RESOLUÇÃO NORMATIVA Nº 14/2023-CGE, de 28 de setembro de 2023.
Aprova a Política de Controle de Acesso à rede de computadores e recursos de informação da Universidade Federal do Rio Grande do Norte.
O VICE-PRESIDENTE DO COMITÊ DE GOVERNANÇA ESTRATÉGICO - CGE, DA UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE, usando das competências previstas no artigo 16, §1º e §2º, da Resolução no 013/2022-CONSAD, de 14 de julho de 2022,
CONSIDERANDO o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação e dispõe sobre a governança da segurança da informação;
CONSIDERANDO a Norma Complementar no 07/IN01/DSIC/GSIPR, da Instrução Normativa 01 DSIC/GSIPR/GSI, da Presidência da República, que estabelece as Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;
CONSIDERANDO a Norma ISO/IEC 27002, de novembro de 2013, sessões A.9.1.1, A.9.1.2, A.9.2.1, A.9.2.1, A.9.2.2, A.9.2.4, A.9.2.5, A.9.2.6, A.9.3.1, A.9.4.1, A.9.4.3;
CONSIDERANDO a Resolução Normativa CGE, de 16 de agosto de 2022, que aprova a Política de Segurança da Informação e Comunicação da Universidade Federal do Rio Grande do Norte - UFRN; e
CONSIDERANDO A Resolução no 031/2020-CONSAD, de 08 de outubro de 2020, que institui a Política de Gestão de Identidades da UFRN.
RESOLVE:
Art. 1º Aprovar à Política de Controle de Acesso (PCA) à rede de computadores e recursos de informação da Universidade Federal do Rio Grande do Norte - UFRN.
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Seção I
Da finalidade
Art. 2º A Política de Controle de Acesso tem por finalidade definir as regras para o controle no acesso às redes, ativos, sistemas de informação, equipamentos e informações de caráter público ou privado na Universidade Federal do Rio Grande do Norte - UFRN.
Art. 3º A aplicação das regras definidas na PCA visa sistematizar a concessão do acesso de forma a evitar a quebra de segurança da informação e no âmbito da UFRN.
Seção II
Das definições
Art. 4º Para os efeitos desta Resolução, consideram-se:
I - agente público: todo aquele que exerce, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função nas entidades da Administração Pública Federal;
II - ativo: qualquer bem, tangível ou intangível, que tenha valor para a Instituição;
III - ativo de TI: ativo de Tecnologia da Informação, seja hardware ou software, incluindo máquinas em ambientes virtualizados;
IV - CeTRIS: Centro de Tratamento e Resposta a Incidentes de Segurança - ETIR da UFRN;
V - comunidade universitária: conjunto de agentes públicos, professores visitantes e estudantes dentro do âmbito da UFRN;
VI - credenciais de acesso: dados utilizados para estabelecer a identidade reivindicada por uma entidade para ter acesso a um serviço ou aplicação;
VII - endereço IP: endereço utilizado na Internet para a identificação inequívoca de máquinas na rede;
VIII - ETIR: sigla para Equipe de Tratamento a Incidentes em Rede;
IX - Intrusion Detection System - IDS: sistema que monitora o ambiente de rede computacional e busca detectar atividades maliciosas e/ou não autorizadas;
X - Intrusion Prevention System - IPS: sistema que inclui um IDS e tenta ativamente bloquear intrusões do sistema;
XII - Perímetro de segurança - PS: área protegida, consistindo de barreiras físicas que impeçam o acesso não autorizado, podendo ser um data center, uma sala segura, uma sala cofre, uma sala comum fechada, um rack de ativos de informação etc;
XIII - recurso de TI: qualquer equipamento que utilize tecnologia da informação, ou qualquer recurso ou informação acessível por esses equipamentos, tais como: computadores, impressoras, sistemas, programas, acessos à rede local, Internet, VPN, USB drives, smartcards, tokens, telefones celulares, modems sem fio, pastas/arquivos compartilhados em rede, etc;
XIV - Sistemas Integrados de Gestão (SIG): sistemas de gestão desenvolvidos e mantidos pela STI (SIGAA, SIGRH, SIPAC, Memo, etc);
XV - titular da unidade patrimonial: servidor investido, ou não, em função de chefia, direção e assemelhados com responsabilidade pelo acervo patrimonial pertencente ao seu Centro de Custo ou colocado à disposição de sua unidade;
XVI - UPS - Uninterruptible Power Supply: fonte de alimentação com baterias que permite a continuidade do funcionamento de sistemas no caso de quedas de energia (No-break); e
XVII - VPN: Rede Virtual Privada (do inglês Virtual private Network), refere-se a rede tunelada de fluxo criptografado, acessada por meio do uso de credenciais (login e senha e/ou token).
