Resolução 2. Fonte ICP-Brasil

COMENTÁRIOS SOBE A RESOLUÇÃO N^o 2, DE 25 DE SETEMBRO DE 2001.  VERIFIQUE A ÍNTEGRA DIRETAMENTE NO SITE DO ITI/ICP-BRASIL EM WWW.ITI.GOV.BR.

Advertência: estão comentados apenas alguns artigos  somente para ilustração ou estudo técnico de informática. Para qualquer uso consulte diretamente o site do ICP-Brasil.

Esta resolução aprova a Política de Segurança da ICP-Brasil. Assim:        

1- INTRODUÇÃO:

Este documento tem por finalidade estabelecer as diretrizes de segurança que deverão ser adotadas pelas entidades participantes da Infra-estrutura de Chaves Públicas Brasileira - ICP-Brasil. Tais diretrizes fundamentarão as normas e procedimentos de segurança a serem elaborados e implementados por parte de cada entidade, considerando as suas particularidades;

Para o cumprimento da finalidade supramencionada são estabelecidos os objetivos a seguir.

2- OBJETIVOS:

2.1- A Política de Segurança Geral da ICP-Brasil tem os seguintes objetivos específicos:

2.1.1- Definir o escopo da segurança das entidades;

2.1.2- Orientar, por meio de suas diretrizes, todas as ações de segurança das entidades, para reduzir riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos;

2.1.3- Permitir a adoção de soluções de segurança integradas;

2.1.4- Servir de referência para auditoria, apuração e avaliação de responsabilidades.

3- ABRANGÊNCIA:

3.1- A Política de Segurança abrange os seguintes aspectos:

3.1.1- Requisitos de Segurança Humana;

3.1.2- Requisitos de Segurança Física;

3.1.3- Requisitos de Segurança Lógica;

3.1.4- Requisitos de Segurança dos Recursos Criptográficos.

4- TERMINOLOGIA

As regras e diretrizes de segurança deve ser interpretada de forma que todas as suas determinações sejam obrigatórias e cogentes.

Advertência: estão comentados apenas alguns artigos  somente para ilustração ou estudo técnico de informática. Para qualquer uso consulte diretamente o site do ICP-Brasil.

5- CONCEITOS E DEFINIÇÕES:

5.1.1- Aplicam-se os conceitos abaixo no que se refere à Política de Segurança das entidades:

5.1.1.1- Ativo de Informação – é o patrimônio composto por todos os dados e informações geradas e manipuladas durante a execução dos sistemas e processos das entidades;

5.1.1.2- Ativo de Processamento – é o patrimônio composto por todos os elementos de hardware e software necessários para a execução dos sistemas e processos das entidades, tanto os produzidos internamente quanto os adquiridos;

5.1.1.3- Controle de Acesso – são restrições ao acesso às informações de um sistema exercido pela gerência de Segurança da Informação das entidades;

5.1.1.4- Custódia – consiste na responsabilidade de se guardar um ativo para terceiros. Entretanto, a custódia não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros;

5.1.1.5- Direito de Acesso – é o privilégio associado a um cargo, pessoa ou processo para ter acesso a um ativo;

5.1.1.6- Ferramentas – é um conjunto de equipamentos, programas, procedimentos, normas e demais recursos através dos quais se aplica a Política de Segurança da Informação das entidades;

5.1.1.7- Incidente de Segurança – é qualquer evento ou ocorrência que promova uma ou mais ações que comprometa ou que seja uma ameaça à integridade, autenticidade, ou disponibilidade de qualquer ativo das entidades integrantes da ICP-Brasil;

5.1.1.8- Política de Segurança – é um conjunto de diretrizes destinadas a definir a proteção adequada dos ativos produzidos pelos Sistemas de Informação das entidades;

5.1.1.9- Proteção dos Ativos – é o processo pelo qual os ativos devem receber classificação quanto ao grau de sensibilidade. O meio de registro de um ativo de informação deve receber a mesma classificação de proteção dada ao ativo que o contém;

5.1.1.10- Responsabilidade – é definida como as obrigações e os deveres da pessoa que ocupa determinada função em relação ao acervo de informações;

5.1.1.11- Senha Fraca ou Óbvia – é aquela onde se utilizam caracteres de fácil associação com o dono da senha, ou que seja muito simples ou pequenas, tais como: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, seqüências numéricas simples, palavras com significado, dentre outras.

6.1.1- A Política de Segurança Geral da ICP-Brasil se aplica a todos os recursos humanos, administrativos e tecnológicos pertencentes às entidades que a compõem. A abrangência dos recursos citados refere-se tanto àqueles ligados às entidades em caráter permanente quanto temporário;

6.1.2- Esta política deve ser comunicada para todo o pessoal envolvido e largamente divulgada através das entidades, garantindo que todos tenham consciência da mesma e a pratiquem na organização;

6.1.3- Todo o pessoal deve receber as informações necessárias para cumprir adequadamente o que está determinado na política de segurança;

6.1.4- Um programa de conscientização sobre segurança da informação deverá ser implementado para assegurar que todo o pessoal seja informado sobre os potenciais riscos de segurança e exposição a que estão submetidos os sistemas e operações das entidades. Especificamente, o pessoal envolvido ou que se relaciona com os usuários deve estar informado sobre ataques típicos de engenharia social e como se proteger deles;

6.1.5- Os procedimentos deverão ser documentados e implementados para garantir que quando o pessoal contratado ou prestadores de serviços sejam transferidos, remanejados, promovidos ou demitidos, todos os privilégios de acesso aos sistemas, informações e recursos sejam devidamente revistos, modificados ou revogados;

6.1.6- Previsão de mecanismo e repositório centralizado para ativação e manutenção de trilhas, logs e demais notificações de incidentes. Este mecanismo deverá ser incluído nas medidas a serem tomadas por um grupo encarregado de responder a este tipo de ataque, para prover uma defesa ativa e corretiva contra os mesmos;

