Debates Parlamentares - Diário 117, p. 32 (2015-04-23)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 117 32

a) Avaliação de risco, adotando-se para o efeito a norma ISO/IEC 27005 ou outra metodologia de avaliação

de riscos equivalente;

b) Segurança física e ambiental;

c) Segurança dos recursos humanos;

d) Gestão de comunicações e operações;

e) Medidas normalizadas de controlo do acesso;

f) Aquisição, desenvolvimento e manutenção dos sistemas de informação;

g) Gestão de incidentes no domínio da segurança das informações;

h) Medidas para corrigir e mitigar violações dos sistemas de informação suscetíveis de causar a destruição,

a perda acidental, a alteração, ou a divulgação ou acesso não autorizados dos dados pessoais a tratar;

i) Conformidade;

j) Segurança de redes informáticas, recomendando-se para o efeito a norma ISO/IEC 27033.

4 - A aplicação destas normas pode cingir-se apenas às partes da organização que são relevantes para a

atividade das plataformas eletrónicas.

Artigo 40.º

Gestão de utilizadores, perfil de acesso e privilégios

1 - A plataforma eletrónica deve suportar perfis com diferentes privilégios, incluindo, no mínimo, os seguintes:

a) Administrador de segurança;

b) Administrador de sistemas;

c) Operador de sistemas;

d) Auditor de sistemas.

2 - A plataforma eletrónica deve ser capaz de associar e atribuir os utilizadores aos perfis definidos no número

anterior.

3 - A plataforma eletrónica deve garantir que um utilizador não pode ser associado a múltiplos perfis, de

acordo com o seguinte critério:

a) Um utilizador com o perfil de «Administrador de segurança» não é autorizado a assumir o perfil de «Auditor

de sistemas»;

b) Um utilizador com o perfil de «Administrador de sistemas» não é autorizado a assumir o perfil de

«Administrador de segurança» ou de «Auditor de sistemas».

Artigo 41.º

Sistemas e operações

1 - A empresa gestora garante que a plataforma eletrónica é fiável, nomeadamente:

a) Os procedimentos de operação e segurança estão definidos;

b) A plataforma eletrónica foi desenhada e desenvolvida de modo a que o risco de falha dos sistemas seja

mínimo;

c) A plataforma eletrónica está protegida de vírus e software malicioso de modo a assegurar a integridades

dos sistemas e da informação nestes incluídos.

2 - As plataformas eletrónicas devem assegurar a disponibilidade da informação para todos os utilizadores

das mesmas, exceto nos períodos de manutenção, de acordo com o disposto nos n.os 5 e 6 do artigo 28.º

3 - As plataformas eletrónicas devem implementar soluções de modo a inibir e minimizar os efeitos de

ataques distribuídos de negação de serviços.

4 - A ligação da plataforma eletrónica à rede pública deve ser assegurada, no mínimo, por duas origens

fisicamente independentes.

5 - Os vários sistemas que compõem a plataforma eletrónica devem estar atualizados e ser corrigidos

(patched), de forma expedita, à medida que são descobertas novas vulnerabilidades.

II SÉRIE-A — NÚMERO 117 32 a) Avaliação de risco, adotando-se para o efeito a norma ISO/IEC 27005 ou outra metodologia de avaliação de riscos equivalente; b) Segurança física e ambiental; c) Segurança dos recursos humanos; d) Gestão de comunicações e operações; e) Medidas normalizadas de controlo do acesso; f) Aquisição, desenvolvimento e manutenção dos sistemas de informação; g) Gestão de incidentes no domínio da segurança das informações; h) Medidas para corrigir e mitigar violações dos sistemas de informação suscetíveis de causar a destruição, a perda acidental, a alteração, ou a divulgação ou acesso não autorizados dos dados pessoais a tratar; i) Conformidade; j) Segurança de redes informáticas, recomendando-se para o efeito a norma ISO/IEC 27033. 4 - A aplicação destas normas pode cingir-se apenas às partes da organização que são relevantes para a atividade das plataformas eletrónicas. Artigo 40.º Gestão de utilizadores, perfil de acesso e privilégios 1 - A plataforma eletrónica deve suportar perfis com diferentes privilégios, incluindo, no mínimo, os seguintes: a) Administrador de segurança; b) Administrador de sistemas; c) Operador de sistemas; d) Auditor de sistemas. 2 - A plataforma eletrónica deve ser capaz de associar e atribuir os utilizadores aos perfis definidos no número anterior. 3 - A plataforma eletrónica deve garantir que um utilizador não pode ser associado a múltiplos perfis, de acordo com o seguinte critério: a) Um utilizador com o perfil de «Administrador de segurança» não é autorizado a assumir o perfil de «Auditor de sistemas»; b) Um utilizador com o perfil de «Administrador de sistemas» não é autorizado a assumir o perfil de «Administrador de segurança» ou de «Auditor de sistemas». Artigo 41.º Sistemas e operações 1 - A empresa gestora garante que a plataforma eletrónica é fiável, nomeadamente: a) Os procedimentos de operação e segurança estão definidos; b) A plataforma eletrónica foi desenhada e desenvolvida de modo a que o risco de falha dos sistemas seja mínimo; c) A plataforma eletrónica está protegida de vírus e software malicioso de modo a assegurar a integridades dos sistemas e da informação nestes incluídos. 2 - As plataformas eletrónicas devem assegurar a disponibilidade da informação para todos os utilizadores das mesmas, exceto nos períodos de manutenção, de acordo com o disposto nos n.os 5 e 6 do artigo 28.º 3 - As plataformas eletrónicas devem implementar soluções de modo a inibir e minimizar os efeitos de ataques distribuídos de negação de serviços. 4 - A ligação da plataforma eletrónica à rede pública deve ser assegurada, no mínimo, por duas origens fisicamente independentes. 5 - Os vários sistemas que compõem a plataforma eletrónica devem estar atualizados e ser corrigidos (patched), de forma expedita, à medida que são descobertas novas vulnerabilidades.

Descarregar páginas