RESOLU ON39,DE18DEABRILDE2006. Aprovaaverso2.0daPolticadeSeguranadaICPBrasil. O COORDENADOR DOCOMIT GESTORDAINFRAESTRUTURADECHAVESPBLICAS BRASILEIRAICPBRASIL,nousodascompetnciasprevistasnosincisosI,III,VeVIdoart.4da MedidaProvisriaN2.2002,de24deagostode2001. RESOLVE: Art.1Aprovaraverso2.0daPOLTICADESEGURANADAICPBRASIL(DOCICP02),em anexo. Pargrafo nico.APolticadeSeguranadaICPBrasilpoderserrevistaeatualizadaaqualquer tempo,casosemostrenecessrio. Art.

2FicamrevogadasasResoluesdoComitGestordaICPBrasiln02,de25desetembro de2001, n27,de24deoutubrode2003en32,de21deoutubrode2004econvalidadososatos praticadosdurantesuasvigncias. Art.3EstaResoluoentraemvigornadatadesuapublicao. ENYLSONFLVIOMARTINEZCAMOLESI ANEXO POLTICADESEGURANADAICPBRASIL DOCICP02Verso2.0 LISTADEACRNIMOS ACAutoridadeCertificadora ACRaizAutoridadeCertificadoraRaizdaICPBrasil DPCDeclaraodePrticasdeCertificao ICPBrasilInfraEstruturadeChavesPblicasBrasileira CGComitGestor PCNPlanodeContinuidadedeNegcio PSPolticadeSegurana TITecnologiadaInformao CFTVCircuitoFechadodeTeleviso ABNTAssociaoBrasileiradeNormasTcnicas VPNVirtualPrivateNetworks 1.INTRODU O 1.1.Estedocumentotemporfinalidadeestabelecerasdiretrizesdeseguranaquedeveroser adotadaspelasentidadesparticipantesdaInfraestruturadeChavesPblicasBrasileiraICPBrasil.Tais diretrizes fundamentaro as normas e procedimentos de segurana a serem elaborados e implementadosporpartedecadaentidade,considerandoassuasparticularidades. 1.2.Paraocumprimentodafinalidadesupramencionadasoestabelecidososobjetivosaseguir. 2.OBJETIVOS APolticadeSeguranaPSdaICPBrasiltemosseguintesobjetivosespecficos:

a)Definiroescopodaseguranadasentidades; b)Orientar,pormeiodesuasdiretrizes,todasasaesdeseguranadasentidades,parareduzir riscosegarantiraintegridade,sigiloedisponibilidadedasinformaesdossistemasdeinformaoe recursos; c)Permitiraadoodesoluesdeseguranaintegradas; d)Servirderefernciaparaauditoria,apuraoeavaliaoderesponsabilidades. 3.ABRANGNCIA APSabrangeosseguintesaspectos: a)RequisitosdeSeguranaHumana; b)RequisitosdeSeguranaFsica; c)RequisitosdeSeguranaLgica; d)RequisitosdeSeguranadosRecursosCriptogrficos. 4.TERMINOLOGIA As regras e diretrizes de segurana devem ser interpretadas de forma que todas as suas determinaessejamobrigatriasecogentes. 5.CONCEITOSEDEFINIES AplicamseosconceitosabaixonoquesereferePSdasentidades: a)AtivodeInformao opatrimniocompostoportodososdadoseinformaesgeradase manipuladasduranteaexecuodossistemaseprocessosdasentidades; b)AtivodeProcessamento opatrimniocompostoportodososelementosde hardware e software necessriosparaaexecuodossistemaseprocessosdasentidades,tantoosproduzidos internamentequantoosadquiridos; c)ControledeAcessosorestriesaoacesso sinformaesdeumsistemaexercidopela gernciadeSeguranadaInformaodasentidades; d)Custdiaconsistenaresponsabilidadedeseguardarumativoparaterceiros.Entretanto,a custdianopermiteautomaticamenteoacessoaoativo,nemodireitodeconcederacessoaoutros; e)DireitodeAcessooprivilgioassociadoaumcargo,pessoaouprocessoparateracessoa umativo; f)Ferramentas umconjuntodeequipamentos,programas,procedimentos,normasedemais recursosatravsdosquaisseaplicaaPSdaInformaodasentidades; g)IncidentedeSegurana qualquereventoouocorrnciaquepromovaumaoumaisaes quecomprometaouquesejaumaameaa integridade,autenticidade,oudisponibilidadedequalquer ativodasentidadesintegrantesdaICPBrasil; h)PolticadeSegurana umconjuntodediretrizesdestinadasadefiniraproteoadequada dosativosproduzidospelosSistemasdeInformaodasentidades; i)ProteodosAtivos oprocessopeloqualosativosdevemreceberclassificaoquantoao graudesensibilidade.Omeioderegistrodeumativodeinformaodevereceberamesmaclassificao deproteodadaaoativoqueocontm; j) Responsabilidade definida como as obrigaes e os deveres da pessoa que ocupa determinadafunoemrelaoaoacervodeinformaes; k)SenhaFracaoubviaaquelaondeseutilizamcaracteresdefcilassociaocomodono dasenha,ouquesejamuitosimplesoupequenas,taiscomo:datasdeaniversrio,decasamento,de nascimento,oprprionome,onomedefamiliares,seqnciasnumricassimples,palavraseunidades lxicasqueconstemdedicionriosdequalquerlngua,dentreoutras. 6.REGRASGERAIS