6.1.7- Os processos de aquisição de bens e serviços, especialmente de Tecnologia da Informação – TI, devem estar em conformidade com esta Política de Segurança;

6.1.8- Esta Política de Segurança deve ser revisada e atualizada periodicamente no máximo a cada 2 (dois) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata;

6.1.9- No que se refere a segurança da informação, deve-se considerar proibido, tudo aquilo que não esteja previamente autorizado pelo responsável da área de segurança da entidade pertencente à ICP-Brasil;

O processo de gerenciamento de riscos deve ser revisto, no máximo a cada 18 (dezoito) meses, pela entidade, para prevenção contra riscos, inclusive aqueles advindos de novas tecnologias, visando a elaboração de planos de ação apropriados para proteção aos componentes ameaçados;

Todos os ativos das entidades integrantes da ICP-Brasil devem ser inventariados, classificados, permanentemente atualizados, e possuírem gestor responsável formalmente designado;

6.4.1- Um plano de continuidade do negócio deve ser implementado e testado, pelo menos uma vez por ano, para garantir a continuidade dos serviços críticos ao negócio;

6.4.2- Todas as AC deverão apresentar planos de gerenciamento de incidentes e de ação de resposta a incidentes a serem aprovados pela AC Raiz ou AC de nível imediatamente superior;

6.4.3- O certificado da AC deverá ser imediatamente revogado se um evento provocar a perda ou comprometimento de sua chave privada ou do seu meio de armazenamento. Nesta situação, a entidade deverá seguir os procedimentos detalhados na sua DPC;

6.4.4- Todos os incidentes deverão ser reportados à AC Raiz imediatamente, a partir do momento em que for verificada a ocorrência. Estes incidentes devem ser reportados de modo sigiloso a pessoas especialmente designadas para isso.

Conjunto de medidas e procedimentos de segurança, a serem observados pelos prestadores de serviço e todos os empregados, necessário à proteção dos ativos das entidades participantes da ICP-Brasil;

7.2.1- Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude ou uso não apropriado dos ativos das entidades participantes da ICP-Brasil;

7.2.2- Prevenir e neutralizar as ações sobre as pessoas que possam comprometer a segurança das entidades participantes da ICP-Brasil;

7.2.3- Orientar e capacitar todo o pessoal envolvido na realização de trabalhos diretamente relacionados às entidades participantes da ICP-Brasil, assim como o pessoal em desempenho de funções de apoio, tais como a manutenção das instalações físicas e a adoção de medidas de proteção compatíveis com a natureza da função que desempenham;

7.2.4- Orientar o processo de avaliação de todo o pessoal que trabalhe nas entidades participantes da ICP-Brasil, mesmo em caso de funções desempenhadas por prestadores de serviço;

7.3.1- O Processo de Admissão:

7.3.1.1- Devem ser adotados critérios rígidos para o processo seletivo de candidatos, com o propósito de selecionar, para os quadros das entidades integrantes da ICP-Brasil, pessoas reconhecidamente idôneas e sem antecedentes que possam comprometer a segurança ou credibilidade das entidades;

7.3.1.2- Nenhuma entidade participante da ICP-Brasil admitirá estagiários no exercício de atividades diretamente relacionadas com os processos de emissão, expedição, distribuição, revogação e gerenciamento de certificados;

7.3.1.3- O empregado, funcionário ou servidor assinará termo de compromisso assumindo o dever de manter sigilo, mesmo quando desligado, sobre todos os ativos de informações e de processos das entidades integrantes da ICP-Brasil;

7.3.2- As Atribuições da Função:

7.3.2.1- Relacionar claramente as atribuições de cada função, de acordo com a característica das atividades desenvolvidas, a fim de determinar-se o perfil necessário do empregado ou servidor, considerando-se os seguintes itens:

7.3.2.1.1- A descrição sumária das tarefas inerentes à função;

7.3.2.1.2- As necessidades de acesso a informações sensíveis;

7.3.2.1.3- O grau de sensibilidade do setor onde a função é exercida;

7.3.2.1.4- As necessidades de contato de serviço interno e/ou externo;

7.3.2.1.5- As características de responsabilidade, decisão e iniciativa inerentes à função;

7.3.2.1.6- A qualificação técnica necessária ao desempenho da função;

7.3.3- O Levantamento de Dados Pessoais:

Deve ser elaborada pesquisa do histórico da vida pública do candidato, com o propósito de levantamento de seu perfil;

7.3.4- A Entrevista de Admissão:

7.3.4.1- Deve ser realizada por profissional qualificado, com o propósito de confirmar e/ou identificar dados não detectados ou não confirmados, durante a pesquisa para a sua admissão;

7.3.4.2- Avaliar, na entrevista inicial, as características de interesse e motivação do candidato, sendo que as informações veiculadas na entrevista do candidato só deverão ser aquelas de caráter público;

7.3.5- Avaliação Psicológica:

Deve ser realizada por profissional legalmente qualificado, com o propósito de avaliar o candidato e a existência de atributos pessoais exigidos para o cargo e/ou função a ser desempenhada;

7.3.6- O Desempenho da Função:

7.3.6.1- Acompanhar o desempenho e avaliar periodicamente os empregados ou servidores com o propósito de detectar a necessidade de atualização técnica e de segurança;

7.3.6.2- Dar aos empregados ou servidores das entidades acesso às informações, mediante o fornecimento de instruções e orientações sobre as medidas e procedimentos de segurança;

7.3.7- A Credencial de Segurança:

7.3.7.1- Identificar o empregado por meio de uma credencial, habilitando-o a ter acesso a informações sensíveis, de acordo com a classificação do grau de sigilo da informação e, conseqüentemente, com o grau de sigilo compatível ao cargo e/ou a função a ser desempenhada;

7.3.7.2- A Credencial de Segurança somente será concedida por autoridade competente, ou por ela delegada, e se fundamentará na necessidade de conhecimento técnico dos aspectos inerentes ao exercício funcional e na análise da sensibilidade do cargo e/ou função;

