COMPLEMENTAÇÃO DA DEFINIÇÃO E CONFIGURAÇÃO DO SISTEMA DE INTERCÂMBIO DE INFORMAÇÃO DE SEGURANÇA ENTRE OS ESTADOS PARTES DO MERCOSUL



Documentos relacionados
GUIA PARA O RECONHECIMENTO DOS PROCEDIMENTOS DE AVALIAÇÃO DA CONFORMIDADE

CONTRATAÇÃO DE SERVIÇOS DE TERCEIRIZAÇÃO PARA PRODUTOS FARMACÊUTICOS NO ÂMBITO DO MERCOSUL

TENDO EM VISTA: O Tratado de Assunção, o Protocolo de Ouro Preto, e a Resolução N 43/99 do Grupo Mercado Comum.

PROGRAMA PARA CAPACITAÇÃO DE INSPETORES PARA A VERIFICAÇÃO DO CUMPRIMENTO DAS BOAS PRÁTICAS DE FABRICAÇÃO DE PRODUTOS MÉDICOS

Servidor de Gerenciamento de Chaves de Encriptação Aérea OTAR

Gerência de Segurança

RESOLUÇÃO Nº 080/2014, DE 25 DE JUNHO DE 2014 CONSELHO UNIVERSITÁRIO UNIVERSIDADE FEDERAL DE ALFENAS UNIFAL-MG

PAUTAS NEGOCIADORAS DA RED

SECRETARÍA DEL MERCOSUR RESOLUCIÓN GMC Nº 26/01 ARTÍCULO 10 FE DE ERRATAS ORIGINAL

MODULO SERVIDOR DE GERENCIAMENTO DE CHAVES DE ENCRIPTAÇÃO AÉREA OTAR P25, FASE 2

CONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS

SE Brasília/DF Jan./ ex. 10,5x29,7cm Editora MS/CGDI/SAA OS 2013/0124

Em 2013, o registro de dados no SIOPS passará a ser obrigatório.

Apresentação. E&L ERP Protocolo, Documentos Eletrônicos e Processos. PostgreSQL 8.2/ 8.3. Domingos Martins ES. v. 1.0

Processo Digital Gerir Combustível Manual do Usuário

TERMO DE REFERÊNCIA CG ICP-BRASIL COMITÊ GESTOR DA ICP-BRASIL

SERVICE DESK MANAGER SDM. Manual do Sistema - DPOI

Diretrizes Gerais para uso dos recursos de Tecnologia da Informação

Superior Tribunal de Justiça

SISTEMAS DISTRIBUÍDOS

A computação na nuvem é um novo modelo de computação que permite ao usuário final acessar uma grande quantidade de aplicações e serviços em qualquer

Norma de Uso do Sistema de Gestão de Demanda IFAM PRODIN/DGTI

SEGURO DESEMPREGO ON-LINE.

Portaria n.º 510, de 13 de outubro de 2015.

Assinatura Digital: problema

TENDO EM VISTA: O Tratado de Assunção, o Protocolo de Ouro Preto e as Resoluções Nº 31/97 e 09/01 do Grupo Mercado Comum.

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE CONFIGURAÇÃO

O que é o SAT. Principais características do SAT. Prazos e obrigatoriedade

Manual do Usuário. E-DOC Peticionamento Eletrônico TST

TRABALHO DE DIPLOMAÇÃO Regime Modular ORIENTAÇÕES SOBRE O ROTEIRO DO PROJETO FINAL DE SISTEMAS DE INFORMAÇÕES

Apresentação. E&L ERP Sistema Gerencial de Informações. PostgreSQL 8.2/ 8.3. Domingos Martins ES. v. 1.0

Segurança Internet. Fernando Albuquerque. (061)

Sistemas Operacionais II. Prof. Gleison Batista de Sousa

CRITÉRIOS PARA A ADMINISTRAÇÃO SANITÁRIA DE DEJETOS LÍQUIDOS E ÁGUAS SERVIDAS EM PORTOS, AEROPORTOS, TERMINAIS E PONTOS DE FRONTEIRA, NO MERCOSUL