6.1.GestodeSeguran a 6.1.1.APSdaICPBrasilseaplicaatodososrecursoshumanos,administrativosetecnolgicos pertencentessentidadesqueacompem.Aabrangnciadosrecursoscitadosreferesetantoqueles ligadossentidadesemcarterpermanentequantotemporrio. 6.1.2.Estapolticadevesercomunicadaparatodoopessoalenvolvidoelargamentedivulgada atravs das entidades, garantindo que todos tenham conscincia da mesma e a pratiquem na organizao. 6.1.3.Todoopessoaldevereceberasinformaesnecessriasparacumpriradequadamenteo queestdeterminadonaPS. 6.1.4.Umprogramadeconscientizaosobreseguranadainformaodeverserimplementado paraassegurarquetodoopessoalsejainformadosobreospotenciaisriscosdeseguranaeexposio aqueestosubmetidosossistemaseoperaesdasentidades.Especialmente,opessoalenvolvidoou queserelacionacomosusuriosdeveestartreinadosobreataquestpicosdeengenhariasocial,como procederecomoseprotegerdeles. 6.1.5.Osprocedimentosdeveroserdocumentadoseimplementadosparagarantirquequandoo pessoal contratado ou prestadores de servios sejam transferidos, remanejados, promovidos ou demitidos, todos os privilgios de acesso aos sistemas, informaes e recursos sejam devidamente revistos,modificadosourevogados. 6.1.6.Previsodemecanismoerepositriocentralizadoparaativaoemanutenodetrilhas, logs edemaisnotificaesdeincidentes.Estemecanismodever serincludonasmedidasaserem tomadasporumgrupoencarregadoderesponderaestetipodeataque,paraproverumadefesaativae corretivacontraosmesmos. 6.1.7.Osprocessosdeaquisiodebenseservios,especialmentedeTecnologiadaInformao TI,devemestaremconformidadecomestaPS. 6.1.8.Noqueserefereaseguranadainformao,deveseconsiderarproibido,tudoaquiloque noestejapreviamenteautorizadopeloresponsvelda readeseguranadaentidadepertencente ICPBrasil. 6.2.GerenciamentodeRiscos Oprocessodegerenciamentoderiscosdeveserrevisto,nomximoacada18(dezoito)meses, pelaprpriaentidade,paraprevenocontrariscos,inclusive quelesadvindosdenovastecnologias, visandoaelaboraodeplanosdeaoapropriadosparaproteoaoscomponentesameaados 6.3.Inventriodeativos TodososativosdasentidadesintegrantesdaICPBrasildevemserinventariados,classificados, permanentemente atualizados pela prpria entidade, e possurem gestor responsvel formalmente designado 6.4.PlanodeContinuidadedoNeg cio 6.4.1.UmPlanodeContinuidadedoNegcioPCNdeveserimplementadoetestado,pelomenos umavezporano,paragarantiracontinuidadedosservioscrticosaonegcio. 6.4.2. Todas as AC devero apresentar planos de gerenciamento de incidentes e de ao de respostaaincidentesaseremaprovadospelaACRaizouACdenvelimediatamentesuperior;. 6.4.3.OcertificadodaACdeverserimediatamenterevogadoseumeventoprovocaraperdaou comprometimentodesuachaveprivadaoudoseumeiodearmazenamento.Nestasituao,aentidade deverseguirosprocedimentosdetalhadosnasuaDPC. 6.4.4.TodososincidentesdeveroserreportadosACRaizimediatamente,apartirdomomento emqueforverificadaaocorrncia.Estesincidentesdevemserreportadosdemodosigilosoapessoas especialmentedesignadasparaisso. 7.REQUISITOSDESEGURANADEPESSOAL 7.1.Definio

Conjuntodemedidaseprocedimentosdesegurana,aseremobservadospelosprestadoresde servioetodososempregados,necessrio proteodosativosdasentidadesparticipantesdaICP Brasil. 7.2.Objetivos 7.2.1.Reduzirosriscosdeerroshumanos,furto,roubo,apropriaoindbita,fraudeouusono apropriadodosativosdasentidadesparticipantesdaICPBrasil. 7.2.2.Prevenireneutralizarasaessobreaspessoasquepossamcomprometerasegurana dasentidadesparticipantesdaICPBrasil. 7.2.3. Orientar e capacitar todo o pessoal envolvido na realizao de trabalhos diretamente relacionados s entidades participantes da ICPBrasil, assim como o pessoal em desempenho de funesdeapoio,taiscomoamanutenodasinstalaesfsicaseaadoodemedidasdeproteo compatveiscomanaturezadafunoquedesempenham. 7.2.4.Orientaroprocessodeavaliaodetodoopessoalquetrabalhenasentidadesparticipantes daICPBrasil,mesmoemcasodefunesdesempenhadasporprestadoresdeservio. 7.3.Diretrizes 7.3.1OProcessodeAdmisso 7.3.1.1. Devem ser adotados critrios rgidos para o processo seletivo de candidatos, com o propsito de selecionar, para os quadros das entidades integrantes da ICPBrasil, pessoas reconhecidamenteidneasesemantecedentesquepossamcomprometeraseguranaoucredibilidade dasentidades. 7.3.1.2. Nenhuma entidade participante da ICPBrasil admitir estagirios no exerccio de atividadesdiretamenterelacionadascomosprocessosdeemisso,expedio,distribuio,revogaoe gerenciamentodecertificados. 7.3.1.3.Oempregado,funcionrioouservidorassinartermodecompromissoassumindoodever demantersigilo,mesmoquandodesligado,sobretodososativosdeinformaesedeprocessosdas entidadesintegrantesdaICPBrasil. 7.3.2.AsAtribuiesdaFuno Relacionar claramente as atribuies de cada funo, de acordo com a caracterstica das atividades desenvolvidas, a fim de determinarse o perfil necessrio do empregado ou servidor, considerandoseosseguintesitens: a)adescriosumriadastarefasinerentesfuno; b)asnecessidadesdeacessoainformaessensveis; c)ograudesensibilidadedosetorondeafunoexercida; d)asnecessidadesdecontatodeserviointernoe/ouexterno; e)ascaractersticasderesponsabilidade,decisoeiniciativainerentesfuno; f)aqualificaotcnicanecessriaaodesempenhodafuno. 7.3.3OLevantamentodeDadosPessoais Deve ser elaborada pesquisa do histrico da vida pblica do candidato, com o propsito de levantamentodeseuperfil. 7.3.4AEntrevistadeAdmisso 7.3.4.1.Deveserrealizadaporprofissionalqualificado,comopropsitodeconfirmare/ouidentificar dadosnodetectadosounoconfirmados,duranteapesquisaparaasuaadmisso. 7.3.4.2. Avaliar, na entrevista inicial, as caractersticas de interesse e motivao do candidato, sendoqueasinformaesveiculadasnaentrevistadocandidatos deveroseraquelas de carter pblico. 7.3.5ODesempenhodaFuno 7.3.5.1.Acompanharodesempenhoeavaliarperiodicamenteosempregadosouservidorescomo propsitodedetectaranecessidadedeatualizaotcnicaedesegurana. 7.3.5.2.Daraosempregadosouservidoresdasentidadesacesso sinformaes, medianteo

