Consultor Jurídico

Notícias

Você leu 1 de 5 notícias liberadas no mês.
Faça seu CADASTRO GRATUITO e tenha acesso ilimitado.

Segurança na Web

Veja a Resolução que cria política de segurança na Internet

7.4.4.9- Manter registros de atividades de usuários de TI (logs) por um período de tempo superior a 6 (seis) anos. Os registros devem conter a hora e a data das atividades, a identificação do usuário de TI, comandos (e seus argumentos) executados, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos e condições de erro observadas (tentativas rejeitadas, erros de consistência, etc.);

7.4.4.10- Limitar o prazo de validade das contas de prestadores de serviço ao período da contratação;

7.4.4.11- Excluir as contas inativas;

7.4.4.12- Fornecer senhas de contas privilegiadas somente aos empregados que necessitem efetivamente dos privilégios, mantendo-se o devido registro e controle;

7.4.5- Responsabilidades dos prestadores de serviço:

Devem ser previstas no contrato, cláusulas que contemplem a responsabilidade dos prestadores de serviço no cumprimento desta Política de Segurança da Informação e suas normas e procedimentos;

7.5- Sanções:

Sanções previstas pela legislação vigente.

8 - Requisitos de Segurança do Ambiente Físico:

8.1- Definição:

Ambiente físico é aquele composto por todo o ativo permanente das entidades integrantes da ICP-Brasil;

8.2- Diretrizes Gerais:

8.2.1- As responsabilidades pela segurança física dos sistemas das entidades deverão ser definidos e atribuídos a indivíduos claramente identificados na organização;

8.2.2- A localização das instalações e o sistema de certificação da AC Raiz e das AC não deverão ser publicamente identificados;

8.2.3- Sistemas de segurança para acesso físico deverão ser instalados para controlar e auditar o acesso aos sistemas de certificação;

8.2.4- Controles duplicados sobre o inventário e cartões/chaves de acesso deverão ser estabelecidos. Uma lista atualizada do pessoal que possui cartões/chaves deverá ser mantida;

8.2.5- Chaves criptográficas sob custódia do responsável deverão ser fisicamente protegidas contra acesso não autorizado, uso ou duplicação;

8.2.6- Perdas de cartões/chaves de acesso deverão ser imediatamente comunicadas ao responsável pela gerência de segurança da entidade. Ele deverá tomar as medidas apropriadas para prevenir acessos não autorizados;

8.2.7- Os sistemas de AC deverão estar localizados em área protegida ou afastada de fontes potentes de magnetismo ou interferência de rádio freqüência;

8.2.8- Recursos e instalações críticas ou sensíveis devem ser mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança e controle de acesso. Elas devem ser fisicamente protegidas de acesso não autorizado, dano, ou interferência. A proteção fornecida deve ser proporcional aos riscos identificados;

8.2.9- A entrada e saída, nestas áreas ou partes dedicadas, deverão ser automaticamente registradas com data e hora definidas e serão revisadas diariamente pelo responsável pela gerência de segurança da informação nas entidades da ICP-Brasil e mantidas em local adequado e sob sigilo;

8.2.10- O acesso aos componentes da infra-estrutura, atividade fundamental ao funcionamento dos sistemas das entidades, como painéis de controle de energia, comunicações e cabeamento, deverá ser restrito ao pessoal autorizado;

8.2.11- Sistemas de detecção de intrusão deverão ser utilizados para monitorar e registrar os acessos físicos aos sistemas de certificação nas horas de utilização;

8.2.12- O inventário de todo o conjunto de ativos de processamento deve ser registrado e mantido atualizado, no mínimo, mensalmente;

8.2.13- Quaisquer equipamentos de gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só devem ser utilizados a partir de autorização formal e mediante supervisão;

8.2.14- Nas instalações das entidades integrantes aICP-Brasil, todos deverão utilizar alguma forma visível de identificação (por exemplo: crachá), e devem informar à segurança sobre a presença de qualquer pessoa não identificada ou de qualquer estranho não acompanhado;

8.2.15- Visitantes das áreas de segurança devem ser supervisionados. Suas horas de entrada e saída e o local de destino devem ser registrados. Essas pessoas devem obter acesso apenas às áreas específicas, com propósitos autorizados, e esses acessos devem seguir instruções baseadas nos requisitos de segurança da área visitada;

8.2.16- Os ambientes onde ocorrem os processos críticos das entidades integrantes da ICP-Brasil deverão ser monitorados, em tempo real, com as imagens registradas por meio de sistemas de CFTV;

8.2.17- Sistemas de detecção de intrusos devem ser instalados e testados regularmente de forma a cobrir os ambientes, as portas e janelas acessíveis, nos ambientes onde ocorrem processos críticos. As áreas não ocupadas devem possuir um sistema de alarme que permaneça sempre ativado.

Revista Consultor Jurídico, 2 de outubro de 2001, 14h51

Comentários de leitores

0 comentários

Comentários encerrados em 10/10/2001.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.