4. Qual seria o impacto da escolha de uma chave que possua letras repetidas em uma cifra de transposição?

CELEBRAÇÃO DE CONVÊNIOS, TERMOS DE COOPERAÇÃO E ACORDOS DE COOPERAÇÃO TÉCNICA NACIONAIS NO ÂMBITO DA FIOCRUZ BAHIA. Órgão Gestor

MÓDULO 8 ARQUITETURA DOS SISTEMAS DE BANCO DE DADOS

Classificação dos Sistemas de Informação

Segurança Física e Segurança Lógica. Aécio Costa

A INTERNET E A NOVA INFRA-ESTRUTURA DA TECNOLOGIA DE INFORMAÇÃO

INSTRUÇÃO NORMATIVA DO SISTEMA DE TECNOLOGIA DA INFORMAÇÃO - STI Nº 002/2015

CAPÍTULO 3 PLANO DE MANUTENÇÃO

TRILHA DE CAPACITAÇÃO CONTRATOS E MEDIÇÕES

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP

Visão geral híbrida de Serviços Corporativos de Conectividade do SharePoint 2013

CONTRATAÇÃO DE TERCEIRIZAÇÃO PARA PRODUTOS DE HIGIENE PESSOAL, COSMÉTICOS E PERFUMES

Almox Express Especificação de Requisitos

3. Explique o motivo pelo qual os protocolos UDP e TCP acrescentam a informação das portas (TSAP) de origem e de destino em seu cabeçalho.

COORDENAÇÃO DE TECNOLOGIA (COTEC) ABRIL/2011

PROJETO NOVAS FRONTEIRAS. Descrição dos processos de gerenciamento da qualidade

PHARMACEUTICAL BENEFIT MANAGEMENT PBM

Resolução 245 do DENATRAN

IBM Managed Security Services for Agent Redeployment and Reactivation

PORTARIA PGE Nº 054/2011

Sistema de Declaração Pessoal de Saúde Descritivo

Manual Operacional do Sistema de Concessão de Diárias e Passagens - SCDP Acesso ao Sistema (AGOSTO 2010)

MINISTÉRIO DA INDÚSTRIA, DO COMÉRCIO E DO TURISMO

Disciplina: Introdução à Informática Profª Érica Barcelos

MÓDULO 7 Modelo OSI. 7.1 Serviços Versus Protocolos

Universidade Federal de Roraima Diretoria de Tecnologia da Informação SIG Software e Consultoria em T.I

O que são DNS, SMTP e SNM

Manual de Registro de Saída. Procedimentos e Especificações Técnicas

Histórico da Revisão. Data Versão Descrição Autor

SISTEMA GT Sistema de Gravação Telefônica

Apresentação. Módulos integrantes

Apresentação PostgreSQL 8.2/ 8.3 Domingos Martins ES

PORTARIA NORMATIVA Nº 003, DE 30 DE MARÇO DE 2012

Bancos de dados distribuídos Prof. Tiago Eugenio de Melo

NFS-e. Nota Legal Porto Alegre

ESTADO DE PERNAMBUCO TRIBUNAL DECONTAS RESOLUÇÃO T.C. Nº 04, 7 DE MARÇO DE 2012

Transcrição:

MERCOSUL/CMC/DEC.Nº 18/00 COMPLEMENTAÇÃO DA DEFINIÇÃO E CONFIGURAÇÃO DO SISTEMA DE INTERCÂMBIO DE INFORMAÇÃO DE SEGURANÇA ENTRE OS ESTADOS PARTES DO MERCOSUL TENDO EM VISTA: o Tratado de Assunção, o Protocolo de Ouro Preto, a Decisão CMC Nº 13/99 e o Acordo Nº 13/00 da Reunião de Ministros do Interior do MERCOSUL. CONSIDERANDO: Que é necessário avançar na execução das ações e etapas previstas para pôr plenamente em andamento o SISME e na incorporação de processos automáticos de certificação de usuários mediante a incorporação de tecnologia de assinatura digital. O CONSELHO DO MERCADO COMUM DECIDE: Art. 1 - Aprovar a Complementação da Definição e Configuração do Sistema de Intercâmbio de Informação de Segurança entre os Estados Partes do MERCOSUR, elevada pela Reunião de Ministros do Interior do MERCOSUL, pelo Acordo Nº 13/00 que consta como Anexo e faz parte da presente Decisão. XVIII CMC Buenos Aires, 29/VI/00

