| Instrução Normativa nº 002, de
19.12.2016
|
|
INSTRUÇÃO NORMATIVA Nº 002, de 19 de dezembro de 2016.
Estabelece controle de acesso físico e lógico aos recursos computacionais para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.
O
SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que
lhe conferem o art. 9º, inciso I, da Portaria SEFAZ nº 811, de 13 de
setembro de 2016.
RESOLVE:
Art. 1o Fica estabelecido o controle de acesso de pessoas aos recursos computacionais da SEFAZ/TO e suas instalações.
Art. 2º São diretrizes do controle de acesso físico de pessoas:
I - os controles de acesso físico visam restringir o contato com equipamentos, documentos e suprimentos de TI, apenas às pessoas autorizadas;
II - a SPT deve adotar controles que restrinjam a entrada e saída de visitantes, usuário interno, equipamentos e mídias, estabelecendo em suas instalações, perímetros de segurança e habilitando o acesso apenas de pessoal autorizado;
III - a SPT deve contar com uma sala de atendimento técnico, voltada ao atendimento do usuário interno ou externo;
IV - os servidores com grande volume de processamento, banco de dados, grupo geradores (no break), acessórios e pessoal técnico permaneceram em ambientes seguros e reservados (Data Center), com registro do acesso de pessoas;
V - todo o pessoal envolvido em trabalhos de apoio e manutenção das instalações físicas e suporte, deve ser orientado em medidas de proteção ao acesso;
VI - todas as pessoas devem portar identificação visível que informe se é servidor ou visitante, bem como o nível de autorização de acesso;
VII - o ingresso de visitantes deve ser controlado de forma a impedir o acesso às áreas de armazenamento, processamento de informações e desenvolvimento, salvo acompanhados e com autorização da SPT.
Art. 3º São diretrizes do controle de acesso lógico:
I - os controles de acesso lógico são um conjunto de procedimentos, recursos e meios utilizados com a finalidade de prevenir e/ou obstruir ações de qualquer natureza que possam comprometer recursos computacionais, redes corporativas, aplicações, banco de dados e sistemas de informação;
II - o acesso remoto por agentes externos, consultores, prestadores de serviços, responsáveis por configurações, migrações, backup, disaster recovery e outras intervenções, deverão ter usuário próprio previamente autorizado pela SPT;
III - o Data Center deve ser isolado, protegido, não compartilhado com outros setores senão a SPT, seu acesso restringido fisicamente, monitorado por cameras e outros meios de segurança (chaves, portas seguras, identificacão biométrica) para evitar interceptação, interferência ou discontinuidade e mantido por rede estabilizada e no break;
IV - as vulnerabilidades do ambiente de tecnologia devem ser avaliadas periodicamente pela ETRI e as recomendações de segurança devem ser divulgadas e adotadas pela SEFAZ/TO.
Art. 4º Os agentes do fisco deverão acessar os sistemas de fiscalização, arrecadação e auditoria, preferencialmente, através de certificado digital próprio, observando os aspectos de segurança e validade jurídica;
Art. 5º Os técnicos lotados na SPT terão permissão de acesso remoto às estações de trabalho dos usuários sempre que necessário, independente de comunicação, para fiel cumprimento desta POSIEC.
Art. 6º Esta Instrução Normativa entra em vigor na data de sua publicação.
EDES DIVINO DE OLIVEIRA
Superintendente de Projetos Tecnológicos