7.3.8- Treinamento em Segurança da Informação:

Deve ser definido um processo pelo qual será apresentada aos empregados, servidores e prestadores de serviço a Política de Segurança da Informação e suas normas e procedimentos relativos ao trato de informações e/ou dados sigilosos, com o propósito de desenvolver e manter uma efetiva conscientização de segurança, assim como instruir o seu fiel cumprimento;

7.3.9- Acompanhamento no Desempenho da Função:

7.3.9.1- Deve ser realizado processo de avaliação de desempenho da função que documente a observação do comportamento pessoal e funcional dos empregados, a ser realizada pela chefia imediata dos mesmos;

7.3.9.2- Deverão ser motivo de registro atos, atitudes e comportamentos positivos e negativos relevantes, verificados durante o exercício profissional do empregado;

7.3.9.3- Os comportamentos incompatíveis, ou que possam gerar comprometimentos á segurança, deverão ser averiguados e comunicados à chefia imediata;

7.3.9.4- As chefias imediatas assegurarão que todos os empregados ou servidores tenham conhecimento e compreensão das normas e procedimentos de segurança em vigor;

7.3.10- O Processo de Desligamento:

7.3.10.1- O acesso de ex-empregados às instalações, quando necessário, será restrito às áreas de acesso público;

7.3.10.2- Sua credencial, identificação, crachá, uso de equipamentos, mecanismos e acessos físicos e lógicos devem ser revogados;

7.3.11- O Processo de Liberação:

O empregado ou servidor firmará, antes do desligamento, declaração de que não possui qualquer tipo de pendência junto às diversas unidades que compõem a entidade;

7.3.12- A Entrevista de Desligamento:

Deverá ser realizada entrevista de desligamento para orientar o empregado ou servidor sobre sua responsabilidade na manutenção do sigilo de dados e/ou conhecimentos sigilosos de sistemas críticos aos quais teve acesso durante sua permanência nas entidades;

7.4.1- Deveres dos empregados ou servidores:

7.4.1.1- Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos de processamento de informações;

7.4.1.2- Cumprir a política de segurança, sob pena de incorrer nas sanções disciplinares e legais cabíveis;

7.4.1.3- Utilizar os Sistemas de Informações das entidades e os recursos a ela relacionados somente para os fins previstos pela Gerência de Segurança;

7.4.1.4- Cumprir as regras específicas de proteção estabelecidas aos ativos de informação;

7.4.1.5- Manter o caráter sigiloso da senha de acesso aos recursos e sistemas das entidades;

7.4.1.6- Não compartilhar, sob qualquer forma, informações confidenciais com outros que não tenham a devida autorização de acesso;

7.4.1.7- Responder, por todo e qualquer acesso, aos recursos das entidades bem como pelos efeitos desses acessos efetivados através do seu código de identificação, ou outro atributo para esse fim utilizado;

7.4.1.8- Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violação da legislação de propriedade intelectual pertinente;

7.4.1.9- Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou desvio;

7.4.2- Responsabilidade das Chefias:

7.4.2.1- A responsabilidade das chefias compreende, dentre outras, as seguintes atividades:

7.4.2.1.1- Gerenciar o cumprimento da política de segurança, por parte de seus empregados ou servidores;

7.4.2.1.2- Identificar os desvios praticados e adotar as medidas corretivas apropriadas;

7.4.2.1.3- Impedir o acesso de empregados demitidos ou demissionários aos ativos de informações, utilizando-se dos mecanismos de desligamento contemplados pelo respectivo plano de desligamento do empregado;

7.4.2.1.4- Proteger, em nível físico e lógico, os ativos de informação e de processamento das entidades participantes da ICP-Brasil relacionados com sua área de atuação;

7.4.2.1.5- Garantir que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger a Informação das entidades;

7.4.2.1.6- Comunicar formalmente à unidade que efetua a concessão de privilégios a usuários de TI, quais os empregados, servidores e prestadores de serviço, sob sua supervisão, que podem acessar as informações das entidades;

7.4.2.1.7- Comunicar formalmente à unidade que efetua a concessão de privilégios aos usuários de TI, quais os empregados, servidores e prestadores de serviço demitidos ou transferidos, para exclusão no cadastro dos usuários;

7.4.2.1.8- Comunicar formalmente à unidade que efetua a concessão de privilégios a usuários de TI, aqueles que estejam respondendo a processos, sindicâncias ou que estejam licenciados, para inabilitação no cadastro dos usuários;

7.4.3- Responsabilidades Gerais:

7.4.3.1- Cada área que detém os ativos de processamento e de informação é responsável por eles, devendo prover a sua proteção de acordo com a política de classificação da informação da entidade;

7.4.3.2- Todos os ativos de informações deverão ter claramente definidos os responsáveis pelo seu uso;

7.4.3.3- Todos os ativos de processamento das entidades devem estar relacionados no plano de continuidade do negócio;

7.4.4- Responsabilidades da Gerência de Segurança:

7.4.4.1- Estabelecer as regras de proteção dos ativos das entidades participantes da ICP-Brasil;

7.4.4.2 - Decidir quanto às medidas a serem tomadas no caso de violação das regras estabelecidas;

7.4.4.3 - Revisar pelo menos anualmente, as regras de proteção estabelecidas;

7.4.4.4- Restringir e controlar o acesso e os privilégios de usuários remotos e externos;

7.4.4.5- Elaborar e manter atualizado o Plano de Continuidade do negócio;

7.4.4.6- Executar as regras de proteção estabelecidas pela Política de Segurança;

7.4.4.7- Detectar, identificar, registrar e comunicar a AC Raiz as violações ou tentativas de acesso não autorizadas;

7.4.4.8- Definir e aplicar, para cada usuário de TI, restrições de acesso à Rede, como horário autorizado, dias autorizados, entre outras;

7.4.4.9- Manter registros de atividades de usuários de TI (logs) por um período de tempo superior a 6 (seis) anos. Os registros devem conter a hora e a data das atividades, a identificação do usuário de TI, comandos (e seus argumentos) executados, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos e condições de erro observadas (tentativas rejeitadas, erros de consistência, etc.);

7.4.4.10- Limitar o prazo de validade das contas de prestadores de serviço ao período da contratação;

7.4.4.11- Excluir as contas inativas;

7.4.4.12- Fornecer senhas de contas privilegiadas somente aos empregados que necessitem efetivamente dos privilégios, mantendo-se o devido registro e controle;

7.4.5- Responsabilidades dos prestadores de serviço:

Devem ser previstas no contrato, cláusulas que contemplem a responsabilidade dos prestadores de serviço no cumprimento desta Política de Segurança da Informação e suas normas e procedimentos;

Sanções previstas pela legislação vigente.

