N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a

07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8

PRESIDNCIA DA REPBLICA
Gabinete de Segurana Institucional
Departamento de Segurana da Informao e Comunicaes
ORIGEM
Departamento de Segurana da Informao e Comunicaes
REFERNCIA LEGAL E NORMATIVA
Art. 6 da Lei n 10.683, de 28 de maio de 2003;
Art. 8 do Anexo I do Decreto n 6.931, de 11 de agosto de 2009;
Decreto n 3.505, de 13 de junho de 2000;
Instruo Normativa n 01 do Gabinete de Segurana Institucional, de 13 de junho de 2008 e suas
Normas Complementares;
NBR ISO/IEC 27001:2006 Sistema de Gesto de segurana da informao;
NBR ISO/IEC 27002:2005 Cdigo de Prticas para a Gesto da Segurana da Informao;
CAMPO DE APLICAO
Esta Norma Complementar se aplica no mbito da Administrao Pblica Federal, direta e
indireta.
SUMRIO
1. Objetivo
2. Consideraes Iniciais
3. Fundamento Legal da Norma Complementar
4. Conceitos e Definies
5. Diretrizes para Controle de Acesso Lgico
6. Diretrizes para Controle de Acesso Fsico
7. Vigncia
8. Anexos A e B
INFORMAES ADICIONAIS
Anexo: No h
APROVAO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurana da Informao e Comunicaes
DIRETRIZES PARA IMPLEMENTAO
DE CONTROLES DE ACESSO
RELATIVOS SEGURANA DA
INFORMAO E COMUNICAES.
N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a
07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8
1. OBJETIVO
Estabelecer diretrizes para implementao de controles de acesso relativos Segurana da
Informao e Comunicaes nos rgos e entidades da Administrao Pblica Federal, direta e
indireta - APF.
2. CONSIDERAES INICIAIS
2.1.O objetivo do controle sistematizar a concesso de acesso, a fim de evitar a quebra de
segurana da informao e comunicaes.
2.2.A identificao, a autorizao, a autenticao, o interesse do servio e a necessidade de
conhecer so condicionantes prvias para concesso de acesso nos rgos ou entidades da APF.
2.3.A identificao dos controles de acesso lgico e fsico, nos rgo ou entidade da APF,
consequncia do processo de Gesto de Riscos de Segurana da Informao e Comunicaes.
2.4.A implementao dos controles de acesso est condicionada prvia aprovao pela
autoridade responsvel pelo rgo ou entidade da APF.
2.5.Para implementar os controles de acesso aprovados fundamental a elaborao e divulgao
de normas, bem como programas peridicos de sensibilizao e conscientizao em conformidade
com a Poltica de Segurana da Informao e Comunicaes dos rgos ou entidades da APF.
2.6.Os rgos ou entidades da APF, em suas reas de competncia, estabelecem regras especficas
para credenciamento de acesso de usurios aos ativos de informao em conformidade com a
legislao vigente, e em especial quanto ao acesso s informaes em reas e instalaes
consideradas crticas.
3. FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR
Conforme disposto no inciso II do art. 3 da Instruo Normativa n 01, de 13 de Junho de 2008,
do Gabinete de Segurana Institucional, compete ao Departamento de Segurana da Informao e
Comunicaes - DSIC, estabelecer normas definindo os requisitos metodolgicos para
implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos e entidades
da Administrao Pblica Federal, direta e indireta.
4. CONCEITOS E DEFINIES
Para os efeitos desta Norma Complementar so estabelecidos os seguintes conceitos e definies:
4.1. Acesso: ato de ingressar, transitar, conhecer ou consultar a informao, bem como a
possibilidade de usar os ativos de informao de um rgo ou entidade.
4.2.Ativos de informao - os meios de armazenamento, transmisso e processamento, os
sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a
eles tm acesso.
4.3.Bloqueio de acesso: processo que tem por finalidade suspender temporariamente o acesso.
N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a
07/IN01/DSIC/GSIPR 00 06/MAI/10 3/8
4.4.Contas de Servio: contas de acesso rede corporativa de computadores necessrias a um
procedimento automtico (aplicao, script, etc.) sem qualquer interveno humana no seu uso.
4.5.Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade
de conceder ou bloquear o acesso.