COMPLEMENTAÇÃO DA DEFINIÇÃO E CONFIGURAÇÃO DO SISTEMA DE INTERCÂMBIO DE INFORMAÇÃO DE SEGURANÇA ENTRE OS ESTADOS PARTE DO MERCOSUL 1. Agregar em 2. Premissas e Requisitos o ponto 2.2.3. Tipos de Interação, nos termos que se consignam a seguir: 2.2.3 Tipos de Interação: As interações que deverão ocorrer entre os usuários do SISME ultra fronteiras nacionais podem ser subdivididas em 3 (três) modalidades: I. Usuário SISME com usuário SISME, para troca de mensagens não estruturadas por meio de correio eletrônico, através dos Nós Nacionais. II. Usuário SISME com usuário SISME, para troca de mensagens estruturadas em formulários por meio de correio eletrônico (scripts pré-definidos), através dos Nós Nacionais. III. Módulo Gerenciador SISME com módulo Nacional SISME, para consultas estruturadas às bases de dados do sistema. Em interações entre usuários do SISME que utilizam a estrutura de correio eletrônico (caso I e II) através do Nó Nacional respectivo, é utilizado um processo obrigatório de assinatura digital ou outro sistema de segurança equivalente ou superior, baseado em tecnologia de chave pública e privada. Os usuários do serviço de correio eletrônico recebem um certificado digital gerado por um processo de certificação, segundo o descrito no item 6.1.6. O certificado emitido se utiliza nos processos de assinatura digital e criptografia de mensagens. Todas as mensagens intercambiadas pela infra-estrutura do correio eletrônico do SISME, devem sofrer de maneira obrigatória um processo de encriptação e certificação mediante assinatura digital. Para o caso III, o próprio Módulo Gerenciador do SISME, definido conceitualmente no item 3.2.2 do documento Definição e Configuração do Sistema de Intercâmbio de Informações de Segurança do MERCOSUL, Bolívia e Chile, deverá pôr em marcha, de forma transparente para os usuários (com exceção do password para login), todos os recursos de segurança previstos no item 2.2.2. 2. Substituir na alínea 2. Premissas e Requisitos o ponto 2.2.2 Segurança pelo ponto 2.2.2 Arquitetura de Segurança, nos termos que se consignam a seguir:

2 Arquitetura de Segurança A arquitetura de segurança de informações do SISME será projetada e colocada em funcionamento com a utilização de recursos que possam garantir o controle de acesso às bases de dados, a não obstrução de acesso aos legítimos usuários, o segredo e a integridade das informações nos Sistemas e nas comunicações entre os sistemas, utilizando-se implementações de password, perfis de usuários, autenticação com assinatura digital, criptografía, e controle de acesso físico. 3. Substituir a alínea 6. Procedimentos de Auditoria pelo ponto 6. Procedimentos de Segurança e Auditoria, nos termos que se consignam a seguir: 6. Procedimentos de Segurança e Auditoria. 6.1 Procedimentos de Segurança 6.1.1 Controle de acesso lógico e Autenticação do Usuário. Cada usuário somente poderá ter acesso lógico ao sistema depois de submeter seu password individual de login a verificação automática para pôr em funcionamento o nível de segurança que cada Nó Nacional determine. A autorização de acesso (login) em cada estação de trabalho conectada ao sistema deverá, por medida de segurança, ser cancelada depois de alguns minutos de inatividade do usuário. Caso ele resolva recomeçar sua interação com o sistema, o usuário terá, então, que submeter-se a novo procedimento de identificação pondo novamente seu password para a verificação do seu perfil. Todas as interações deverão ser registradas para auditoria. Os usuários do serviço devem receber uma certificação digital gerada por um processo de certificação, conforme o previsto no item 6.1.6. O SISME deverá apresentar, no Módulo Gerenciador de cada país, os seguintes dispositivos de segurança automáticos e transparentes para o usuário-operador. Autenticação mútua dos usuários e dos ordenadores servidores envolvidos nas trocas de informações (tanto com relação às solicitações domésticas quanto às originadas dos Nós Nacionais de outros países); Criptografia, com algoritmo padronizado de chave pública e privada definida previamente de comum acordo entre os signatários; A utilização de funções e algoritmos padronizados e conhecidos, para garantir a integridade das informações.

