambiente Lógico:
9.1- Definição:
Ambiente lógico é composto por todo o ativo
de informações das entidades;
9.2-
Diretrizes gerais:
9.2.1- A informação
deve ser protegida de acordo com o seu valor, sensibilidade e
criticidade. Para tanto, deve ser elaborado um sistema de
classificação da informação;
9.2.2-
Os dados, as informações e os sistemas de
informação das entidades e sob sua guarda, devem
ser protegidos contra ameaças e ações não
autorizadas, acidentais ou não, de modo a reduzir riscos e
garantir a integridade, sigilo e disponibilidade desses bens;
9.2.3- As violações de segurança
devem ser registradas e esses registros devem ser analisados
periodicamente para os propósitos de caráter
corretivo, legal e de auditoria. Os registros devem ser
protegidos e armazenados de acordo com a sua classificação;
9.2.4- Os sistemas e recursos que suportam funções
críticas para operação das entidades, devem
assegurar a capacidade de recuperação nos prazos e
condições definidas em situações de
contingência;
9.2.5- O inventário
sistematizado de toda a estrutura que serve como base para
manipulação, armazenamento e transmissão dos
ativos de processamento, deve estar registrado e mantido
atualizado em intervalos de tempo definidos pelas entidades
participantes da ICP-Brasil.
9.3- Diretrizes
específicas:
9.3.1- Sistemas:
9.3.1.1-
As necessidades de segurança devem ser identificadas para
cada etapa do ciclo de vida dos sistemas disponíveis nas
entidades. A documentação dos sistemas deve ser
mantida atualizada. A cópia de segurança deve ser
testada e mantida atualizada;
9.3.1.2- Os sistemas devem
possuir controle de acesso de modo a assegurar o uso apenas a
usuários ou processos autorizados. O responsável
pela autorização ou confirmação da
autorização deve ser claramente definido e
registrado;
9.3.1.3- Os arquivos de logs devem ser
criteriosamente definidos para permitir recuperação
nas situações de falhas, auditoria nas situações
de violações de segurança e contabilização
do uso de recursos. Os logs devem ser periodicamente
analisados, conforme definido na DPC, para identificar
tendências, falhas ou usos indevidos. Os logs devem
ser protegidos e armazenados de acordo com sua classificação;
9.3.1.4- Devem ser estabelecidas e mantidas medidas e
controles de segurança para verificação
crítica dos dados e configuração de sistemas
e dispositivos quanto a sua precisão, consistência e
integridade;
9.3.1.5- Os sistemas devem ser avaliados com
relação aos aspectos de segurança (testes de
vulnerabilidade) antes de serem disponibilizados para a produção.
As vulnerabilidades do ambiente devem ser avaliadas
periodicamente e as recomendações de segurança
devem ser adotadas;
9.3.2- Máquinas servidoras:
9.3.2.1- O acesso lógico, ao ambiente ou serviços
disponíveis em servidores, deve ser controlado e
protegido. As autorizações devem ser revistas,
confirmadas e registradas continuadamente. O responsável
pela autorização ou confirmação da
autorização deve ser claramente definido e
registrado;
9.3.2.2- Os acessos lógicos devem ser
registrados em logs, que devem ser analisados
periodicamente. O tempo de retenção dos arquivos de
logs e as medidas de proteção associadas
devem estar precisamente definidos;
9.3.2.3- Devem ser
adotados procedimentos sistematizados para monitorar a segurança
do ambiente operacional, principalmente no que diz respeito à
integridade dos arquivos de configuração do Sistema
Operacional e de outros arquivos críticos. Os eventos
devem ser armazenados em relatórios de segurança
(logs) de modo que sua análise permita a geração
de trilhas de auditoria a partir destes registros;
9.3.2.4-
As máquinas devem estar sincronizadas para permitir o
rastreamento de eventos.;
9.3.2.5- Proteção
lógica adicional (criptografia) deve ser adotada para
evitar o acesso não-autorizado às informações;
9.3.2.6- A versão do Sistema Operacional, assim
como outros softwares básicos instalados em
máquinas servidoras, devem ser mantidos atualizados, em
conformidade com as recomendações dos fabricantes;
9.3.2.7- Devem ser utilizados somente softwares
autorizados pela própria entidade nos seus equipamentos.
Deve ser realizado o controle da distribuição e
instalação dos mesmos;
9.3.2.8- O acesso
remoto a máquinas servidoras deve ser realizado adotando
os mecanismos de segurança definidos para evitar ameaças
à integridade e sigilo do serviço;
9.3.2.9-
Os procedimentos de cópia de segurança (backup) e
de recuperação devem estar documentados, mantidos
atualizados e devem ser regularmente testados, de modo a garantir
a disponibilidade das informações;
9.3.3-
Redes das entidades da ICP-Brasil:
9.3.3.1- O tráfego
das informações no ambiente de rede deve ser
protegido contra danos ou perdas, bem como acesso, uso ou
exposição indevidos;
9.3.3.2- Componentes
críticos da rede local devem ser mantidos em salas
protegidas e com acesso físico e lógico controlado,
devendo ser protegidos contra danos, furtos, roubos e
intempéries;
9.3.3.3- Devem ser adotadas as
facilidades de segurança disponíveis de forma inata
nos ativos de processamento da rede;
9.3.3.4- A
configuração de todos os ativos de processamento
deve ser averiguada quando da sua instalação
inicial, para que sejam detectadas e corrigidas as
vulnerabilidades inerentes à configuração
padrão que se encontram nesses ativos em sua primeira
ativação;
9.3.3.5- Serviços
vulneráveis devem receber nível de proteção
adicional;
9.3.3.6- O uso de senhas deve estar submetido
a uma política específica para sua gerência e
utilização;
9.3.3.7- O acesso lógico
aos recursos da rede local deve ser realizado por meio de sistema
de controle de acesso. O acesso deve ser concedido e mantido pela
administração da rede, baseado nas
responsabilidades e tarefas de cada usuário;
9.3.3.8-
A utilização de qualquer mecanismo capaz de
realizar testes de qualquer natureza, como por exemplo,
monitoração sobre os dados, os sistemas e
dispositivos que compõem a rede, só devem ser
utilizado à partir de autorização formal e
mediante supervisão;
9.3.3.9- A conexão com
outros ambientes de rede e alterações internas na
sua topologia e configuração devem ser formalmente
documentadas e mantidas, de forma a permitir registro histórico,
e devem ter a autorização da administração
da rede e da gerência de segurança. O diagrama
topológico, a configuração e o inventário
dos recursos devem ser mantidos atualizados;
9.3.3.10-
Devem ser definidos relatórios de segurança (logs)
de modo a auxiliar no tratamento de desvios, recuperação
de falhas, contabilização e auditoria. Os logs
devem ser analisados periodicamente e o período de análise
estabelecido deve ser o menor possível;
9.3.3.11-
Devem ser adotadas proteções físicas
adicionais para os recursos de rede considerados críticos;
9.3.3.12- Proteção lógica adicional
deve ser adotada para evitar o acesso não-autorizado às
informações;
9.3.3.13- A infra-estrutura de
interligação lógica deve estar protegida
contra danos mecânicos e conexão não
autorizada;
9.3.3.14- A alimentação
elétrica para a rede local deve ser separada da rede
convencional, devendo ser observadas as recomendações
dos fabricantes dos equipamentos utilizados, assim como as normas
ABNT aplicáveis;
9.3.3.15- O tráfego de
informações deve ser monitorado, a fim de verificar
sua normalidade, assim como detectar situações
anômalas do ponto de vista da segurança;
|