Advertência: estão comentados apenas alguns artigos  somente para ilustração ou estudo técnico de informática. Para qualquer uso consulte diretamente o site do ICP-Brasil.

8 – REQUISITOS DE SEGURANÇA DO AMBIENTE FÍSICO:

Ambiente físico é aquele composto por todo o ativo permanente das entidades integrantes da ICP-Brasil;

8.2.1- As responsabilidades pela segurança física dos sistemas das entidades deverão ser definidos e atribuídos a indivíduos claramente identificados na organização;

8.2.2- A localização das instalações e o sistema de certificação da AC Raiz e das AC não deverão ser publicamente identificados;

8.2.3- Sistemas de segurança para acesso físico deverão ser instalados para controlar e auditar o acesso aos sistemas de certificação;

8.2.4- Controles duplicados sobre o inventário e cartões/chaves de acesso deverão ser estabelecidos. Uma lista atualizada do pessoal que possui cartões/chaves deverá ser mantida;

8.2.5- Chaves criptográficas sob custódia do responsável deverão ser fisicamente protegidas contra acesso não autorizado, uso ou duplicação;

8.2.6- Perdas de cartões/chaves de acesso deverão ser imediatamente comunicadas ao responsável pela gerência de segurança da entidade. Ele deverá tomar as medidas apropriadas para prevenir acessos não autorizados;

8.2.7- Os sistemas de AC deverão estar localizados em área protegida ou afastada de fontes potentes de magnetismo ou interferência de rádio freqüência;

8.2.8- Recursos e instalações críticas ou sensíveis devem ser mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança e controle de acesso. Elas devem ser fisicamente protegidas de acesso não autorizado, dano, ou interferência. A proteção fornecida deve ser proporcional aos riscos identificados;

8.2.9- A entrada e saída, nestas áreas ou partes dedicadas, deverão ser automaticamente registradas com data e hora definidas e serão revisadas diariamente pelo responsável pela gerência de segurança da informação nas entidades da ICP-Brasil e mantidas em local adequado e sob sigilo;

8.2.10- O acesso aos componentes da infra-estrutura, atividade fundamental ao funcionamento dos sistemas das entidades, como painéis de controle de energia, comunicações e cabeamento, deverá ser restrito ao pessoal autorizado;

8.2.11- Sistemas de detecção de intrusão deverão ser utilizados para monitorar e registrar os acessos físicos aos sistemas de certificação nas horas de utilização;

8.2.12- O inventário de todo o conjunto de ativos de processamento deve ser registrado e mantido atualizado, no mínimo, mensalmente;

8.2.13- Quaisquer equipamentos de gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só devem ser utilizados a partir de autorização formal e mediante supervisão;

8.2.14- Nas instalações das entidades integrantes aICP-Brasil, todos deverão utilizar alguma forma visível de identificação (por exemplo: crachá), e devem informar à segurança sobre a presença de qualquer pessoa não identificada ou de qualquer estranho não acompanhado;

8.2.15- Visitantes das áreas de segurança devem ser supervisionados. Suas horas de entrada e saída e o local de destino devem ser registrados. Essas pessoas devem obter acesso apenas às áreas específicas, com propósitos autorizados, e esses acessos devem seguir instruções baseadas nos requisitos de segurança da área visitada;

8.2.16- Os ambientes onde ocorrem os processos críticos das entidades integrantes da ICP-Brasil deverão ser monitorados, em tempo real, com as imagens registradas por meio de sistemas de CFTV;

8.2.17- Sistemas de detecção de intrusos devem ser instalados e testados regularmente de forma a cobrir os ambientes, as portas e janelas acessíveis, nos ambientes onde ocorrem processos críticos. As áreas não ocupadas devem possuir um sistema de alarme que permaneça sempre ativado.

Ambiente lógico é composto por todo o ativo de informações das entidades;

9.2.1- A informação deve ser protegida de acordo com o seu valor, sensibilidade e criticidade. Para tanto, deve ser elaborado um sistema de classificação da informação;

9.2.2- Os dados, as informações e os sistemas de informação das entidades e sob sua guarda, devem ser protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens;

9.2.3- As violações de segurança devem ser registradas e esses registros devem ser analisados periodicamente para os propósitos de caráter corretivo, legal e de auditoria. Os registros devem ser protegidos e armazenados de acordo com a sua classificação;

9.2.4- Os sistemas e recursos que suportam funções críticas para operação das entidades, devem assegurar a capacidade de recuperação nos prazos e condições definidas em situações de contingência;

9.2.5- O inventário sistematizado de toda a estrutura que serve como base para manipulação, armazenamento e transmissão dos ativos de processamento, deve estar registrado e mantido atualizado em intervalos de tempo definidos pelas entidades participantes da ICP-Brasil.

