RESOLUÇÃO NORMATIVA Nº 02/2021-CGRC, de 07 de junho de 2021.
Aprova normas gerais referentes à Política de Controle de Acesso aos Sistemas Informacionais da Universidade Federal do Rio Grande do Norte.
O COMITÊ DE GOVERNANÇA, RISCOS E CONTROLES DA UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE, usando das competências previstas no artigo 23, §2º, incisos II, VII e XII, da Instrução Normativa Conjunta MP/CGU nº 01/2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal,
CONSIDERANDO o Decreto no 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação;
CONSIDERANDO a Norma Complementar nº 07/IN01/DSIC/GSIPR, da Instrução Normativa 01 DSIC/GSIPR/GSI, da Presidência da República, que estabelece as Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;
CONSIDERANDO a Norma ISO/IEC 27002, de novembro de 2013, sessões A.9.1.1, A.9.1.2, A.9.2.1, A.9.2.1, A.9.2.2, A.9.2.4, A.9.2.5, A.9.2.6, A.9.3.1, A.9.4.1, A.9.4.3.
CONSIDERANDO a Resolução no 070/2017-CONSAD, de 07 de dezembro de 2017 que institui a Política de Segurança da Informação e Comunicação – POSIC, da Universidade Federal do Rio Grande do Norte – UFRN;
CONSIDERANDO A Resolução no 031/2020-CONSAD, de 08 de outubro de 2020, que institui a Política de Gestão de Identidades da UFRN.
CONSIDERANDO o inciso XIV do art. 10, da Resolução 016/2017 o qual assinala que compete ao Comitê de Governança, Riscos e Controles aprovar propostas de políticas e diretrizes elaboradas pelo Comitê Gestor de Tecnologia da Informação (CGTI) e pelo Comitê Permanente de Segurança da Informação (CPSI); e
Art. 1º Aprovar normas gerais referentes à Política de Controle de Acesso (PCA) aos Sistemas Informacionais da Universidade Federal do Rio Grande do Norte (UFRN).
Art. 2º Esta política tem por finalidade definir as regras para o controle no acesso lógico às redes, ativos, sistemas de informação, equipamentos e informações de caráter público ou privado na Universidade Federal do Rio Grande do Norte (UFRN).
Art. 3º A aplicação das regras definidas na PCA visa sistematizar a concessão do acesso de forma a evitar, ou minimizar, a quebra de segurança da informação e comunicações no âmbito da Universidade.
Art. 4º Para os efeitos desta Resolução, consideram-se:
I - agentes públicos: docentes, técnicos administrativo, terceirizados, professores visitantes, alunos na função de estagiário ou bolsista;
II - ativo: qualquer bem, tangível ou intangível, que tenha valor para a Instituição;
III - ativo de TI: ativo de Tecnologia da Informação, seja hardware ou software, incluindo máquinas em ambientes virtualizados;
IV - comunidade universitária: conjunto de agentes públicos, professores visitantes e estudantes dentro do âmbito da UFRN;
V - credenciais de acesso: dados utilizados para estabelecer a identidade reivindicada por uma entidade para ter acesso a um serviço ou aplicação;
VI- Intrusion Detection System – IDS: sistema que monitora o ambiente de rede computacional e busca detectar atividades maliciosas e/ou não autorizadas;
VII - Intrusion Prevention System - IPS: sistema que inclui um IDS e tenta ativamente bloquear intrusões do sistema;
VIII - endereço IP: endereço utilizado na Internet para a identificação inequívoca de máquinas na rede;
IX - rede local acadêmica: rede composta por dispositivos de TI interconectados por cabo (fibra óptica, par trançado etc), voltada às atividades acadêmicas da UFRN;
X - rede local administrativa: rede composta por dispositivos de TI interconectados por cabo (fibra óptica, par trançado etc), voltada às atividades administrativas da UFRN;
XI - rede wifi acadêmica: rede composta por dispositivos de TI interconectados por rádio frequência, voltada às atividades acadêmicas da UFRN;
XII - rede wifi administrativa: rede composta por dispositivos de TI interconectados por rádio frequência, voltada a atividades administrativas da UFRN;
XIII - recurso de TI: qualquer equipamento que utilize tecnologia da informação, ou qualquer recurso ou informação acessível por esses equipamentos, tais como: computadores, impressoras, sistemas, programas, acessos à rede local, Internet, VPN, USB drives, smartcards, tokens, telefones celulares, modems sem fio, pastas/arquivos compartilhados em rede, etc;
XIV - Sistemas Integrados de Gestão (SIG): sistemas de gestão desenvolvidos e mantidos pela STI (SIGAA, SIGRH, SIPAC, Memo, etc);
XV - sistema de mensagens: sistemas de envio de mensagens, incluindo correio eletrônico e mensagens instantâneas;
XVI - titular da unidade patrimonial ou proprietário: servidor investido, ou não, em função de chefia, direção e assemelhados com responsabilidade pelo acervo patrimonial pertencente ao seu Centro de Custo ou colocado à disposição de sua unidade;
XVII - Rede Virtual Privada - VPN: rede tunelada local de fluxo criptografado, acessada através do uso de credenciais (login e senha e/ou token).
