ATO DA DIRETORIA-GERAL Nº 14, DE 2015
Dispõe sobre a política de senhas no âmbito do Senado Federal.
A DIRETORA-GERAL DO SENADO FEDERAL, no uso das competências que lhe foram conferidas pelo art. 252 do Regulamento Administrativo, aprovado pela Resolução do Senado Federal nº 40, de 2014, e
CONSIDERANDO os princípios que regem a administração pública, notadamente da eficiência e da continuidade administrativa;
CONSIDERANDO o disposto no inciso VIII do art. 116 e no inciso IX do art. 132 da Lei nº 8.112, de 1990, e o disposto nos incisos III, IV e VII do art. 11 da Lei nº 8.429, de 1992;
CONSIDERANDO o Ato da Comissão Diretora nº 11, de 2014, que dispõe sobre o Processo Eletrônico no âmbito do Senado Federal, que tem, dentre outras, a finalidade de prover informações de alta qualidade, o fácil acesso aos documentos produzidos e recebidos pelo Senado Federal, e a obtenção de maior eficiência organizacional, de segurança da informação, de transparência e de agilidade processual,
RESOLVE:
Art. 1º Este Ato tem como objetivo estabelecer critérios de criação, alteração e uso de senhas de acesso aos Recursos de Tecnologia da Informação, em especial à rede, aos sistemas e à intranet do Senado Federal em complemento a outros requisitos de segurança da informação do Senado Federal, a fim de minimizar riscos de segurança da informação e comunicações, garantindo níveis adequados de confidencialidade, integridade e disponibilidade de dados, informações e documentos administrados pelo Senado Federal.
Art. 2º Para os fins deste Ato, subsidiariamente aos conceitos constantes do art. 2º do Ato do Primeiro-Secretário nº 54, de 2009, considera-se:
I - Recurso de Tecnologia da Informação - TI: equipamentos e softwares de tecnologia da informação. Podem ser dos tipos: ativos de rede (i.e. roteadores, switches e equipamentos servidores em geral); sistemas corporativos ou adquiridos; e sistemas operacionais e serviços de diretório.
II - Acesso à Intranet: serviço provido pela Secretaria de Tecnologia da Informação, com a finalidade de permitir a troca de informações relacionadas às atividades do Senado Federal por meio de rede de computadores interna;
III - Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os recursos de TI;
IV - Segurança da informação e comunicações: conjunto de ações com a finalidade de proteger a informação contra os vários tipos de ameaças, a fim de garantir a continuidade do negócio e minimizar seus riscos;
V - Disponibilidade: propriedade que assegura que a informação esteja disponível aos processos e usuários autorizados, sempre que necessário;
VI - Integridade: propriedade que assegura que a informação seja alterada somente pelos processos e usuários autorizados; VII - Confidencialidade: propriedade que assegura que a informação seja acessada somente por processos e usuários autorizados;
VIII - Vulnerabilidade: fragilidade de um ou mais recursos de TI que pode ser explorada por uma ou mais ameaças; IX - Ameaça: causa potencial de um incidente de segurança da informação e comunicações;
X - Risco: possibilidade de determinada ameaça explorar vulnerabilidades de um ou mais recursos de TI causando prejuízos à organização;
XI - Usuários internos: senadores, servidores efetivos e comissionados;
XII - Usuários colaboradores: empregados de empresas prestadoras de serviço e estagiários do Senado Federal e os jovens aprendizes;
XIII - Usuários externos: qualquer pessoa física ou jurídica que tenha acesso, de forma autorizada, aos recursos de TI do Senado Federal e que não seja caracterizada como usuário interno ou usuário colaborador.
Art. 3º O acesso aos Recursos de Tecnologia da Informação do Senado Federal pressupõe a adoção de comportamento ético que não implique prejuízos à utilização desses recursos de TI do Senado Federal.
Art. 4º O acesso aos Recursos de Tecnologia da Informação do Senado destina-se à execução das atividades necessárias ao funcionamento da Casa e à prestação de serviços aos seus usuários.
Art. 5º O nome do usuário e senha são individuais e intransferíveis, devendo cada usuário manter seus dados em sigilo e informar ao gerente de relacionamento sobre qualquer problema com relação a eles.
Art. 6º A conta, a senha e o acesso aos recursos de TI do Senado são pessoais e intransferíveis, sendo de responsabilidade e uso exclusivo de seu titular, não podendo este permitir ou colaborar com o acesso aos recursos de TI do Senado Federal por pessoas não autorizadas.
Art. 7º O usuário é responsável por qualquer atividade desenvolvida por meio de sua conta, login e senha e pelos eventuais custos e consequências decorrentes de sua má utilização. Parágrafo único. O usuário será responsabilizado se permitir o uso de recursos de TI por terceiros utilizando sua conta, login e senha.