fornecimentodeinstrueseorientaessobreasmedidaseprocedimentosdesegurana. 7.3.6ACredencialdeSegurana 7.3.6.1. Identificar o empregado por meio de uma credencial, habilitandoo a ter acesso a informaes sensveis, de acordo com a classificao do grau de sigilo da informao e, conseqentemente,comograudesigilocompatvelaocargoe/ouafunoaserdesempenhada. 7.3.6.2.ACredencialdeSeguranasomenteser concedidaporautoridadecompetente,oupor eladelegada,esefundamentar nanecessidadedeconhecimentotcnicodosaspectosinerentesao exercciofuncionalenaanlisedasensibilidadedocargoe/oufuno. 7.3.6.3. Ser de um ano o prazo de validade mximo de concesso a um indivduo de uma credencial de segurana. Este prazo poder ser prorrogado por igual perodo, quantas vezes for necessrio,poratodaAutoridadeOutorgante,enquantoexigiranecessidadedoservio. 7.3.7.TreinamentoemSeguranadaInformao Deve ser definido um processo pelo qual ser apresentada aos empregados, servidores e prestadoresdeservioestaPSeasnormaseprocedimentosrelativosaotratodeinformaese/ou dadossigilosos,comopropsitodedesenvolveremanterumaefetivaconscientizaodesegurana, assimcomoinstruiroseufielcumprimento. 7.3.8.AcompanhamentonoDesempenhodaFuno 7.3.8.1Deveserrealizadoprocessodeavaliaodedesempenhodafunoquedocumentea observaodocomportamentopessoalefuncionaldosempregados,aserrealizadapelachefiaimediata dosmesmos. 7.3.8.2 Devero ser motivo de registro atos, atitudes e comportamentos positivos e negativos relevantes,verificadosduranteoexerccioprofissionaldoempregado. 7.3.8.3Oscomportamentosincompatveis,ouquepossamgerarcomprometimentossegurana, deveroseraveriguadosecomunicadoschefiaimediata. 7.3.8.4 As chefias imediatas asseguraro que todos os empregados ou servidores tenham conhecimentoecompreensodasnormaseprocedimentosdeseguranaemvigor. 7.3.9.OProcessodeDesligamento 7.3.9.1.Oacessodeexempregados sinstalaes,quandonecessrio,serrestrito s reasde acessopblico. 7.3.9.2. Sua credencial, identificao, crach, uso de equipamentos, mecanismos e acessos fsicoselgicosdevemserrevogados. 7.3.10.OProcessodeLiberao Oempregadoouservidorfirmar,antesdodesligamento,declaraodequenopossuiqualquer tipo de pendncia junto s diversas unidades que compem a entidade, devendose checar junto unidade de Recursos Humanos e quantas mais unidades forem necessrias a veracidade das informaes. 7.3.11.AEntrevistadeDesligamento Deverserrealizadaentrevistadedesligamentoparaorientaroempregadoouservidorsobresua responsabilidadenamanutenodosigilodedadose/ouconhecimentossigilososdesistemascrticos aosquaisteveacessodurantesuapermanncianasentidades. 7.4.DevereseResponsabilidades 7.4.1.Deveresdosempregadosouservidores Sodeveresdosempregadosouservidores: a)preservaraintegridadeeguardarsigilodasinformaesdequefazemuso,bemcomozelare protegerosrespectivosrecursosdeprocessamentodeinformaes; b)cumpriraPS,sobpenadeincorrernassanesdisciplinareselegaiscabveis; c)utilizarosSistemasdeInformaesdasentidadeseosrecursosaelarelacionadossomente paraosfinsprevistospelaGernciadeSegurana; d)cumprirasregrasespecficasdeproteoestabelecidasaosativosdeinformao;

e)manterocartersigilosodasenhadeacessoaosrecursosesistemasdasentidades; f)nocompartilhar,sobqualquerforma,informaesconfidenciaiscomoutrosquenotenhama devidaautorizaodeacesso; g)responder,portodoequalqueracesso,aosrecursosdasentidadesbemcomopelosefeitos desses acessos efetivados atravs do seu cdigo de identificao, ou outro atributo para esse fim utilizado; h)respeitaraproibiodenousar,inspecionar,copiarouarmazenarprogramasdecomputador ouqualqueroutromaterial,emviolaodalegislaodepropriedadeintelectualpertinente; i)comunicaraoseusuperiorimediatooconhecimentodequalquerirregularidadeoudesvio. 7.4.2.Responsabilidadedaschefias Soresponsabilidadesdaschefias: a)gerenciarocumprimentodaPS,porpartedeseusempregadosouservidores; b)identificarosdesviospraticadoseadotarasmedidascorretivasapropriadas; c) impedir o acesso de empregados demitidos ou demissionrios aos ativos de informaes, utilizandosedosmecanismosdedesligamentocontempladospelorespectivoplanodedesligamentodo empregado; d)proteger,emnvelfsicoelgico,osativosdeinformaoedeprocessamentodasentidades participantesdaICPBrasilrelacionadoscomsuareadeatuao; e)garantirqueopessoalsobsuasupervisocompreendaedesempenheaobrigaodeproteger aInformaodasentidades; f)comunicarformalmenteunidadequeefetuaaconcessodeprivilgiosausuriosdeTI,quais os empregados, servidores e prestadores de servio, sob sua superviso, que podem acessar as informaesdasentidades; g)comunicarformalmente unidadequeefetuaaconcessodeprivilgiosaosusuriosdeTI, quaisosempregados,servidoreseprestadoresdeserviodemitidosoutransferidos,paraexclusono cadastrodosusurios; h) comunicar formalmente unidade que efetua a concesso de privilgios a usurios de TI, aqueles que estejam respondendo a processos, sindicncias ou que estejam licenciados, para inabilitaonocadastrodosusurios. 7.4.3.ResponsabilidadesGerais Soresponsabilidadesgerais: a)cada reaquedetmosativosdeprocessamentoedeinformao responsvelporeles, devendoproverasuaproteodeacordocomapolticadeclassificaodainformaodaentidade; b)todososativosdeinformaesdeveroterclaramentedefinidososresponsveispeloseuuso; c)todososativosdeprocessamentodasentidadesdevemestarrelacionadosnoPCN. 7.4.4.ResponsabilidadesdaGernciadeSegurana SoresponsabilidadesdasGernciasdeSegurana: a)estabelecerasregrasdeproteodosativosdasentidadesparticipantesdaICPBrasil; b)decidirquantosmedidasaseremtomadasnocasodeviolaodasregrasestabelecidas; c)revisarpelomenosanualmente,asregrasdeproteoestabelecidas; d)restringirecontrolaroacessoeosprivilgiosdeusuriosremotoseexternos; e)elaboraremanteratualizadooPCN; f)executarasregrasdeproteoestabelecidaspelaPS; g)detectar,identificar,registrarecomunicar ACRaizasviolaesoutentativasdeacessono autorizadas; h)definireaplicar,paracadausuriodeTecnologiadaInformaoTI,restriesdeacesso Rede,comohorrioautorizado,diasautorizados,entreoutras; i)manterregistrosdeatividadesdeusuriosdeTI (logs)porumperododetemposuperiora6 (seis)anos.Osregistrosdevemconterahoraeadatadasatividades,aidentificaodousuriodeTI,