Seção III
Do escopo
Art. 5º As normas e diretrizes apresentadas nesta Resolução aplicam-se aos agentes públicos da UFRN, aos estudantes a ela vinculados e qualquer pessoa, física ou jurídica, que acesse os recursos computacionais da UFRN.
Seção IV
Das diretrizes
Art. 6º São diretrizes da Política de Controle de Acesso aos Sistemas Computacionais da Universidade:
I - fomentar o desenvolvimento de processos seguros e controles automatizados para a concessão e revogação de direitos de acesso, conforme a política de gestão de identidade da UFRN;
II - seguir a política do menor privilégio, em que o acesso a dados será limitado ao mínimo necessário para desenvolvimento das atividades institucionais;
III - fomentar a aplicação de mecanismos de segurança automáticos, como firewalls, IDS's e IPS's para inibir que equipamentos não autorizados se conectem à rede corporativa de computadores;
IV - utilizar-se de meios criptográficos para a transmissão de dados; e
V - proteger dados pessoais, classificados e/ou sensíveis.
Seção V
Das vedações
Art. 7º Fica vedado o uso dos recursos de TI na UFRN para:
I - realizar atividades ilegais;
II - realizar importunação (bullying) virtual ou discriminação de qualquer espécie;
III - promover apologia à violência de qualquer tipo;
IV - escanear tráfego de rede, buscar vulnerabilidades, explorar vulnerabilidades em qualquer recurso de TI sem a anuência de seu titular e do gestor da unidade que o detém; e
V - obter benefícios e/ou ganhos pessoais.
§ 1º As ações especificadas no inciso IV deste artigo não se aplicam às equipes de TI da UFRN nem à sua ETIR (CeTRIS), quando no desempenho de suas atividades.
§ 2º O uso dos recursos computacionais para assuntos pessoais deve ser restrito, de modo a não comprometer as atividades do interesse da instituição.
Seção VI
Das responsabilidades
Art. 8º São responsabilidades do Comitê Gestor de Segurança da Informação - CGSI:
I - revisar e atualizar a PCA a cada dois anos ou antes, quando julgar necessário;
II - promover campanhas de conscientização para o uso seguro de credenciais de acesso.
Art. 9º Compete à STI e à ETIR da UFRN divulgar a PCA à comunidade universitária e disponibilizá-la no site da UFRN.
Art. 10. Compete aos diretores de centros e gestores das unidades constituintes da UFRN fazer cumprir as normas contidas nesta política.
Art. 11. São responsabilidades dos usuários de rede de computadores:
I - manter as telas de seus dispositivos protegidas por bloqueio quando se afastarem deles;
II - manter suas credenciais de acesso sempre em sigilo, não devendo ser anotadas em meios físicos ou eletrônicos de forma insegura; e
III - alterar sua senha de acesso sempre que suspeitar que ela foi descoberta.
CAPÍTULO II
CONTROLE DE ACESSO LÓGICO
Seção I
Do acesso aos ativos de TI
Art. 12. O acesso local ou remoto aos ativos de TI deverá ser protegido por credenciais, tais como login/senha, de forma a impedir acesso não autorizado.
Art. 13. Os acessos remotos aos ativos deverão usar recursos de criptografia.
Art. 14. Os dados das credenciais de acesso devem ser armazenados separadamente dos dados de aplicações.
Art. 15. Os direitos de acesso serão bloqueados temporariamente após a realização de número máximo de tentativas sem sucesso.
Parágrafo único. A quantidade máxima de tentativas e o tempo de bloqueio serão definidos pelo órgão gestor da informática na UFRN.