Art. 8º Será bloqueado o acesso do usuário aos sistemas corporativos e adquiridos:
I - Quando permanecer 90 (noventa) dias sem acessar a rede interna ou qualquer dos sistemas coorporativos do Senado Federal;
II - Quando do rompimento do contrato de trabalho de usuário colaborador; III - quando da mudança de lotação do servidor, em relação aos sistemas corporativos específicos da lotação anterior;
IV - Por descumprimento de procedimentos de segurança, como senhas inseguras ou por descumprimento de finalidade conforme definido neste Ato; e
V - Por erros recorrentes de combinação usuário e senha.
§ 1º O disposto no inciso I não se aplica aos servidores afastados, inativos e pensionistas no que tange ao acesso às informações e sistemas relacionados aos seus interesses pessoais.
§ 2º Os demais Recursos de TI serão bloqueados a critério do seu administrador.
Art. 9º Contas de recursos de TI bloqueadas por qualquer dos motivos citados neste Ato podem ser liberadas, desde que o pedido seja formalizado, com os devidos esclarecimentos e comprovações, caso necessário, e terão senhas aleatórias definidas pelo administrador de cada Recurso de TI para sua liberação.
Art. 10. O usuário terá direito a 03 (três) tentativas de autenticação de senha. Na quarta tentativa errada, o usuário terá seu acesso suspenso a esse Recurso de TI por tempo indeterminado até que solicite a sua liberação ao Gerente de Conta do departamento.
Art. 11. O gerenciamento de senhas de Recursos de TI deve, sempre que o sistema permitir, ser modificado, ou configurado de maneira a:
I - Permitir que o usuário selecione e modifique suas próprias senhas;
II - Possuir um procedimento de confirmação na criação/modificação de senhas para evitar erros de digitação;
III - Obrigar a escolha de senhas de qualidade (senhas fortes);
IV - Obrigar a troca de senhas iniciais e temporárias no primeiro acesso;
V - Não mostrar as senhas na tela quando forem digitadas;
§ 1º São senhas de qualidade aquelas que possuem complexidade para deter ameaças e reduzir riscos, assim as senhas de qualidade devem, sempre que o sistema permitir, atender às seguintes diretrizes:
I - A senha não deve conter o nome de conta do usuário;
II - A senha deve combinar letras maiúsculas e minúsculas, números e símbolos;
III - A senha deve ser alterada periodicamente, no máximo a cada 12 (doze) meses;
IV - A senha é significativamente diferente das 3 (três) senhas anteriores;
V - A senha deve conter no mínimo 8 (oito) caracteres.
§ 2º Além dos requisitos constantes no §1º, que serão verificados automaticamente pelos sistemas, deverão ser informados aos usuários, no momento da escolha das senhas, as seguintes recomendações de segurança:
I - A senha não deve se encontrar em um dicionário;
II - A senha não deve conter o nome de um comando;
III - A senha não deve conter o nome de uma pessoa;
IV - A senha não deve conter o login de um usuário;
V - A senha não deve incluir o número de matrícula do usuário;
VI - A senha não deve conter o nome de um computador.
Art. 12. Os administradores devem possuir contas e senhas individualizadas com privilégios administrativos e somente deverão utilizar essas contas para o desempenho de suas atividades.
Art. 13. As contas e senhas padrões do fabricante de equipamentos e aplicações devem ser trocadas imediatamente após a instalação.
Art. 14. A admissão ao grupo de administração, bem como a concessão de contas e senhas de administração de recursos de TI comuns e de altíssimos privilégios, como "root", serão autorizadas, controladas e registradas pelo diretor da unidade responsável.
Art. 15. Os sistemas corporativos e finalísticos, ativos de redes, servidores em geral e demais recursos de TI em uso e a serem desenvolvidos ou adquiridos a partir da data de publicação deste Ato devem obrigatoriamente atender os requisitos do presente Ato.
Art. 16. Periodicamente deverá haver auditorias internas ou externas nos diversos ambientes operacionais para confirmar a aplicação das normas descritas neste Ato.
Parágrafo único. Nos casos de auditoria externa, o Senado Federal deve designar um responsável para acompanhar a execução dos trabalhos.
Art. 17. Não é dado aos agentes públicos e prestadores de serviço, responsáveis pela administração de senhas de acesso aos recursos de TI, o direito de alegar desconhecimento da presente norma.
Art. 18. O não cumprimento da presente norma acarretará aos usuários internos, usuários colaboradores e usuários externos as penalidades cabíveis, previstas no âmbito administrativo, cível e criminal.
Art. 19. As dúvidas e os casos omissos quanto aos procedimentos deste Ato serão decididos pela Secretaria de Tecnologia da Informação - Prodasen.
Art. 20. Este Ato entra em vigor 60 (sessenta) dias após sua publicação.
Senado Federal, 17 de abril de 2015. Ilana Trombka, Diretora-Geral.
Publicado:
- Boletim Administrativo do Senado Federal, nº 5736, seção 2, de 22/04/2015, p. 1.
- Boletim Administrativo do Senado Federal, nº 5744, seção 2, de 04/05/2015, p. 1. (Republicação)