Poltica de Segurana da Autoridade Certificadora do SERPRO ( PS SERPROACF )

Verso 2.0 26 de junho de 2006

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

ndice
123456INTRODUO ..................................................................................................................................................5 OBJETIVOS.......................................................................................................................................................5 ABRANGNCIA ...............................................................................................................................................5 TERMINOLOGIA.............................................................................................................................................6 CONCEITOS E DEFINIES ........................................................................................................................6 REGRAS GERAIS.............................................................................................................................................7 6.1- GESTO DE SEGURANA ....................................................................................................................................7 6.2- GERENCIAMENTO DE RISCOS ..............................................................................................................................8 6.3- INVENTRIO DE ATIVOS ......................................................................................................................................8 6.4- PLANO DE CONTINUIDADE DO NEGCIO.............................................................................................................8 7REQUISITOS DE SEGURANA DE PESSOAL...........................................................................................9 7.1 - DEFINIO .........................................................................................................................................................9 7.2 OBJETIVOS ........................................................................................................................................................9 7.3- DIRETRIZES ......................................................................................................................................................10 7.3.1- O Processo de Admisso..........................................................................................................................10 7.3.2- As Atribuies da Funo........................................................................................................................10 7.3.3- O Levantamento de Dados Pessoais........................................................................................................10 7.3.4- A Entrevista de Admisso ........................................................................................................................11 7.3.5- O Desempenho da Funo.......................................................................................................................11 7.3.6- A Credencial de Segurana .....................................................................................................................11 7.3.7- Treinamento em Segurana da Informao.............................................................................................11 7.3.8- Acompanhamento no Desempenho da Funo ........................................................................................12 7.3.9- O Processo de Desligamento ...................................................................................................................12 7.3.10- O Processo de Liberao.......................................................................................................................12 7.3.11- A Entrevista de Desligamento................................................................................................................12 7.4- DEVERES E RESPONSABILIDADES .....................................................................................................................13 7.4.1- Deveres dos empregados .........................................................................................................................13 7.4.2- Responsabilidade das Chefias .................................................................................................................13 7.4.3- Responsabilidades Gerais........................................................................................................................14 7.4.4- Responsabilidades da Gerncia de Segurana ........................................................................................14 7.4.5- Responsabilidades dos prestadores de servio ........................................................................................15 7.5- SANES ..........................................................................................................................................................15 8REQUISITOS DE SEGURANA DO AMBIENTE FSICO ......................................................................15 8.1- DEFINIO .......................................................................................................................................................16 8.2- DIRETRIZES GERAIS..........................................................................................................................................16 9REQUISITOS DE SEGURANA DO AMBIENTE LGICO ...................................................................17 Verso 2.0 de 26/06/2006 Pgina 2 de 31

www.serpro.gov.br

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

9.1- DEFINIO .......................................................................................................................................................17 9.2- DIRETRIZES GERAIS ..........................................................................................................................................18 9.3- DIRETRIZES ESPECFICAS ..................................................................................................................................18 9.3.1- Sistemas ...................................................................................................................................................18 9.3.2- Mquinas servidoras................................................................................................................................19 9.3.3- Redes utilizadas pela SERPROACF ........................................................................................................20 9.3.4- Controle de acesso lgico (baseado em senhas)......................................................................................22 9.3.5- Computao pessoal ................................................................................................................................24 9.3.6- Combate a Vrus de Computador ............................................................................................................25 10- REQUISITOS DE SEGURANA DE RECURSOS CRIPTOGRFICOS...................................................25 10.1- REQUISITOS GERAIS PARA SISTEMA CRIPTOGRFICO DA SERPROACF........................................................25 10.2- CHAVES CRIPTOGRFICAS ..............................................................................................................................26 10.3- TRANSPORTE DAS INFORMAES ...................................................................................................................26 11- AUDITORIA E FISCALIZAO ....................................................................................................................26 12- GERENCIAMENTO DE RISCOS ....................................................................................................................27 12.1- DEFINIO .....................................................................................................................................................27 12.2- FASES PRINCIPAIS ...........................................................................................................................................28 12.3- RISCOS RELACIONADOS S ENTIDADES INTEGRANTES DA ICP-BRASIL: .........................................................28 12.4- CONSIDERAES GERAIS ...............................................................................................................................29 12.5- IMPLEMENTAO DO GERENCIAMENTO DE RISCOS ........................................................................................29 13. PLANO DE CONTINUIDADE DO NEGCIO ...........................................................................................29

13.1- DEFINIO .....................................................................................................................................................29 13.2- DIRETRIZES GERAIS........................................................................................................................................29 14. DOCUMENTOS REFERENCIADOS ...........................................................................................................30

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 3 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

LISTA DE ACRNIMOS

AC Autoridade Certificadora AC Raiz Autoridade Certificadora Raiz da ICP-Brasil DPC Declarao de Prticas de Certificao ICP-Brasil Infra-Estrutura de Chaves Pblica Brasileira CG Comit Gestor PCN Plano de Continuidade de Negcio PS Poltica de Segurana TI Tecnologia da Informao CFTV Circuito fechado de televiso ABNT Associao Brasileira de Normas Tcnicas VPN Virtual Private Networks

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 4 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

1- INTRODUO
Este documento tem por finalidade estabelecer as diretrizes de segurana que so adotadas pela Autoridade Certificadora do Serpro (SERPROACF). Tais diretrizes fundamentam as normas e procedimentos de segurana implementados. Para o cumprimento da finalidade supramencionada so estabelecidos os objetivos a seguir.

2- OBJETIVOS
2.1 - A Poltica de Segurana da SERPROACF tem os seguintes objetivos especficos: 2.1 1 - Definir o escopo da segurana da SERPROACF; 2.1.2 - Orientar, por meio de suas diretrizes, todas as aes de segurana, para reduzir riscos e garantir a integridade, sigilo e disponibilidade das informaes dos sistemas de informao e recursos; 2.1.3 - Permitir a adoo de solues de segurana integradas; 2.1.4- Servir de referncia responsabilidades. para auditoria, apurao e avaliao de

3- ABRANGNCIA
3.1 - A Poltica de Segurana abrange os seguintes aspectos: 3.1.1- Requisitos de Segurana Humana; 3.1.2- Requisitos de Segurana Fsica; 3.1.3- Requisitos de Segurana Lgica; 3.1.4- Requisitos de Segurana dos Recursos Criptogrficos.

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 5 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

4- TERMINOLOGIA
As regras e diretrizes de segurana so interpretadas de forma que todas as suas determinaes so obrigatrias e cogentes.

