Carregado pormmuylaert
308 visualizações

Treinamento ps rev 03_20190719

- A ICP-Brasil foi instituída em 2001 e é composta por uma autoridade gestora de políticas e por uma cadeia de autoridades certificadoras que inclui a AC Raiz, ACs e ARs. - O ITI é a AC Raiz e é responsável por credenciar, auditar e fiscalizar as demais entidades da ICP-Brasil. As ACs emitem, renovam e revogam certificados digitais e as ARs validam informações de solicitações de certificados. - A política de segurança estabelece requisitos para

Incorporar apresentação

POLÍTICA DE SEGURANÇA
COMPONENTES DE UMA ICP Uma Infraestrutura de Chaves Públicas (ICP), ou Public Key Infrastructure (PKI), é composta por um conjunto de técnicas, práticas e procedimentos, implementados por órgãos de iniciativa pública ou privada, que suportam, em conjunto, a operação de um sistema de certificação baseado no princípio da Terceira Parte confiável (Relying Party), tendo como objetivo, autenticar e identificar usuários e serviços. Sua operação está intimamente ligada à distribuição e à verificação da autenticidade de chaves públicas. Ou seja, é através de uma ICP que conseguimos realizar os processos de criptografia assimétrica, confiando na chave pública distribuída. O modelo de ICP adotado pelo Brasil foi o de certificação com raiz única, onde o usuário confia em um único ponto, a AC-Raiz. AC Raiz AC 1º Nível AC 2º Nível AR AC 1º Nível AC 2º Nível AR DPC LCR PC 2
A ICP-Brasil teve origem em 24 de Agosto de 2001 com a Medida Provisória n.º 2.200-2: Art. 1o Fica instituída a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. Art. 2o A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR. ICP-BRASIL Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT PSS Estrutura da ICP-Brasil Titulares de Certificado 3
O Instituto Nacional de Tecnologia da Informação (ITI) é uma autarquia federal e é a primeira autoridade da cadeia de certificação (AC Raiz), executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Compete ao ITI credenciar, auditar e fiscalizar as demais entidades da ICP-Brasil, assinar seu próprio certificado e os certificados das Autoridades Certificadoras imediatamente abaixo dela. A AC Raiz é também a Entidade de Auditoria do tempo da Rede de Carimbo do Tempo da ICP-Brasil. ICP-BRASIL PSS Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT 4
As Autoridades Certificadoras (AC) são as entidades que representam a base de toda infraestrutura de chaves públicas: emitem, renovam ou revogam certificados digitais e, além disso, emitem e publicam sua Lista de Certificados Revogados (LCR). A Autoridade Certificadora é composta por infraestrutura física, lógica (software) e de recursos humanos especializados para operá-la. A AC utiliza sua chave privada para emitir certificados digitais a outras entidades (no caso da AC de nível imediatamente subsequente ao da AC Raiz – AC 1º Nível - emite certificados apenas para ACs diretamente vinculadas à ela, ou seja, não emite para usuários finais). Desta forma, os terceiros que confiarem em uma determinada AC podem confiar nos respectivos certificados emitidos por ela (desde que a assinatura esteja válida). Compete às ACs de 2º Nível emitir certificados digitais diretamente para os usuários finais. ICP-BRASIL Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT PSS 5
As Autoridades de Registro (AR) são responsáveis pela interface entre o usuário final e a Autoridade Certificadora de 2º Nível e, da mesma forma que as ACs, as ARs também possuem infraestrutura lógica e de recursos humanos especializados (Agentes de Registro). Veremos a seguir os requisitos de segurança de uma AR. Compete à AR validar, por seu Agente de Registro, as informações contidas nas solicitações de emissão ou de revogação de certificado de Pessoa Física, Pessoa Jurídica ou equipamento, obrigatoriamente mediante a presença física do interessado, aprovando ou rejeitando tais solicitações; encaminhar solicitações de emissão e revogação de certificados à AC; A AC confia na AR e delega as atividades supracitadas para ela. Uma vez validadas as informações submetidas, a AC dá sequência em sua solicitação sem nenhuma verificação adicional. ICP-BRASIL Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT PSS 6
Os Prestadores de Serviço de Suporte (PSS) são empresas contratadas por uma AC, ACT ou AR para realizar atividades de disponibilização de infraestrutura física, lógica, e recursos humanos especializados; ou quaisquer destes, observado o disposto nas Políticas de Certificação ou Declarações de Prática de Certificação da AC ou ACT, responsável por esses documentos. ICP-BRASIL Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT PSS 7
O CERTIFICADO DIGITAL ICP-BRASIL MEDIDA PROVISÓRIA 2200-2 § 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil. CÓDIGO CIVIL Art. 219 (antigo 131). As declarações constantes de documentos assinados presumem-se verdadeiras em relação aos signatários. 8
O CERTIFICADO DIGITAL ICP-BRASIL Agente capaz; Objeto lícito, possível, determinado ou determinável; Forma prescrita ou não defesa em lei. Vale a pena ressaltar que os documentos, em forma digital ou não, não possuem validade jurídica por si só, mas sim, maior ou menor eficácia probatória. Validade jurídica, conforme disposto no artigo 104 do Código Civil, tem o negócio jurídico que possui (i) Agente Capaz, (ii) Objeto lítico, possível, determinado ou determinável e, (iii) forma prescrita ou não defesa em lei. 9
 Início da ICP-Brasil: Medida Provisória 2.200-2, de 24 de Agosto de 2001  Leis  Decretos  Resoluções do Comitê Gestor - CG  Instruções Normativas do Instituto Nacional de Tecnologia da Informação – ITI  DOC-ICPs: são documentos que possuem a legislação consolidada, apresentam conteúdo significativo e necessário para o entendimento da estrutura da ICP-Brasil.  ADE-ICPs: são os adendos da legislação, anexos dos DOC-ICPs.  Manuais de Condutas Técnicas: são manuais desenvolvidos e publicados pelo Laboratório de Ensaios e Auditoria (LEA), sobre o processo de homologação de equipamentos e software para a prática da certificação digital. REGULAMENTAÇÃO ICP-BRASIL 10
DECLARAÇÃO DE PRÁTICAS DE CERTIFICAÇÃO A Declaração de Práticas de Certificação (DPC) é um documento, periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados pela Autoridade Certificadora na execução de seus serviços. É a declaração a respeito dos detalhes do sistema de credenciamento, as práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados. É utilizado pelas Autoridades Certificadoras para garantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliar a adequação dos padrões de segurança empregados às necessidades de segurança de suas aplicações. 11
POLÍTICA DE CERTIFICAÇÃO A Política de Certificação (PC) é o documento que descreve os requisitos, procedimentos e nível de segurança adotados para a emissão, revogação e gerenciamento do ciclo de vida de um Certificado Digital. Cada tipo de certificado possui uma Política de Certificação e, através dela, as terceiras partes decidem se aquele tipo de certificado digital é confiável e aplicável. A PC define as ações que deverão ser realizadas para a emissão de um certificado, mas não as especifica, ficando por conta da Declaração de Práticas de Certificação (DPC) essa função. 12
POLÍTICA DE SEGURANÇA A Política de Segurança tem como propósito informar aos colaboradores, gestores, prestadores de serviço e visitantes, as suas obrigações para a proteção da tecnologia e do acesso à informação. Orienta todas as suas ações de segurança para a redução dos riscos, a fim de garantir integridade, sigilo e disponibilidade das informações dos sistemas e recursos. A Política de Segurança é utilizada também como referência para auditorias, fiscalizações, apurações e avaliações de responsabilidades. 13
