N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a
07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8
PRESIDNCIA DA REPBLICA Gabinete de Segurana Institucional Departamento de Segurana da Informao e Comunicaes ORIGEM Departamento de Segurana da Informao e Comunicaes REFERNCIA LEGAL E NORMATIVA Art. 6 da Lei n 10.683, de 28 de maio de 2003; Art. 8 do Anexo I do Decreto n 6.931, de 11 de agosto de 2009; Decreto n 3.505, de 13 de junho de 2000; Instruo Normativa n 01 do Gabinete de Segurana Institucional, de 13 de junho de 2008 e suas Normas Complementares; NBR ISO/IEC 27001:2006 Sistema de Gesto de segurana da informao; NBR ISO/IEC 27002:2005 Cdigo de Prticas para a Gesto da Segurana da Informao; CAMPO DE APLICAO Esta Norma Complementar se aplica no mbito da Administrao Pblica Federal, direta e indireta. SUMRIO 1. Objetivo 2. Consideraes Iniciais 3. Fundamento Legal da Norma Complementar 4. Conceitos e Definies 5. Diretrizes para Controle de Acesso Lgico 6. Diretrizes para Controle de Acesso Fsico 7. Vigncia 8. Anexos A e B INFORMAES ADICIONAIS Anexo: No h APROVAO RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurana da Informao e Comunicaes DIRETRIZES PARA IMPLEMENTAO DE CONTROLES DE ACESSO RELATIVOS SEGURANA DA INFORMAO E COMUNICAES. N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a 07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO Estabelecer diretrizes para implementao de controles de acesso relativos Segurana da Informao e Comunicaes nos rgos e entidades da Administrao Pblica Federal, direta e indireta - APF. 2. CONSIDERAES INICIAIS 2.1.O objetivo do controle sistematizar a concesso de acesso, a fim de evitar a quebra de segurana da informao e comunicaes. 2.2.A identificao, a autorizao, a autenticao, o interesse do servio e a necessidade de conhecer so condicionantes prvias para concesso de acesso nos rgos ou entidades da APF. 2.3.A identificao dos controles de acesso lgico e fsico, nos rgo ou entidade da APF, consequncia do processo de Gesto de Riscos de Segurana da Informao e Comunicaes. 2.4.A implementao dos controles de acesso est condicionada prvia aprovao pela autoridade responsvel pelo rgo ou entidade da APF. 2.5.Para implementar os controles de acesso aprovados fundamental a elaborao e divulgao de normas, bem como programas peridicos de sensibilizao e conscientizao em conformidade com a Poltica de Segurana da Informao e Comunicaes dos rgos ou entidades da APF. 2.6.Os rgos ou entidades da APF, em suas reas de competncia, estabelecem regras especficas para credenciamento de acesso de usurios aos ativos de informao em conformidade com a legislao vigente, e em especial quanto ao acesso s informaes em reas e instalaes consideradas crticas. 3. FUNDAMENTO LEGAL DA NORMA COMPLEMENTAR Conforme disposto no inciso II do art. 3 da Instruo Normativa n 01, de 13 de Junho de 2008, do Gabinete de Segurana Institucional, compete ao Departamento de Segurana da Informao e Comunicaes - DSIC, estabelecer normas definindo os requisitos metodolgicos para implementao da Gesto de Segurana da Informao e Comunicaes pelos rgos e entidades da Administrao Pblica Federal, direta e indireta. 4. CONCEITOS E DEFINIES Para os efeitos desta Norma Complementar so estabelecidos os seguintes conceitos e definies: 4.1. Acesso: ato de ingressar, transitar, conhecer ou consultar a informao, bem como a possibilidade de usar os ativos de informao de um rgo ou entidade. 4.2.Ativos de informao - os meios de armazenamento, transmisso e processamento, os sistemas de informao, bem como os locais onde se encontram esses meios e as pessoas que a eles tm acesso. 4.3.Bloqueio de acesso: processo que tem por finalidade suspender temporariamente o acesso. N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a 07/IN01/DSIC/GSIPR 00 06/MAI/10 3/8 4.4.Contas de Servio: contas de acesso rede corporativa de computadores necessrias a um procedimento automtico (aplicao, script, etc.) sem qualquer interveno humana no seu uso. 4.5.Controle de acesso: conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso. 4.6.Credenciamento: processo pelo qual o usurio recebe credenciais que concedero o acesso, incluindo a identificao, a autenticao, o cadastramento de cdigo de identificao e definio de perfil de acesso em funo de autorizao prvia e da necessidade de conhecer. 