5- CONCEITOS E DEFINIES 5.1. - Conceitos

Aplicam-se os conceitos abaixo no que se refere Poltica de Segurana da SERPROACF: 5.1.1- Ativo de Informao o patrimnio composto por todos os dados e informaes geradas e manipuladas durante a execuo dos sistemas e processos da SERPROACF; 5.1.2- Ativo de Processamento o patrimnio composto por todos os elementos de hardware e software necessrios para a execuo dos sistemas e processos da SERPROACF, tanto os produzidos internamente quanto os adquiridos; 5.1.3- Controle de Acesso so restries ao acesso s informaes de um sistema exercido pela gerncia de Segurana da Informao da SERPROACF; 5.1.4- Custdia consiste na responsabilidade de se guardar um ativo para terceiros. Entretanto, a custdia no permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros; 5.1.5- Direito de Acesso o privilgio associado a um cargo, pessoa ou processo para ter acesso a um ativo; 5.1.6- Ferramentas um conjunto de equipamentos, programas, procedimentos, normas e demais recursos atravs dos quais se aplica a Poltica de Segurana da Informao da SERPROACF; 5.1.7- Incidente de Segurana qualquer evento ou ocorrncia que promova uma ou mais aes que comprometa ou que seja uma ameaa integridade, autenticidade, ou disponibilidade de qualquer ativo da SERPROACF;

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 6 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

5.1.8- Poltica de Segurana um conjunto de diretrizes destinadas a definir a proteo adequada dos ativos produzidos pelos Sistemas de Informao da SERPROACF; 5.1.9- Proteo dos Ativos o processo pelo qual os ativos devem receber classificao quanto ao grau de sensibilidade. O meio de registro de um ativo de informao deve receber a mesma classificao de proteo dada ao ativo que o contm; 5.1.10- Responsabilidade definida como as obrigaes e os deveres da pessoa que ocupa determinada funo em relao ao acervo de informaes; 5.1.11- Senha Fraca ou bvia aquela onde se utilizam caracteres de fcil associao com o dono da senha, ou que seja muito simples ou pequenas, tais como: datas de aniversrio, casamento, nascimento, o prprio nome, o nome de familiares, seqncias numricas simples, palavras e unidades lxicas que constem de dicionrios de qualquer lngua, dentre outras.

6- REGRAS GERAIS 6.1- Gesto de Segurana

6.1.1- A Poltica de Segurana da SERPROACF se aplica a todos os seus recursos humanos, administrativos e tecnolgicos. A abrangncia dos recursos citados refere-se tanto queles ligados a ela como em carter permanente quanto temporrio; 6.1.2- Esta poltica comunicada para todo o pessoal envolvido e largamente divulgada pela SERPROACF, garantindo que todos tenham conscincia da mesma e a pratiquem na organizao; 6.1.3- Todo o pessoal recebe as informaes necessrias para cumprir adequadamente o que est determinado nesta poltica de segurana; 6.1.4- Um programa de conscientizao sobre segurana da informao est implementado para assegurar que todo o pessoal seja informado sobre os potenciais riscos de segurana e exposio a que esto submetidos os sistemas e operaes da SERPROACF. Especialmente, o pessoal envolvido ou que se relaciona com os usurios e so treinados sobre ataques tpicos de engenharia social e como se proteger deles;

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 7 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

6.1.5- Os procedimentos so documentados e implementados para garantir que quando o pessoal contratado ou prestadores de servios sejam transferidos, remanejados, promovidos ou demitidos, todos os privilgios de acesso aos sistemas, informaes e recursos sejam devidamente revistos, modificados ou revogados; 6.1.6- Previso de mecanismo e repositrio centralizado para ativao e manuteno de trilhas, logs e demais notificaes de incidentes. Este mecanismo includo nas medidas tomadas por um grupo encarregado de responder a este tipo de ataque, para promover uma defesa ativa e corretiva contra os mesmos; 6.1.7- Os processos de aquisio de bens e servios, especialmente de Tecnologia da Informao TI, esto em conformidade com esta Poltica de Segurana; 6.1.8- No que se refere a segurana da informao, considera-se proibido tudo aquilo que no esteja previamente autorizado pelo responsvel da rea de segurana da SERPROACF.

6.2- Gerenciamento de Riscos

O processo de gerenciamento de riscos revisto, no mximo a cada 18 (dezoito) meses, pela SERPROACF, para preveno contra riscos, inclusive aqueles advindos de novas tecnologias, visando a elaborao de planos de ao apropriados para proteo aos componentes ameaados.

6.3- Inventrio de ativos

Todos os ativos da SERPROACF so inventariados, classificados, permanentemente atualizados, e possuem gestor responsvel formalmente designado.

6.4- Plano de Continuidade do Negcio

6.4.1- Existe um PCN implementado. O qual testado, pelo menos uma vez por ano, para garantir a continuidade dos servios crticos; 6.4.2- A SERPROACF apresentar planos de gerenciamento de incidentes e de ao de resposta a incidentes a serem aprovados pela AC Raiz da ICP-Brasil; www.serpro.gov.br
Verso 2.0 de 26/06/2006 Pgina 8 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

6.4.3- O certificado da SERPROACF ser imediatamente revogado se um evento provocar a perda ou comprometimento de sua chave privada ou do seu meio de armazenamento. Nesta situao, a SERPROACF seguir os procedimentos detalhados na sua DPC; 6.4.4- Todos os incidentes sero reportados AC Raiz imediatamente, a partir do momento em que for verificada a ocorrncia. Estes incidentes sero reportados de modo sigiloso a pessoas especialmente designadas para isso.

7- REQUISITOS DE SEGURANA DE PESSOAL 7.1 - Definio

Conjunto de medidas e procedimentos de segurana, a serem observados pelos prestadores de servio e todos os empregados, necessrio proteo dos ativos da SERPROACF;

7.2 Objetivos
7.2.1- Reduzir os riscos de erros humanos, furto, roubo, apropriao indbita, fraude ou uso no apropriado dos ativos da SERPROACF; 7.2.2- Prevenir e neutralizar as aes sobre as pessoas que possam comprometer a segurana da SERPROACF; 7.2.3- Orientar e capacitar todo o pessoal envolvido na realizao de trabalhos diretamente relacionados SERPROACF, assim como o pessoal em desempenho de funes de apoio, tais como a manuteno das instalaes fsicas e a adoo de medidas de proteo compatveis com a natureza da funo que desempenham; 7.2.4- Orientar o processo de avaliao de todo o pessoal que trabalhe na SERPROACF, mesmo em caso de funes desempenhadas por prestadores de servio.

