INSTRUÇÃO NORMATIVA Nº 1/2023 - STI

Natal-RN, 22 de setembro de 2023.

Aprova normas referentes ao formato e uso de senhas na Universidade Federal do Rio Grande do Norte.

O SUPERINTENDENTE DE TI UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE, no uso de suas atribuições legais e estatutárias,

CONSIDERANDO o artigo nº 207 Resolução nº 017/2019 - CONSUNI, de 19 de junho de 2019, que institui a Superintendência de Tecnologia da Informação como o órgão responsável pelo gerenciamento das atividades de Tecnologia de Informação e Comunicação na UFRN;

CONSIDERANDO a Resolução Normativa nº 06/2022-CGRC, de 16 de agosto de 2022, que dispõe sobre Política de Segurança da Informação e Comunicação (POSIC) da Universidade Federal do Rio Grande do Norte;

CONSIDERANDO a Resolução Normativa nº 02/2021-CGRC, de 07 de junho de 2021, que aprova normas gerais referentes à Política de Controle de Acesso aos Sistemas Informacionais da Universidade Federal do Rio Grande do Norte;

CONSIDERANDO a norma ABNT NBR ISO/IEC 27002;

RESOLVE,

Art. 1º.  Normatizar o uso de senhas nos sistemas computacionais utilizados no âmbito da UFRN. 

CAPÍTULO I

DAS DISPOSIÇÕES PRELIMINARES

Art. 2º. Esta instrução normativa é aplicável a toda a comunidade acadêmica da UFRN, incluindo demais agentes envolvidos nas atividades da Universidade que utilizem serviços e sistemas computacionais.

Art. 3º. Essa norma é parte integrante do Plano de Controle de Acesso conforme previsto no artigo 28 da POSIC/UFRN.

Art. 4º. A senha é de uso pessoal, intransferível e de responsabilidade do usuário.

Art. 5º. A senha deverá ser obrigatoriamente trocada quando do surgimento de evidência indicando que o sigilo da mesma foi violado.

CAPÍTULO II

TERMOS, SIGLAS E DEFINIÇÕES

Art. 6º. Termos e siglas usados neste documento:


  1. CeTRIS - Centro de Tratamento e Resposta a Incidentes de Segurança da UFRN.

  2. CGSI - Comitê Gestor de Segurança da Informação da UFRN.

  3. PoSIC - Política de Segurança da Informação e Comunicações da UFRN.

  4. STI - Superintendência de Tecnologia da Informação da UFRN.

  5. TI - Tecnologia da Informação.

CAPÍTULO III

DO FORMATO DA SENHA

Art. 7º. As senhas obedecerão aos seguintes requisitos:

  1. Não conter o nome da conta de acesso ou login a ela associado;

  2. Não conter sequências previsíveis, como por exemplo, “abc”, “123”.

  3. Não conter repetições de caracteres em série, como “aaa”, “000” “zzz”.

  4. Conter no mínimo 8 (oito) caracteres.

  5. Conter pelo menos: uma letra maiúscula; uma letra minúscula; um dígito de 0 a 9; e um dos seguintes caracteres especiais: #!@$%&*_-+:;=|\(){}[],.?/.

CAPÍTULO IV

PROCEDIMENTOS DE SEGURANÇA

Art. 8º. Senhas criadas por administradores ou geradas automaticamente, devem ser configuradas para serem alteradas após o primeiro acesso e devem ser transferidas para o usuário de forma segura.

Art. 9º. Os dispositivos com senha padrão informada pelo fabricante, deverão ter a mesma substituída antes de sua utilização efetiva.

Art. 10. É vedado guardar a senha em mídias inseguras, como arquivos eletrônicos não criptografados, blocos de notas, agendas, folhas de notas (físicas ou eletrônicas) ou quaisquer outros meios que permitam a visualização em texto claro.

Art. 11. É proibido o compartilhamento das senhas.

Art. 12. Os sistemas utilizados na UFRN deverão conter mecanismos de controle que garantam a conformidade de novas senhas com os critérios definidos nesta Norma, além de oferecer proteção contra ataques por tentativas consecutivas de login/autenticação (ataques de força bruta) que visem tanto o bloqueio do usuário como a quebra da senha.

§1º Tais mecanismos devem ser implementados obrigatoriamente por todos os sistemas desenvolvidos pela UFRN,

§2º Em sistemas desenvolvidos por terceiros, os mecanismos de controle, quando disponíveis, devem ser mantidos ativos;

§3º Os sistemas já existentes devem se adequar em até 365 dias, a contar da data de publicação desta Norma.

Art. 13. Solicitações de alteração de senha, quando necessárias, serão efetuadas por meio de registro formal encaminhado ao setor de TI responsável.

Art. 14. As equipes de TI poderão alterar a senha dos usuários em caso de suspeita de invasão da conta, devendo registrar o procedimento em algum meio passível de auditoria.

Art. 15. Os sistemas desenvolvidos pela UFRN deverão prover mecanismos de verificação de robustez das senhas.

Art. 16. Os sistemas desenvolvidos pela UFRN deverão prover mecanismos seguros de armazenamento das senhas, por exemplo, por meio de criptografia.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 17. Os critérios definidos nesta Norma poderão ser auditados pela STI ou pelo setor responsável pela TI nas Unidades.

Art. 18. Os usuários devem observar as boas práticas e procedimentos relacionados à utilização segura de senhas, divulgados pela STI, pelo CeTRIS e pelo CGSI.

Art. 19. Os casos omissos e as dúvidas com relação a esta Norma serão submetidos à Superintendência de Tecnologia da Informação da UFRN.

Art. 20. Esta Instrução Normativa entra em vigor na data de sua publicação.

Marcos César Madruga Alves Pinheiro

Superintendente de Tecnologia da Informação/UFRN



MARCOS CESAR MADRUGA ALVES PINHEIRO
Autenticado Digitalmente