4.7.Credenciais ou contas de acesso: permisses, concedidas por autoridade competente aps o processo de credenciamento, que habilitam determinada pessoa, sistema ou organizao ao acesso. A credencial pode ser fsica como crach, carto e selo ou lgica como identificao de usurio e senha. 4.8.Excluso de acesso: processo que tem por finalidade suspender definitivamente o acesso, incluindo o cancelamento do cdigo de identificao e do perfil de acesso. 4.9.Gesto de Riscos de Segurana da Informao e Comunicaes conjunto de processos que permite identificar e implementar as medidas de proteo necessrias para minimizar ou eliminar os riscos a que esto sujeitos os seus ativos de informao, e equilibr-los com os custos operacionais e financeiros envolvidos. 4.10. Necessidade de conhecer - condio pessoal, inerente ao efetivo exerccio de cargo, funo, emprego ou atividade, indispensvel para o usurio ter acesso informao, especialmente se for sigilosa, bem como o acesso aos ativos de informao. 4.11. Perfil de acesso: conjunto de atributos de cada usurio, definidos previamente como necessrios para credencial de acesso. 4.12. Prestador de servio: pessoa envolvida com o desenvolvimento de atividades, de carter temporrio ou eventual, exclusivamente para o interesse do servio, que podero receber credencial especial de acesso. 4.13. Quebra de segurana: ao ou omisso, intencional ou acidental, que resulta no comprometimento da segurana da informao e comunicaes; 4.14. Termo de Responsabilidade: termo assinado pelo usurio concordando em contribuir com a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes que tiver acesso, bem como assumir responsabilidades decorrentes de tal acesso (Modelo - Anexo A). 4.15. Tratamento da informao: recepo, produo, reproduo, utilizao, acesso, transporte, transmisso, distribuio, armazenamento, eliminao e controle da informao, inclusive as sigilosas. 4.16. Usurio: servidores, terceirizados, colaboradores, consultores, auditores e estagirios que obtiveram autorizao do responsvel pela rea interessada para acesso aos Ativos de Informao de um rgo ou entidade da APF, formalizada por meio da assinatura do Termo de Responsabilidade. 5. DIRETRIZES PARA CONTROLE DE ACESSO LGICO 5.1 Quanto criao e administrao de contas de acesso: N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a 07/IN01/DSIC/GSIPR 00 06/MAI/10 4/8 5.1.1 A criao de contas de acesso aos ativos de informao requer procedimentos prvios de credenciamento para qualquer usurio. 5.1.2 Disponibilizar ao usurio, que no exerce funes de administrao da rede local, somente uma nica conta institucional de acesso, pessoal e intransfervel. 5.1.3 Utilizar conta de acesso no perfil de administrador somente para usurios cadastrados para execuo de tarefas especficas na administrao de ativos de informao. 5.1.4 Responsabilizar o usurio pela quebra de segurana ocorrida com a utilizao de sua respectiva conta de acesso, mediante assinatura de Termo de Responsabilidade (Modelo - Anexo A). 5.1.5 A criao de contas de servio exige regras especficas vinculadas a um processo automatizado. 5.1.6 Os rgos ou entidades da APF, em suas reas de competncia, estabelecem regras para credenciamento, bloqueio e excluso de contas de acesso de seus usurios, bem como para o ambiente de desenvolvimento. 5.2 Quanto rede corporativa de computadores: 5.2.1 Conceder credenciais de acesso rede corporativa de computadores aps a data de contratao ou de entrada em exerccio do usurio. 5.2.2 Excluir credenciais de acesso rede corporativa de computadores quando do desligamento do usurio. 