9.3.1- Sistemas:

9.3.1.1- As necessidades de segurança devem ser identificadas para cada etapa do ciclo de vida dos sistemas disponíveis nas entidades. A documentação dos sistemas deve ser mantida atualizada. A cópia de segurança deve ser testada e mantida atualizada;

9.3.1.2- Os sistemas devem possuir controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados. O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado;

9.3.1.3- Os arquivos de logs devem ser criteriosamente definidos para permitir recuperação nas situações de falhas, auditoria nas situações de violações de segurança e contabilização do uso de recursos. Os logs devem ser periodicamente analisados, conforme definido na DPC, para identificar tendências, falhas ou usos indevidos. Os logs devem ser protegidos e armazenados de acordo com sua classificação;

9.3.1.4- Devem ser estabelecidas e mantidas medidas e controles de segurança para verificação crítica dos dados e configuração de sistemas e dispositivos quanto a sua precisão, consistência e integridade;

9.3.1.5- Os sistemas devem ser avaliados com relação aos aspectos de segurança (testes de vulnerabilidade) antes de serem disponibilizados para a produção. As vulnerabilidades do ambiente devem ser avaliadas periodicamente e as recomendações de segurança devem ser adotadas;

9.3.2- Máquinas servidoras:

9.3.2.1- O acesso lógico, ao ambiente ou serviços disponíveis em servidores, deve ser controlado e protegido. As autorizações devem ser revistas, confirmadas e registradas continuadamente. O responsável pela autorização ou confirmação da autorização deve ser claramente definido e registrado;

9.3.2.2- Os acessos lógicos devem ser registrados em logs, que devem ser analisados periodicamente. O tempo de retenção dos arquivos de logs e as medidas de proteção associadas devem estar precisamente definidos;

9.3.2.3- Devem ser adotados procedimentos sistematizados para monitorar a segurança do ambiente operacional, principalmente no que diz respeito à integridade dos arquivos de configuração do Sistema Operacional e de outros arquivos críticos. Os eventos devem ser armazenados em relatórios de segurança (logs) de modo que sua análise permita a geração de trilhas de auditoria a partir destes registros;

9.3.2.4- As máquinas devem estar sincronizadas para permitir o rastreamento de eventos.;

9.3.2.5- Proteção lógica adicional (criptografia) deve ser adotada para evitar o acesso não-autorizado às informações;

9.3.2.6- A versão do Sistema Operacional, assim como outros softwares básicos instalados em máquinas servidoras, devem ser mantidos atualizados, em conformidade com as recomendações dos fabricantes;

9.3.2.7- Devem ser utilizados somente softwares autorizados pela própria entidade nos seus equipamentos. Deve ser realizado o controle da distribuição e instalação dos mesmos;

9.3.2.8- O acesso remoto a máquinas servidoras deve ser realizado adotando os mecanismos de segurança definidos para evitar ameaças à integridade e sigilo do serviço;

9.3.2.9- Os procedimentos de cópia de segurança (backup) e de recuperação devem estar documentados, mantidos atualizados e devem ser regularmente testados, de modo a garantir a disponibilidade das informações;

9.3.3- Redes das entidades da ICP-Brasil:

9.3.3.1- O tráfego das informações no ambiente de rede deve ser protegido contra danos ou perdas, bem como acesso, uso ou exposição indevidos;

9.3.3.2- Componentes críticos da rede local devem ser mantidos em salas protegidas e com acesso físico e lógico controlado, devendo ser protegidos contra danos, furtos, roubos e intempéries;

9.3.3.3- Devem ser adotadas as facilidades de segurança disponíveis de forma inata nos ativos de processamento da rede;

9.3.3.4- A configuração de todos os ativos de processamento deve ser averiguada quando da sua instalação inicial, para que sejam detectadas e corrigidas as vulnerabilidades inerentes à configuração padrão que se encontram nesses ativos em sua primeira ativação;

9.3.3.5- Serviços vulneráveis devem receber nível de proteção adicional;

9.3.3.6- O uso de senhas deve estar submetido a uma política específica para sua gerência e utilização;

9.3.3.7- O acesso lógico aos recursos da rede local deve ser realizado por meio de sistema de controle de acesso. O acesso deve ser concedido e mantido pela administração da rede, baseado nas responsabilidades e tarefas de cada usuário;

9.3.3.8- A utilização de qualquer mecanismo capaz de realizar testes de qualquer natureza, como por exemplo, monitoração sobre os dados, os sistemas e dispositivos que compõem a rede, só devem ser utilizado à partir de autorização formal e mediante supervisão;

9.3.3.9- A conexão com outros ambientes de rede e alterações internas na sua topologia e configuração devem ser formalmente documentadas e mantidas, de forma a permitir registro histórico, e devem ter a autorização da administração da rede e da gerência de segurança. O diagrama topológico, a configuração e o inventário dos recursos devem ser mantidos atualizados;

9.3.3.10- Devem ser definidos relatórios de segurança (logs) de modo a auxiliar no tratamento de desvios, recuperação de falhas, contabilização e auditoria. Os logs devem ser analisados periodicamente e o período de análise estabelecido deve ser o menor possível;

9.3.3.11- Devem ser adotadas proteções físicas adicionais para os recursos de rede considerados críticos;

9.3.3.12- Proteção lógica adicional deve ser adotada para evitar o acesso não-autorizado às informações;

9.3.3.13- A infra-estrutura de interligação lógica deve estar protegida contra danos mecânicos e conexão não autorizada;

9.3.3.14- A alimentação elétrica para a rede local deve ser separada da rede convencional, devendo ser observadas as recomendações dos fabricantes dos equipamentos utilizados, assim como as normas ABNT aplicáveis;

9.3.3.15- O tráfego de informações deve ser monitorado, a fim de verificar sua normalidade, assim como detectar situações anômalas do ponto de vista da segurança;

9.3.3.16- Devem ser observadas as questões envolvendo propriedade intelectual quando da cópia de software ou arquivos de outras localidades;

9.3.3.17- Informações sigilosas, corporativas ou que possam causar prejuízo às entidades devem estar protegidas e não devem ser enviadas para outras redes, sem proteção adequada;

9.3.3.18- Todo serviço de rede não explicitamente autorizado deve ser bloqueado ou desabilitado;

9.3.3.19- Mecanismos de segurança baseados em sistemas de proteção de acesso (firewall) devem ser utilizados para proteger as transações entre redes externas e a rede interna da entidade;