comandos(eseusargumentos)executados,identificaodaestaolocaloudaestaoremotaque iniciouaconexo,nmerodosprocessosecondiesdeerroobservadas(tentativasrejeitadas,errosde consistncia,etc.); j)limitaroprazodevalidadedascontasdeprestadoresdeservioaoperododacontratao; k)excluirascontasinativas; l)fornecersenhasdecontasprivilegiadassomenteaosempregadosquenecessitemefetivamente dosprivilgios,mantendoseodevidoregistroecontrole. 7.4.5.ResponsabilidadesdosPrestadoresdeServio Devemserprevistasnocontratoclusulasquecontemplemaresponsabilidadedosprestadores deservionocumprimentodestaPSesuasnormaseprocedimentos. 7.5.San es Sanesprevistaspelalegislaovigente. 8.REQUISITOSDESEGURANADOAMBIENTEFSICO 8.1.Definio AmbientefsicoaquelecompostoportodooativopermanentedasentidadesintegrantesdaICP Brasil. 8.2.DiretrizesGerais 8.2.1. As responsabilidades pela segurana fsica dos sistemas das entidades devero ser definidoseatribudosaindivduosclaramenteidentificadosnaorganizao. 8.2.2.AlocalizaodasinstalaeseosistemadecertificaodaACRaizedasACnodevero serpublicamenteidentificados. 8.2.3.Sistemasdeseguranaparaacessofsicodeveroserinstaladosparacontrolareauditaro acessoaossistemasdecertificao. 8.2.4. Controles duplicados sobre o inventrio e cartes/chaves de acesso devero ser estabelecidos.Umalistaatualizadadopessoalquepossuicartes/chavesdeversermantida. 8.2.5. Chaves criptogrficas sob custdia do responsvel devero ser fisicamente protegidas contraacessonoautorizado,usoouduplicao. 8.2.6. Perdas de cartes/chaves de acesso devero ser imediatamente comunicadas ao responsvelpelagernciadeseguranadaentidade.Eledever tomarasmedidasapropriadaspara preveniracessosnoautorizados. 8.2.7. Os sistemas de AC devero estar localizados em rea protegida ou afastada de fontes potentesdemagnetismoouinterfernciaderdiofreqncia. 8.2.8. Recursos e instalaes crticas ou sensveis devem ser mantidos em reas seguras, protegidasporumpermetrodeseguranadefinido,combarreirasdeseguranaecontroledeacesso. Elasdevemserfisicamenteprotegidasdeacessonoautorizado,dano,ouinterferncia.Aproteo fornecidadeveserproporcionalaosriscosidentificados. 8.2.9. A entrada e sada, nestas reas ou partes dedicadas, devero ser automaticamente registradascomdataehoradefinidaseserorevisadasdiariamentepeloresponsvelpelagernciade seguranadainformaonasentidadesdaICPBrasilemantidasemlocaladequadoesobsigilo. 8.2.10.Oacessoaoscomponentesdainfraestrutura,atividadefundamentalaofuncionamentodos sistemasdasentidades,comopainisdecontroledeenergia,comunicaesecabeamento,deverser restritoaopessoalautorizado. 8.2.11. Sistemas de deteco de intruso devero ser utilizados para monitorar e registrar os acessosfsicosaossistemasdecertificaonashorasdeutilizao. 8.2.12.Oinventriodetodooconjuntodeativosdeprocessamentodeveserregistradoemantido atualizado,nomnimo,mensalmente. 8.2.13.Quaisquerequipamentosdegravao,fotografia,vdeo,somououtrotipodeequipamento similar,sdevemserutilizadosapartirdeautorizaoformalemediantesuperviso.

8.2.14. Nas instalaes das entidades integrantes da ICPBrasil, todos devero utilizar alguma formavisveldeidentificao(porexemplo:crach),edeveminformarseguranasobreapresenade qualquerpessoanoidentificadaoudequalquerestranhonoacompanhado. 8.2.15.Visitantesdas reasdeseguranadevemsersupervisionados.Suashorasdeentradae sadaeolocaldedestinodevemserregistrados.Essaspessoasdevemobteracessoapenas s reas especficas, com propsitos autorizados, e esses acessos devem seguir instrues baseadas nos requisitosdeseguranadareavisitada. 8.2.16.OsambientesondeocorremosprocessoscrticosdasentidadesintegrantesdaICPBrasil deverosermonitorados,emtemporeal,comasimagensregistradaspormeiodesistemasdeCircuito FechadodeTelevisoCFTV. 8.2.17.Sistemasdedetecodeintrusosdevemserinstaladosetestadosregularmentedeformaa cobrirosambientes,asportasejanelasacessveis,nosambientesondeocorremprocessoscrticos.As reasnoocupadasdevempossuirumsistemadealarmequepermaneasempreativado.
1

9.REQUISITOSDESEGURANADOAMBIENTELGICO 9.1.Definio Ambientelgicocompostoportodooativodeinformaesdasentidades. 9.2.Diretrizesgerais