5.2.3 Registrar os acessos rede corporativa de computadores de forma a permitir a rastreabilidade e a identificao do usurio por perodo mnimo a ser definido em cada rgo ou entidade da APF. 5.2.4 Implementar, sempre que possvel, pelo menos um dos mecanismos que contemplam biometria, tokens, smart cards, a fim de autenticar a identidade do usurio da rede. 5.2.5 Utilizar mecanismos automticos para inibir que equipamentos externos se conectem na rede corporativa de computadores. 5.2.6 Manter, na rede corporativa, mecanismos que permitam identificar e rastrear os endereos de origem e destino, bem como os servios utilizados. 5.2.7 Utilizar a legislao especfica para a concesso de acesso s informaes sigilosas e para o acesso remoto, no mbito da rede corporativa, por meio de canal seguro. 5.2.8 Gravar o acesso remoto rede corporativa em logs para posterior auditoria, contendo informaes especficas que facilitem o rastreamento da ao tomada; 5.2.9 Os rgos ou entidades da APF, em suas reas de competncia, estabelecem regras para o uso de redes sem fio. 5.3 Quanto aos ativos de informao: 5.3.1 Conter ferramentas de proteo contra acesso no autorizado aos ativos de informao, que favorea, preferencialmente, a administrao de forma centralizada. N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a 07/IN01/DSIC/GSIPR 00 06/MAI/10 5/8 5.3.2 Respeitar o princpio do menor privilgio para configurar as credenciais ou contas de acesso dos usurios aos ativos de informao; 5.3.3 Utilizar ativo de informao homologado nas aplicaes de controle de acesso, de tratamento das informaes sigilosas e de criptografia; 5.3.4 Registrar eventos relevantes, previamente definidos, para a segurana e rastreamento de acesso s informaes sigilosas. 5.3.5 Criar mecanismos para garantir a exatido dos registros de auditoria nos ativos de informao. 5.3.6 O uso dos ativos de informao que no guarde relao com o exerccio do cargo, funo, emprego ou atividade pblicas ser considerado indevido e passvel de imediato bloqueio de acesso, sem prejuzo da apurao das responsabilidades administrativa, penal e civil. 5.3.7 Os rgos ou entidades da APF, em suas reas de competncia, estabelecem regras para o uso da Internet, do Correio Eletrnico e de Mensagens Instantneas. 6. DIRETRIZES PARA CONTROLE DE ACESSO FSICO 6.1 Quanto s reas e instalaes fsicas: 6.1.1 Os rgos ou entidades da APF estabelecem regras para o uso de credenciais fsicas (crach, botom, cartes, selos, etc,), que se destinam ao controle de acesso dos usurios s reas e instalaes sob suas responsabilidades; 6.1.2 Os rgos ou entidades da APF definem a necessidade e orientam a instalao de sistemas de deteco de intrusos nas reas e instalaes sob suas responsabilidades; 6.1.3 Classificar as reas e instalaes como ativos de informao de acordo com o valor, a criticidade, o tipo de ativo de informao e o grau de sigilo das informaes que podem ser tratadas em tais reas e instalaes, mapeando aquelas reas e instalaes consideradas crticas; 6.1.4 Os rgos ou entidades da APF orientam o uso de barreiras fsicas de segurana, bem como equipamentos ou mecanismos de controle de entrada e sada; 6.1.5 Proteger os ativos de informao contra aes de vandalismo, sabotagem, ataques, etc, especialmente em relao queles considerados crticos. 6.1.6 Implementar rea de recepo com regras claras para a entrada e sada de pessoas, equipamentos e materiais; 6.1.7 Definir pontos de entrega e carregamento de material com acesso exclusivo ao pessoal credenciado; 6.1.8 Intensificar os controles para as reas e instalaes consideradas crticas em conformidade com a legislao vigente. 6.2 Quanto aos usurios: 6.2.1 Difundir e exigir o cumprimento da Poltica de Segurana da Informao e Comunicaes, das normas de segurana e da legislao vigente acerca do tema; N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a 07/IN01/DSIC/GSIPR 00 06/MAI/10 6/8 6.2.2 Conscientizar o usurio para adotar comportamento favorvel disponibilidade, integridade, confidencialidade e autenticidade das informaes. 6.2.3 Identificar e avaliar sistematicamente os riscos segurana da informao e comunicaes dos ativos de informao e quais controles devem ser aplicados quanto aos acessos dos usurios; 6.2.4 Estabelecer formulrio especfico de Termo de Responsabilidade (Modelo - Anexo A) a ser difundido e assinado individualmente pelos usurios; 6.2.5 Definir regras especficas para autorizao de acesso e credenciamento dos usurios em conformidade com a classificao dos ativos de informao. 