4.6.Credenciamento: processo pelo qual o usurio recebe credenciais que concedero o acesso,
incluindo a identificao, a autenticao, o cadastramento de cdigo de identificao e definio
de perfil de acesso em funo de autorizao prvia e da necessidade de conhecer.
4.7.Credenciais ou contas de acesso: permisses, concedidas por autoridade competente aps o
processo de credenciamento, que habilitam determinada pessoa, sistema ou organizao ao
acesso. A credencial pode ser fsica como crach, carto e selo ou lgica como identificao de
usurio e senha.
4.8.Excluso de acesso: processo que tem por finalidade suspender definitivamente o acesso,
incluindo o cancelamento do cdigo de identificao e do perfil de acesso.
4.9.Gesto de Riscos de Segurana da Informao e Comunicaes conjunto de processos
que permite identificar e implementar as medidas de proteo necessrias para minimizar ou
eliminar os riscos a que esto sujeitos os seus ativos de informao, e equilibr-los com os custos
operacionais e financeiros envolvidos.
4.10. Necessidade de conhecer - condio pessoal, inerente ao efetivo exerccio de cargo, funo,
emprego ou atividade, indispensvel para o usurio ter acesso informao, especialmente se for
sigilosa, bem como o acesso aos ativos de informao.
4.11. Perfil de acesso: conjunto de atributos de cada usurio, definidos previamente como
necessrios para credencial de acesso.
4.12. Prestador de servio: pessoa envolvida com o desenvolvimento de atividades, de carter
temporrio ou eventual, exclusivamente para o interesse do servio, que podero receber
credencial especial de acesso.
4.13. Quebra de segurana: ao ou omisso, intencional ou acidental, que resulta no
comprometimento da segurana da informao e comunicaes;
4.14. Termo de Responsabilidade: termo assinado pelo usurio concordando em contribuir com
a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes que tiver
acesso, bem como assumir responsabilidades decorrentes de tal acesso (Modelo - Anexo A).
4.15. Tratamento da informao: recepo, produo, reproduo, utilizao, acesso, transporte,
transmisso, distribuio, armazenamento, eliminao e controle da informao, inclusive as
sigilosas.
4.16. Usurio: servidores, terceirizados, colaboradores, consultores, auditores e estagirios que
obtiveram autorizao do responsvel pela rea interessada para acesso aos Ativos de Informao
de um rgo ou entidade da APF, formalizada por meio da assinatura do Termo de
Responsabilidade.
5. DIRETRIZES PARA CONTROLE DE ACESSO LGICO
5.1 Quanto criao e administrao de contas de acesso:
N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a
07/IN01/DSIC/GSIPR 00 06/MAI/10 4/8
5.1.1 A criao de contas de acesso aos ativos de informao requer procedimentos prvios de
credenciamento para qualquer usurio.
5.1.2 Disponibilizar ao usurio, que no exerce funes de administrao da rede local, somente
uma nica conta institucional de acesso, pessoal e intransfervel.
5.1.3 Utilizar conta de acesso no perfil de administrador somente para usurios cadastrados para
execuo de tarefas especficas na administrao de ativos de informao.
5.1.4 Responsabilizar o usurio pela quebra de segurana ocorrida com a utilizao de sua
respectiva conta de acesso, mediante assinatura de Termo de Responsabilidade (Modelo - Anexo
A).
5.1.5 A criao de contas de servio exige regras especficas vinculadas a um processo
automatizado.
5.1.6 Os rgos ou entidades da APF, em suas reas de competncia, estabelecem regras para
credenciamento, bloqueio e excluso de contas de acesso de seus usurios, bem como para o
ambiente de desenvolvimento.
5.2 Quanto rede corporativa de computadores:
5.2.1 Conceder credenciais de acesso rede corporativa de computadores aps a data de
contratao ou de entrada em exerccio do usurio.
5.2.2 Excluir credenciais de acesso rede corporativa de computadores quando do desligamento
do usurio.
5.2.3 Registrar os acessos rede corporativa de computadores de forma a permitir a
rastreabilidade e a identificao do usurio por perodo mnimo a ser definido em cada rgo ou
entidade da APF.
5.2.4 Implementar, sempre que possvel, pelo menos um dos mecanismos que contemplam
biometria, tokens, smart cards, a fim de autenticar a identidade do usurio da rede.