9.3.3.20- Os registros de eventos devem ser analisados periodicamente, no menor prazo possível e em intervalos de tempo adequados;

9.3.3.21- Deve ser adotado um padrão de segurança para todos os tipos de equipamentos servidores, considerando aspectos físicos e lógicos;

9.3.3.22- Todos os recursos considerados críticos para o ambiente de rede, e que possuam mecanismos de controle de acesso, deverão fazer uso de tal controle;

9.3.3.23- A localização dos serviços baseados em sistemas de proteção de acesso (firewall) deve ser resultante de uma análise de riscos. No mínimo, os seguintes aspectos devem ser considerados: requisitos de segurança definidos pelo serviço, objetivo do serviço, público alvo, classificação da informação, forma de acesso, freqüência de atualização do conteúdo, forma de administração do serviço e volume de tráfego;

9.3.3.24- Ambientes de rede considerados críticos devem ser isolados de outros ambientes de rede, de modo a garantir um nível adicional de segurança;

9.3.3.25- Conexões entre as redes das entidades da ICP-Brasil e redes externas deverão estar restritas somente àquelas que visem efetivar os processos;

9.3.3.26- As conexões de rede devem ser ativadas: primeiro, sistemas com função de certificação; segundo, sistemas que executam as funções de registros e repositório. Se isto não for possível, deve-se empregar controles de compensação, tais como o uso de proxies que deverão ser implementados para proteger os sistemas que executam a função de certificação contra possíveis ataques;

9.3.3.27- Sistemas que executam a função de certificação deverão estar isolados para minimizar a exposição contra tentativas de comprometer o sigilo, a integridade e a disponibilidade das funções de certificação;

9.3.3.28- A chave de certificação das AC deverá estar protegida de acesso desautorizado, para garantir seu sigilo e integridade;

9.3.3.29- A segurança das comunicações intra-rede e inter-rede, entre os sistemas das entidades da ICP-Brasil, deverá ser garantida pelo uso de mecanismos que assegurem o sigilo e a integridade das informações trafegadas;

9.3.3.30- As ferramentas de detecção de intrusos devem ser implantadas para monitorar as redes críticas, alertando periodicamente os administradores das redes sobre as tentativas de intrusão;

9.3.4- Controle de acesso lógico (baseado em senhas):

9.3.4.1- Usuários e aplicações que necessitem ter acesso a recursos das entidades da ICP-Brasil devem ser identificados e autenticados;

9.3.4.2- O sistema de controle de acesso deve manter as habilitações atualizadas e registros que permitam a contabilização do uso, auditoria e recuperação nas situações de falha;

9.3.4.3- Nenhum usuário deve ser capaz de obter os direitos de acesso de outro usuário;

9.3.4.4- A informação que especifica os direitos de acesso de cada usuário ou aplicação deve ser protegida contra modificações não autorizadas;

9.3.4.5- O arquivo de senhas deve ser criptografado e ter o acesso controlado;

9.3.4.6- As autorizações devem ser definidas de acordo com a necessidade de desempenho das funções (acesso motivado) e considerando o princípio dos privilégios mínimos (ter acesso apenas aos recursos ou sistemas necessários para a execução de tarefas);

9.3.4.7- As senhas devem ser individuais, secretas, intransferíveis e ser protegidas com grau de segurança compatível com a informação associada;

9.3.4.8- O sistema de controle de acesso deve possuir mecanismos que impeçam a geração de senhas fracas ou óbvias;

9.3.4.9- As seguintes características das senhas devem estar definidas de forma adequada: conjunto de caracteres permitidos, tamanho mínimo e máximo, prazo de validade máximo, forma de troca e restrições específicas;

9.3.4.10- A distribuição de senhas aos usuários de TI (inicial ou não) deve ser feita de forma segura. A senha inicial, quando gerada pelo sistema, deve ser trocada, pelo usuário de TI, no primeiro acesso;

9.3.4.11- O sistema de controle de acesso deve permitir ao usuário alterar sua senha sempre que desejar. A troca de uma senha bloqueada só deve ser executada após a identificação positiva do usuário. A senha digitada não deve ser exibida;

9.3.4.12- Devem ser adotados critérios para bloquear ou desativar usuários de acordo com período pré-definido sem acesso e tentativas sucessivas de acesso mal sucedidas;

9.3.4.13- O sistema de controle de acesso deve solicitar nova autenticação após certo tempo de inatividade da sessão (time-out);

9.3.4.14- O sistema de controle de acesso deve exibir, na tela inicial, mensagem informando que o serviço só pode ser utilizado por usuários autorizados. No momento de conexão, o sistema deve exibir para o usuário informações sobre o último acesso;

9.3.4.15- O registro das atividades (logs) do sistema de controle de acesso deve ser definido de modo a auxiliar no tratamento das questões de segurança, permitindo a contabilização do uso, auditoria e recuperação nas situações de falhas. Os logs devem ser periodicamente analisados;

9.3.4.16- Os usuários e administradores do sistema de controle de acesso devem ser formal e expressamente conscientizados de suas responsabilidades, mediante assinatura de termo de compromisso;

9.3.5- Computação pessoal:

9.3.5.1- As estações de trabalho, incluindo equipamentos portáteis ou stand alone, e informações devem ser protegidos contra danos ou perdas, bem como acesso, uso ou exposição indevidos;

9.3.5.2- Equipamentos que executem operações sensíveis devem receber proteção adicional, considerando os aspectos lógicos (controle de acesso e criptografia) e físicos (proteção contra furto ou roubo do equipamento ou componentes);

9.3.5.3- Devem ser adotadas medidas de segurança lógica referentes a combate a vírus, backup, controle de acesso e uso de software não autorizado;

9.3.5.4- As informações armazenadas em meios eletrônicos devem ser protegidas contra danos, furtos ou roubos, devendo ser adotados procedimentos de backup, definidos em documento específico;