6.3 Quanto aos ativos de informao: 6.3.1 Estabelecer distncia mnima de segurana para manuteno das mdias contendo as cpias de segurana (backups); 6.3.2 Classificar os ativos de informao em nveis de criticidade, considerando o tipo de ativo de informao, o provvel impacto no caso de quebra de segurana, tomando como base a gesto de risco e a gesto de continuidade de negcios relativas aos aspectos da segurana da informao e comunicaes da APF, 6.3.3 Um exemplo para classificao dos ativos de informao est disposto no Anexo B. 6.3.4 Os ativos de informao classificados como sigilosos requerem procedimentos especiais de controles de acesso fsico em conformidade com a legislao vigente. 6.4 Quanto ao permetro de segurana: 6.4.1 Definir permetros de segurana, suas dimenses, equipamentos e tipos especiais de controles de acesso aos ativos de informao; 6.4.2 Ilustrar em documentao prpria e permitir que sejam identificados os permetros de segurana de cada ativo de informao por todos que transitarem ou tiverem acesso em tais espaos, em especial s reas e instalaes consideradas crticas; 6.4.3 Regulamentar, por intermdio de normas especficas de cada rgo ou entidade da APF, o armazenamento, a veiculao de imagem, vdeo ou udio, registrados em permetros de segurana. 7 VIGNCIA Esta norma entra em vigor na data de sua publicao. N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a 07/IN01/DSIC/GSIPR 00 06/MAI/10 7/8 ANEXO A Modelo de Termo de Responsabilidade SERVIO PBLICO FEDERAL (Nome do rgo ou entidade da APF) TERMO DE RESPONSABILIDADE Pelo presente instrumento, eu _______________________________, CPF ____________, identidade ______________, expedida pelo ______, em __________, e lotado no(a)_________________________________________________deste (Nome do rgo ou entidade), DECLARO , sob pena das sanes cabveis nos termos da _____________ (legislao vigente) que assumo a responsabilidade por: I) tratar o(s) ativo(s) de informao como patrimnio do (Nome do rgo ou entidade); II) utilizar as informaes em qualquer suporte sob minha custdia, exclusivamente, no interesse do servio do (Nome do rgo ou entidade); III) contribuir para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informaes, conforme descrito na Instruo Normativa n 01, do Gabinete de Segurana Institucional da Presidncia da Repblica, de 13 de junho de 2008, que Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta; IV) utilizar as credenciais ou contas de acesso e os ativos de informao em conformidade com a legislao vigente e normas especficas do (Nome do rgo ou entidade); V) responder, perante o (Nome do rgo ou entidade), pelo uso indevido das minhas credenciais ou contas de acesso e dos ativos de informao; Local, UF, ______de ___________________de _______ . _________________________________ Assinatura Nome do usurio e seu setor organizacional ____________________ Assinatura Nome da autoridade responsvel pela autorizao do acesso N me r o d a No r ma Co mp l e me n t a r R e v i s o E m i s s o F o l h a 07/IN01/DSIC/GSIPR 00 06/MAI/10 8/8 ANEXO B - Modelo de Classificao de Ativos de Informao Grau de criticidade Ativos de informao Impacto Cor Nvel 1 Alto Data-center, servidores, central telefnica, recursos criptolgicos, cpias de segurana, equipamentos de conectividade ou de armazenamento de informaes ou de computao mvel das autoridades de primeiro escalo. Interrompe a misso do rgo ou provoca grave dano imagem institucional, segurana do estado ou sociedade. Vermelha Nvel 2 Mdio Computadores com dados e informaes nicas, de grande relevncia, equipamentos de conectividade ou de armazenamento de informaes ou de computao mvel das autoridades de segundo escalo. Degrada o servio do rgo ou provoca dano imagem institucional, segurana do estado ou sociedade. Amarela Nvel 3 Baixo Os demais ativos de informao Compromete planos ou provoca danos aos ativos de informao. Sem cor