Instrução Normativa nº 006, de
19.12.2016
|
INSTRUÇÃO NORMATIVA Nº 006, de 19 de dezembro de 2016.
Estabelece critérios para a disponibilização e administração do acesso aos recursos de tecnologia de informação para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.
O SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que lhe conferem o Art. IX, inciso I da Portaria SEFAZ nº 811, de 13 de setembro de 2016.
RESOLVE:
Art. 1o Fica estabelecido critérios para disponibilização e administração do acesso aos recursos de tecnologia de informação da SEFAZ/TO.
Art. 2º A criação de contas de acesso seguirá os seguintes critérios:
I. Todo cadastramento de conta de acesso à rede da SEFAZ/TO deve ser efetuado mediante solicitação formal eletronicamente via sistema de chamados TI (GLPI) e autorizado pelo Superintendente de Projetos Tecnológicos ou a quem este delegar;
II. Contas de acesso de terceirizados da SEFAZ/TO devem ter prazo de validade no máximo igual ao período de vigência do contrato ou período de duração de suas atividades;
III. As solicitações relativas à criação de cada conta devem ser mantidas registradas e armazenadas de forma segura pela SPT, sistema de gerenciamento de documentos;
IV. Todos os usuários devem assinar o Termo de Responsabilidade e Compromisso, descrito no anexo I, pela utilização da conta de acesso. Este termo deve ser entregue junto com a solicitação de criação de conta de acesso;
V. A nomenclatura das contas de acesso de usuários deve seguir padrão definido pela SPT;
VI. A chefia imediata da área a qual pertence o usuário deverá informar imediatamente a SPT qualquer anormalidade percebida pelo usuário quanto ao privilégio de seu acesso aos recursos de tecnologia da informação.
Art. 3º O bloqueio de contas de acesso seguirá os seguintes critérios:
I - Todo bloqueio de conta de acesso à rede da SEFAZ/TO deve ser efetuado mediante solicitação formal;
II - O bloqueio definitivo da conta de acesso do usuário deve ser solicitada caso haja:
a) Falecimento;
b) Aposentadoria;
c) Outros afastamentos que caracterizem encerramento do vínculo com a instituição;
III - O bloqueio de usuários e contas de acesso se dará nos seguintes casos:
a) Contas sem utilização por mais de 1 ano;
b) Afastamento do usuário;
c) Licenças;
d) Fruição de férias;
Parágrafo único - As contas deverão permanecer bloqueadas até que haja nova solicitação formal para desbloqueio;
IV - As contas de serviços utilizadas em servidores de rede, backup, correio eletrônico, banco de dados, aplicações, entre outros, devem ser utilizadas somente para execução de ações ligadas à sua natureza, de forma automática, sem intervenção manual através de logon/acesso;
V - As contas com privilégio de administração de rede devem ser utilizadas somente para execução das atividades correspondentes à administração do ambiente conforme as responsabilidades atribuídas, em equipamentos previamente definidos.
Art. 4º As senhas de usuários, para autenticação na rede da SEFAZ/TO devem seguir os seguintes critérios mínimos:
I - Toda senha deve ser constituída de, no mínimo, 8 caracteres sendo obrigatório conter letra, caracter especial e número;
II - A senha não poderá conter parte do nome do usuário ou dados que o identifiquem facilmente;
III - A data de expiração da senha deve ser de no máximo 1 ano, caso não seja alterada, esta será bloqueada;
IV - É obrigatória a troca de senha ao efetuar o primeiro logon;
V - É proibida a repetição das 3 últimas senhas já utilizadas;
VI - Os critérios definidos acima serão auditados pela SPT, por meio de ferramentas adequadas;
VII - A base de dados de senhas deve ser armazenada com criptografia;
VIII - O usuário poderá solicitar alteração de sua senha, caso não se recorde da mesma, mediante solicitação formal ou sistema de chamados utilizados pela SPT;
IX - No caso de uso de certificados digitais é aceito que a administração de senhas seja efetuada pela autoridade certificadora;
Art. 5º A conta de acesso é o instrumento para identificação do usuário na rede SEFAZ/TO e caracteriza-se por ser de uso individual e intransferível e sua divulgação é vedada sob qualquer hipótese.
Parágrafo único - A conta de acesso somente deve ser disponibilizado aos usuários através de certificado digital ou assinatura cadastrada com fornecimento de login e senha.
Art. 6º A Gerência de Gestão e Desenvolvimento de Pessoas da SEFAZ/TO deve comunicar à SPT, imediatamente, os desligamentos, as aposentadorias, os afastamentos e as movimentações de usuários que impliquem mudanças de lotação;
Art. 7º Esta Instrução Normativa entra em vigor na data de sua publicação.
EDES DIVINO DE OLIVEIRA
Superintendente de Projetos Tecnológicos