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 9 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

7.3- Diretrizes
7.3.1- O Processo de Admisso 7.3.1.1- So adotados critrios rgidos para o processo seletivo de candidatos, com o propsito de selecionar, para os quadros da SERPROACF, pessoas reconhecidamente idneas e sem antecedentes que possam comprometer a segurana ou credibilidade da SERPROACF; 7.3.1.2- A SERPROACF no admitir estagirios no exerccio de atividades diretamente relacionadas com os processos de emisso, expedio, distribuio, revogao e gerenciamento de certificados; 7.3.1.3- O empregado, funcionrio ou servidor assinar termo de compromisso assumindo o dever de manter sigilo, mesmo quando desligado, sobre todos os ativos de informaes e de processos da SERPROACF. 7.3.2- As Atribuies da Funo 7.3.2.1- As atribuies de cada funcionrio esto claramente relacionadas, de acordo com a caracterstica das atividades desenvolvidas, a fim de determinarse o perfil necessrio do empregado, considerando-se os seguintes itens: 7.3.2.1.1- A descrio sumria das tarefas inerentes funo; 7.3.2.1.2- As necessidades de acesso a informaes sensveis; 7.3.2.1.3- O grau de sensibilidade do setor onde a funo exercida; 7.3.2.1.4- As necessidades de contato de servio interno e/ou externo; 7.3.2.1.5- As caractersticas de responsabilidade, deciso e iniciativa inerentes funo; 7.3.2.1.6- A qualificao tcnica necessria ao desempenho da funo. 7.3.3- O Levantamento de Dados Pessoais elaborada pesquisa do histrico da vida pblica do candidato, com o propsito de levantamento de seu perfil.

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 10 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

7.3.4- A Entrevista de Admisso 7.3.4.1- realizada por profissional qualificado, com o propsito de confirmar e/ou identificar dados no detectados ou no confirmados, durante a pesquisa para a sua admisso; 7.3.4.2- Na entrevista inicial so avaliadas as caractersticas de interesse e motivao do candidato, sendo que as informaes veiculadas na entrevista do candidato s sero aquelas de carter pblico. 7.3.5- O Desempenho da Funo 7.3.5.1- Os empregados tero seu desempenho avaliado e acompanhado periodicamente com o propsito de detectar a necessidade de atualizao tcnica e de segurana; 7.3.5.2- A SERPROACF d a seus empregados acesso s informaes, mediante o fornecimento de instrues e orientaes sobre as medidas e procedimentos de segurana. 7.3.6- A Credencial de Segurana 7.3.6.1- Os empregados so identificados por meio de uma credencial, a qual os habilita a ter acesso a informaes sensveis, de acordo com a classificao do grau de sigilo da informao e, conseqentemente, com o grau de sigilo compatvel ao cargo e/ou a funo a ser desempenhada; 7.3.6.2- A Credencial de Segurana somente concedida por autoridade competente, ou por ela delegada, e se fundamenta na necessidade de conhecimento tcnico dos aspectos inerentes ao exerccio funcional e na anlise da sensibilidade do cargo e/ou funo; 7.3.6.3- Ser de um ano o prazo de validade mxima de concesso a um indivduo de uma credencial de segurana. Este prazo poder ser prorrogado por igual perodo quantas vezes for necessrio, por ato da autoridade outorgante, enquanto exigir a necessidade do servio. 7.3.7- Treinamento em Segurana da Informao Existe um processo pelo qual apresentada aos empregados e prestadores de servio a Poltica de Segurana da Informao e suas normas e procedimentos relativos ao trato de informaes e/ou dados sigilosos, com o propsito de

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 11 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

desenvolver e manter uma efetiva conscientizao de segurana, assim como instruir o seu fiel cumprimento. 7.3.8- Acompanhamento no Desempenho da Funo 7.3.8.1- realizado processo de avaliao de desempenho da funo que documenta a observao do comportamento pessoal e funcional dos empregados, realizada pela chefia imediata dos mesmos; 7.3.8.2- motivo de registro atos, atitudes e comportamentos positivos e negativos relevantes, verificados durante o exerccio profissional do empregado; 7.3.8.3- Os comportamentos incompatveis, ou que possam gerar comprometimentos segurana, so averiguados e comunicados chefia imediata; 7.3.8.4- As chefias imediatas asseguram que todos os empregados tm conhecimento e compreenso das normas e procedimentos de segurana em vigor. 7.3.9- O Processo de Desligamento 7.3.9.1- O acesso de ex-empregados s instalaes, quando necessrio, ser restrito s reas de acesso pblico; 7.3.9.2- Sua credencial, identificao, crach, uso de equipamentos, mecanismos e acessos fsicos e lgicos sero revogados. 7.3.10- O Processo de Liberao O empregdo firmar, antes do desligamento, declarao de que no possui qualquer tipo de pendncia junto s diversas unidades que compem a SERPROACF, checando-se junto unidade de Recursos Humanos, e quantas mais unidades forem necessrias, a veracidade das informaes. 7.3.11- A Entrevista de Desligamento realizada entrevista de desligamento para orientar o empregado sobre suas responsabilidades na manuteno do sigilo de dados e/ou conhecimentos sigilosos de sistemas crticos aos quais teve acesso durante sua permanncia na SERPROACF.

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 12 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

7.4- Deveres e Responsabilidades

7.4.1- Deveres dos empregados 7.4.1.1- Preservar a integridade e guardar sigilo das informaes de que fazem uso, bem como zelar e proteger os respectivos recursos de processamento de informaes; 7.4.1.2- Cumprir esta poltica de segurana, sob pena de incorrer nas sanes disciplinares e legais cabveis; 7.4.1.3- Utilizar os Sistemas de Informaes da SERPROACF e os recursos a ela relacionados somente para os fins previstos pela Gerncia de Segurana; 7.4.1.4- Cumprir as regras especficas de proteo estabelecidas aos ativos de informao; 7.4.1.5- Manter o carter sigiloso da senha de acesso aos recursos e sistemas da SERPROACF; 7.4.1.6- No compartilhar, sob qualquer forma, informaes confidenciais com outros que no tenham a devida autorizao de acesso; 7.4.1.7- Responder, por todo e qualquer acesso, aos recursos da SERPROACF bem como pelos efeitos desses acessos efetivados atravs do seu cdigo de identificao, ou outro atributo para esse fim utilizado; 7.4.1.8- Respeitar a proibio de no usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violao da legislao de propriedade intelectual pertinente; 7.4.1.9- Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou desvio. 7.4.2- Responsabilidade das Chefias 7.4.2.1- A responsabilidade das chefias compreende, dentre outras, as seguintes atividades: 7.4.2.1.1- Gerenciar o cumprimento desta poltica de segurana, por parte de seus empregados; 7.4.2.1.2- Identificar os desvios praticados e adotar as medidas corretivas apropriadas; www.serpro.gov.br
Verso 2.0 de 26/06/2006 Pgina 13 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