POLÍTICA DE SEGURANÇA A Política de Segurança abrange os seguintes aspectos: 14 Segurança Humana: Recrutamento, Seleção, Admissão e Treinamento de pessoal, visando minimizar erros humanos; Segurança Física: Acesso físico restrito, Identificação de pessoal, Segurança do ambiente, dos equipamentos e dispositivos; Segurança Lógica: Sistemas de segurança de dados (firewall, IDS, logs, entre outros); Segurança de Recursos criptográficos: Transporte seguro de informações criptografadas e manipulação de mídias criptográficas.
X REQUISITOS DE SEGURANÇA HUMANA Objetivos:  Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude ou uso não apropriado dos ativos da AC DigitalSign;  Prevenir e neutralizar as ações de pessoas que possam comprometer a segurança da AC DigitalSign;  Orientar e capacitar todo o pessoal envolvido na realização de trabalhos diretamente relacionados à AC DigitalSign, assim como o pessoal em desempenho de funções de apoio, tais como a manutenção das instalações físicas e a adoção de medidas de proteção compatíveis com a natureza da função que desempenham;  Orientar o processo de avaliação de todo o pessoal que trabalhe na AC DigitalSign e nas entidades a ela vinculadas, mesmo em caso de funções desempenhadas por prestadores de serviço.
X REQUISITOS DE SEGURANÇA HUMANA Diretrizes:  Processo de admissão Critérios rígidos para o processo seletivo de candidatos. Não são admitidos estagiários.  Atribuições da função São relacionadas de acordo com a característica das atividades desenvolvidas.  Levantamento de dados pessoais Pesquisa do histórico de vida pública do candidato.  Entrevista de admissão Confirmar e/ou identificar dados não detectados ou não confirmados durante a pesquisa.  Desempenho da função Tem por objetivo detectar a necessidade de atualização técnica e de segurança.  Credencial de Segurança Identificação por meio de credencial (crachá) que habilita ao acesso às informações sensíveis.
X REQUISITOS DE SEGURANÇA HUMANA Diretrizes (continuação):  Treinamento em Segurança da Informação Propósito de desenvolver e manter uma efetiva conscientização de segurança.  Acompanhamento do desempenho da função São registrados os atos, atitudes e comportamentos positivos e negativos relevantes.  Processo de desligamento, férias e licença Credencial, identificação, uso de equipamentos, acessos físicos e lógicos são revogados.  Processo de liberação O funcionário ou prestador de serviço assina, antes do desligamento, declaração de não- pendência.  Entrevista de desligamento Propósito de orientar o funcionário ou prestador de serviços sobre a sua responsabilidade na manutenção do sigilo de dados.
X REQUISITOS DE SEGURANÇA HUMANA Deveres e responsabilidades dos empregados ou prestadores de serviços:  Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos de processamento de informações;  Cumprir a Política de Segurança, sob pena de incorrer nas sanções disciplinares e legais cabíveis;  Utilizar os sistemas de informações da AC DigitalSign e os recursos a ela relacionados somente para os fins previstos pela Administração de Segurança;  Cumprir as regras específicas de proteção estabelecidas aos ativos de informação;  Manter o caráter sigiloso da senha de acesso aos recursos e sistemas da AC DigitalSign;
X REQUISITOS DE SEGURANÇA HUMANA Deveres e responsabilidades dos empregados ou prestadores de serviços:  Não compartilhar, sob qualquer forma, informações confidenciais com outros que não tenham a devida autorização de acesso;  Responder, por todo e qualquer acesso, aos recursos da AC DigitalSign bem como pelos efeitos desses acessos efetivados através do seu código de identificação ou outro atributo para esse fim utilizado;  Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violação da legislação de propriedade intelectual pertinente;  Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou desvio.
X REQUISITOS DE SEGURANÇA HUMANA Deveres e responsabilidades da chefia:  Gerenciar o cumprimento da Política de Segurança por parte de seus funcionários e prestadores de serviços;  Identificar os desvios praticados e adotar as medidas corretivas apropriadas;  Impedir o acesso de funcionários demitidos ou demissionários aos ativos de informações, utilizando-se dos mecanismos de desligamento contemplados pelo respectivo plano de desligamento do funcionário;  Proteger, no nível físico e lógico, os ativos de informação e de processamento da AC DigitalSign relacionados com a sua área de atuação;
X REQUISITOS DE SEGURANÇA HUMANA Deveres e responsabilidades da chefia:  Garantir que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger as informações da AC DigitalSign;  Comunicar formalmente à área de Segurança da Informação (TI) quais os funcionários e prestadores de serviço sob sua supervisão que podem aceder às informações da AC DigitalSign;  Comunicar formalmente à área de Segurança da Informação (TI), quais os funcionários e prestadores de serviço demitidos ou transferidos, para exclusão no cadastro dos usuários;  Comunicar formalmente à área de Segurança da Informação (TI), aqueles que estejam respondendo a processos, sindicâncias ou que estejam licenciados, para inabilitação no cadastro dos usuários.
X REQUISITOS DE SEGURANÇA HUMANA Deveres e responsabilidades gerais:  Cada área que detém os ativos de processamento e de informação é responsável por eles, provendo a sua proteção de acordo com a política de classificação da informação;  Todos os ativos de informações têm claramente definidos os responsáveis pelo seu uso;  Todos os ativos de processamento estão relacionados no Plano de Continuidade do Negócio.
X REQUISITOS DE SEGURANÇA HUMANA Deveres e responsabilidades da Administração de Segurança:  Estabelecer as regras de proteção dos ativos da AC DigitalSign;  Decidir quanto às medidas a serem tomadas no caso de violação das regras estabelecidas;  Revisar, anualmente, as regras de proteção estabelecidas;  Restringir e controlar o acesso e os privilégios de usuários remotos e externos;  Elaborar e manter atualizado o Plano de Continuidade do Negócio;  Executar as regras de proteção estabelecidas pela Política de Segurança;  Detectar, identificar, registrar e comunicar à AC Raiz as violações ou tentativas relevantes e significativas de acesso não autorizadas;  Definir e aplicar, para cada usuário de TI, restrições de acesso à rede, como horários autorizados, dias autorizados, entre outras;
X REQUISITOS DE SEGURANÇA HUMANA Deveres e responsabilidades da Administração de Segurança:  Manter registros de atividades de usuários de TI (logs) por 6 (seis) anos. Os registros devem conter a hora e a data das atividades, a identificação do usuário de TI, comandos (e seus argumentos) executados, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos e condições de erro observadas (tentativas rejeitadas, erros de consistência, etc);  Limitar o prazo de validade das contas de prestadores de serviço ao período da contratação;  Verificar a exclusão das contas inativas;  Autorizar o fornecimento de senhas de contas privilegiadas somente aos funcionários que necessitem efetivamente dos privilégios, mantendo-se o devido registro e controle.
X REQUISITOS DE SEGURANÇA FÍSICA  A localização das instalações e o sistema de certificação da AC DigitalSign não são publicamente identificados;  Perdas de cartões/chaves de acesso são imediatamente comunicadas ao responsável pela Administração de Segurança da AC DigitalSign. Ele toma as medidas apropriadas para prevenir acessos não-autorizados;  Recursos e instalações críticas ou sensíveis, são fisicamente protegidos de acesso não autorizado, dano, ou interferência, com barreiras de segurança e controle de acesso. A proteção é proporcional aos riscos identificados;  O acesso aos componentes da infraestrutura, atividade fundamental ao funcionamento dos sistemas da AC DigitalSign, como painéis de controle de energia, comunicações e cabeamento, é restrito ao pessoal autorizado;
