Please enable JavaScript.
Coggle requires JavaScript to display documents.
Certificação Digital - Módulo 4 (Política de Segurança (Definição (Código…
Certificação Digital - Módulo 4
ACs
Papel
Gerir certificados e suas informações
Emissão de Certificados Digitais
Tipos
AC Raiz
Primeira Autoridade da cadeia de certificação
Executar Políticas de Certificados e Normas técnicas operacionais aprovadas pelo Comitê Gestor da ICP-Brasil
Compete (em relação a ACs intermediárias)
Emissão
Expedição
Distribuição
Revogação
Gerenciamento
Emissão de LCR
Fiscalização e auditoria de ACs, ARs e demais prestadores da ICP-Brasil
Verificação da atuação das ACs em conformidade com diretrizes do Comitê Gestor ICP-Brasil
Art. 5º MP 2200-2/1
AC
Entidade Público-privada
Subordina-se à AC-Raiz
Compete
Emissão, distribuição, renovação, revogação, gerenciamento de Certificados Digitais
Verificar se titular possui chave privada que corresponda à chave pública do certificado
Criar e assinar o certificado digital emitido
Emitir LCR
Manter registro de operações
Estabelecer e fazer cumprir políticas de seguranças pelas ARs
Art. 6º MP 2200-2/1
Vedado
Certificar nível diverso ao imediatamente subsequente ao seu
Excessão
Acordos
AR (Autoridade Registradora)
AR
Vinculada operacionalmente a determinada AC
Realiza
Auxilia no processo de validação da identidade física dos usuários
Identificam e validam os usuários na presença deles
Encaminha solicitações de certificados às ACs
Mantêm registro de suas operações
Política de Segurança
Definição
Documento que contém normas, métodos e procedimentos
Deve ser comunicada a todos os funcionários
Revisada periodicamente
Orientação para segurança conforme requisitos do negócio e leis
Código de prática para gestão da informação
Aplicado a todos que trabalham e administram a segurança numa organização
Definir instrumento de controle
Assegurar conformidade de processo, produto ou serviço
Itens presentes nas normas
Requisitos de segurança de pessoal
Observados por prestadores e usuários
Proteção dos ativos da AC
Objetivo
Redução de riscos
Erros humanos
Furto
Roubo
Apropriação indébita
Fraude
Uso inapropriado dos ativos
Requisitos de segurança do ambiente físico
Medidas e procedimentos de segurança para ambiente físico
Requisitos de segurança lógica
Aplicadas aos componentes eletrônicos
Todo ativo de informações da AC
Requisitos de segurança de recursos criptográficos
Aplicados ao sistema criptográficos das ACs
Auditoria e Fiscalização
Períodica
Auferir capacidade da AC dos requisitos exigidos pela ICP-Brasil
Gerenciamento de Riscos
Processo a proteger serviços prestados pela AC
Ações possíveis
Eliminação
Redução
Transferência de Riscos
Identificar ativo
Análise de risco
Custo/benefício da ação
Risco que não se elimina
Documentos e comunicado à AC
Plano de Continuidade do Negócio
Desenvolvimento preventivo de estratégias e planos de ação
Garantir
Serviços essenciais identificados e preservados em eventos graves
Retorno normal às atividades da empresa
Incidente de Segurança da Informação