7.4.2.1.3- Impedir o acesso de empregados demitidos ou demissionrios aos ativos de informaes, utilizando-se dos mecanismos de desligamento contemplados pelo respectivo processo de desligamento do empregado; 7.4.2.1.4- Proteger, em nvel fsico e lgico, os ativos de informao e de processamento da SERPROACF relacionados com sua rea de atuao; 7.4.2.1.5- Garantir que o pessoal sob sua superviso compreenda e desempenhe a obrigao de proteger a Informao da SERPROACF; 7.4.2.1.6- Comunicar formalmente unidade que efetua a concesso de privilgios a usurios de TI, quais os empregados e prestadores de servio, sob sua superviso, que podem acessar as informaes da SERPROACF; 7.4.2.1.7- Comunicar formalmente unidade que efetua a concesso de privilgios aos usurios de TI, quais os empregados e prestadores de servio demitidos ou transferidos, para excluso no cadastro dos usurios; 7.4.2.1.8- Comunicar formalmente unidade que efetua a concesso de privilgios a usurios de TI, aqueles que estejam respondendo a processos, sindicncias ou que estejam licenciados, para inabilitao no cadastro dos usurios. 7.4.3- Responsabilidades Gerais 7.4.3.1- Cada rea que detm os ativos de processamento e de informao responsvel por eles, provendo a sua proteo de acordo com a poltica de classificao da informao da SERPROACF; 7.4.3.2- Todos os ativos de informaes tm claramente definidos os responsveis pelo seu uso; 7.4.3.3- Todos os ativos relacionados no PCN. de processamento da SERPROACF esto

7.4.4- Responsabilidades da Gerncia de Segurana 7.4.4.1- Estabelecer as regras de proteo dos ativos da SERPROACF; 7.4.4.2 - Decidir quanto s medidas a serem tomadas no caso de violao das regras estabelecidas; 7.4.4.3 - Revisar pelo menos anualmente, as regras de proteo estabelecidas;

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 14 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

7.4.4.4- Restringir e controlar o acesso e os privilgios de usurios remotos e externos; 7.4.4.5- Elaborar e manter atualizado o PCN da SERPROACF; 7.4.4.6- Executar as regras de proteo estabelecidas por esta PS; 7.4.4.7- Detectar, identificar, registrar e comunicar a AC Raz as violaes ou tentativas de acesso no autorizadas; 7.4.4.8- Definir e aplicar, para cada usurio de TI, restries de acesso Rede, como horrio autorizado, dias autorizados, entre outras; 7.4.4.9- Manter registros de atividades de usurios de TI (logs) por um perodo de tempo superior a 6 (seis) anos. Os registros contero a hora e a data das atividades, a identificao do usurio de TI, comandos (e seus argumentos) executados, identificao da estao local ou da estao remota que iniciou a conexo, nmero dos processos e condies de erro observadas (tentativas rejeitadas, erros de consistncia, etc.); 7.4.4.10- Limitar o prazo de validade das contas de prestadores de servio ao perodo da contratao; 7.4.4.11- Excluir as contas inativas; 7.4.4.12- Fornecer senhas de contas privilegiadas somente aos empregados que necessitem efetivamente dos privilgios, mantendo-se o devido registro e controle. 7.4.5- Responsabilidades dos prestadores de servio Esto previstas no contrato, clusulas que contemplam a responsabilidade dos prestadores de servio no cumprimento desta Poltica de Segurana da Informao e suas normas e procedimentos.

7.5- Sanes
Sanes previstas pela legislao vigente.

8- REQUISITOS DE SEGURANA DO AMBIENTE FSICO

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 15 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

8.1- Definio
Ambiente fsico aquele composto por todo o ativo permanente utilizado no processo de certificao da SERPROACF.

8.2- Diretrizes Gerais

8.2.1- As responsabilidades pela segurana fsica dos sistemas da SERPROACF esto definidos e atribudos a indivduos claramente identificados; 8.2.2- A localizao das instalaes e o sistema de certificao da SERPROACF no so publicamente identificados; 8.2.3- Sistemas de segurana para acesso fsico esto instalados para controlar e auditar o acesso aos sistemas de certificao; 8.2.4- Controles duplicados sobre o inventrio e cartes/chaves de acesso esto estabelecidos. Uma lista atualizada do pessoal que possui cartes/chaves mantida; 8.2.5- Chaves criptogrficas sob custdia do responsvel so fisicamente protegidas contra acesso no autorizado, uso ou duplicao; 8.2.6- Perdas de cartes/chaves de acesso so imediatamente comunicadas ao responsvel pela gerncia de segurana da SERPROACF. Ele tomar as medidas apropriadas para prevenir acessos no autorizados; 8.2.7- Os sistemas da SERPROACF esto localizados em rea protegida ou afastada de fontes potentes de magnetismo ou interferncia de rdio freqncia; 8.2.8- Recursos e instalaes crticas ou sensveis so mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana e controle de acesso. Elas so fisicamente protegidas de acesso no autorizado, dano, ou interferncia. A proteo fornecida proporcional aos riscos identificados; 8.2.9- A entrada e sada, nestas reas ou partes dedicadas, so automaticamente registradas com data e hora definidas e so revisadas diariamente pelo responsvel pela gerncia de segurana da informao da SERPROACF e mantidas em local adequado e sob sigilo;

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 16 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

8.2.10- O acesso aos componentes da infra-estrutura, atividade fundamental ao funcionamento dos sistemas de AC, como painis de controle de energia, comunicaes e cabeamento, restrito ao pessoal autorizado; 8.2.11- Sistemas de deteco de intruso so utilizados para monitorar e registrar os acessos fsicos aos sistemas de certificao nas horas de utilizao; 8.2.12- O inventrio de todo o conjunto de ativos de processamento registrado e mantido atualizado, no mnimo, mensalmente; 8.2.13- Quaisquer equipamentos de gravao, fotografia, vdeo, som ou outro tipo de equipamento similar, s so utilizados a partir de autorizao formal e mediante superviso; 8.2.14- Nas instalaes da SERPROACF, todos utilizam alguma forma visvel de identificao (por exemplo: crach), e devem informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado; 8.2.15- Visitantes das reas de segurana so supervisionados. Suas horas de entrada e sada e o local de destino so registrados. Essas pessoas obtm acesso apenas s reas especficas, com propsitos autorizados, e esses acessos seguem instrues baseadas nos requisitos de segurana da rea visitada; 8.2.16- Os ambientes onde ocorrem os processos crticos da SERPROACF so monitorados, em tempo real, com as imagens registradas por meio de sistemas de CFTV; 8.2.17- Existe sistema de deteco de intrusos instalados e testados regularmente de forma a cobrir os ambientes, as portas e janelas acessveis, nos ambientes onde ocorrem processos crticos. As reas no ocupadas possuem um sistema de alarme que permanece sempre ativado.

