Norma de Gestão de Identidade e Controle de Acesso Página 1 NORMA DE GESTÃO DE IDENTIDADE E CONTROLE DE ACESSO Código: Versão: 0.1 Data da versão: 19/09/2023 Criado por: Intersec Solutions Aprovado por: Classificação: Histórico de Revisões Data Versão Criado por Descrição da Alteração 19/09/2023 0.1 Comitê de Segurança Documento básico 1. INTRODUÇÃO 1.1. A Norma de segurança da informação complementa Política Geral de Segurança da Informação, definindo as diretrizes para garantir que o acesso aos ativos de informação ou sistemas de informação do Município de Cotiporã garanta níveis adequados de proteção. 2. PROPÓSITO 2.1. Estabelecer diretrizes para gestão de identidade e acesso aos ativos e sistemas de informação do Município de Cotiporã. 3. ESCOPO 3.1. Esta norma obedece ao escopo definido na Política Geral de Segurança da Informação. Norma de Gestão de Identidade e Controle de Acesso Página 2 4. DIRETRIZES 4.1. Acesso a ativos e sistemas de informação 4.1.1. O Município de Cotiporã fornece a seus usuários autorizados contas de acesso que permitem o uso de ativos de informação, sistemas de informação e recursos computacionais como, por exemplo, rede corporativa; 4.1.2. As referidas contas de acesso são fornecidas exclusivamente para que os usuários possam executar suas atividades laborais; 4.1.3. Toda conta de acesso é pessoal do usuário a qual foi delegada e intransferível. Desta forma, o usuário é integralmente responsável por sua utilização, respondendo por qualquer violação ou ato irregular/ilícito, mesmo que exercido por outro indivíduo e/ou organização de posse de sua conta de acesso. 4.1.4. Os usuários deverão adotar medidas de prevenção para garantir o acesso seguro a ativos e serviços de informação, incluindo: 4.1.4.1. Não anotar ou registrar senhas de acesso em qualquer local, exceto nas ferramentas oficialmente fornecidas pelo Município de Cotiporã; 4.1.4.2. Não utilizar sua conta, ou tentar utilizar qualquer outra conta, para violar controles de segurança estabelecidos pelo Município de Cotiporã; 4.1.4.3. Não compartilhar a conta de acesso e senha com outro usuário, colaborador e/ou terceiro; 4.1.4.4. Informar imediatamente a equipe de segurança caso identifique qualquer falha ou vulnerabilidade que permita a utilização não autorizada de ativos de informação, sistemas e/ou recursos computacionais do Município de Cotiporã; Norma de Gestão de Identidade e Controle de Acesso Página 3 4.1.5. Usuários que tem acesso autorizado a privilégios administrativos em sistemas de informação devem possuir uma credencial específica para este propósito. A credencial privilegiada deverá ser utilizada somente para a execução de atividades administrativas que requeiram esse nível de acesso, enquanto a conta de acesso comum deverá ser utilizada em atividades do dia a dia; 4.1.6. Qualquer utilização não autorizada ou tentativa de utilização não autorizada de credenciais e senhas de acesso a ativos/serviços de informação ou recursos computacionais será tratada como um incidente de segurança da informação, cabendo uma análise da infração pelo CILGPD e aplicação das sanções e punições previstas na Política Geral de Segurança da Informação, conforme a gravidade da violação. 