X REQUISITOS DE SEGURANÇA FÍSICA  São utilizados sistemas de detecção de intrusão para monitorar e registrar os acessos físicos aos sistemas de certificação nas horas de utilização;  O inventário de todo o conjunto de ativos de processamento é registrado e mantido atualizado, mensalmente;  Quaisquer equipamentos de gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só são utilizados a partir de autorização formal da área de Segurança e mediante supervisão;  Nas instalações da AC DigitalSign todos utilizam crachá de identificação e devem informar à Administração de Segurança sobre a presença de qualquer pessoa não identificada ou de qualquer estranho não-acompanhado;
X REQUISITOS DE SEGURANÇA FÍSICA  Os visitantes são supervisionados. As suas horas de entrada e saída e o local de destino são registrados. Essas pessoas têm acesso apenas às áreas específicas, com propósitos autorizados, e esses acessos seguem instruções baseadas nos requisitos de segurança da área visitada;  Os ambientes onde ocorrem os processos críticos da AC DigitalSign são monitorados, em tempo real, com as imagens registradas por meio de sistemas de CFTV;  Sistemas de detecção de intrusos foram instalados e são testados regularmente de forma a cobrir os ambientes, as portas e janelas acessíveis nos ambientes onde ocorrem processos críticos. As áreas não ocupadas possuem um sistema de alarme que permanece sempre ativado, desligando-se quando o sistema de controle de acesso identifica a entrada de alguém autorizado.
X REQUISITOS DE SEGURANÇA LÓGICA  Sistemas Os sistemas possuem controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados.  Máquinas Servidoras O acesso lógico ao ambiente ou serviços disponíveis em servidores é controlado e protegido. São adotados procedimentos sistematizados para monitorar a segurança do ambiente operacional, principalmente no que diz respeito à integridade dos arquivos de configuração do sistema operacional e outros arquivos críticos.  Redes da AC DigitalSign O tráfego das informações no ambiente de rede é protegido contra danos ou perdas, bem como acesso, uso ou exposição indevidos.
X REQUISITOS DE SEGURANÇA LÓGICA  Controle de acesso lógico Usuários e aplicações que necessitem ter acesso a recursos da AC DigitalSign são identificados e autenticados.  Computação pessoal As estações de trabalho, incluindo equipamentos portáteis ou stand alone e informações são protegidos contra danos ou perdas, bem como o uso, acesso ou exposições indevidos.  Combate a vírus de computador Os procedimentos de combate a processos destrutivos (vírus, cavalo-de-tróia e worms) são sistematizados e englobam máquinas servidoras, estações de trabalho, equipamentos portáteis e microcomputadores stand alone.
X REQUISITOS DE SEGURANÇA DOS RECURSOS CRIPTOGRÁFICOS  O sistema criptográfico da AC DigitalSign é entendido como sendo um sistema composto de documentação normativa específica de criptografia aplicada na ICP-Brasil, conjunto de requisitos de criptografia, projetos, métodos de implementação, módulos implementados de hardware e software, definições relativas a algoritmos criptográficos e demais algoritmos integrantes de um processo criptográfico, procedimentos adotados para gerência das chaves criptográficas, métodos adotados para testes de robustez das cifras e detecção de violações dessas;  A manipulação das chaves criptográficas utilizadas nos sistemas criptográficos da AC DigitalSign é restrita a um número mínimo e essencial de pessoas, assim como está submetida a mecanismos de controle considerados adequados pelo CG ICP-Brasil;  São adotados recursos de VPN (Virtual Private Networks – redes privadas virtuais), baseadas em criptografia, para a troca de informações sensíveis, por meio de redes públicas, entre as redes das entidades da ICP-Brasil que pertençam a uma mesma organização.
AUDITORIA E FISCALIZAÇÃO Com objetivo de verificar a conformidade dos processos, procedimentos e atividades das entidades que compõem a ICP- Brasil, são realizadas Auditorias. Abaixo temos os executores dos tipos de Auditoria (pré-operacional e operacional) e as entidades (ACs, ARs, ACT, PSS): Entidade Executor da Auditoria Pré-Operacional Operacional AC Raiz Comitê Gestor da ICP-Brasil ou seus prepostos, formalmente designados Comitê Gestor da ICP-Brasil ou seus prepostos, formalmente designados AC de 1º Nível e seus PSS ITI/DAFN/CGAF ITI/DAFN/CGAF AC subsequente e seus PSS ITI/DAFN/CGAF Empresa de Auditoria Independente credenciada junto ao ITI ACT ITI/DAFN/CGAF Empresa de Auditoria Independente credenciada junto ao ITI AR AC ou PSS credenciados junto ao ITI Empresa de Auditoria Independente credenciada junto ao IT Auditoria Interna da respectiva AR credenciada junto ao ITI AC ou PSS credenciados junto ao ITI Empresa de Auditoria Independente credenciada junto ao ITI 31
AUDITORIA E FISCALIZAÇÃO A fiscalização é a atividade de controle e inspeção sistemática do cumprimento das resoluções, normas, procedimentos e atividades dos Prestador de Serviço de Certificação (PSCert), com a finalidade de examinar se as operações de cada um deles, isolada ou conjuntamente, mantêm- se em conformidade com as suas respectivas Declarações de Práticas de Certificação (DPC), Políticas de Certificado (PC) e Políticas de Segurança (PS). 32
X GERENCIAMENTO DE RISCOS Segmento Riscos Dados e Informação Indisponibilidade, interrupção (perda), interceptação, modificação, fabricação ou destruição. Pessoas Omissão, erro, negligência, imprudência, imperícia, desídia, sabotagem ou perda de conhecimento. Rede Hacker, acesso desautorizado, interceptação, engenharia social, identidade forjada, reenvio de mensagem, violação de integridade e indisponibilidade ou recusa de serviço. Hardware Indisponibilidade, interceptação (furto ou roubo) ou falha. Software e sistemas Interrupção (apagamento), interceptação, modificação, desenvolvimento ou falha. Recursos criptográficos Ciclo de vida dos certificados, gerenciamento das chaves criptográficas, hardware criptográfico, algoritmos (desenvolvimento e utilização) ou material criptográfico. Os riscos avaliados para a AC DigitalSign compreendem, dentre outros, os seguintes:
X PLANO DE CONTINUIDADE DE NEGÓCIO  Sistemas e dispositivos redundantes estão disponíveis para garantir a continuidade da operação dos serviços críticos de maneira oportuna;  A AC DigitalSign possui seu Plano de Continuidade do Negócio (PCN) que estabelece o tratamento adequado dos seguintes eventos de segurança: a) Comprometimento da chave privada das entidades; b) Invasão do sistema e da rede interna da entidade; c) Incidentes de segurança física e lógica; d) Indisponibilidade da Infraestrutura; e) Fraudes ocorridas no registro do usuário, na emissão, expedição, distribuição, revogação e no gerenciamento de certificados; f) comprometimento de controle de segurança em qualquer evento referenciado no PCN; g) notificação à comunidade de usuários, se for o caso; h) revogação dos certificados afetados, se for o caso; i) procedimentos para interrupção ou suspensão de serviços e investigação; j) análise e monitoramento de trilhas de auditoria; e k) com o público e com meios de comunicação, se for o caso.
X DÚVIDAS?
X ESTAMOS À DISPOSIÇÃO! AUDITORIA INTERNA CAROLINA RISSO MORETTO COORDENAÇÃO VITOR ALMEIDA ANALISTA DE CREDENCIAMENTO