9- REQUISITOS DE SEGURANA DO AMBIENTE LGICO 9.1- Definio

Ambiente lgico composto por todos os ativos de informaes da SERPROACF.

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 17 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

9.2- Diretrizes gerais

9.2.1- A informao protegida de acordo com o seu valor, sensibilidade e criticidade. Para tanto, existe um sistema de classificao da informao; 9.2.2- Os dados, as informaes e os sistemas de informao da SERPROACF e sob sua guarda, so protegidos contra ameaas e aes no autorizadas, acidentais ou no, de modo a reduzir riscos e garantir a integridade, sigilo e disponibilidade desses bens; 9.2.3- As violaes de segurana so registradas e esses registros so analisados periodicamente para os propsitos de carter corretivo, legal e de auditoria. Os registros so protegidos e armazenados de acordo com a sua classificao; 9.2.4- Os sistemas e recursos que suportam funes crticas para operao da SERPROACF, asseguram a capacidade de recuperao nos prazos e condies definidas em situaes de contingncia; 9.2.5- O inventrio sistematizado de toda a estrutura que serve como base para manipulao, armazenamento e transmisso dos ativos de processamento, deve estar registrado e mantido atualizado em intervalos de tempo definidos pela SERPROACF.

9.3- Diretrizes especficas

9.3.1- Sistemas 9.3.1.1- As necessidades de segurana so identificadas para cada etapa do ciclo de vida dos sistemas disponveis na SERPROACF. A documentao dos sistemas mantida atualizada. A cpia de segurana testada e mantida atualizada; 9.3.1.2- Os sistemas possuem controle de acesso de modo a assegurar o uso apenas a usurios ou processos autorizados. O responsvel pela autorizao ou confirmao da autorizao est claramente definido e registrado; 9.3.1.3- Os arquivos de logs esto criteriosamente definidos para permitir recuperao nas situaes de falhas, auditoria nas situaes de violaes de segurana e contabilizao do uso de recursos. Os logs so periodicamente analisados, conforme definido na DPC, para identificar tendncias, falhas ou

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 18 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

usos indevidos. Os logs so protegidos e armazenados de acordo com sua classificao; 9.3.1.4- Esto estabelecidas e mantidas medidas e controles de segurana para verificao crtica dos dados e configurao de sistemas e dispositivos quanto a sua preciso, consistncia e integridade; 9.3.1.5- Os sistemas so avaliados com relao aos aspectos de segurana (testes de vulnerabilidade) antes de serem disponibilizados para a produo. As vulnerabilidades do ambiente so avaliadas periodicamente e as recomendaes de segurana so adotadas. 9.3.2- Mquinas servidoras 9.3.2.1- O acesso lgico, ao ambiente ou servios disponveis em servidores, controlado e protegido. As autorizaes so revistas, confirmadas e registradas continuadamente. O responsvel pela autorizao ou confirmao da autorizao est claramente definido e registrado; 9.3.2.2- Os acessos lgicos so registrados em logs, que so analisados periodicamente. O tempo de reteno dos arquivos de logs e as medidas de proteo associadas esto precisamente definidos; 9.3.2.3- So adotados procedimentos sistematizados para monitorar a segurana do ambiente operacional, principalmente no que diz respeito integridade dos arquivos de configurao do Sistema Operacional e de outros arquivos crticos. Os eventos so armazenados em relatrios de segurana (logs) de modo que sua anlise permita a gerao de trilhas de auditoria a partir destes registros; 9.3.2.4- As mquinas esto sincronizadas para permitir o rastreamento de eventos; 9.3.2.5- Proteo lgica adicional (criptografia) adotada para evitar o acesso no-autorizado s informaes; 9.3.2.6- A verso do Sistema Operacional, assim como outros softwares bsicos instalados em mquinas servidoras, so mantidos atualizados, em conformidade com as recomendaes dos fabricantes; 9.3.2.7- So utilizados somente softwares autorizados pela prpria SERPROACF nos seus equipamentos. Deve ser realizado o controle da distribuio e instalao dos mesmos; www.serpro.gov.br
Verso 2.0 de 26/06/2006 Pgina 19 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

9.3.2.8- O acesso remoto a mquinas servidoras realizado adotando os mecanismos de segurana pr-definidos para evitar ameaas integridade e sigilo do servio; 9.3.2.9- Os procedimentos de cpia de segurana (backup) e de recuperao so documentados, mantidos atualizados e so regularmente testados, de modo a garantir a disponibilidade das informaes. 9.3.3- Redes utilizadas pela SERPROACF 9.3.3.1- O trfego das informaes no ambiente de rede protegido contra danos ou perdas, bem como acesso, uso ou exposio indevidos, incluindo-se o Efeito Tempest; 9.3.3.2- Componentes crticos da rede local so mantidos em salas protegidas e com acesso fsico e lgico controlado, sendo protegidos contra danos, furtos, roubos e intempries; 9.3.3.3- So adotadas as facilidades de segurana disponveis de forma inata nos ativos de processamento da rede; 9.3.3.4- A configurao de todos os ativos de processamento averiguada quando da sua instalao inicial, para que sejam detectadas e corrigidas as vulnerabilidades inerentes configurao padro que se encontram nesses ativos em sua primeira ativao; 9.3.3.5- Servios vulnerveis recebem nvel de proteo adicional; 9.3.3.6- O uso de senhas submetido a uma poltica especfica para sua gerncia e utilizao; 9.3.3.7- O acesso lgico aos recursos da rede local realizado por meio de sistema de controle de acesso. O acesso concedido e mantido pela administrao da rede, baseado nas responsabilidades e tarefas de cada usurio; 9.3.3.8- A utilizao de qualquer mecanismo capaz de realizar testes de qualquer natureza, como por exemplo, monitorao sobre os dados, os sistemas e dispositivos que compem a rede, so utilizados partir de autorizao formal e mediante superviso; 9.3.3.9- A conexo com outros ambientes de rede e alteraes internas na sua topologia e configurao so formalmente documentadas e mantidas, de forma a permitir registro histrico, tendo a autorizao da administrao da rede e da www.serpro.gov.br
Verso 2.0 de 26/06/2006 Pgina 20 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