5.2.5 Utilizar mecanismos automticos para inibir que equipamentos externos se conectem na
rede corporativa de computadores.
5.2.6 Manter, na rede corporativa, mecanismos que permitam identificar e rastrear os endereos
de origem e destino, bem como os servios utilizados.
5.2.7 Utilizar a legislao especfica para a concesso de acesso s informaes sigilosas e para o
acesso remoto, no mbito da rede corporativa, por meio de canal seguro.
5.2.8 Gravar o acesso remoto rede corporativa em logs para posterior auditoria, contendo
informaes especficas que facilitem o rastreamento da ao tomada;
5.2.9 Os rgos ou entidades da APF, em suas reas de competncia, estabelecem regras para o
uso de redes sem fio.
5.3 Quanto aos ativos de informao:
5.3.1 Conter ferramentas de proteo contra acesso no autorizado aos ativos de informao, que
favorea, preferencialmente, a administrao de forma centralizada.
N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a
07/IN01/DSIC/GSIPR 00 06/MAI/10 5/8
5.3.2 Respeitar o princpio do menor privilgio para configurar as credenciais ou contas de acesso
dos usurios aos ativos de informao;
5.3.3 Utilizar ativo de informao homologado nas aplicaes de controle de acesso, de
tratamento das informaes sigilosas e de criptografia;
5.3.4 Registrar eventos relevantes, previamente definidos, para a segurana e rastreamento de
acesso s informaes sigilosas.
5.3.5 Criar mecanismos para garantir a exatido dos registros de auditoria nos ativos de
informao.
5.3.6 O uso dos ativos de informao que no guarde relao com o exerccio do cargo, funo,
emprego ou atividade pblicas ser considerado indevido e passvel de imediato bloqueio de
acesso, sem prejuzo da apurao das responsabilidades administrativa, penal e civil.
5.3.7 Os rgos ou entidades da APF, em suas reas de competncia, estabelecem regras para o
uso da Internet, do Correio Eletrnico e de Mensagens Instantneas.
6. DIRETRIZES PARA CONTROLE DE ACESSO FSICO
6.1 Quanto s reas e instalaes fsicas:
6.1.1 Os rgos ou entidades da APF estabelecem regras para o uso de credenciais fsicas
(crach, botom, cartes, selos, etc,), que se destinam ao controle de acesso dos usurios s reas e
instalaes sob suas responsabilidades;
6.1.2 Os rgos ou entidades da APF definem a necessidade e orientam a instalao de sistemas
de deteco de intrusos nas reas e instalaes sob suas responsabilidades;
6.1.3 Classificar as reas e instalaes como ativos de informao de acordo com o valor, a
criticidade, o tipo de ativo de informao e o grau de sigilo das informaes que podem ser
tratadas em tais reas e instalaes, mapeando aquelas reas e instalaes consideradas crticas;
6.1.4 Os rgos ou entidades da APF orientam o uso de barreiras fsicas de segurana, bem como
equipamentos ou mecanismos de controle de entrada e sada;
6.1.5 Proteger os ativos de informao contra aes de vandalismo, sabotagem, ataques, etc,
especialmente em relao queles considerados crticos.
6.1.6 Implementar rea de recepo com regras claras para a entrada e sada de pessoas,
equipamentos e materiais;
6.1.7 Definir pontos de entrega e carregamento de material com acesso exclusivo ao pessoal
credenciado;
6.1.8 Intensificar os controles para as reas e instalaes consideradas crticas em conformidade
com a legislao vigente.
6.2 Quanto aos usurios:
6.2.1 Difundir e exigir o cumprimento da Poltica de Segurana da Informao e Comunicaes,
das normas de segurana e da legislao vigente acerca do tema;
N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a
07/IN01/DSIC/GSIPR 00 06/MAI/10 6/8
6.2.2 Conscientizar o usurio para adotar comportamento favorvel disponibilidade,
integridade, confidencialidade e autenticidade das informaes.
6.2.3 Identificar e avaliar sistematicamente os riscos segurana da informao e comunicaes
dos ativos de informao e quais controles devem ser aplicados quanto aos acessos dos usurios;
6.2.4 Estabelecer formulrio especfico de Termo de Responsabilidade (Modelo - Anexo A) a ser
difundido e assinado individualmente pelos usurios;
6.2.5 Definir regras especficas para autorizao de acesso e credenciamento dos usurios em
conformidade com a classificao dos ativos de informao.
