Instrução Normativa nº 003, de
19.12.2016
|
INSTRUÇÃO NORMATIVA Nº 003, de 19 de dezembro de 2016.
Estabelece acesso remoto e regras para a sua utilização para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.
O SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que lhe conferem o art. 9º, inciso I, da Portaria SEFAZ nº 811, de 13 de setembro de 2016.
RESOLVE:
Art. 1º Fica estabelecido o controle de acesso remoto no ambiente computacional da SEFAZ/TO.
Art. 2º O serviço de acesso remoto externo à rede da SEFAZ/TO, visando à prevenção de acesso não autorizado, seguirá as seguintes diretrizes:
I - o acesso remoto à rede corporativa somente deve ser disponibilizado aos usuários por meio de certificado digital ou assinatura cadastrada com fornecimento de login e senha, autorizados pelo Superintendente de Projetos Tecnológicos ou a quem este delegar;
II - os administradores da rede da SEFAZ/TO lotados na SPT, para o desempenho de suas atribuições, terão permissão de acesso remoto a todos os recursos computacionais da SEFAZ/TO;
III - os técnicos de suporte em informática poderão ter permissão de acesso aos servidores de rede, servidores de aplicações, servidores web e estações de trabalho de sua circunscrição quando estritamente necessários ao desempenho de suas atribuições;
IV - a liberação de acesso remoto só será efetivada após formalização via sistema de chamados TI e Termo de Compromisso e Responsabilidade e aprovação pela SPT, para que se evitem ameaças à integridade e sigilo das informações contidas na rede SEFAZ/TO;
V - as conexões remotas à rede da SEFAZ/TO devem ocorrer da seguinte maneira:
a) utilização de autenticação;
b) as senhas e as informações que trafegam entre a estação remota e a rede da SEFAZ/TO devem estar criptografadas;
VI - cada usuário deve manter suas credenciais de acesso (login e senha) em sigilo absoluto e não fornecê-lo a outra pessoa, garantindo assim, a impossibilidade de acesso indevido por pessoas não autorizadas;
VII - é vedada a utilização do acesso remoto para fins não relacionados às suas atividades na instituição sob as penas previstas na lei.
Art. 3º A solicitação do acesso remoto deve conter, no mínimo, as seguintes informações:
I - dados do solicitante;
II - dados do usuário;
III - tipo de acesso;
IV - tempo de validade do acesso remoto;
V - justificativa;
VI - Termo de Responsabilidade e Confidencialidade assinado pelo usuário.
Art. 4º A disponibilização de acesso remoto à rede da SEFAZ/TO para outras organizações, em casos especiais, deve obedecer os preceitos do artigo anterior, bem como às seguintes regras:
I - solicitação formal do gestor do órgão;
II - acesso temporário e limitado às necessidades de negócio;
III - revisão periódica da necessidade e direitos de acesso;
IV - utilização de solução que permita a implementação e controle de regras de acesso.
Art. 5º O serviço de acesso remoto deve ser cancelado sob as seguintes condições:
I - finalização do período autorizado para acesso;
II - perda da necessidade de utilização do serviço;
III - transferência, afastamento ou desligamento do usuário;
IV - identificação de vulnerabilidade, risco ou uso indevido no acesso concedido;
V - inobservância da Política de Segurança da Informação, Equipamentos e das Comunicações – POSIEC.
Art. 6º Esta Instrução Normativa entra em vigor na data de sua publicação.
EDES DIVINO DE OLIVEIRA
Superintendente de Projetos Tecnológicos