4.2. Senha de acesso 4.2.1. As senhas associadas às contas de acesso a ativos/serviços de informação ou recursos computacionais do Município de Cotiporã são de uso pessoal e intransferível, sendo dever do usuário zelar por sua guarda e sigilo; 4.2.2. O Município de Cotiporã adota os seguintes padrões para geração de senhas de acesso a seus ativos/serviços de informação ou recursos computacionais: 4.2.2.1. A equipe de tecnologia da informação será responsável por fornecer senhas de acesso inicial ao usuário, que deverá proceder com a troca imediata da mesma; 4.2.2.2. As senhas possuem validade de 90 (noventa) dias. Passado este prazo, os sistemas solicitarão automaticamente a troca da senha; 4.2.2.3. As senhas associadas a contas com privilégio não-administrativo serão compostas usando uma quantidade mínima de 08 (oito) dígitos, combinando letras maiúsculas e minúsculas, números e caracteres especiais; Norma de Gestão de Identidade e Controle de Acesso Página 4 4.2.2.4. As senhas associadas a contas que possuem privilégio administrativo serão compostas usando uma quantidade mínima de 10 (dez) dígitos, combinando letras maiúsculas e minúsculas, números e caracteres especiais; 4.2.2.5. Após 05 (cinco) tentativas de acesso com senhas inválidas, a conta do usuário será bloqueada, assim permanecendo até ser desbloqueada por um administrador; 4.2.2.6. Os sistemas de informação manterão um histórico das últimas 10 (dez) senhas utilizadas, não permitindo sua reutilização; 4.2.3. Quando estiverem criando uma senha, usuários devem estar atentos as seguintes recomendações: 4.2.3.1. Não utilizar nenhuma parte de sua credencial na composição da senha; 4.2.3.2. Não utilizar qualquer um de seus nomes, sobrenomes, nomes de familiares, colegas de trabalho ou informação a seu respeito de fácil obtenção como, por exemplo, placa do carro, data de aniversário, ou endereço; 4.2.3.3. Não utilizar repetição ou sequência de caracteres, números ou letras; 4.2.3.4. Qualquer parte ou variação do nome Município de Cotiporã; 4.2.3.5. Qualquer variação dos itens descritos acima como duplicação ou escrita invertida. 4.3. Acesso Físico ao Datacenter Norma de Gestão de Identidade e Controle de Acesso Página 5 4.3.1. Terão acesso físico permanente ao Datacenter do Município de Cotiporã as pessoas que exercerem os seguintes cargos: 4.3.1.1. Funcionários: - Secretário de Administração; - Administrador da Rede; - Funcionários e estagiários subordinados à gerência de Tecnologia da Informação. 4.3.1.2. Terceiros - Funcionários autorizados da empresa responsável pela Segurança da Informação ou Tecnologia. 4.3.1.3. Autorizados Esporádicos: - Funcionários, estagiários, contratados ou terceiros, desde que acompanhados por um membro das pessoas identificadas no item 4.3.1.1. 4.3.2. Sistema de segurança para o acesso às dependências do Datacenter: 4.3.2.1. Chaves para abertura manual. 4.3.3. Responsabilidades: 4.3.3.1. Fica a cargo da Secretaria de Administração a guarda e distribuição das chaves para acesso do Datacenter. 4.3.3.2. Fica a cargo da Secretaria de Administração a atualização da Lista de contatos dos responsáveis pelo Datacenter. 4.3.4. Distribuição das chaves: Norma de Gestão de Identidade e Controle de Acesso Página 6 4.3.4.1. Chaves para abertura manual do Datacenter: - 1 cópia na Secretaria de Administração - 1 cópia com a Tecnologia da Informação 4.4. Autorização de acesso (privilégios de acesso) 4.4.1. A autorização e o nível permitido de acesso ativos/serviços de informação do Município de Cotiporã é feita com base em perfis que definem o nível de privilégio dos usuários. 4.4.2. O acesso à ativos/serviços de informação é fornecido a critério do Município de Cotiporã, que define permissões baseadas nas necessidades laborais dos usuários; 4.4.3. Autorizações de acesso a perfis são fornecidas e/ou revogadas com base na solicitação dos gestores de cada colaborador. Solicitações deverão ser encaminhadas a equipe de tecnologia da informação. 