gerncia de segurana. O diagrama topolgico, a configurao e o inventrio dos recursos so mantidos atualizados; 9.3.3.10- So definidos relatrios de segurana (logs ) de modo a auxiliar no tratamento de desvios, recuperao de falhas, contabilizao e auditoria. Os logs so analisados periodicamente e o perodo de anlise estabelecido o menor possvel; 9.3.3.11- So adotadas protees fsicas adicionais para os recursos de rede considerados crticos; 9.3.3.12- Proteo lgica adicional adotada para evitar o acesso noautorizado s informaes; 9.3.3.13- A infra-estrutura de interligao lgica protegida contra danos mecnicos e conexo no autorizada; 9.3.3.14- A alimentao eltrica para a rede local separada da rede convencional, sendo observadas as recomendaes dos fabricantes dos equipamentos utilizados, assim como as normas ABNT aplicveis; 9.3.3.15- O trfego de informaes monitorado, a fim de verificar sua normalidade, assim como detectar situaes anmalas do ponto de vista da segurana; 9.3.3.16- So observadas as questes envolvendo propriedade intelectual quando da cpia de software ou arquivos de outras localidades; 9.3.3.17- Informaes sigilosas, corporativas ou que possam causar prejuzo SERPROACF so protegidas e no sero enviadas para outras redes, sem proteo adequada; 9.3.3.18- Todo servio de rede no explicitamente autorizado ser bloqueado ou desabilitado; 9.3.3.19- Mecanismos de segurana baseados em sistemas de proteo de acesso (firewall) so utilizados para proteger as transaes entre redes externas e a rede interna da SERPROACF; 9.3.3.20- Os registros de eventos so analisados periodicamente, no menor prazo possvel e em intervalos de tempo adequados; 9.3.3.21- adotado um padro de segurana para todos os tipos de equipamentos servidores, considerando aspectos fsicos e lgicos; www.serpro.gov.br
Verso 2.0 de 26/06/2006 Pgina 21 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

9.3.3.22- Todos os recursos considerados crticos para o ambiente de rede, e que possuam mecanismos de controle de acesso, utilizam tal controle; 9.3.3.23- A localizao dos servios baseados em sistemas de proteo de acesso (firewall) resultante de uma anlise de riscos. No mnimo, os seguintes aspectos so considerados: requisitos de segurana definidos pelo servio, objetivo do servio, pblico alvo, classificao da informao, forma de acesso, freqncia de atualizao do contedo, forma de administrao do servio e volume de trfego; 9.3.3.24- Ambientes de rede considerados crticos so isolados de outros ambientes de rede, de modo a garantir um nvel adicional de segurana; 9.3.3.25- Conexes entre as redes da SERPROACF e redes externas estaro restritas somente quelas que visem efetivar os processos; 9.3.3.26- As conexes de rede so ativadas: primeiro, sistemas com funo de certificao; segundo, sistemas que executam as funes de registros e repositrio. Se isto no for possvel, emprega-se controles de compensao, tais como o uso de proxies que so implementados para proteger os sistemas que executam a funo de certificao contra possveis ataques; 9.3.3.27- Sistemas que executam a funo de certificao esto isolados para minimizar a exposio contra tentativas de comprometer o sigilo, a integridade e a disponibilidade das funes de certificao; 9.3.3.28- A chave de certificao da SERPROACF protegida de acesso desautorizado, para garantir seu sigilo e integridade; 9.3.3.29- A segurana das comunicaes intra-rede e inter-rede, entre os sistemas das entidades da ICP-Brasil, garantida pelo uso de mecanismos que assegurem o sigilo e a integridade das informaes trafegadas; 9.3.3.30- As ferramentas de deteco de intrusos so implantadas para monitorar as redes crticas, alertando periodicamente os administradores das redes sobre as tentativas de intruso. 9.3.4- Controle de acesso lgico (baseado em senhas) 9.3.4.1- Usurios e aplicaes que necessitem ter acesso a recursos da SERPROACF so identificados e autenticados;

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 22 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

9.3.4.2- O sistema de controle de acesso mantm as habilitaes atualizadas e registros que permitam a contabilizao do uso, auditoria e recuperao nas situaes de falha; 9.3.4.3- Nenhum usurio capaz de obter os direitos de acesso de outro usurio; 9.3.4.4- A informao que especifica os direitos de acesso de cada usurio ou aplicao protegida contra modificaes no autorizadas; 9.3.4.5- O arquivo de senhas so criptografados e tm o acesso controlado; 9.3.4.6- As autorizaes so definidas de acordo com a necessidade de desempenho das funes (acesso motivado) e considerando o princpio dos privilgios mnimos (ter acesso apenas aos recursos ou sistemas necessrios para a execuo de tarefas); 9.3.4.7- As senhas so individuais, secretas, intransferveis e so protegidas com grau de segurana compatvel com a informao associada; 9.3.4.8- O sistema de controle de acesso possui mecanismos que impedem a gerao de senhas fracas ou bvias; 9.3.4.9- As seguintes caractersticas das senhas so definidas de forma adequada: conjunto de caracteres permitidos, tamanho mnimo e mximo, prazo de validade mximo, forma de troca e restries especficas; 9.3.4.10- A distribuio de senhas aos usurios de TI (inicial ou no) feita de forma segura. A senha inicial, quando gerada pelo sistema, trocada, pelo usurio de TI, no primeiro acesso; 9.3.4.11- O sistema de controle de acesso permite ao usurio alterar sua senha sempre que desejar. A troca de uma senha bloqueada s ser executada aps a identificao positiva do usurio. A senha digitada no ser exibida; 9.3.4.12- So adotados critrios para bloquear ou desativar usurios de acordo com perodo pr-definido sem acesso e tentativas sucessivas de acesso mal sucedidas; 9.3.4.13- O sistema de controle de acesso solicitar nova autenticao aps certo tempo de inatividade da sesso (time-out); 9.3.4.14- O sistema de controle de acesso exibe uma tela inicial com mensagem informando que o servio s pode ser utilizado por usurio www.serpro.gov.br
Verso 2.0 de 26/06/2006 Pgina 23 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