9.2.1.Ainformaodeveserprotegidadeacordocomoseuvalor,sensibilidadeecriticidade.Para tanto,deveserelaboradoumsistemadeclassificaodainformao. 9.2.2.Osdados,asinformaeseossistemasdeinformaodasentidadesesobsuaguarda, devemserprotegidoscontraameaaseaesnoautorizadas,acidentaisouno,demodoareduzir riscosegarantiraintegridade,sigiloedisponibilidadedessesbens. 9.2.3.Asviolaesdeseguranadevemserregistradaseessesregistrosdevemseranalisados periodicamente para os propsitos de carter corretivo, legal e de auditoria. Os registros devem ser protegidosearmazenadosdeacordocomasuaclassificao. 9.2.4.Ossistemaserecursosquesuportamfunescrticasparaoperaodasentidades,devem asseguraracapacidadederecuperaonosprazosecondiesdefinidasemsituaesdecontingncia. 9.2.5.O inventriosistematizadode todaaestruturaqueservecomobaseparamanipulao, armazenamentoetransmissodosativosdeprocessamento,deveestarregistradoemantidoatualizado emintervalosdetempodefinidospelasentidadesparticipantesdaICPBrasil. 9.3.Diretrizesespecficas 9.3.1.Sistemas 9.3.1.1.Asnecessidadesdeseguranadevemseridentificadasparacadaetapadociclodevida dossistemasdisponveisnasentidades.Adocumentaodossistemasdevesermantidaatualizada.A cpiadeseguranadevesertestadaemantidaatualizada. 9.3.1.2. Ossistemasdevempossuircontroledeacessodemodoaassegurarousoapenasa usuriosouprocessosautorizados.Oresponsvelpelaautorizaoouconfirmaodaautorizaodeve serclaramentedefinidoeregistrado. 9.3.1.3.Osarquivosde logs devemsercriteriosamentedefinidosparapermitirrecuperaonas situaes de falhas, auditoria nas situaes de violaes de segurana e contabilizao do uso de recursos. Os logs devem ser periodicamente analisados, conforme definido na DPC, para identificar tendncias,falhasouusosindevidos.Oslogsdevemserprotegidosearmazenadosdeacordocomsua classificao. 9.3.1.4.Devemserestabelecidasemantidasmedidasecontrolesdeseguranaparaverificao crtica dos dados e configurao de sistemas e dispositivos quanto a sua preciso, consistncia e integridade. 9.3.1.5. Os sistemas devem ser avaliados com relao aos aspectos de segurana (testes de vulnerabilidade) antes de serem disponibilizados para a produo. As vulnerabilidades do ambiente

devemseravaliadasperiodicamenteeasrecomendaesdeseguranadevemseradotadas. 9.3.2.Mquinasservidoras 9.3.2.1.Oacessolgico,aoambienteouserviosdisponveisemservidores,devesercontroladoe protegido. As autorizaes devem ser revistas, confirmadas e registradas continuadamente. O responsvelpelaautorizaoouconfirmaodaautorizaodeveserclaramentedefinidoeregistrado. 9.3.2.2. Os acessos lgicos devem ser registrados em logs, que devem ser analisados periodicamente.Otempoderetenodosarquivosdelogseasmedidasdeproteoassociadasdevem estarprecisamentedefinidos. 9.3.2.3. Devem ser adotados procedimentos sistematizados para monitorar a segurana do ambienteoperacional,principalmentenoquedizrespeito integridadedosarquivosdeconfiguraodo SistemaOperacionaledeoutrosarquivoscrticos.Oseventosdevemserarmazenadosemrelatriosde segurana (logs)demodoquesuaanlise permitaa geraodetrilhas de auditoriaapartirdestes registros. 9.3.2.4.Asmquinasdevemestarsincronizadasparapermitirorastreamentodeeventos. 9.3.2.5. Proteo lgica adicional (criptografia) deve ser adotada para evitar o acesso no autorizadosinformaes. 9.3.2.6.AversodoSistemaOperacional,assimcomooutros softwares bsicosinstaladosem mquinasservidoras,devemsermantidosatualizados,emconformidadecomasrecomendaesdos fabricantes. 9.3.2.7. Devem ser utilizados somente softwares autorizados pela prpria entidade nos seus equipamentos.Deveserrealizadoocontroledadistribuioeinstalaodosmesmos. 9.3.2.8.Oacessoremotoamquinasservidorasdeveserrealizadoadotandoosmecanismosde seguranaprdefinidosparaevitarameaasintegridadeesigilodoservio. 9.3.2.9. Os procedimentos de cpia de segurana (backup) e de recuperao devem estar documentados, mantidos atualizados e devem ser regularmente testados, de modo a garantir a disponibilidadedasinformaes. 9.3.3.RedesdasentidadesdaICPBrasil 9.3.3.1. O trfego das informaes no ambiente de rede deve ser protegido contra danos ou perdas,bemcomoacesso,usoouexposioindevidos,incluindoseoEfeitoTempest. 9.3.3.2. Componentes crticos da rede local devem ser mantidos em salas protegidas e com acessofsicoelgicocontrolado,devendoserprotegidoscontradanos,furtos,rouboseintempries. 9.3.3.3.Devemseradotadasasfacilidadesdeseguranadisponveisdeformainatanosativosde processamentodarede. 9.3.3.4.Aconfiguraodetodososativosdeprocessamentodeveseraveriguadaquandodasua instalaoinicial,paraquesejamdetectadasecorrigidasasvulnerabilidadesinerentes configurao padroqueseencontramnessesativosemsuaprimeiraativao. 9.3.3.5.Serviosvulnerveisdevemrecebernveldeproteoadicional. 9.3.3.6.Ousodesenhasdeveestarsubmetidoaumapolticaespecficaparasuagernciae utilizao. 9.3.3.7.Oacessolgicoaosrecursosdaredelocaldeveserrealizadopormeiodesistemade controledeacesso.Oacessodeveserconcedidoemantidopelaadministraodarede,baseadonas responsabilidadesetarefasdecadausurio. 9.3.3.8.Autilizaodequalquermecanismocapazderealizartestesdequalquernatureza,como porexemplo,monitoraosobreosdados,ossistemasedispositivosquecompemarede,s devem serutilizadopartirdeautorizaoformalemediantesuperviso. 9.3.3.9. A conexo com outros ambientes de rede e alteraes internas na sua topologia e configuraodevemserformalmentedocumentadasemantidas,deformaapermitirregistrohistrico,e devemteraautorizaodaadministraodaredeedagernciadesegurana.Odiagramatopolgico,a configuraoeoinventriodosrecursosdevemsermantidosatualizados.