Mais conteúdo relacionado

PPTX
Resp_AGR
porlrfloripa
 
PPTX
ICP-BRASIL Modulo I
porlrfloripa
 
PPTX
Certisign
porABEP123
 
PDF
Certificacao digital
pornessinhavos
 
DOC
AS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO, COMPUTAÇÃO PESSOAL E COMPUTAÇÃO CORP...
porMARCO AURÉLIO BICALHO DE ABREU CHAGAS
 
PPTX
Certificação digital e segurança na rede: desafios para o e-gov
porCamila Cardoso
 
PPTX
Certificação digital e segurança na rede: desafios para o e-gov.
porCamila Cardoso
 
PDF
Artigo leis-de-seguranca (1)
porFabiano Ferreira
 
Resp_AGR
porlrfloripa
 
ICP-BRASIL Modulo I
porlrfloripa
 
Certisign
porABEP123
 
Certificacao digital
pornessinhavos
 
AS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO, COMPUTAÇÃO PESSOAL E COMPUTAÇÃO CORP...
porMARCO AURÉLIO BICALHO DE ABREU CHAGAS
 
Certificação digital e segurança na rede: desafios para o e-gov
porCamila Cardoso
 
Certificação digital e segurança na rede: desafios para o e-gov.
porCamila Cardoso
 
Artigo leis-de-seguranca (1)
porFabiano Ferreira
 

Semelhante a Treinamento ps rev 03_20190719

PPT
Abordagem sistemática da infra-estrutura de chave pública
porbrunoluiz
 
PPTX
Aula 5 - Assinatura e Certificado Digital
porCarlos Henrique Martins da Silva
 
DOC
Artigo Certificação Digital
porAdilmar Dantas
 
PPT
Certificado.ppt
porssuserc3cd74
 
PDF
Glossario
porvds06
 
PDF
Cartilha Certificacao Digital
porProfessor Edgar Madruga
 
PDF
Palestra Certificação Digital
porNadaObvio!
 