autorizado. No momento de conexo o sistema exibe para o usurio informaes sobre o ltimo acesso; 9.3.4.15- O registro das atividades (logs) do sistema de controle de acesso definido de modo a auxiliar no tratamento das questes de segurana, permitindo a contabilizao do uso, auditoria e recuperao nas situaes de falhas. Os logs so periodicamente analisados; 9.3.4.16- Os usurios e administradores do sistema de controle de acesso so formal e expressamente conscientizados de suas responsabilidades, mediante assinatura de termo de compromisso. 9.3.5- Computao pessoal 9.3.5.1- As estaes de trabalho, incluindo equipamentos portteis ou stand alone, e informaes so protegidos contra danos ou perdas, bem como acesso, uso ou exposio indevidos; 9.3.5.2- Equipamentos que executem operaes sensveis recebem proteo adicional, considerando os aspectos lgicos (controle de acesso e criptografia) e fsicos (proteo contra furto ou roubo do equipamento ou componentes); 9.3.5.3- So adotadas medidas de segurana lgica referentes a combate a vrus, backup, controle de acesso e uso de software no autorizado; 9.3.5.4- As informaes armazenadas em meios eletrnicos so protegidas contra danos, furtos ou roubos, sendo adotados procedimentos de backup, definidos em documento especfico; 9.3.5.5- Informaes sigilosas, corporativas ou cuja divulgao possa causar prejuzo SERPROACF, s so utilizadas em equipamentos da SERPROACF onde foram geradas ou naqueles por ela autorizados, com controles adequados; 9.3.5.6- O acesso s informaes atendem aos requisitos de segurana, considerando o ambiente e forma de uso do equipamento (uso pessoal ou coletivo); 9.3.5.7- Os usurios de TI utilizam apenas softwares licenciados pelo fabricante nos equipamentos da SERPROACF, observadas as normas da ICP-Brasil e legislao de software; 9.3.5.8- A SERPROACF estabelece os aspectos de controle, distribuio e instalao de softwares utilizados; www.serpro.gov.br
Verso 2.0 de 26/06/2006 Pgina 24 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

9.3.5.9- A impresso de documentos sigilosos feita sob superviso do responsvel. Os relatrios impressos so protegidos contra perda, reproduo e uso no-autorizado; 9.3.5.10- O inventrio dos recursos mantido atualizado; 9.3.5.11- Os sistemas em uso solicitam nova autenticao aps certo tempo de inatividade da sesso (time-out); 9.3.5.12- As mdias so eliminadas de forma segura, quando no forem mais necessrias. Procedimentos formais para a eliminao segura das mdias devem ser definidos, para minimizar os riscos. 9.3.6- Combate a Vrus de Computador Os procedimentos de combate a processos destrutivos (vrus, cavalo-de-tria e worms) esto sistematizados e abrangem mquinas servidoras, estaes de trabalho, equipamentos portteis e microcomputadores stand alone.

10- REQUISITOS DE SEGURANA DE RECURSOS CRIPTOGRFICOS 10.1- Requisitos Gerais para Sistema Criptogrfico da SERPROACF
10.1.1- O sistema criptogrfico da SERPROACF entendido como sendo um sistema composto de documentao normativa especfica de criptografia aplicada na ICP-Brasil, conjunto de requisitos de criptografia, projetos, mtodos de implementao, mdulos implementados de hardware e software, definies relativas a algoritmos criptogrficos e demais algoritmos integrantes de um processo criptogrfico, procedimentos adotados para gerncia das chaves criptogrficas, mtodos adotados para testes de robustez das cifras e deteco de violaes dessas; 10.1.2- Toda a documentao, referente a definio, descrio e especificao dos componentes dos sistemas criptogrficos utilizados na SERPROACF aprovada pela AC Raiz; 10.1.3- Compete AC Raiz acompanhar a evoluo tecnolgica e, quando necessrio, atualizar os padres e algortmos criptogrficos utilizados na ICPBrasil, com vistas a manter a segurana da infra-estrutura; www.serpro.gov.br
Verso 2.0 de 26/06/2006 Pgina 25 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

10.1.4- Todo parmetro crtico, cuja exposio indevida comprometa a segurana do sistema criptogrfico da SERPROACF, ser armazenado cifrado; 10.1.5- Os aspectos relevantes relacionados criptografia no mbito da SERPROACF so detalhados em documentos especficos, aprovados pela AC Raiz.

10.2- Chaves criptogrficas

10.2.1- Os processos que envolvem as chaves criptogrficas da SERPROACF so executados por um nmero mnimo e essencial de pessoas, assim como esto submetidos a mecanismos de controle considerados adequados pela CG da ICP Brasil; 10.2.2- As pessoas, a que se refere o item anterior, esto formalmente designadas pela chefia competente, conforme as funes desempenhadas e o correspondente grau de privilgios, assim como tm suas responsabilidades explicitamente definidas; 10.2.3- Os algoritmos de criao e de troca das chaves criptogrficas utilizados no sistema criptogrfico da SERPROACF so aprovados pelo CG ICP-Brasil. 10.2.4- Os diferentes tipos de chaves criptogrficas e suas funes no sistema criptogrfico da SERPROACF esto explicitados na PC especfica.

10.3- Transporte das Informaes

10.3.1- O processo de transporte de chaves criptogrficas e demais parmetros do sistema de criptografia da SERPROACF tm a integridade e o sigilo assegurados, por meio do emprego de solues criptogrficas especficas; 10.3.2- So adotados recursos de VPN (Virtual Private Networks redes privadas virtuais), baseadas em criptografia, para a troca de informaes sensveis, por meio de redes pblicas, entre as redes do SERPRO utilizadas pela SERPROACF.

11- AUDITORIA E FISCALIZAO

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 26 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

11.1- As atividades da SERPROACF esto associadas ao conceito de confiana. Os processos de auditoria e fiscalizao representam instrumentos que facilitam a percepo e transmisso de confiana comunidade de usurios, dado que o objetivo desses processos verificar a capacidade da SERPROACF em atender aos requisitos da ICP-Brasil. 11.2- O resultado das auditorias pr-operacionais um item fundamental a ser considerado no processo de credenciamento das entidades na ICP-Brasil, da mesma forma que o resultado das auditorias operacionais e fiscalizaes item fundamental para a manuteno da condio de credenciada. 11.3- So realizadas auditorias peridicas na SERPROACF, pela AC Raiz ou por terceiros por ela autorizados, conforme o disposto no documento CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICP-BRASIL [1]. Esse documento trata do objetivo, freqncia e abrangncia das auditorias, da identidade e qualificao do auditor e demais temas correlacionados. 11.4- Alm de auditada, a SERPROACF pode ser fiscalizada pela AC Raiz a qualquer tempo, sem aviso prvio, observado o disposto no documento CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [2].