9.3.5.5- Informações sigilosas, corporativas ou cuja divulgação possa causar prejuízo às entidades da ICP-Brasil, só devem ser utilizadas em equipamentos das entidades onde foram geradas ou naqueles por elas autorizadas, com controles adequados;

9.3.5.6- O acesso às informações deve atender aos requisitos de segurança, considerando o ambiente e forma de uso do equipamento (uso pessoal ou coletivo);

9.3.5.7- Os usuários de TI devem utilizar apenas softwares licenciados pelo fabricante nos equipamentos das entidades, observadas as normas da ICP-Brasil e legislação de software;

9.3.5.8- A entidade deverá estabelecer os aspectos de controle, distribuição e instalação de softwares utilizados;

9.3.5.9- A impressão de documentos sigilosos deve ser feita sob supervisão do responsável. Os relatórios impressos devem ser protegidos contra perda, reprodução e uso não-autorizado;

9.3.5.10- O inventário dos recursos deve ser mantido atualizado;

9.3.5.11- Os sistemas em uso devem solicitar nova autenticação após certo tempo de inatividade da sessão (time-out);

9.3.5.12- As mídias devem ser eliminadas de forma segura, quando não forem mais necessárias. Procedimentos formais para a eliminação segura das mídias devem ser definidos, para minimizar os riscos;

9.3.6- Combate a Vírus de Computador

Os procedimentos de combate a processos destrutivos (vírus, cavalo-de-tróia e worms) devem estar sistematizados e devem abranger máquinas servidoras, estações de trabalho, equipamentos portáteis e microcomputadores stand alone.

10.1.1- O sistema criptográfico da ICP-Brasil deve ser entendido como sendo um sistema composto de documentação normativa específica de criptografia aplicada na ICP-Brasil, conjunto de requisitos de criptografia, projetos, métodos de implementação, módulos implementados de hardware e software, definições relativas a algoritmos criptográficos e demais algoritmos integrantes de um processo criptográfico, procedimentos adotados para gerência das chaves criptográficas, métodos adotados para testes de robustez das cifras e detecção de violações dessas;

10.1.2- Toda a documentação, referente a definição, descrição e especificação dos componentes dos sistemas criptográficos utilizados na ICP-Brasil, deve ser aprovada pela AC Raiz;

10.1.3- A força do sistema criptográfico deve ser periodicamente testada por entidades competentes na área de criptografia. A periodicidade a que se refere este item não deve ser superior a 2 (dois) anos;

10.1.4- Os testes necessários para satisfazer o item anterior devem estar previamente definidos em documento normativo específico e de caráter oficial aprovado pelo CG ICP-Brasil;

10.1.5- Todo parâmetro crítico, cuja exposição indevida comprometa a segurança do sistema criptográfico da ICP-Brasil, deve ser armazenado cifrado;

10.1.6- Os aspectos relevantes relacionados à criptografia no âmbito da ICP-Brasil devem ser detalhados em documentos específicos, aprovados pela AC Raiz;

10.2.1- A manipulação das chaves criptográficas utilizadas nos sistemas criptográficos da ICP-Brasil deverá ser restrita a um número mínimo e essencial de pessoas, assim como deve estar submetida a mecanismos de controle considerados adequados pelo CG ICP-Brasil;

10.2.2- As pessoas, a que se refere o item anterior, deverão ser formalmente designadas pela chefia competente, conforme as funções a serem desempenhadas e o correspondente grau de privilégios, assim como terem suas responsabilidades explicitamente definidas;

10.2.3- Os algoritmos de criação e de troca das chaves criptográficas utilizados no sistema criptográfico da ICP-Brasil devem ser aprovados pelo CG ICP-Brasil;

10.2.4- Os diferentes tipos de chaves criptográficas e suas funções no sistema criptográfico da ICP-Brasil devem estar explicitados nas políticas de certificado específicas;

10.3.1- O processo de transporte de chaves criptográficas e demais parâmetros do sistema de criptografia da ICP-Brasil devem ter a integridade e o sigilo assegurados, por meio do emprego de soluções criptográficas específicas;

10.3.2- Deve-se adotar recursos de VPN (Virtual Private Networks – redes privadas virtuais), baseadas em criptografia, para a troca de informações sensíveis, por meio de redes públicas, entre as redes das entidades da ICP-Brasil que pertençam a uma mesma organização.

11.1.1- Deverão ser realizadas auditorias periódicas nas entidades integrantes da ICP-Brasil, pela AC Raiz ou por prestadores de serviço por ela contratados;

11.1.2- As atividades das entidades integrantes da ICP-Brasil estão associadas ao conceito de confiança. O processo de auditoria periódica representa um dos instrumentos que facilita a percepção e transmissão de confiança à comunidade de usuários;

Verificar a capacidade da AC Raiz, demais AC, AR e repositórios em atender os requisitos da ICP-Brasil. O resultado da auditoria é um item fundamental a ser considerado no processo de credenciamento das AC para a ICP-Brasil, assim como, para a manutenção da condição de credenciada;

11.3.1- A auditoria deve abordar os aspectos relativos ao ambiente de operação e ciclo de vida de certificados. Os seguintes tópicos devem ser verificados:

11.3.2- Ambiente de operação:

11.3.2.1- Segurança da operação;

11.3.2.2- Segurança de pessoal;

11.3.2.3- Segurança física;

11.3.2.4- Segurança lógica;

11.3.2.5- Segurança de telecomunicações;

11.3.2.6- Segurança de recursos criptográficos;

11.3.2.7- Plano de contingência;

11.3.3- Ciclo de vida do certificado:

11.3.3.1- Solicitação;

11.3.3.2- Validação;

11.3.3.3- Emissão;

11.3.3.4- Uso;

11.3.3.5- Revogação.