PPTX
certificacao-digital.pptx
porrochaoliver1078
 
DOCX
Maria certificado
porMariabastosbastos
 
PDF
Manual Processo Eletrônico TJ/RJ
porAna Amelia Menna Barreto
 
ODP
Certificação Digital - Aula2
porLeandro Rezende
 
PDF
Agir f nery 01mar2019
porFernando Nery
 
PPT
Política e cultura de segurança da informação - aspectos burocráticos
porBruno Oliveira
 
PPT
Intranet e extranet
porÉlida Tavares
 
PPTX
Segurança dos sistemas de informação parte 2
porRodrigo Gomes da Silva
 
PPT
Apresentação do pip ii certificação digital-definição e funcionalidade
porAdenilson Nascimento
 
Abordagem sistemática da infra-estrutura de chave pública
porbrunoluiz
 
Aula 5 - Assinatura e Certificado Digital
porCarlos Henrique Martins da Silva
 
Artigo Certificação Digital
porAdilmar Dantas
 
Certificado.ppt
porssuserc3cd74
 
Glossario
porvds06
 
Cartilha Certificacao Digital
porProfessor Edgar Madruga
 
Palestra Certificação Digital
porNadaObvio!
 
certificacao-digital.pptx
porrochaoliver1078
 
Maria certificado
porMariabastosbastos
 
Manual Processo Eletrônico TJ/RJ
porAna Amelia Menna Barreto
 
Certificação Digital - Aula2
porLeandro Rezende
 
Agir f nery 01mar2019
porFernando Nery
 
Política e cultura de segurança da informação - aspectos burocráticos
porBruno Oliveira
 
Intranet e extranet
porÉlida Tavares
 
Segurança dos sistemas de informação parte 2
porRodrigo Gomes da Silva
 
Apresentação do pip ii certificação digital-definição e funcionalidade
porAdenilson Nascimento
 