6.3 Quanto aos ativos de informao:
6.3.1 Estabelecer distncia mnima de segurana para manuteno das mdias contendo as cpias
de segurana (backups);
6.3.2 Classificar os ativos de informao em nveis de criticidade, considerando o tipo de ativo de
informao, o provvel impacto no caso de quebra de segurana, tomando como base a gesto de
risco e a gesto de continuidade de negcios relativas aos aspectos da segurana da informao e
comunicaes da APF,
6.3.3 Um exemplo para classificao dos ativos de informao est disposto no Anexo B.
6.3.4 Os ativos de informao classificados como sigilosos requerem procedimentos especiais de
controles de acesso fsico em conformidade com a legislao vigente.
6.4 Quanto ao permetro de segurana:
6.4.1 Definir permetros de segurana, suas dimenses, equipamentos e tipos especiais de
controles de acesso aos ativos de informao;
6.4.2 Ilustrar em documentao prpria e permitir que sejam identificados os permetros de
segurana de cada ativo de informao por todos que transitarem ou tiverem acesso em tais
espaos, em especial s reas e instalaes consideradas crticas;
6.4.3 Regulamentar, por intermdio de normas especficas de cada rgo ou entidade da APF, o
armazenamento, a veiculao de imagem, vdeo ou udio, registrados em permetros de
segurana.
7 VIGNCIA
Esta norma entra em vigor na data de sua publicao.
N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a
07/IN01/DSIC/GSIPR 00 06/MAI/10 7/8
ANEXO A Modelo de Termo de Responsabilidade
SERVIO PBLICO FEDERAL
(Nome do rgo ou entidade da APF)
TERMO DE RESPONSABILIDADE
Pelo presente instrumento, eu _______________________________, CPF
____________, identidade ______________, expedida pelo ______, em __________, e lotado
no(a)_________________________________________________deste (Nome do rgo ou
entidade), DECLARO , sob pena das sanes cabveis nos termos da _____________
(legislao vigente) que assumo a responsabilidade por:
I) tratar o(s) ativo(s) de informao como patrimnio do (Nome do rgo ou entidade);
II) utilizar as informaes em qualquer suporte sob minha custdia, exclusivamente, no
interesse do servio do (Nome do rgo ou entidade);
III) contribuir para assegurar a disponibilidade, a integridade, a confidencialidade e a
autenticidade das informaes, conforme descrito na Instruo Normativa n 01, do Gabinete de
Segurana Institucional da Presidncia da Repblica, de 13 de junho de 2008, que Disciplina a
Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta
e indireta;
IV) utilizar as credenciais ou contas de acesso e os ativos de informao em
conformidade com a legislao vigente e normas especficas do (Nome do rgo ou entidade);
V) responder, perante o (Nome do rgo ou entidade), pelo uso indevido das minhas
credenciais ou contas de acesso e dos ativos de informao;
Local, UF, ______de ___________________de _______ .
_________________________________
Assinatura
Nome do usurio e seu setor organizacional
____________________
Assinatura
Nome da autoridade responsvel pela autorizao do acesso
N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a
07/IN01/DSIC/GSIPR 00 06/MAI/10 8/8
ANEXO B - Modelo de Classificao de Ativos de Informao
Grau de
criticidade
Ativos de informao Impacto
Cor
Nvel 1
Alto
Data-center, servidores, central
telefnica, recursos
criptolgicos, cpias de
segurana, equipamentos de
conectividade ou de
armazenamento de
informaes ou de computao
mvel das autoridades de
primeiro escalo.
Interrompe a misso do
rgo ou provoca grave
dano imagem
institucional,
segurana do estado ou
sociedade.
Vermelha
Nvel 2
Mdio
Computadores com dados e
informaes nicas, de grande
relevncia, equipamentos de
conectividade ou de
armazenamento de
informaes ou de computao
mvel das autoridades de
segundo escalo.
Degrada o servio do
rgo ou provoca dano
imagem institucional,
segurana do estado
ou sociedade.
Amarela
Nvel 3
Baixo
Os demais ativos de
informao
Compromete planos ou
provoca danos aos
ativos de informao.
Sem cor