Consultor Jurídico

Notícias

Você leu 1 de 5 notícias liberadas no mês.
Faça seu CADASTRO GRATUITO e tenha acesso ilimitado.

Segurança na Web

Veja a Resolução que cria política de segurança na Internet

6- Regras Gerais:

6.1- Gestão de Segurança:

6.1.1- A Política de Segurança Geral da ICP-Brasil se aplica a todos os recursos humanos, administrativos e tecnológicos pertencentes às entidades que a compõem. A abrangência dos recursos citados refere-se tanto àqueles ligados às entidades em caráter permanente quanto temporário;

6.1.2- Esta política deve ser comunicada para todo o pessoal envolvido e largamente divulgada através das entidades, garantindo que todos tenham consciência da mesma e a pratiquem na organização;

6.1.3- Todo o pessoal deve receber as informações necessárias para cumprir adequadamente o que está determinado na política de segurança;

6.1.4- Um programa de conscientização sobre segurança da informação deverá ser implementado para assegurar que todo o pessoal seja informado sobre os potenciais riscos de segurança e exposição a que estão submetidos os sistemas e operações das entidades. Especificamente, o pessoal envolvido ou que se relaciona com os usuários deve estar informado sobre ataques típicos de engenharia social e como se proteger deles;

6.1.5- Os procedimentos deverão ser documentados e implementados para garantir que quando o pessoal contratado ou prestadores de serviços sejam transferidos, remanejados, promovidos ou demitidos, todos os privilégios de acesso aos sistemas, informações e recursos sejam devidamente revistos, modificados ou revogados;

6.1.6- Previsão de mecanismo e repositório centralizado para ativação e manutenção de trilhas, logs e demais notificações de incidentes. Este mecanismo deverá ser incluído nas medidas a serem tomadas por um grupo encarregado de responder a este tipo de ataque, para prover uma defesa ativa e corretiva contra os mesmos;

6.1.7- Os processos de aquisição de bens e serviços, especialmente de Tecnologia da Informação - TI, devem estar em conformidade com esta Política de Segurança;

6.1.8- Esta Política de Segurança deve ser revisada e atualizada periodicamente no máximo a cada 2 (dois) anos, caso não ocorram eventos ou fatos relevantes que exijam uma revisão imediata;

6.1.9- No que se refere a segurança da informação, deve-se considerar proibido, tudo aquilo que não esteja previamente autorizado pelo responsável da área de segurança da entidade pertencente à ICP-Brasil;

6.2- Gerenciamento de Riscos:

O processo de gerenciamento de riscos deve ser revisto, no máximo a cada 18 (dezoito) meses, pela entidade, para prevenção contra riscos, inclusive aqueles advindos de novas tecnologias, visando a elaboração de planos de ação apropriados para proteção aos componentes ameaçados;

6.3- Inventário de ativos:

Todos os ativos das entidades integrantes da ICP-Brasil devem ser inventariados, classificados, permanentemente atualizados, e possuírem gestor responsável formalmente designado;

6.4- Plano de Continuidade do Negócio:

6.4.1- Um plano de continuidade do negócio deve ser implementado e testado, pelo menos uma vez por ano, para garantir a continuidade dos serviços críticos ao negócio;

6.4.2- Todas as AC deverão apresentar planos de gerenciamento de incidentes e de ação de resposta a incidentes a serem aprovados pela AC Raiz ou AC de nível imediatamente superior;

6.4.3- O certificado da AC deverá ser imediatamente revogado se um evento provocar a perda ou comprometimento de sua chave privada ou do seu meio de armazenamento. Nesta situação, a entidade deverá seguir os procedimentos detalhados na sua DPC;

6.4.4- Todos os incidentes deverão ser reportados à AC Raiz imediatamente, a partir do momento em que for verificada a ocorrência. Estes incidentes devem ser reportados de modo sigiloso a pessoas especialmente designadas para isso.

7- Requisitos de Segurança de Pessoal:

7.1- Definição:

Conjunto de medidas e procedimentos de segurança, a serem observados pelos prestadores de serviço e todos os empregados, necessário à proteção dos ativos das entidades participantes da ICP-Brasil;

7.2- Objetivos:

7.2.1- Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude ou uso não apropriado dos ativos das entidades participantes da ICP-Brasil;

7.2.2- Prevenir e neutralizar as ações sobre as pessoas que possam comprometer a segurança das entidades participantes da ICP-Brasil;

7.2.3- Orientar e capacitar todo o pessoal envolvido na realização de trabalhos diretamente relacionados às entidades participantes da ICP-Brasil, assim como o pessoal em desempenho de funções de apoio, tais como a manutenção das instalações físicas e a adoção de medidas de proteção compatíveis com a natureza da função que desempenham;

7.2.4- Orientar o processo de avaliação de todo o pessoal que trabalhe nas entidades participantes da ICP-Brasil, mesmo em caso de funções desempenhadas por prestadores de serviço;

Revista Consultor Jurídico, 2 de outubro de 2001, 14h51

Comentários de leitores

0 comentários

Comentários encerrados em 10/10/2001.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.