Treinamento ps rev 03_20190719

  • 1.
  • 2.
    COMPONENTES DE UMAICP Uma Infraestrutura de Chaves Públicas (ICP), ou Public Key Infrastructure (PKI), é composta por um conjunto de técnicas, práticas e procedimentos, implementados por órgãos de iniciativa pública ou privada, que suportam, em conjunto, a operação de um sistema de certificação baseado no princípio da Terceira Parte confiável (Relying Party), tendo como objetivo, autenticar e identificar usuários e serviços. Sua operação está intimamente ligada à distribuição e à verificação da autenticidade de chaves públicas. Ou seja, é através de uma ICP que conseguimos realizar os processos de criptografia assimétrica, confiando na chave pública distribuída. O modelo de ICP adotado pelo Brasil foi o de certificação com raiz única, onde o usuário confia em um único ponto, a AC-Raiz. AC Raiz AC 1º Nível AC 2º Nível AR AC 1º Nível AC 2º Nível AR DPC LCR PC 2
  • 3.
    A ICP-Brasil teveorigem em 24 de Agosto de 2001 com a Medida Provisória n.º 2.200-2: Art. 1o Fica instituída a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. Art. 2o A ICP-Brasil, cuja organização será definida em regulamento, será composta por uma autoridade gestora de políticas e pela cadeia de autoridades certificadoras composta pela Autoridade Certificadora Raiz - AC Raiz, pelas Autoridades Certificadoras - AC e pelas Autoridades de Registro - AR. ICP-BRASIL Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT PSS Estrutura da ICP-Brasil Titulares de Certificado 3
  • 4.
    O Instituto Nacionalde Tecnologia da Informação (ITI) é uma autarquia federal e é a primeira autoridade da cadeia de certificação (AC Raiz), executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Compete ao ITI credenciar, auditar e fiscalizar as demais entidades da ICP-Brasil, assinar seu próprio certificado e os certificados das Autoridades Certificadoras imediatamente abaixo dela. A AC Raiz é também a Entidade de Auditoria do tempo da Rede de Carimbo do Tempo da ICP-Brasil. ICP-BRASIL PSS Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT 4
  • 5.
    As Autoridades Certificadoras(AC) são as entidades que representam a base de toda infraestrutura de chaves públicas: emitem, renovam ou revogam certificados digitais e, além disso, emitem e publicam sua Lista de Certificados Revogados (LCR). A Autoridade Certificadora é composta por infraestrutura física, lógica (software) e de recursos humanos especializados para operá-la. A AC utiliza sua chave privada para emitir certificados digitais a outras entidades (no caso da AC de nível imediatamente subsequente ao da AC Raiz – AC 1º Nível - emite certificados apenas para ACs diretamente vinculadas à ela, ou seja, não emite para usuários finais). Desta forma, os terceiros que confiarem em uma determinada AC podem confiar nos respectivos certificados emitidos por ela (desde que a assinatura esteja válida). Compete às ACs de 2º Nível emitir certificados digitais diretamente para os usuários finais. ICP-BRASIL Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT PSS 5
  • 6.
    As Autoridades deRegistro (AR) são responsáveis pela interface entre o usuário final e a Autoridade Certificadora de 2º Nível e, da mesma forma que as ACs, as ARs também possuem infraestrutura lógica e de recursos humanos especializados (Agentes de Registro). Veremos a seguir os requisitos de segurança de uma AR. Compete à AR validar, por seu Agente de Registro, as informações contidas nas solicitações de emissão ou de revogação de certificado de Pessoa Física, Pessoa Jurídica ou equipamento, obrigatoriamente mediante a presença física do interessado, aprovando ou rejeitando tais solicitações; encaminhar solicitações de emissão e revogação de certificados à AC; A AC confia na AR e delega as atividades supracitadas para ela. Uma vez validadas as informações submetidas, a AC dá sequência em sua solicitação sem nenhuma verificação adicional. ICP-BRASIL Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT PSS 6
  • 7.
    Os Prestadores deServiço de Suporte (PSS) são empresas contratadas por uma AC, ACT ou AR para realizar atividades de disponibilização de infraestrutura física, lógica, e recursos humanos especializados; ou quaisquer destes, observado o disposto nas Políticas de Certificação ou Declarações de Prática de Certificação da AC ou ACT, responsável por esses documentos. ICP-BRASIL Comitê Gestor da ICP-Brasil AC Raiz COTEC LEA AC 1º Nível AC 2º Nível AR ACT PSS 7
  • 8.
    O CERTIFICADO DIGITALICP-BRASIL MEDIDA PROVISÓRIA 2200-2 § 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil. CÓDIGO CIVIL Art. 219 (antigo 131). As declarações constantes de documentos assinados presumem-se verdadeiras em relação aos signatários. 8
  • 9.
    O CERTIFICADO DIGITALICP-BRASIL Agente capaz; Objeto lícito, possível, determinado ou determinável; Forma prescrita ou não defesa em lei. Vale a pena ressaltar que os documentos, em forma digital ou não, não possuem validade jurídica por si só, mas sim, maior ou menor eficácia probatória. Validade jurídica, conforme disposto no artigo 104 do Código Civil, tem o negócio jurídico que possui (i) Agente Capaz, (ii) Objeto lítico, possível, determinado ou determinável e, (iii) forma prescrita ou não defesa em lei. 9
  • 10.
     Início daICP-Brasil: Medida Provisória 2.200-2, de 24 de Agosto de 2001  Leis  Decretos  Resoluções do Comitê Gestor - CG  Instruções Normativas do Instituto Nacional de Tecnologia da Informação – ITI  DOC-ICPs: são documentos que possuem a legislação consolidada, apresentam conteúdo significativo e necessário para o entendimento da estrutura da ICP-Brasil.  ADE-ICPs: são os adendos da legislação, anexos dos DOC-ICPs.  Manuais de Condutas Técnicas: são manuais desenvolvidos e publicados pelo Laboratório de Ensaios e Auditoria (LEA), sobre o processo de homologação de equipamentos e software para a prática da certificação digital. REGULAMENTAÇÃO ICP-BRASIL 10
  • 11.
    DECLARAÇÃO DE PRÁTICASDE CERTIFICAÇÃO A Declaração de Práticas de Certificação (DPC) é um documento, periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados pela Autoridade Certificadora na execução de seus serviços. É a declaração a respeito dos detalhes do sistema de credenciamento, as práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados. É utilizado pelas Autoridades Certificadoras para garantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliar a adequação dos padrões de segurança empregados às necessidades de segurança de suas aplicações. 11
  • 12.
    POLÍTICA DE CERTIFICAÇÃO APolítica de Certificação (PC) é o documento que descreve os requisitos, procedimentos e nível de segurança adotados para a emissão, revogação e gerenciamento do ciclo de vida de um Certificado Digital. Cada tipo de certificado possui uma Política de Certificação e, através dela, as terceiras partes decidem se aquele tipo de certificado digital é confiável e aplicável. A PC define as ações que deverão ser realizadas para a emissão de um certificado, mas não as especifica, ficando por conta da Declaração de Práticas de Certificação (DPC) essa função. 12
  • 13.
    POLÍTICA DE SEGURANÇA APolítica de Segurança tem como propósito informar aos colaboradores, gestores, prestadores de serviço e visitantes, as suas obrigações para a proteção da tecnologia e do acesso à informação. Orienta todas as suas ações de segurança para a redução dos riscos, a fim de garantir integridade, sigilo e disponibilidade das informações dos sistemas e recursos. A Política de Segurança é utilizada também como referência para auditorias, fiscalizações, apurações e avaliações de responsabilidades. 13
  • 14.