Art. 16. Sempre que possível, os ativos deverão usar autenticação em duas etapas;
Art. 17. Os equipamentos de computação pessoal conectados à rede administrativa, seja ela local ou wifi, devem fazer parte de um domínio.
Parágrafo único. É facultado ao titular da Unidade Patrimonial definir os casos de exceção para o citado no caput deste artigo.
Seção II
Do acesso às redes internas
Art. 18. Será fornecido acesso às redes internas cabeadas e sem fio (WIFI) da UFRN aos seus agentes públicos e alunos para a realização de suas atividades na instituição.
Art. 19. Os logs de conexão às redes serão registrados.
Art. 20. As conexões poderão ser monitoradas, limitadas e interrompidas a qualquer tempo pelas equipes de TI da UFRN na execução de suas tarefas relacionadas à segurança da informação, a fim de mitigar ou evitar incidentes de segurança.
Art. 21. A UFRN poderá, a qualquer momento, aplicar ou alterar as tecnologias de autenticação para o acesso às redes internas.
Parágrafo único: As redes sem fio (WIFI) da UFRN deverão obrigatoriamente utilizar autenticação. São proibidos tanto o fornecimento quanto o acesso aberto a essas redes.
Art 22. É proibida a instalação ou conexão de ativos de rede, tais como computadores, switches, roteadores, pontos de acesso, na UFRN sem a autorização da STI.
Seção IV
Do acesso à internet
Art. 23. Será fornecido o acesso à Internet na UFRN à toda comunidade universitária para as atividades de ensino, pesquisa, extensão e tarefas administrativas do interesse da Universidade.
Art. 24. O acesso a serviços e sites na Internet a partir da rede da UFRN, conforme a legislação vigente, poderá ser monitorado, filtrado, limitado ou bloqueado pelas equipes de TI dos Centros e Unidades.
Art. 25. A UFRN poderá aplicar, a qualquer momento, tecnologia de autenticação para acesso à internet.
Art. 26. É vedada, na rede da UFRN, a conexão de ativos que estejam fornecendo acesso por links não oficiais da Universidade.
Seção V
Do acesso externo às redes internas via VPN
Art. 27. Os agentes públicos da Universidade, alunos e professores visitantes poderão acessar a rede interna da UFRN para a realização de suas atividades de forma remota.
§ 1º Os servidores deverão solicitar o acesso por meio do sistema de chamados da UFRN.
§ 2º Alunos e professores visitantes poderão ter acesso à VPN, desde que a solicitação seja realizada por um servidor efetivo ou funcionário da FUNPEC vinculado a projeto da UFRN, por meio do sistema de chamados da UFRN.
Art. 28. Os dispositivos que acessam a VPN deverão obrigatoriamente manter todos os seus softwares (firmware, sistema operacional e aplicativos) atualizados para preservar a segurança da rede interna da instituição.
Parágrafo único. Sistemas operacionais Windows deverão ter antivírus ativo e atualizado.
Art. 29. O período de acesso à VPN será de, no máximo, um ano, ao fim do qual deverá ser solicitada a renovação de acesso via sistema de chamados.
Art. 30. O serviço de VPN será fornecido exclusivamente pela STI, que possui autonomia para delegá-lo a unidades administrativo-acadêmicas da UFRN, no interesse da instituição.
Parágrafo Único. A STI reserva-se ainda, por motivo de conveniência e oportunidade, o direito de negar a delegação do serviço de VPN, bem como de revogar delegações concedidas, reassumindo a responsabilidade pelo seu fornecimento.
Art. 31. As contas de acesso VPN poderão ser bloqueadas a qualquer momento pela STI em caso de:
I - incidentes de segurança confirmados;
II - suspeita de incidentes de segurança;
III - necessidade para prevenir incidentes de segurança; e
IV - perda de vínculo com a instituição.
Art. 32. Ao perder o vínculo ativo com a UFRN, o usuário da VPN terá seu acesso imediatamente cancelado.
Parágrafo único. É responsabilidade das unidades organizacionais da UFRN notificar a STI da perda do vínculo para que esta proceda ao cancelamento da conta VPN.