9.3.3.10.Devemserdefinidosrelatriosdesegurana(logs)demodoaauxiliarnotratamentode desvios,recuperaodefalhas,contabilizaoeauditoria.Os logsdevemseranalisadosperiodicamente eoperododeanliseestabelecidodeveseromenorpossvel. 9.3.3.11.Devemseradotadasproteesfsicasadicionaisparaosrecursosderedeconsiderados crticos. 9.3.3.12. Proteo lgica adicional deve ser adotada para evitar o acesso noautorizado s informaes. 9.3.3.13.Ainfraestruturadeinterligaolgicadeveestarprotegidacontradanosmecnicose conexonoautorizada. 9.3.3.14. A alimentao eltrica para a rede local deve ser separada da rede convencional, devendoserobservadasasrecomendaesdosfabricantesdosequipamentosutilizados,assimcomo asnormasABNTaplicveis. 9.3.3.15.Otrfegodeinformaesdevesermonitorado,afimdeverificarsuanormalidade,assim comodetectarsituaesanmalasdopontodevistadasegurana. 9.3.3.16.Devemserobservadasasquestesenvolvendopropriedadeintelectualquandodacpia desoftwareouarquivosdeoutraslocalidades. 9.3.3.17.Informaessigilosas,corporativasouquepossamcausarprejuzo sentidadesdevem estarprotegidasenodevemserenviadasparaoutrasredes,semproteoadequada. 9.3.3.18.Todoservioderedenoexplicitamenteautorizadodeveserbloqueadooudesabilitado. 9.3.3.19. Mecanismos de segurana baseados em sistemas de proteo de acesso (firewall) devemserutilizadosparaprotegerastransaesentreredesexternasearedeinternadaentidade. 9.3.3.20.Osregistrosdeeventosdevemseranalisadosperiodicamente,nomenorprazopossvel eemintervalosdetempoadequados. 9.3.3.21. Deve ser adotado um padro de segurana para todos os tipos de equipamentos servidores,considerandoaspectosfsicoselgicos. 9.3.3.22. Todos os recursos considerados crticos para o ambiente de rede, e que possuam mecanismosdecontroledeacesso,deverofazerusodetalcontrole. 9.3.3.23.Alocalizaodosserviosbaseadosemsistemasdeproteodeacesso(firewall)deve serresultantedeumaanlisederiscos.Nomnimo,osseguintesaspectosdevemserconsiderados: requisitos de segurana definidos pelo servio, objetivo do servio, pblico alvo, classificao da informao,formadeacesso,freqnciadeatualizaodocontedo,formadeadministraodoservio evolumedetrfego. 9.3.3.24.Ambientesderedeconsideradoscrticosdevemserisoladosdeoutrosambientesde rede,demodoagarantirumnveladicionaldesegurana. 9.3.3.25.ConexesentreasredesdasentidadesdaICPBrasileredesexternasdeveroestar restritassomentequelasquevisemefetivarosprocessos. 9.3.3.26.Asconexesderededevemserativadas:primeiro,sistemascomfunodecertificao; segundo,sistemasqueexecutamasfunesderegistroserepositrio.Seistonoforpossvel,devese empregarcontrolesdecompensao,taiscomoousodeproxiesquedeveroserimplementadospara protegerossistemasqueexecutamafunodecertificaocontrapossveisataques. 9.3.3.27.Sistemasqueexecutamafunodecertificaodeveroestarisoladosparaminimizara exposiocontratentativasdecomprometerosigilo,aintegridadeeadisponibilidadedasfunesde certificao. 9.3.3.28.AchavedecertificaodasACdever estarprotegidadeacessodesautorizado,para garantirseusigiloeintegridade. 9.3.3.29.Aseguranadascomunicaesintraredeeinterrede,entreossistemasdasentidades daICPBrasil,deversergarantidapelousodemecanismosqueasseguremosigiloeaintegridadedas informaestrafegadas. 9.3.3.30.Asferramentasdedetecodeintrusosdevemserimplantadasparamonitorarasredes

crticas,alertandoperiodicamenteosadministradoresdasredessobreastentativasdeintruso. 9.3.4.Controledeacessolgico(baseadoemsenhas) 9.3.4.1.UsurioseaplicaesquenecessitemteracessoarecursosdasentidadesdaICPBrasil devemseridentificadoseautenticados. 9.3.4.2.Osistemadecontroledeacessodevemanterashabilitaesatualizadaseregistrosque permitamacontabilizaodouso,auditoriaerecuperaonassituaesdefalha. 9.3.4.3.Nenhumusuriodevesercapazdeobterosdireitosdeacessodeoutrousurio. 9.3.4.4.Ainformaoqueespecificaosdireitosdeacessodecadausurioouaplicaodeveser protegidacontramodificaesnoautorizadas. 9.3.4.5.Oarquivodesenhasdevesercriptografadoeteroacessocontrolado. 9.3.4.6.Asautorizaesdevemserdefinidasdeacordocomanecessidadededesempenhodas funes(acessomotivado)econsiderandooprincpiodosprivilgiosmnimos(teracessoapenasaos recursosousistemasnecessriosparaaexecuodetarefas). 9.3.4.7.Assenhasdevemserindividuais,secretas,intransferveiseserprotegidascomgraude seguranacompatvelcomainformaoassociada. 9.3.4.8.Osistemadecontroledeacessodevepossuirmecanismosqueimpeamageraode senhasfracasoubvias. 9.3.4.9. As seguintes caractersticas das senhas devem estar definidas de forma adequada: conjuntodecaracterespermitidos, tamanho mnimoe mximo,prazo de validademximo, formade trocaerestriesespecficas. 9.3.4.10. A distribuio de senhas aos usurios de TI (inicial ou no) deve ser feita de forma segura.Asenhainicial,quandogeradapelosistema,devesertrocada,pelousuriodeTI,noprimeiro acesso. 9.3.4.11.Osistemadecontroledeacessodevepermitiraousurioalterarsuasenhasempreque desejar.Atrocadeumasenhabloqueadasdeveserexecutadaapsaidentificaopositivadousurio. Asenhadigitadanodeveserexibida. 9.3.4.12.Devemseradotadoscritriosparabloquearoudesativarusuriosdeacordocomperodo prdefinidosemacessoetentativassucessivasdeacessomalsucedidas. 9.3.4.13.Osistemadecontroledeacessodevesolicitarnovaautenticaoapscertotempode inatividadedasesso(timeout). 9.3.4.14.Osistemadecontroledeacessodeveexibir,natelainicial,mensageminformandoqueo servios podeserutilizadoporusuriosautorizados.Nomomentodeconexo,osistemadeveexibir paraousurioinformaessobreoltimoacesso. 9.3.4.15.Oregistrodasatividades(logs)dosistemadecontroledeacessodeveserdefinidode modoaauxiliarnotratamentodasquestesdesegurana,permitindoacontabilizaodouso,auditoria erecuperaonassituaesdefalhas.Oslogsdevemserperiodicamenteanalisados. 9.3.4.16.Osusurioseadministradoresdosistemadecontroledeacessodevemserformale expressamente conscientizados de suas responsabilidades, mediante assinatura de termo de compromisso. 9.3.5.Computaopessoal 9.3.5.1.Asestaesdetrabalho,incluindoequipamentosportteisou standalone,einformaes devemserprotegidoscontradanosouperdas,bemcomoacesso,usoouexposioindevidos. 9.3.5.2. Equipamentos que executem operaes sensveis devem receber proteo adicional, considerandoosaspectoslgicos(controledeacessoecriptografia)efsicos(proteocontrafurtoou roubodoequipamentooucomponentes). 9.3.5.3.Devemseradotadasmedidasdeseguranalgicareferentesacombateavrus,backup, controledeacessoeusodesoftwarenoautorizado. 9.3.5.4.Asinformaesarmazenadasemmeioseletrnicosdevemserprotegidascontradanos, furtosouroubos,devendoseradotadosprocedimentosdebackup,definidosemdocumentoespecfico.