    POLÍTICA DE SEGURANÇA APolítica de Segurança abrange os seguintes aspectos: 14 Segurança Humana: Recrutamento, Seleção, Admissão e Treinamento de pessoal, visando minimizar erros humanos; Segurança Física: Acesso físico restrito, Identificação de pessoal, Segurança do ambiente, dos equipamentos e dispositivos; Segurança Lógica: Sistemas de segurança de dados (firewall, IDS, logs, entre outros); Segurança de Recursos criptográficos: Transporte seguro de informações criptografadas e manipulação de mídias criptográficas.
  • 15.
    X REQUISITOS DE SEGURANÇAHUMANA Objetivos:  Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude ou uso não apropriado dos ativos da AC DigitalSign;  Prevenir e neutralizar as ações de pessoas que possam comprometer a segurança da AC DigitalSign;  Orientar e capacitar todo o pessoal envolvido na realização de trabalhos diretamente relacionados à AC DigitalSign, assim como o pessoal em desempenho de funções de apoio, tais como a manutenção das instalações físicas e a adoção de medidas de proteção compatíveis com a natureza da função que desempenham;  Orientar o processo de avaliação de todo o pessoal que trabalhe na AC DigitalSign e nas entidades a ela vinculadas, mesmo em caso de funções desempenhadas por prestadores de serviço.
  • 16.
    X REQUISITOS DE SEGURANÇAHUMANA Diretrizes:  Processo de admissão Critérios rígidos para o processo seletivo de candidatos. Não são admitidos estagiários.  Atribuições da função São relacionadas de acordo com a característica das atividades desenvolvidas.  Levantamento de dados pessoais Pesquisa do histórico de vida pública do candidato.  Entrevista de admissão Confirmar e/ou identificar dados não detectados ou não confirmados durante a pesquisa.  Desempenho da função Tem por objetivo detectar a necessidade de atualização técnica e de segurança.  Credencial de Segurança Identificação por meio de credencial (crachá) que habilita ao acesso às informações sensíveis.
  • 17.
    X REQUISITOS DE SEGURANÇAHUMANA Diretrizes (continuação):  Treinamento em Segurança da Informação Propósito de desenvolver e manter uma efetiva conscientização de segurança.  Acompanhamento do desempenho da função São registrados os atos, atitudes e comportamentos positivos e negativos relevantes.  Processo de desligamento, férias e licença Credencial, identificação, uso de equipamentos, acessos físicos e lógicos são revogados.  Processo de liberação O funcionário ou prestador de serviço assina, antes do desligamento, declaração de não- pendência.  Entrevista de desligamento Propósito de orientar o funcionário ou prestador de serviços sobre a sua responsabilidade na manutenção do sigilo de dados.
  • 18.
    X REQUISITOS DE SEGURANÇAHUMANA Deveres e responsabilidades dos empregados ou prestadores de serviços:  Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos de processamento de informações;  Cumprir a Política de Segurança, sob pena de incorrer nas sanções disciplinares e legais cabíveis;  Utilizar os sistemas de informações da AC DigitalSign e os recursos a ela relacionados somente para os fins previstos pela Administração de Segurança;  Cumprir as regras específicas de proteção estabelecidas aos ativos de informação;  Manter o caráter sigiloso da senha de acesso aos recursos e sistemas da AC DigitalSign;
  • 19.
    X REQUISITOS DE SEGURANÇAHUMANA Deveres e responsabilidades dos empregados ou prestadores de serviços:  Não compartilhar, sob qualquer forma, informações confidenciais com outros que não tenham a devida autorização de acesso;  Responder, por todo e qualquer acesso, aos recursos da AC DigitalSign bem como pelos efeitos desses acessos efetivados através do seu código de identificação ou outro atributo para esse fim utilizado;  Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violação da legislação de propriedade intelectual pertinente;  Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou desvio.
  • 20.
    X REQUISITOS DE SEGURANÇAHUMANA Deveres e responsabilidades da chefia:  Gerenciar o cumprimento da Política de Segurança por parte de seus funcionários e prestadores de serviços;  Identificar os desvios praticados e adotar as medidas corretivas apropriadas;  Impedir o acesso de funcionários demitidos ou demissionários aos ativos de informações, utilizando-se dos mecanismos de desligamento contemplados pelo respectivo plano de desligamento do funcionário;  Proteger, no nível físico e lógico, os ativos de informação e de processamento da AC DigitalSign relacionados com a sua área de atuação;
  • 21.
    X REQUISITOS DE SEGURANÇAHUMANA Deveres e responsabilidades da chefia:  Garantir que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger as informações da AC DigitalSign;  Comunicar formalmente à área de Segurança da Informação (TI) quais os funcionários e prestadores de serviço sob sua supervisão que podem aceder às informações da AC DigitalSign;  Comunicar formalmente à área de Segurança da Informação (TI), quais os funcionários e prestadores de serviço demitidos ou transferidos, para exclusão no cadastro dos usuários;  Comunicar formalmente à área de Segurança da Informação (TI), aqueles que estejam respondendo a processos, sindicâncias ou que estejam licenciados, para inabilitação no cadastro dos usuários.
  • 22.
    X REQUISITOS DE SEGURANÇAHUMANA Deveres e responsabilidades gerais:  Cada área que detém os ativos de processamento e de informação é responsável por eles, provendo a sua proteção de acordo com a política de classificação da informação;  Todos os ativos de informações têm claramente definidos os responsáveis pelo seu uso;  Todos os ativos de processamento estão relacionados no Plano de Continuidade do Negócio.
  • 23.
    X REQUISITOS DE SEGURANÇAHUMANA Deveres e responsabilidades da Administração de Segurança:  Estabelecer as regras de proteção dos ativos da AC DigitalSign;  Decidir quanto às medidas a serem tomadas no caso de violação das regras estabelecidas;  Revisar, anualmente, as regras de proteção estabelecidas;  Restringir e controlar o acesso e os privilégios de usuários remotos e externos;  Elaborar e manter atualizado o Plano de Continuidade do Negócio;  Executar as regras de proteção estabelecidas pela Política de Segurança;  Detectar, identificar, registrar e comunicar à AC Raiz as violações ou tentativas relevantes e significativas de acesso não autorizadas;  Definir e aplicar, para cada usuário de TI, restrições de acesso à rede, como horários autorizados, dias autorizados, entre outras;
  • 24.
    X REQUISITOS DE SEGURANÇAHUMANA Deveres e responsabilidades da Administração de Segurança:  Manter registros de atividades de usuários de TI (logs) por 6 (seis) anos. Os registros devem conter a hora e a data das atividades, a identificação do usuário de TI, comandos (e seus argumentos) executados, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos e condições de erro observadas (tentativas rejeitadas, erros de consistência, etc);  Limitar o prazo de validade das contas de prestadores de serviço ao período da contratação;  Verificar a exclusão das contas inativas;  Autorizar o fornecimento de senhas de contas privilegiadas somente aos funcionários que necessitem efetivamente dos privilégios, mantendo-se o devido registro e controle.
  • 25.
    X REQUISITOS DE SEGURANÇAFÍSICA  A localização das instalações e o sistema de certificação da AC DigitalSign não são publicamente identificados;  Perdas de cartões/chaves de acesso são imediatamente comunicadas ao responsável pela Administração de Segurança da AC DigitalSign. Ele toma as medidas apropriadas para prevenir acessos não-autorizados;  Recursos e instalações críticas ou sensíveis, são fisicamente protegidos de acesso não autorizado, dano, ou interferência, com barreiras de segurança e controle de acesso. A proteção é proporcional aos riscos identificados;  O acesso aos componentes da infraestrutura, atividade fundamental ao funcionamento dos sistemas da AC DigitalSign, como painéis de controle de energia, comunicações e cabeamento, é restrito ao pessoal autorizado;