Seção VI
Do acesso aos Sistemas Integrados de Gestão da UFRN
Art. 33. Os Sistemas Integrados de Gestão (SIG) são desenvolvidos pela STI e disponibilizados à comunidade universitária da UFRN para automatizar e agilizar a execução de suas atividades administrativas e acadêmicas e permitir o amplo acesso à informação ao público em geral.
Art. 34. Os usuários, alunos e servidores, receberão credenciais para o acesso confidencial aos SIG.
§ 1º As credenciais são pessoais e intransferíveis, não podendo ser compartilhadas;
§ 2º Formato, tamanho e cuidados com as senhas devem ser obedecidos, de acordo com a Norma de Senhas da UFRN;
Art. 35. A STI, caso necessário, publicará instrução normativa complementar com vistas a regular em maiores detalhes o acesso aos SIG's.
Seção VII
Do acesso aos sistemas de mensagens
Art. 36. Será fornecida uma conta de e-mail institucional para os agentes públicos e alunos da UFRN.
Art. 37. As contas de e-mail para os agentes públicos serão criadas automaticamente no Sistema Integrado de Gestão SIG da UFRN.
Art. 38. As contas de e-mail para alunos serão criadas por meio de solicitação no sistema SIGAA.
Art. 39. Após a criação do e-mail, o usuário solicitante receberá as credenciais de acesso, ficando responsável por protegê-las e mantê-las em sigilo.
Art. 40. As contas serão bloqueadas no caso de inativação do vínculo com a instituição.
Art. 41. As senhas de acesso às contas de e-mail são individuais e confidenciais e, em nenhuma hipótese, o titular da conta deverá fornecer sua senha a terceiros;
Parágrafo único. Em caso de suspeita de vazamento de dados da senha, o titular deverá providenciar imediatamente a sua alteração.
Art. 42. É proibido o compartilhamento das contas de e-mail.
CAPÍTULO III
CONTROLE DE ACESSO FÍSICO
Seção I
Dos Perímetro de Segurança
Art. 43. O acesso físico aos ativos de informação críticos como switches, roteadores, servidores de rede, firewalls etc, deve ser protegido com Perímetros de Segurança (PS) bem definidos, consistindo de barreiras que impeçam o acesso direto não autorizado.
Art. 44. Os PS podem ser dos seguintes tipos:
I - PS1 - Perímetro de Segurança tipo 1: receptáculos simples, como racks e armário para ativos de informação;
II - PS2 - Perímetro de Segurança tipo 2: receptáculos de baixa a média segurança, como salas simples fechadas; e
III - PS3 - Perímetro de Segurança tipo 3: receptáculos de alta a muito alta segurança, tais como salas seguras, salas cofre, data centers.
Art. 45. A escolha pelo tipo de PS adequado deverá ser realizada pelas equipes de TI de cada Centro da UFRN e homologada por seus gestores.
Art. 46. Apenas pessoas autorizadas devem possuir acesso físico aos PS.
Art. 47. Deverão ser instalados sistemas de detecção de intrusos e de monitoramento por vídeo com alcance de cobertura dos acessos aos ativos.
Art. 48. Restrições relativas a comer, beber ou fumar nas imediações ou dentro dos PS deverão ser estabelecidas pelos gestores das unidades da UFRN.
Art. 49. Extintores de incêndio devem estar localizados nas imediações nos casos de PS1, e estar internos nos casos de PS2 e PS3.
Parágrafo único. A disposição, acomodação, tipos de extintores, validades etc deverão seguir normas de segurança definidas na legislação vigente.
Art. 50. Os PS1 e PS2 deverão dispor de portas de acesso com fechadura e sistema de refrigeração.
Parágrafo único. O PS1 pode ter refrigeração proveniente do container que o acomode, como por exemplo, um rack em uma sala, enquanto os PS2 e PS3 deverão ter refrigeração dedicada própria.
Art. 51. Os PS3 devem dispor de refrigeração própria dedicada, monitoramento constante de temperatura e umidade, monitoramento por vídeo com gravação de imagens, sistema de iluminação de emergência, sistemas de detecção de fumaça e umidade, sistemas de proteção contra incêndio, portas corta-fogo, fechaduras com senha e/ou biometria, sistema UPS e gerador de energia.