Art. 5º As normas e diretrizes apresentadas nesta Resolução se aplicam aos agentes públicos da UFRN, aos estudantes vinculados e qualquer pessoa, física ou jurídica, que acesse os recursos computacionais da UFRN.
Art. 6º Não estão contempladas nesta política as definições de controle de acesso físico.
Art. 7º São diretrizes da Política de Controle de Acesso aos Sistemas Informacionais da Universidade:
I - desenvolver e aplicar controles automatizados para a concessão e revogação de direitos de acesso, conforme a política de gestão de identidade;
II - seguir a política do menor privilégio em que o acesso a dados será limitado ao mínimo necessário para desenvolvimento das atividades institucionais;
III - implementar mecanismos automáticos, como firewalls, IDS e IPS para inibir que equipamentos externos se conectem indiscriminadamente na rede corporativa de computadores;
IV - controlar os acessos de hosts e redes externos à rede interna da UFRN por meio do uso de mecanismos (por exemplo, firewalls), de forma a impedir tráfego de rede a dispositivos não relacionados à instituição;
V - automatizar os mecanismos de recuperação de credenciais de acesso e utilizar-se de meios criptográficos para a transmissão de dados, sem fornecimento de senha por parte da aplicação, e que obrigue a alteração de senha do usuário no primeiro acesso;
VI As informações das credenciais de acesso serão armazenadas obrigatoriamente de forma protegida e criptografada;
VII - atribuir contas de acesso administrativo somente a usuários responsáveis pela execução de tarefas específicas necessárias à administração do ativo, conforme necessidade de uso dos recursos ou sistemas;
VIII - autorizar a liberação das credenciais de acesso por autoridade competente, conforme a política de gestão de identidade da instituição; e
IX - cientificar os usuários de ativos e serviços computacionais da UFRN sobre a Política de Segurança da Informação e Comunicações - POSIC e desta Política de Controle de Acessos, que informam sobre suas responsabilidades.
Art. 8º Fica vedado o uso dos recursos de TI na UFRN para:
I - realizar atividades ilegais;
II - realizar importunação (bullying) virtual ou discriminação de qualquer espécie;
III - promover apologia à violência de qualquer tipo;
IV - escanear tráfego de rede, buscar vulnerabilidades, explorar vulnerabilidades em qualquer recurso de TI sem a anuência de seu titular e do gestor da unidade que o detém; e
V - obter benefícios e/ou ganhos pessoais.
§ 1ºAs ações especificadas no inciso IV deste artigo não se aplicam à equipe de segurança de TI da Superintendência de Tecnologia da Informação (STI) e a Equipe de Resposta a Incidentes de Segurança Computacional (CSIRT – Computer Security Incident Response Team), no desempenho de suas atividades.
§ 2ºO uso dos recursos computacionais para assuntos pessoais deve ser restrito, de forma a não comprometer as atividades do interesse da instituição.
Art. 9º São responsabilidades do Comitê Gestor de Segurança da Informação - CGSI:
Art. 10. Compete à STI divulgar a PCA à comunidade universitária e disponibilizá-la no site da UFRN.
Art. 11. Compete ao gestor das unidades constituintes da UFRN fazer cumprir as normas contidas nesta política.
Art. 12. São responsabilidades dos usuários de rede:
I - manter as telas de seus dispositivos protegidas por bloqueio quando se afastarem deles;
II - manter suas credenciais de acesso sempre em sigilo, não devendo ser anotadas em meios físicos ou eletrônicos de forma insegura; e
III - alterar sua senha de acesso sempre que suspeitar que ela foi descoberta.