9.3.5.5.Informaessigilosas,corporativasoucujadivulgaopossacausarprejuzosentidades daICPBrasil,sdevemserutilizadasemequipamentosdasentidadesondeforamgeradasounaqueles porelasautorizadas,comcontrolesadequados. 9.3.5.6. O acesso s informaes deve atender aos requisitos de segurana, considerando o ambienteeformadeusodoequipamento(usopessoaloucoletivo). 9.3.5.7. Os usurios de TI devem utilizar apenas softwares licenciados pelo fabricante nos equipamentosdasentidades,observadasasnormasdaICPBrasilelegislaodesoftware. 9.3.5.8. A entidade dever estabelecer os aspectos de controle, distribuio e instalao de softwaresutilizados. 9.3.5.9.Aimpressodedocumentossigilososdeveserfeitasobsupervisodoresponsvel.Os relatriosimpressosdevemserprotegidoscontraperda,reproduoeusonoautorizado. 9.3.5.10.Oinventriodosrecursosdevesermantidoatualizado. 9.3.5.11.Ossistemasemusodevemsolicitarnovaautenticaoapscertotempodeinatividade dasesso(timeout). 9.3.5.12.Asmdiasdevemsereliminadasdeformasegura,quandonoforemmaisnecessrias. Procedimentosformaisparaaeliminaoseguradasmdiasdevemserdefinidos,paraminimizaros riscos. 9.3.6.CombateaVrusdeComputador Osprocedimentos decombate a processosdestrutivos (vrus, cavalodetria e worms) devem estar sistematizados e devem abranger mquinas servidoras, estaes de trabalho, equipamentos portteisemicrocomputadoresstandalone. 10.REQUISITOSDESEGURANADOSRECURSOSCRIPTOGR FICOS 10.1.RequisitosGeraisparaSistemaCriptogrficodaICPBrasil 10.1.1.OsistemacriptogrficodaICPBrasildeveserentendidocomosendoumsistemacomposto dedocumentaonormativaespecficadecriptografiaaplicadanaICPBrasil,conjuntoderequisitosde criptografia, projetos, mtodos de implementao, mdulos implementados de hardware e software, definies relativas a algoritmos criptogrficos e demais algoritmos integrantes de um processo criptogrfico,procedimentosadotadosparagernciadaschavescriptogrficas,mtodosadotadospara testesderobustezdascifrasedetecodeviolaesdessas. 10.1.2.Todaadocumentao,referenteadefinio,descrioeespecificaodoscomponentes dossistemascriptogrficosutilizadosnaICPBrasil,deveseraprovadapelaACRaiz. 10.1.3.CompeteACRaizacompanharaevoluotecnolgicae,quandonecessrio,atualizaros padresealgoritmoscriptogrficosutilizadosnaICPBrasil, comvistasamanteraseguranadainfra estrutura. 10.1.4. Todo parmetro crtico, cuja exposio indevida comprometa a segurana do sistema criptogrficodaICPBrasil,deveserarmazenadocifrado. 10.1.5. Os aspectos relevantes relacionados criptografia no mbito da ICPBrasil devem ser detalhadosemdocumentosespecficos,aprovadospelaACRaiz. 10.2.Chavescriptogrficas 10.2.1.Osprocessosqueenvolvemaschavescriptogrficasutilizadasnossistemascriptogrficos da ICPBrasil devero ser executados por um nmero mnimo e essencial de pessoas, assim como devemestarsubmetidosamecanismosdecontroleconsideradosadequadospeloCGICPBrasil. 10.2.2.Aspessoas,aqueserefereoitemanterior,deveroserformalmentedesignadaspela chefia competente, conforme as funes a serem desempenhadas e o correspondente grau de privilgios,assimcomoteremsuasresponsabilidadesexplicitamentedefinidas. 10.2.3. Os algoritmos de criao e de troca das chaves criptogrficas utilizados no sistema criptogrficodaICPBrasildevemseraprovadospeloCGICPBrasil. 10.2.4.Osdiferentestiposdechavescriptogrficasesuasfunesnosistemacriptogrficoda

ICPBrasildevemestarexplicitadosnaspolticasdecertificadoespecficas. 10.3.TransportedasInforma es 10.3.1.Oprocessodetransportedechavescriptogrficasedemaisparmetrosdosistemade criptografia da ICPBrasil devem ter a integridade e o sigilo assegurados, por meio do emprego de soluescriptogrficasespecficas. 10.3.2. Devese adotar recursos de VPN (Virtual Private Networks redes privadas virtuais), baseadasemcriptografia,paraatrocadeinformaessensveis,pormeioderedespblicas,entreas redesdasentidadesdaICPBrasilquepertenamaumamesmaorganizao.
2