Art. 52. Suprimentos de energia elétrica, telecomunicações e ar-condicionado, devem estar em conformidade com as especificações do fabricante e requisitos legais, além de serem inspecionadas e testadas regularmente.
Seção II
Do controle e registro de entrada
Art. 53. Para os perímetros de segurança PS2 e PS3, serão registradas a identificação de visitantes e data e hora da entrada e saída, sendo seu acesso supervisionado por pessoa responsável pelo ambiente.
Art. 54. Áreas com processamento e/ou armazenamento de informações sensíveis serão restritas apenas a pessoal autorizado e com controle de acesso adequado.
Art. 55. Os registros de todos os acessos serão mantidos e monitorados de forma segura.
Art. 56. O suporte realizado por partes externas às áreas que realizem processamento e/ou armazenamento de informações sensíveis deve ser restrito e seu acesso precisa ser autorizado e monitorado.
Art. 57. Os direitos de acesso a áreas restritas devem ser revisados periodicamente e, quando necessário, revogados.
Seção III
Dos equipamentos
Art. 58. Os equipamentos devem estar localizados em espaços que reduzam os riscos de danos provenientes do meio ambiente e de acesso não autorizado.
Art. 59. Ativos de informação que trabalham com dados sensíveis devem ser posicionados de forma a evitar que as informações manuseadas possam ser visualizadas durante seu processamento.
Seção IV
Do cabeamento
Art. 60. As linhas de comunicação de dados e VoIP deverão ser construídas e mantidas observando-se as boas práticas e normas técnicas de cabeamento estruturado;
Art. 61. As linhas de energia e telecomunicações das instalações de processamento da informação devem ser subterrâneas ou providas de proteção adicional alternativa.
Art. 62. Os cabos de energia devem ser segregados dos cabos metálicos de telecomunicações, ou dispor de proteção conforme norma específica vigente, de forma a evitar interferências.
Seção V
Da manutenção dos equipamentos
Art. 63. A fim de garantir a integridade e disponibilidade dos sistemas, os equipamentos devem ter suas manutenções realizadas nos intervalos recomendados de acordo com suas especificações técnicas e orientação do fabricante.
Art. 64. As manutenções devem ser realizadas apenas por pessoal autorizado.
Art. 65. Controles apropriados devem ser estabelecidos para as manutenções programadas de forma a garantir que as informações sensíveis possam ser removidas do equipamento previamente.
Seção VI
Da remoção de ativos
Art. 66. Para a remoção de ativos da UFRN, funcionários, fornecedores e terceiros devem obrigatoriamente ter a autorização do gestor da Unidade, devendo ser realizada a cautela do equipamento.
Art. 67. O tempo de permanência do ativo fora da UFRN deve ser estabelecido previamente, sendo registrado tanto sua retirada quanto sua devolução, além da identificação do responsável pela movimentação do ativo.
Art. 68. Inspeções poderão ser realizadas a fim de identificar a retirada ou existência de ativos não autorizados nas instalações da UFRN.
Seção VII
Da Identificação de Pessoal
Art. 69. Todos os funcionários, visitantes, fornecedores e partes externas devem ter alguma forma visível de identificação para circular dentro dos perímetros de segurança definidos.
CAPÍTULO III
DAS VIOLAÇÕES, PENALIDADES E SANÇÕES
Art. 70. A desobediência ou violação às regras da Política de Controle de Acesso da UFRN implicará em sanções administrativas nos termos da lei e normas complementares, sem prejuízo de outras previstas nas esferas cível e penal.
CAPÍTULO IV
DAS DISPOSIÇÕES FINAIS
Art. 71. Os casos omissos e as dúvidas surgidas na aplicação do disposto nesta Política deverão ser tratados pelo Comitê Gestor de Segurança da Informação da UFRN.
Art. 72. Esta Resolução entra em vigor na data de sua publicação.
Art. 73. Revoga-se a Resolução Normativa 2/2021-CGRC, de 7 de julho de 2021.
HÊNIO FERREIRA DE MIRANDA
Vice-presidente do Comitê de Governança Estratégico