CAPÍTULO II
CONTROLE DE ACESSO LÓGICO
Seção I
Do acesso aos ativos de TI
Art. 18. Será fornecido acesso às redes locais administrativa e acadêmica da UFRN aos seus agentes públicos para a realização de suas atividades na instituição.
Art. 19. Será fornecido o acesso à rede local acadêmica aos alunos da UFRN com vínculo ativo e à rede administrativa quanto em vínculo de bolsa ou estágio.
Art. 20. Os logs de conexão à rede serão registrados.
Art. 21. As conexões à rede local poderão ser monitoradas, limitadas e interrompidas a qualquer tempo pelas equipes de TI da UFRN na execução de suas tarefas relacionadas à segurança da informação, a fim de mitigar ou evitar incidentes de segurança.
Art. 22. A UFRN poderá a qualquer momento aplicar tecnologia de autenticação para o acesso às redes internas.
Art. 23. Os agentes públicos e os alunos com vínculo ativo da UFRN terão acesso à rede sem fio da instituição para a realização de suas atividades na instituição.
Art. 24. Os logs de conexão à rede serão registrados.
Art. 25. As conexões à rede sem fio poderão ser monitoradas, limitadas e interrompidas a qualquer tempo pela STI na execução de suas tarefas relacionadas à segurança da informação, a fim de mitigar ou evitar incidentes de segurança.
Art. 26. Deverá ser aplicada tecnologia de autenticação para o acesso à rede wifi da UFRN.
Art. 27. Fica vedado o acesso sem autenticação, podendo haver exceção nos casos de eventos públicos oficiais de cunho temporário e com a anuência da alta gestão da instituição.
Art. 28. É fornecido o acesso à Internet na UFRN à toda comunidade universitária para as atividades de ensino, pesquisa, extensão e tarefas administrativas do interesse da Universidade.
Art. 29. O acesso a serviços e sites na Internet, a partir da rede da UFRN, poderá ser monitorado conforme a legislação vigente, filtrado, limitado ou bloqueado pela equipe de segurança da STI.
Art. 30. A UFRN poderá a qualquer momento aplicar tecnologia de autenticação para acesso à internet.
Art. 31. É vedada, na rede da UFRN, a conexão de ativos que estejam roteando acesso por links não oficiais da Universidade.
Art. 32. O controle de acesso aos Sistemas Integrados de Gestão da UFRN será regido por norma específica, que deverá ser elaborada pela STI.
Art. 33. Será fornecida uma conta de e-mail institucional para os agentes públicos e alunos da UFRN.
Art. 34. As contas de e-mail para os agentes públicos serão criadas automaticamente no Sistema Integrado de Gestão SIG-UFRN.
Art. 35. As contas de e-mail para alunos serão criadas por meio de solicitação no sistema SIGAA.
Art. 36. Após a criação do e-mail, o usuário solicitante receberá as credenciais de acesso, ficando responsável por protegê-las e mantê-las em sigilo.
Art. 37. Todas as contas de e-mail serão bloqueadas no caso de inativação do vínculo com a instituição.
Art. 38. As credenciais de acesso às contas de e-mail são individuais, pessoais e intransferíveis e em nenhuma hipótese o titular da conta fornecerá sua senha a terceiros nem a profissionais das equipes de TI da UFRN.
Art. 39. O acesso à rede da UFRN via VPN é fornecido aos agentes públicos da Universidade, alunos e professores visitantes para a realização de suas atividades.
§ 2ºAlunos e professores visitantes poderão ter acesso à VPN desde que a solicitação seja feita por um servidor efetivo ou funcionário da FUNPEC vinculado a projeto acadêmico, por meio do sistema de chamados da UFRN.
§ 2º O período de acesso à VPN será de, no máximo, um ano, ao fim do qual deverá ser solicitada a renovação de acesso.
Art. 40. Apenas a STI está autorizada a fornecer o serviço VPN na rede da UFRN.
Art. 42. A desobediência ou violação às regras da Política de Controle de Acesso da UFRN implicará em sanções administrativas nos termos da lei e normas complementares, sem prejuízo de outras previstas nas esferas cível e penal.
Art. 44. Esta Resolução entra em vigor no dia 1 de julho de 2021.
HÊNIO FERREIRA DE MIRANDA
Vice-Presidente