  • 26.
    X REQUISITOS DE SEGURANÇAFÍSICA  São utilizados sistemas de detecção de intrusão para monitorar e registrar os acessos físicos aos sistemas de certificação nas horas de utilização;  O inventário de todo o conjunto de ativos de processamento é registrado e mantido atualizado, mensalmente;  Quaisquer equipamentos de gravação, fotografia, vídeo, som ou outro tipo de equipamento similar, só são utilizados a partir de autorização formal da área de Segurança e mediante supervisão;  Nas instalações da AC DigitalSign todos utilizam crachá de identificação e devem informar à Administração de Segurança sobre a presença de qualquer pessoa não identificada ou de qualquer estranho não-acompanhado;
  • 27.
    X REQUISITOS DE SEGURANÇAFÍSICA  Os visitantes são supervisionados. As suas horas de entrada e saída e o local de destino são registrados. Essas pessoas têm acesso apenas às áreas específicas, com propósitos autorizados, e esses acessos seguem instruções baseadas nos requisitos de segurança da área visitada;  Os ambientes onde ocorrem os processos críticos da AC DigitalSign são monitorados, em tempo real, com as imagens registradas por meio de sistemas de CFTV;  Sistemas de detecção de intrusos foram instalados e são testados regularmente de forma a cobrir os ambientes, as portas e janelas acessíveis nos ambientes onde ocorrem processos críticos. As áreas não ocupadas possuem um sistema de alarme que permanece sempre ativado, desligando-se quando o sistema de controle de acesso identifica a entrada de alguém autorizado.
  • 28.
    X REQUISITOS DE SEGURANÇALÓGICA  Sistemas Os sistemas possuem controle de acesso de modo a assegurar o uso apenas a usuários ou processos autorizados.  Máquinas Servidoras O acesso lógico ao ambiente ou serviços disponíveis em servidores é controlado e protegido. São adotados procedimentos sistematizados para monitorar a segurança do ambiente operacional, principalmente no que diz respeito à integridade dos arquivos de configuração do sistema operacional e outros arquivos críticos.  Redes da AC DigitalSign O tráfego das informações no ambiente de rede é protegido contra danos ou perdas, bem como acesso, uso ou exposição indevidos.
  • 29.
    X REQUISITOS DE SEGURANÇALÓGICA  Controle de acesso lógico Usuários e aplicações que necessitem ter acesso a recursos da AC DigitalSign são identificados e autenticados.  Computação pessoal As estações de trabalho, incluindo equipamentos portáteis ou stand alone e informações são protegidos contra danos ou perdas, bem como o uso, acesso ou exposições indevidos.  Combate a vírus de computador Os procedimentos de combate a processos destrutivos (vírus, cavalo-de-tróia e worms) são sistematizados e englobam máquinas servidoras, estações de trabalho, equipamentos portáteis e microcomputadores stand alone.
  • 30.
    X REQUISITOS DE SEGURANÇADOS RECURSOS CRIPTOGRÁFICOS  O sistema criptográfico da AC DigitalSign é entendido como sendo um sistema composto de documentação normativa específica de criptografia aplicada na ICP-Brasil, conjunto de requisitos de criptografia, projetos, métodos de implementação, módulos implementados de hardware e software, definições relativas a algoritmos criptográficos e demais algoritmos integrantes de um processo criptográfico, procedimentos adotados para gerência das chaves criptográficas, métodos adotados para testes de robustez das cifras e detecção de violações dessas;  A manipulação das chaves criptográficas utilizadas nos sistemas criptográficos da AC DigitalSign é restrita a um número mínimo e essencial de pessoas, assim como está submetida a mecanismos de controle considerados adequados pelo CG ICP-Brasil;  São adotados recursos de VPN (Virtual Private Networks – redes privadas virtuais), baseadas em criptografia, para a troca de informações sensíveis, por meio de redes públicas, entre as redes das entidades da ICP-Brasil que pertençam a uma mesma organização.
  • 31.
    AUDITORIA E FISCALIZAÇÃO Comobjetivo de verificar a conformidade dos processos, procedimentos e atividades das entidades que compõem a ICP- Brasil, são realizadas Auditorias. Abaixo temos os executores dos tipos de Auditoria (pré-operacional e operacional) e as entidades (ACs, ARs, ACT, PSS): Entidade Executor da Auditoria Pré-Operacional Operacional AC Raiz Comitê Gestor da ICP-Brasil ou seus prepostos, formalmente designados Comitê Gestor da ICP-Brasil ou seus prepostos, formalmente designados AC de 1º Nível e seus PSS ITI/DAFN/CGAF ITI/DAFN/CGAF AC subsequente e seus PSS ITI/DAFN/CGAF Empresa de Auditoria Independente credenciada junto ao ITI ACT ITI/DAFN/CGAF Empresa de Auditoria Independente credenciada junto ao ITI AR AC ou PSS credenciados junto ao ITI Empresa de Auditoria Independente credenciada junto ao IT Auditoria Interna da respectiva AR credenciada junto ao ITI AC ou PSS credenciados junto ao ITI Empresa de Auditoria Independente credenciada junto ao ITI 31
  • 32.
    AUDITORIA E FISCALIZAÇÃO Afiscalização é a atividade de controle e inspeção sistemática do cumprimento das resoluções, normas, procedimentos e atividades dos Prestador de Serviço de Certificação (PSCert), com a finalidade de examinar se as operações de cada um deles, isolada ou conjuntamente, mantêm- se em conformidade com as suas respectivas Declarações de Práticas de Certificação (DPC), Políticas de Certificado (PC) e Políticas de Segurança (PS). 32
  • 33.
    X GERENCIAMENTO DE RISCOS SegmentoRiscos Dados e Informação Indisponibilidade, interrupção (perda), interceptação, modificação, fabricação ou destruição. Pessoas Omissão, erro, negligência, imprudência, imperícia, desídia, sabotagem ou perda de conhecimento. Rede Hacker, acesso desautorizado, interceptação, engenharia social, identidade forjada, reenvio de mensagem, violação de integridade e indisponibilidade ou recusa de serviço. Hardware Indisponibilidade, interceptação (furto ou roubo) ou falha. Software e sistemas Interrupção (apagamento), interceptação, modificação, desenvolvimento ou falha. Recursos criptográficos Ciclo de vida dos certificados, gerenciamento das chaves criptográficas, hardware criptográfico, algoritmos (desenvolvimento e utilização) ou material criptográfico. Os riscos avaliados para a AC DigitalSign compreendem, dentre outros, os seguintes:
  • 34.
    X PLANO DE CONTINUIDADEDE NEGÓCIO  Sistemas e dispositivos redundantes estão disponíveis para garantir a continuidade da operação dos serviços críticos de maneira oportuna;  A AC DigitalSign possui seu Plano de Continuidade do Negócio (PCN) que estabelece o tratamento adequado dos seguintes eventos de segurança: a) Comprometimento da chave privada das entidades; b) Invasão do sistema e da rede interna da entidade; c) Incidentes de segurança física e lógica; d) Indisponibilidade da Infraestrutura; e) Fraudes ocorridas no registro do usuário, na emissão, expedição, distribuição, revogação e no gerenciamento de certificados; f) comprometimento de controle de segurança em qualquer evento referenciado no PCN; g) notificação à comunidade de usuários, se for o caso; h) revogação dos certificados afetados, se for o caso; i) procedimentos para interrupção ou suspensão de serviços e investigação; j) análise e monitoramento de trilhas de auditoria; e k) com o público e com meios de comunicação, se for o caso.
  • 35.
  • 36.
    X ESTAMOS À DISPOSIÇÃO! AUDITORIAINTERNA CAROLINA RISSO MORETTO COORDENAÇÃO VITOR ALMEIDA ANALISTA DE CREDENCIAMENTO