11.AUDITORIAEFISCALIZA O 11.1. As atividades das entidades integrantes da ICPBrasil esto associadas ao conceito de confiana.Osprocessosdeauditoriaefiscalizaorepresentaminstrumentosquefacilitamapercepo etransmissodeconfianacomunidadedeusurios,dadoqueoobjetivodessesprocessosverificar acapacidadedasentidadesintegrantesematenderaosrequisitosdaICPBrasil. 11.2.Oresultadodasauditoriasproperacionais umitemfundamentalaserconsideradono processo de credenciamento das entidades na ICPBrasil, da mesma forma que o resultado das auditorias operacionais e fiscalizaes item fundamental para a manuteno da condio de credenciada. 11.3.DeveroserrealizadasauditoriasperidicasnasentidadesintegrantesdaICPBrasil,pelaAC Raiz ou por terceiros por ele autorizados, conforme o disposto no documento CRITRIOS E PROCEDIMENTOSPARAREALIZAODEAUDITORIASNASENTIDADESINTEGRANTESDAICP BRASIL[1].Essedocumentotratadoobjetivo,freqnciaeabrangnciadasauditorias,daidentidadee qualificaodoauditoredemaistemascorrelacionados. 11.4.Almdeauditadas,asentidadesintegrantesdaICPBrasilpodemserfiscalizadaspelaAC Raiz a qualquer tempo, sem aviso prvio, observado o disposto no documento CRITRIOS E PROCEDIMENTOSPARAFISCALIZAODASENTIDADESINTEGRANTESDAICPBRASIL[2]. 1 12.GERENCIAMENTODERISCOS 12.1.Definio ProcessoquevisaaproteodosserviosdasentidadesintegrantesdaICPBrasil,pormeioda eliminao,reduooutransfernciadosriscos,conformesejaeconomicamente(eestrategicamente) maisvivel.Osseguintespontosprincipaisdevemseridentificados: a)oquedeveserprotegido; b)anlisederiscos(contraquemoucontraoqudeveserprotegido); c)avaliaoderiscos(anlisedarelaocusto/benefcio). 12.2.FasesPrincipais Ogerenciamentoderiscosconsistedasseguintesfasesprincipais a)identificaodosrecursosaseremprotegidoshardware,rede,software,dados,informaes pessoais,documentao,suprimentos; b) identificao dos riscos (ameaas) que podem ser naturais (tempestades, inundaes), causadasporpessoas(ataques,furtos,vandalismos,errosounegligncias)oudequalqueroutrotipo (incndios); c)anlisedosriscos(vulnerabilidadeseimpactos)identificarasvulnerabilidadeseosimpactos associados; d)avaliaodosriscos(probabilidadedeocorrncia)levantamentodaprobabilidadedaameaa viraacontecer,estimandoovalor doprovvelprejuzo.Estaavaliaopode ser feita combaseem informaeshistricasouemtabelasinternacionais; e)tratamentodosriscos(medidasaseremadotadas)maneiracomolidarcomasameaas.As principaisalternativasso:eliminarorisco,prevenir,limitaroutransferirasperdasouaceitarorisco;

f)monitoraodaeficciadoscontrolesadotadosparaminimizarosriscosidentificados; g)reavaliaoperidicadosriscosemintervalosdetemponosuperioresa6(seis)meses; 12.3.RiscosrelacionadossentidadesintegrantesdaICPBrasil OsriscosaseremavaliadosparaasentidadesintegrantesdaICPBrasilcompreendem,dentre outros,osseguintes: Segmento DadoseInformao Pessoas Riscos Indisponibilidade, Interrupo (perda), interceptao, modificao,fabricao,destruio Omisso, erro, negligncia, imprudncia, impercia, desdia, sabotagem,perdadeconhecimento Hacker, acesso desautorizado, interceptao, engenharia social, identidade forjada, reenvio de mensagem, violao de integridade,indisponibilidadeourecusadeservio Indisponibilidade,interceptao(furtoouroubo),falha Interrupo (apagamento), interceptao, modificao, desenvolvimento,falha

Rede

Hardware Softwareesistemas

Ciclo de vida dos certificados, gerenciamento das chaves Recursoscriptogrficos criptogrficas,hardwarecriptogrfico,algoritmos(desenvolvimentoe utilizao),materialcriptogrfico. 12.4.Considera esGerais 12.4.1. Os riscos que no puderem ser eliminados devem ter seus controles documentados e devemserlevadosaoconhecimentodaACRaiz. 12.4.2. Um efetivo gerenciamento dos riscos permite decidir se o custo de prevenir um risco (medidadeproteo)maisaltoqueocustodasconseqnciasdorisco(impactodaperda). 12.4.3.necessriaaparticipaoeoenvolvimentodaaltaadministraodasentidades. 12.5.ImplementaodoGerenciamentodeRiscos O gerenciamento de riscos nas entidadesda ICPBrasil podeser conduzido de acordo coma metodologiapadroouproprietria,desdequeatendidostodosostpicosrelacionados. 13.PLANODECONTINUIDADEDONEGCIO 13.1.Definio Planocujoobjetivo manteremfuncionamentoosservioseprocessoscrticosdasentidades integrantesdaICPBrasil,naeventualidadedaocorrnciadedesastres,atentados,falhaseintempries. 13.2.DiretrizesGerais 13.2.1.Sistemasedispositivosredundantesdevemestardisponveisparagarantiracontinuidade daoperaodosservioscrticosdemaneiraoportuna. 13.2.2.TodasasACintegrantesdaICPBrasildeveroapresentarumPCNqueestabelecer,no mnimo,otratamentoadequadodosseguinteseventosdesegurana: a)comprometimentodachaveprivadadasentidades; b)invasodosistemaedaredeinternadaentidade; c)incidentesdeseguranafsicaelgica; d)indisponibilidadedaInfraestrutura;e

e)fraudesocorridasnoregistrodousurio,naemisso,expedio,distribuio,revogaoeno gerenciamentodecertificados. 13.2.3.TodopessoalenvolvidocomoPCNdevereceberumtreinamentoespecficoparapoder enfrentarestesincidentes. 13.2.4.Umplanodeaoderespostaaincidentesdever serestabelecidoparatodasasAC integrantes da ICPBrasil. Esteplano deve prever, no mnimo, o tratamentoadequado dosseguintes eventos: a)comprometimentodecontroledeseguranaemqualquereventoreferenciadonoPCN; b)notificaocomunidadedeusurios,seforocaso; c)revogaodoscertificadosafetados,seforocaso; d)procedimentosparainterrupooususpensodeservioseinvestigao; e)anliseemonitoramentodetrilhasdeauditoria;e f)relacionamentocomopblicoecommeiosdecomunicao,seforocaso. 114.DOCUMENTOSREFERENCIADOS OsdocumentosabaixosoaprovadosporResoluesdoComitGestordaICPBrasil,podendo ser alterados, quando necessrio, pelo mesmo tipo de dispositivo legal. O stio http://www.iti.gov.br publicaaversomaisatualizadadessesdocumentoseasResoluesqueosaprovaram. Ref. [1] [2] Nomedodocumento Cdigo

CRITRIOS E PROCEDIMENTOS PARA REALIZAO DE DOCICP08 AUDITORIASNASENTIDADESINTEGRANTESDAICPBRASIL CRITRIOS E PROCEDIMENTOS PARA FISCALIZAO DAS DOCICP09 ENTIDADESINTEGRANTESDAICPBRASIL