4.4.4. Os usuários devem ainda observar as seguintes diretrizes: 4.4.4.1. A seu critério exclusivo, o Município de Cotiporã poderá ativar uma cota para armazenamento de arquivos em sua infraestrutura computacional local ou serviços de armazenamento remoto (nuvem). Caso o usuário necessite de mais espaço, deverá realizar uma solicitação ao departamento de tecnologia da informação; 4.4.4.2. É expressamente proibido o armazenamento de informações de caráter pessoal, que infrinjam direitos autorais ou que não sejam de interesse do Município de Cotiporã tanto na infraestrutura computacional local ou serviços de armazenamento remoto (nuvem); Norma de Gestão de Identidade e Controle de Acesso Página 7 4.4.4.3. Usuários não devem ter expectativa de privacidade quanto aos arquivos armazenados na infraestrutura computacional local ou serviços de armazenamento remoto (nuvem) do Município de Cotiporã 5. PAPÉIS E RESPONSABILIDADES 5.1. GESTOR DA INFORMAÇÃO 5.1.1. É responsabilidade dos colaboradores apontados como Gestor da Informação: 5.1.1.1. Autorizar a concessão e revogação de acesso a ativos/sistemas de informação sob sua responsabilidade; 5.1.1.2. Autorizar a concessão e o controle de acesso administrativo a ativos/sistemas de informação sob sua responsabilidade; 5.1.1.3. Realizar a revisão periódica de autorizações de acesso e credenciais de acesso a ativos/sistemas de informação sob sua responsabilidade. 5.2. DEPARTAMENTO PESSOAL 5.2.1. É responsabilidade do departamento pessoal (Recursos Humanos): 5.2.1.1. Reportar em tempo hábil o desligamento de servidores do Município de Cotiporã a equipe de tecnologia da informação para que contas de acesso possam ser revogadas; 5.2.1.2. Apoiar a gestão de identidades enviando relatórios periódicos sobre colaboradores desligados ou que mudaram de posição no Município de Cotiporã; Norma de Gestão de Identidade e Controle de Acesso Página 8 5.3. SECRETÁRIOS E COORDENADORES 5.3.1. É responsabilidade dos secretários e coordenadores: 5.3.1.1. Solicitar a equipe de tecnologia da informação a concessão de acesso novos servidores ou servidores que necessitem de novos acessos conforme mudanças em suas atividades laborais; 5.3.1.2. Solicitar a equipe de tecnologia da informação concessão de acesso a terceiros/prestadores de serviços contratados justificando a necessidade de acesso a ativos/sistemas de informação; 5.3.1.3. Informar a equipe de tecnologia da informação quando ao encerramento do contrato com terceiros/prestadores de serviços contratados que tenham a ativos/sistemas de informação. 5.4. TECNOLOGIA DA INFORMAÇÃO 5.4.1. É responsabilidade da tecnologia da informação: 5.4.1.1. Receber e analisar solicitações para criação de contas de acesso ou fornecimento de privilégios para usuários de servidores, terceiros/prestadores de serviços; 5.4.1.2. Conceder, quando autorizado, o acesso aos usuários de empregados, terceiros/prestadores de serviço, conforme indicado pelos gestores da informação; 5.4.1.3. Revogar, quando solicitado, o acesso dos usuários de empregados, terceiros/prestadores de serviço, conforme indicado pelos gestores da informação; Norma de Gestão de Identidade e Controle de Acesso Página 9 5.4.1.4. Apoiar a revisão periódica da validade de credenciais de acesso a ativos/sistemas de informação dos usuários de empregados, terceiros/prestadores de serviço fornecendo informações sobre os privilégios atualmente efetivados em ativos/sistemas de informação. 6. SANÇÕES E PUNIÇÕES 6.1. Sanções e punições serão aplicadas conforme previsto na Política Geral de Segurança da Informação. 7. REVISÕES 7.1. Esta norma é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação. 8. GESTÃO DA NORMA 8.1. A presente norma é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Gestão do Município de Cotiporã. 8.2. A presente norma foi aprovada no dia 19/09/2023. Ivelton Mateus Zardo Prefeito de Cotiporã Joana Inês Citolin Zanovello Secretaria de Administração