A auditoria deve ser realizada tendo como orientação básica os atos normativos que disciplinam as atividades exercidas no âmbito da ICP-Brasil;

A auditoria da AC Raiz e das AC credenciados atenderá aos seguintes requisitos mínimos:

11.5.1. - Corpo técnico com comprovada experiência nas áreas de segurança da informação (ambientes físico e lógico), criptografia, infra-estrutura de chaves pública e sistemas críticos;

11.5.2- Experiência em serviços de auditoria dessa mesma natureza e referências de outros serviços de auditoria similares;

11.5.3- Utilização de padrões internacionais (como exemplo: ISO 17799) ou padrão similar como referência de melhores práticas e procedimentos;

11.6.1- Suspender temporariamente os serviços nas AC da ICP-Brasil até correção dos problemas;

11.6.2- Revogar o certificado das AC da ICP-Brasil;

11.6.3- Substituir / treinar pessoal;

11.7- Freqüência das Auditorias:

O processo de auditoria deve ser realizado nas seguintes situações e respectivas freqüências:

11.7.1- Credenciamento inicial – antes do credenciamento e do início de suas atividades no âmbito da ICP-Brasil;

11.7.2- Auditoria periódica anual – para manutenção do credenciamento;

11.7.3- Por determinação do CG ICP-Brasil ou da AC Raiz, a qualquer tempo.

Advertência: estão comentados apenas alguns artigos  somente para ilustração ou estudo técnico de informática. Para qualquer uso consulte diretamente o site do ICP-Brasil.

12- GERENCIAMENTO DE RISCOS:

12.1- Definição:

Processo que visa a proteção dos serviços das entidades integrantes da ICP-Brasil, por meio da eliminação, redução ou transferência dos riscos, conforme seja economicamente (e estrategicamente) mais viável. Os seguintes pontos principais devem ser identificados:

12.1.1.1- O que deve ser protegido;

12.1.1.2- Análise de riscos (Contra quem ou contra o quê deve ser protegido);

12.1.1.3- Avaliação de riscos (Análise da relação custo/benefício);

12.2- Fases Principais:

O gerenciamento de riscos consiste das seguintes fases principais:

12.2.1 - Identificação dos recursos a serem protegidos – hardware, rede, software, dados, informações pessoais, documentação, suprimentos;

12.2.2- Identificação dos riscos (ameaças) - que podem ser naturais (tempestades, inundações), causadas por pessoas (ataques, furtos, vandalismos, erros ou negligências) ou de qualquer outro tipo (incêndios);

12.2.3- Análise dos riscos (vulnerabilidades e impactos) - identificar as vulnerabilidades e os impactos associados;

12.2.4- Avaliação dos riscos (probabilidade de ocorrência) - levantamento da probabilidade da ameaça vir a acontecer, estimando o valor do provável prejuízo. Esta avaliação pode ser feita com base em informações históricas ou em tabelas internacionais;

12.2.5- Tratamento dos riscos (medidas a serem adotadas) - maneira como lidar com as ameaças. As principais alternativas são: eliminar o risco, prevenir, limitar ou transferir as perdas ou aceitar o risco;

12.2.6- Monitoração da eficácia dos controles adotados para minimizar os riscos identificados;

12.2.7- Reavaliação periódica dos riscos em intervalos de tempo não superiores a 6 (seis) meses;

Os riscos a serem avaliados para as entidades integrantes da ICP-Brasil compreendem, dentre outros, os seguintes:

12.4- Considerações Gerais:

12.4.1- Os riscos que não puderem ser eliminados devem ter seus controles documentados e devem ser levados ao conhecimento da AC-Raiz e do CG ICP-Brasil;

12.4.2- Um efetivo gerenciamento dos riscos permite decidir se o custo de prevenir um risco (medida de proteção) é mais alto que o custo das conseqüências do risco (impacto da perda);

12.4.3- É necessária a participação e o envolvimento da alta administração das entidades;

12.5- Implementação do Gerenciamento de Riscos:

O gerenciamento de riscos nas entidades da ICP-Brasil pode ser conduzido de acordo com a metodologia padrão ou proprietária, desde que atendidos todos os tópicos relacionados.

13- PLANO DE CONTINUIDADE DO NEGÓCIO:

13.1- Definição:

Plano cujo objetivo é manter em funcionamento os serviços e processos críticos das entidades integrantes da ICP-Brasil, na eventualidade da ocorrência de desastres, atentados, falhas e intempéries;

13.2- Diretrizes Gerais:

13.2.1- Sistemas e dispositivos redundantes devem estar disponíveis para garantir a continuidade da operação dos serviços críticos de maneira oportuna;

13.2.2- Todas as AC integrantes da ICP-Brasil deverão apresentar um Plano de Continuidade do Negócio que estabelecerá, no mínimo, o tratamento adequado dos seguintes eventos de segurança:

13.2.2.1- Comprometimento da chave privada das entidades;

13.2.2.2- Invasão do sistema e da rede interna da entidade;

13.2.2.3- Incidentes de segurança física e lógica;

13.2.2.4- Indisponibilidade da Infra-estrutura; e

13.2.2.5- Fraudes ocorridas no registro do usuário, na emissão, expedição, distribuição, revogação e no gerenciamento de certificados;

13.2.3- Todo pessoal envolvido com o Plano de Continuidade do Negócio deve receber um treinamento específico para poder enfrentar estes incidentes;

13.2.4- Um plano de ação de resposta a incidentes deverá ser estabelecido para todas as AC integrantes da ICP-Brasil. Este plano deve prever, no mínimo, o tratamento adequado dos seguintes eventos:

13.2.4.1- Comprometimento de controle de segurança em qualquer evento referenciado no Plano de Continuidade do Negócio;

13.2.4.2- Notificação à comunidade de usuários, se for o caso;

13.2.4.3- Revogação dos certificados afetados, se for o caso;

13.2.4.4- Procedimentos para interrupção ou suspensão de serviços e investigação;

13.2.4.5- Análise e monitoramento de trilhas de auditoria; e

13.2.4.6- Relacionamento com o público e com meios de comunicação, se for o caso

Advertência: estão comentados apenas alguns artigos  somente para ilustração ou estudo técnico de informática. Para qualquer uso consulte diretamente o site do ICP-Brasil.