6.1.2 Autenticação dos Equipamentos Servidores No processo de consultas estruturadas do SISME há interações, com intercâmbio de solicitações e respostas entre os módulos gerenciadores e módulos nacionais, processados nos Nós Nacionais dos países participantes. Cada equipamento servidor que pertença a um Nó Nacional, onde se processa o módulo nacional e o módulo gerenciador do país, mantém um certificado digital gerado por um processo de certificação, segundo o descrito no item 6.1.6 Todas as solicitações geradas pelos módulos gerenciadores e as respostas geradas pelos módulos nacionais, devem necessariamente, sofrer um processo de certificação mediante assinatura digital e criptográfica com o certificado digital do servidor correspondente, de acordo com a estrutura de dados descrita segundo o item 8.5.1 Parâmetros comuns para todas as Rotinas. 6.1.3 Perfis de Usuários Devem definir níveis diferentes de acesso ao sistema, de acordo com os perfis funcionais dos usuários (individualmente ou por grupo), da classificação das informações das bases de dados e da regra básica de segurança das informações conhecidas por necessidade de saber. Cada usuário ou grupo de usuários (diferenciados por nível hierárquico ou tipo de atividade funcional) deverá ter seu nível de acesso associado às informações que tem que conhecer para desempenho de suas atividades na organização. 6.1.4 Defesa contra Ataque às Redes As redes locais onde serão localizados os Nós Nacionais e Nós dos Usuários do SISME, conforme definidos conceitualmente no item 3.1.2, deverão ser dotadas de dispositivos de segurança contra acessos não autorizados, com tecnologia de firewall. Os órgãos gestores de cada rede interconectada aos Nós Nacionais, deverão elaborar e executar arquiteturas de sistemas de segurança contra ataques internos e externos ( de hackers e crackers) que possam comprometer a segurança das informações e das aplicações do SISME. 6.1.5 Controle de Acesso Físico Os ambientes computacionais das redes locais onde se encontrarão os pontos de acesso ao SISME deverão ter proteção contra acesso de pessoas não autorizadas, acidentes e ataques que possam comprometer a segurança das informações e dos equipamentos.

6.1.6 Processo de Certificação dos Usuários e das Equipes Servidoras O organismo responsável pelo Nó Nacional de cada país utilizará os mecanismos que julgue conveniente, gerará e remeterá os certificados de chaves públicas aos demais Nós Nacionais para efeito de assinatura digital. Cada Nó Nacional será responsável pela criação de uma infra-estrutura de assinatura digital ou outros sistemas de segurança equivalentes ou superiores que garantam a autenticação dos Nós Usuários. 6.2 Procedimentos de Auditoria Os procedimentos de auditoria deverão permitir a correta identificação do usuário do SISME que realizar uma determinada transação (operação) no sistema, como também a localização, tempo (com precisão de segundos) no qual ocorreu a transação realizada e o conteúdo da mesma. Este procedimento deverá ser automático, contínuo e transparente para o usuário e as informações desta forma geradas deverão ser armazenadas em fichários específicos (login de usuários) para consultar depois online, por um período de tempo indeterminado de 3 (três) meses e em outra modalidade de consulta, para fins de sua disponibilidade para auditoria pela Comissão Administradora do SISME. As rotinas de auditoria deverão prever consulta estruturada e aplicativos para consulta não-estruturada aos dados do SISME no Nó Nacional e no Módulo Gerenciador, tendo como parâmetro mínimo de execução o acesso às informações previstas no Anexo D, item 8.3.2. Essas consultas deverão ser especificadas pelos gestores de cada Nó Nacional e aplicadas somente no âmbito computacional das redes de cada país signatário.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback