SEI/DNOCS - 1598960

Ministério da Integração e DO Desenvolvimento Regional
DEPARTAMENTO NACIONAL DE OBRAS CONTRA AS SECAS

Ministério da Integração e do Desenvolvimento Regional - MDR
Departamento Nacional de Obras Contra as Secas – DNOCS

O DIRETOR-GERAL DO DEPARTAMENTO NACIONAL DE OBRAS CONTRA AS SECAS – DNOCS, no uso das atribuições legais que lhe confere o disposto no Art. 68 e respectivo inciso XII da Portaria DNOCS/DG/GAB nº 43, de 31 de janeiro de 2017 ;

Art. 1º Aprovar a Política de Gestão de Controle de Acesso do Departamento Nacional de Obras Contra as Secas – DNOCS, na forma do Anexo I desta Portaria, de observância obrigatória no âmbito dessa Autarquia Federal.

Documento assinado eletronicamente por Fernando Marcondes de Araújo Leão, Diretor Geral, em 22/03/2024, às 14:52, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.dnocs.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 1598960 e o código CRC A23DFC4B.

Art. 1º O acesso lógico aos recursos da Rede Local deve ser realizado por meio de sistema de controle de acesso. O acesso deve ser concedido e mantido pela unidade de TIC, baseado nas responsabilidades e tarefas de cada usuário.

I - Terão direito a acesso lógico aos recursos da Rede Local os usuários de recursos de tecnologia da informação.

II - Para fins desta Resolução, consideram-se usuários de recursos de tecnologia da informação servidores ocupantes de cargo efetivo ou cargo em comissão, ocupantes de emprego público em exercício, assim como funcionários de empresas prestadoras de serviços, estagiários e demais usuários temporários em atividade no DNOCS.

III - O acesso remoto deve ser realizado por meio de VPN – Rede Virtual Privada, após as devidas autorizações.

V - O acesso a todas as aplicações corporativas ou de terceiros que estejam hospedados em fornecedores deve utilizar MFA.

Art. 2º A unidade de TIC deve estabelecer e manter um inventário de todas as contas gerenciadas, este deve incluir contas de usuário, administrativas, testes e serviço. Em caso de contas de serviço, o inventário deve conter no mínimo informações de:

Art. 3º A unidade de TIC deve implementar a centralização da gestão de contas por meio de serviço de diretório e/ou identidade.

Art. 4º A unidade de TIC deve estabelecer e manter um inventário dos sistemas de autenticação e autorização da organização, tal inventário deve ser revisado periodicamente.

Art.5º A unidade de TIC deve centralizar o controle de acesso para todos os ativos de informação da organização por meio de um serviço de diretório ou provedor de SSO.

Art. 6º A unidade de TIC deve definir e manter o controle de acesso dos usuários baseado em funções.

I - Deve ser elaborada a documentação dos direitos dos acessos para cada função dentro da organização.

II - A unidade de TIC deverá realizar análises de controle de acesso aos ativos institucionais para validar se todos os privilégios estão autorizados para a execução de atividades de cada função, este processo deve ser repetido de forma periódica ou quando novas funções e ativos de informação forem inseridos na organização.

Art. 7º Para utilização das estações de trabalho do DNOCS, será obrigatório o uso de uma única identificação (login) e de senha de acesso, fornecidos pela unidade de TIC mediante solicitação formal pelo titular da unidade do requisitante.

I - O formulário de solicitação de acesso se encontra disponível para preenchimento na Intranet do DNOCS.

II - Os privilégios de acesso dos usuários à Rede Local devem ser definidos pela unidade requisitante ao qual o usuário está vinculado, limitando-se a atividades estritamente necessárias à realização de suas tarefas.

III - Na necessidade de utilização de perfil diferente do disponibilizado, o titular da unidade do usuário deverá encaminhar solicitação para a unidade de TIC que a examinará, podendo negá-la nos casos em que a entender desnecessária.

Art. 8º O login e senha são de uso pessoal e intransferível, sendo proibida a sua divulgação, sob pena de serem bloqueados pela unidade de TIC quando constatada qualquer irregularidade.

Parágrafo único. Para retomar o acesso à rede, deverá ser formalizada nova requisição pelo titular da unidade do requisitante.

Art. 9º O padrão adotado para o formato da conta de acesso do usuário é a sequência primeiro nome + ponto + último nome do usuário, como por exemplo, João.silva.

Parágrafo único. Nos casos de já existência de conta de acesso para outro usuário, a unidade de TIC realizará outra combinação utilizando o nome completo do usuário para o qual a conta está sendo criada.

Art. 10 O padrão adotado para o formato da senha é o definido pela unidade de TIC que considera o tamanho mínimo de caracteres, a tipologia (letras, número e símbolos) e a proibição de repetição de senhas anteriores.

I - A formação da senha da identificação (login) de acesso à Rede Local deve seguir as regras de:

a) Possuir tamanho mínimo de oito caracteres, sendo obrigatório o uso de letras e números, para contas que utilizam MFA e 14 caracteres para contas que não utilizam MFA;

b) Recomenda-se a utilização de letras maiúsculas, minúsculas e caracteres especiais ($, %, &,...);

c) Não ser formada por sequência numérica (123...), alfabética (abc...), nomes próprios, palavras de fácil dedução, datas, placa de carro, número de telefone, a própria conta de acesso, apelidos ou abreviações;

d) Não utilizar termos óbvios, tais como: Brasil, senha, usuário, password ou system.

II - A unidade de TIC fornecerá uma senha temporária para cada conta de acesso criada no momento da liberação dessa conta e a mesma deverá ser alterada pelo usuário quando do primeiro acesso à Rede Local.

Art. 11 As senhas de acesso serão renovadas a cada 90 (noventa)dias, devendo o usuário ser informado antecipadamente a fim de que ele próprio efetue a mudança.

Parágrafo único. Caso não efetue a troca no prazo estabelecido, será bloqueado seu acesso à Rede Local até que a nova senha seja configurada.

III - Quando da suspeita de mau uso dos serviços disponibilizados pelo DNOCS ou descumprimento da Política de Segurança da Informação e normas correlatas em vigência.

Art. 13 O desbloqueio da conta de acesso à Rede Local será realizado apenas após solicitação formal do superior imediato do usuário à unidade de TIC.

Art. 14 Quando do afastamento temporário do usuário, a conta de acesso deve ser bloqueada a pedido do superior imediato ou do unidade de Gestão de Pessoas.

Art. 15 A conta de acesso não utilizada há mais de 180 (cento e oitenta) dias poderá ser cancelada.

Art. 16 A unidade de TIC deve configurar o bloqueio automático de sessão nos ativos após um período de inatividade preestabelecido. Tal prazo pode ser específico para cada tipo de ativo.

Art. 17 A unidade de TIC deve, sempre que possível, priorizar a revogação/desativação de contas com o objetivo de manter dados e logs para possíveis auditorias.

Art. 18 Quando houver mudança do usuário para outro setor ou o usuário ocupar uma nova função, os direitos de acesso à Rede Local devem ser revogados.

I- O novo superior imediato ou a unidade de Gestão de Pessoas deve realizar a solicitação de novos acessos de acordo com novo setor / função do usuário.

II - Os direitos de acesso antigos devem ser imediatamente cancelados conforme solicitação do antigo superior imediato ou a unidade de Gestão de Pessoas.

Art. 19 A conta de acesso biométrico, quando implementada, deve ser vinculada a uma conta de acesso lógico e ambas devem ser utilizadas para se obter um acesso, a fim de atender os conceitos da autenticação de multifatores.

Parágrafo único. O DNOCS deverá tratar seus respectivos dados biométricos como dados sigilosos, preferencialmente, utilizando-se de criptografia, na forma da legislação vigente.

Art. 20 A utilização de identificação (login) com acesso no perfil de administrador é permitida somente para usuários cadastrados para execução de tarefas específicas na administração de ativos de informação.

I - Somente os técnicos da unidade de TIC devidamente identificados e habilitados, terão senha com privilégio de administrador nos equipamentos locais e na rede.

II - Na necessidade de utilização de login com privilégio de administrador do equipamento local, o usuário deverá encaminhar solicitação para a unidade de TIC, que poderá negar os casos em que entender desnecessária a utilização.

III - Se concedida a permissão ao usuário como administrador local na estação de trabalho, esse será responsável por manter a integridade da máquina, não podendo instalar, desinstalar ou remover qualquer programa sem autorização formal da unidade de TIC.

IV - Caso constatada a irregularidade, o usuário perderá o acesso como administrador, não mais podendo requerer outra permissão.

V - A identificação (login) com privilégio de administrador nos equipamentos locais será fornecida em caráter provisório, podendo ser renovada por solicitação formal do titular da unidade requisitante.

VI - Salvo para atividades específicas da área responsável pela gestão da tecnologia da informação do órgão, não será concedida, para um mesmo usuário, identificação (login) com privilégio de administrador para mais de uma estação de trabalho, ou para acesso a equipamentos servidores e a dispositivos de rede.

VII - Excepcionalmente, poderão ser concedidas identificações (login) de acesso à rede de comunicação de dados a visitante em caráter temporário após apreciação do setor responsável por meio da unidade de TIC.

VIII - A unidade de TIC deve implementar o MFA para todas as contas de administrador.

IV - A unidade de TIC deve restringir os privilégios de administrador a contas de administrador dedicados nos ativos de informação, para que o usuário com privilégio de administrador não consiga realizar atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, estas atividades deverão ser realizadas preferencialmente a partir da conta primária não privilegiada do usuário.

Art. 21 É de responsabilidade do superior imediato do usuário comunicar formalmente à unidade de Gestão de Pessoas e a unidade de TIC o desligamento ou saída do usuário do DNOCS, para que as permissões de acesso à Rede Local sejam canceladas.

Art. 22 Caberá à unidade de Gestão de Pessoas do DNOCS a comunicação imediata à unidade de TIC sobre desligamentos, férias e licenças de servidores e estagiários, para que seja efetuado o bloqueio momentâneo ou a revogação definitiva da permissão de acesso aos recursos.

Art. 23 É responsabilidade da unidade de recursos logísticos do DNOCS a comunicação imediata à unidade de TIC da Informação sobre desligamentos, férias e licenças de funcionários de empresas prestadoras de serviços, para que seja efetuado o bloqueio momentâneo ou revogação definitiva da permissão de acesso aos recursos.

I - Os serviços serão filtrados por programas de antivírus, anti-phishing e anti-spam e, caso violem alguma regra de configuração, serão bloqueados ou excluídos automaticamente.

II - Nenhum técnico do DNOCS terá acesso ao conteúdo das informações armazenadas nos equipamentos servidores do DNOCS.

Art. 24 É de responsabilidade da unidade de TIC o monitoramento da utilização de serviços de rede e de acesso à Internet, podendo ainda exercer fiscalização nos casos de apuração de uso indevido desses recursos, bem como bloquear, temporariamente, sem aviso prévio, a estação de trabalho que esteja realizando atividade que coloque em risco a segurança da rede, até que seja verificada a situação e descartada qualquer hipótese de dano à infraestrutura tecnológica do DNOCS.

Art. 25 O usuário é responsável por todos os acessos realizados através de sua conta de acesso e por possíveis danos causados à Rede Local e a recursos de tecnologia custodiados ou de propriedade do DNOCS.

I - O usuário é responsável pela integridade e utilização de sua estação de trabalho, devendo, no caso de sua ausência temporária do local onde se encontra o equipamento, bloqueá-lo ou desconectar-se da estação, para coibir acessos indevidos.

II - A utilização simultânea da conta de acesso à Rede Local em mais de uma estação de trabalho ou notebook deve ser evitada, sendo responsabilidade do usuário titular da conta de acesso os riscos que a utilização paralela implica.

III - O usuário não poderá, em hipótese alguma, transferir ou compartilhar com outrem sua conta de acesso e respectiva senha à Rede Local.

Art. 26 O usuário deve informar à unidade de TIC qualquer situação da qual tenha conhecimento que configure violação de sigilo ou que possa colocar em risco a segurança inclusive de terceiros.

Art. 27 É dever de o usuário zelar pelo uso dos sistemas informatizados, tomando as medidas necessárias para restringir ou eliminar riscos para a Instituição, a saber:

I - Não permitir a interferência externa caracterizada como invasão, monitoramento ou utilização de sistemas por terceiros, e outras formas;

II - Evitar sobrecarga de redes, de dispositivos de armazenamento de dados ou de outros, para não gerar indisponibilidade de informações internas e externas;

III - Interromper a conexão aos sistemas e adotar medidas que bloqueiem o acesso de terceiros, sempre que completarem suas atividades ou quando se ausentarem do local de trabalho por qualquer motivo;

IV - Não se conectar a sistemas e não buscar acesso a informações para as quais não lhe tenham sido dadas senhas e/ou autorização de acesso;

V - Não divulgar a terceiros ou a outros usuários dispositivos ou programas de segurança existentes em seus equipamentos ou sistemas;

VI - Utilizar corretamente os equipamentos de informática e conservá-los conforme os cuidados e medidas preventivas estabelecidas;

VII - Não divulgar suas senhas e nem permitir que terceiros tomem conhecimento delas, reconhecendo-as como pessoais e intransferíveis;

VIII - Assinar Termo de Concordância quanto a utilização da respectiva conta de acesso.

Art. 28 Os incidentes que afetem a Segurança das Informações, assim como o descumprimento da Política de Segurança da Informação e Normas de Segurança devem ser obrigatoriamente comunicados pelos usuários à unidade de TIC.

Art. 29 Quando houver suspeita de quebra da segurança da informação que exponha ao risco os serviços ou recursos de tecnologia, a unidade de TIC fará a investigação, podendo interromper temporariamente o serviço afetado, sem prévia autorização.

I - Nos casos em que o ator da quebra de segurança for um usuário, a unidade de TIC comunicará os resultados ao superior imediato do mesmo para adoção de medidas cabíveis.

II - Ações que violem a POSIC ou que quebrem os controles de Segurança da Informação serão passíveis de sansões civis, penais e administrativas, conforme a legislação em vigor, que podem ser aplicadas isoladamente ou cumulativamente.

III - Processo administrativo disciplinar específico deverá ser instaurado para apurar as ações que constituem em quebra das diretrizes impostas por esta Norma e pela POSIN.

IV - A resolução de casos de violação/transgressões omissos nas legislações correlatas será resolvida pelo Comitê de Governança Digital(CGD).

Eu li e entendi a Política de Gestão de Controle de Acesso do DNOCS. Entendo que se eu violar as diretrizes estabelecidas nesta Política, posso enfrentar ações legais e/ou disciplinares de acordo com as leis aplicáveis e as normas internas do DNOCS.

__________________________________________________________________________________