12- GERENCIAMENTO DE RISCOS 12.1- Definio

Processo que visa a proteo dos servios da SERPROACF, por meio da eliminao, reduo ou transferncia dos riscos, conforme seja economicamente (e estrategicamente) mais vivel. Os seguintes pontos principais devem ser identificados: 12.1.1- O que deve ser protegido; 12.1.2- Anlise de riscos (Contra quem ou contra o qu deve ser protegido); 12.1.3- Avaliao de riscos (Anlise da relao custo/benefcio).

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 27 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

12.2- Fases Principais

O gerenciamento de riscos consiste das seguintes fases principais: 12.2.1- Identificao dos recursos a serem protegidos hardware, rede, software, dados, informaes pessoais, documentao, suprimentos; 12.2.2Identificao dos riscos (ameaas) - que podem ser naturais (tempestades, inundaes), causadas por pessoas (ataques, furtos, vandalismos, erros ou negligncias) ou de qualquer outro tipo (incndios); 12.2.3Anlise dos riscos (vulnerabilidades e impactos) - identificar as vulnerabilidades e os impactos associados; 12.2.4- Avaliao dos riscos (probabilidade de ocorrncia) - levantamento da probabilidade da ameaa vir a acontecer, estimando o valor do provvel prejuzo. Esta avaliao pode ser feita com base em informaes histricas ou em tabelas internacionais; 12.2.5- Tratamento dos riscos (medidas a serem adotadas) - maneira como lidar com as ameaas. As principais alternativas so: eliminar o risco, prevenir, limitar ou transferir as perdas ou aceitar o risco; 12.2.6- Monitorao da eficcia dos controles adotados para minimizar os riscos identificados; 12.2.7- Reavaliao peridica dos riscos em intervalos de tempo no superiores a 6 (seis) meses.

12.3- Riscos relacionados s entidades integrantes da ICP-Brasil:

Os riscos avaliados para a SERPROACF compreendem, dentre outros, os seguintes: Segmento Riscos Dados e Informao Indisponibilidade, Interrupo (perda), interceptao, modificao, fabricao, destruio Pessoas Omisso, erro, negligncia, imprudncia, impercia, desdia, sabotagem, perda de conhecimento Hacker, acesso desautorizado, interceptao, engenharia Rede social, identidade forjada, reenvio de mensagem, violao de integridade, indisponibilidade ou recusa de servio www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 28 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

Hardware Indisponibilidade, interceptao (furto ou roubo), falha Software e sistemas Interrupo (apagamento), interceptao, modificao, desenvolvimento, falha Recursos Ciclo de vida dos certificados, gerenciamento das chaves criptogrficas, hardware criptogrfico, algoritmos criptogrficos (desenvolvimento e utilizao), material criptogrfico.

12.4- Consideraes Gerais

12.4.1- Os riscos que no puderem ser eliminados tem seus controles documentados e so levados ao conhecimento da AC Raiz; 12.4.2- Um efetivo gerenciamento dos riscos permite decidir se o custo de prevenir um risco (medida de proteo) mais alto que o custo das conseqncias do risco (impacto da perda); 12.4.3- necessria a participao e o envolvimento da alta administrao da SERPROACF.

12.5- Implementao do Gerenciamento de Riscos

O gerenciamento de riscos na SERPROACF, conduzido de acordo com a metodologia definida no Programa de Segurana do SERPRO, atendendo todos os tpicos relacionados.

13.

PLANO DE CONTINUIDADE DO NEGCIO

13.1- Definio
Plano cujo objetivo manter em funcionamento os servios e processos crticos da SERPROACF, na eventualidade da ocorrncia de desastres, atentados, falhas e intempries.

13.2- Diretrizes Gerais

13.2.1- Sistemas e dispositivos redundantes devem estar disponveis para garantir a continuidade da operao dos servios crticos de maneira oportuna;

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 29 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

13.2.2- A SERPROACF possui um Plano de Continuidade do Negcio que estabelece, no mnimo, o tratamento adequado dos seguintes eventos de segurana: 13.2.2.1- Comprometimento da chave privada da SERPROACF; 13.2.2.2- Invaso do sistema e da rede interna da SERPROACF; 13.2.2.3- Incidentes de segurana fsica e lgica; 13.2.2.4- Indisponibilidade da Infra-estrutura; e 13.2.2.5- Fraudes ocorridas no registro do usurio, na emisso, expedio, distribuio, revogao e no gerenciamento de certificados; 13.2.3- Todo pessoal envolvido com o PCN recebe um treinamento especfico para poder enfrentar estes incidentes; 13.2.4- Um plano de ao de resposta a incidentes est estabelecido para a SERPROACF. Este plano prev, no mnimo, o tratamento adequado dos seguintes eventos: 13.2.4.1- Comprometimento de controle de segurana em qualquer evento referenciado no PCN; 13.2.4.2- Notificao comunidade de usurios, se for o caso; 13.2.4.3- Revogao dos certificados afetados, se for o caso; 13.2.4.4- Procedimentos para interrupo ou suspenso de servios e investigao; 13.2.4.5- Anlise e monitoramento de trilhas de auditoria; e 13.2.4.6- Relacionamento com o pblico e com meios de comunicao, se for o caso.

14.

DOCUMENTOS REFERENCIADOS
Os documentos abaixo so aprovados por Resolues do Comit Gestor da ICP-Brasil, podendo ser alterados, quando necessrios, pelo mesmo tipo de dispositivo legal. O stio http://www.iti.gov.br publica a verso mais atualizada desses documentos e as verses que os aprovaram.

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 30 de 31

Poltica de Segurana da Autoridade Certificadora do SERPRO PS SERPROACF

Ref
[1]

Nome do documento
CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE AUDITORIAS NAS ENTIDADES INTEGRANTES DA ICPBRASIL CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL

Cdigo
DOC-ICP-08

[2]

DOC-ICP-09

www.serpro.gov.br

Verso 2.0 de 26/06/2006

Pgina 31 de 31