1/12 ELABORADO CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO APROVADO Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO EDIÇÃO DATA ALTERAÇÕES EM RELAÇÃO À REVISÃO ANTERIOR Foram adicionados os sistemas MD Comune e Nex Admin aos itens de gerenciamento de níveis de acesso e também foram incluídos ao formulário.f01 - Solicitação de inclusão/exclusão/alteração/suspensão de acesso aos sistemas de informação (ANEXO I). ATUALIZAÇÃO: Responsabilidade da Assessoria de Informática e Comunicação - ASI DISTRIBUIÇÃO: Responsabilidade da Assessoria de Controles Internos - ASC ARQUIVAMENTO: Responsabilidade da Assessoria de Controles Internos - ASC
2/12 ÍNDICE 1. OBJETIVO... 3 2. RESPONSABILIDADES... 3 3. CONCEITUAÇÃO... 3 4. DISPOSIÇÕES GERAIS... 3 4.1. Controle de acessos... 3 4.2. Gerenciamento de privilégios... 4 4.3. Credenciais de Administradores... 5 4.4. Análise periódica dos direitos de acesso... 5 4.5. Acesso Físico Datacenter e Arquivo Físico...6 4.6. Acesso Físico às Instalações Administrativas...6 4.7. Alteração de status...7 4.8. Implementação técnica... 7 5. CONTROLE DE REGISTROS... 8 6. REFERÊNCIAS BIBLIOGRÁFICAS... 8 7. ANEXOS...9 ANEXO I -.F01 - Solicitação de Inclusão/Exclusão/Alteração/Suspensão de acesso aos sistemas de Informação...9 ANEXO II -.F02 - Avaliação Periódica de Acesso aos Sistemas Informatizados da Celpos...11 ANEXO III -.F03 - Acesso Físico às Instalações Administrativas...12
3/12 1. OBJETIVO O objetivo deste documento é definir regras para acesso a diversos sistemas, equipamentos, instalações e informações com base nos requisitos comerciais e de segurança para obtenção de acesso. 2. RESPONSABILIDADES Este documento aplica-se a todo o escopo do Sistema de Gestão da Segurança da Informação (SGSI), isto é, a todos os sistemas, equipamentos, instalações e informações do escopo do SGSI. 3. CONCEITUAÇÃO Usuários - Estão incluídos no grupo de usuários todas as pessoas que utilizam os sistemas de informação (empregados, prestadores de serviços e estagiários). 4. DISPOSIÇÕES GERAIS 4.1. Controle de acessos 4.1.1. Introdução O princípio básico é que o acesso a todos os sistemas, redes, os serviços e as informações é proibido a menos que expressamente permitido a usuários e grupos de usuários. Para concessão de acesso aos sistemas e a rede, existe um formulário (.F01 - Solicitação de Inclusão/Exclusão/Alteração/Suspensão de acesso aos sistemas de Informação - ANEXO I) que deve ser preenchido pelo gestor de cada área ou proprietário do ativo em questão. O acesso a todas as áreas físicas não é permitido, exceto às áreas que requerem concessão de privilégios por parte da pessoa autorizada (item "Gerenciamento de privilégios").
4/12 4.1.2. Perfis de usuários por sistemas SISTEMA PERFIS Leitura Operador Gerencial Admin Atena x x x x JCMB x x Arquivar x x x RHsenso x x Sistemas Legado x Active Directory x x Soap Admin x x MD Comune x x x Nex Admin x x x Leitura - Acesso somente leitura. Operador - Acesso para realizar lançamentos e inclusão. Gerencial - Acesso para autorização/exclusão/alteração Admin - Acesso administrativo ao sistema. 4.2. Gerenciamento de privilégios Os privilégios relacionados aos perfis de usuários mencionados acima (concedendo ou removendo os direitos de acesso são alocados da seguinte forma): NOME DO SISTEMA/ REDE/ SERVIÇO/ ÁREA FÍSICA PESSOA AUTORIZADA PARA CONCEDER OU REMOVER DIREITOS DE ACESSO JCMB ASC E-mails ARQUIVAR GAAF E-mails RH SENSO GAAF E-mails FORMA DO PROCESSO DE AUTORIZAÇÃO ATENA ASI RAT/E-MAILS/FORMULÁRIO SISTEMAS LEGADO ASI RAT/E-MAILS Active Directory ASI RAT/E-MAILS
5/12 Soap Admin ASI RAT/E-MAILS MD Comune GAAF E-mails Nex Admin GAAF E-mails Ao alocar os privilégios, o responsável deve levar em consideração os requisitos dos negócios e de segurança para acesso, conforme definido na avaliação de riscos, bem como a classificação das informações que são acessadas com esses direitos de acesso, de acordo com a Política de classificação da informação. 4.3. Credenciais de Administradores O uso das credenciais de administrador é exclusivo para os funcionários da ASI - Assessoria de Informática para acesso restrito aos servidores e instalação/ configuração dos sistemas. É proibido utilizar as credenciais administrativas para realizar logon nas estações de trabalho. 4.4. Análise periódica dos direitos de acesso Os proprietários do sistema e das instalações para os quais são necessários direitos de acesso especiais devem, de acordo com os seguintes intervalos, analisem se os direitos de acesso concedidos estão de acordo com os requisitos dos negócios e de segurança: NOME DO SISTEMA/ REDE/ SERVIÇO/ ÁREA FÍSICA INTERVALOS DE ANÁLISE PERIÓDICA PROPRIETÁRIO DO ATIVO AtenaPrev.net 6 meses ASI JCMB 6 meses ASC ARQUIVAR 6 meses GAAF RHSENSO 6 meses GAAF SISTEMAS LEGADO 6 meses ASI Active Directory 6 meses ASI Soap Admin 6 meses ASI MD Comune 6 meses GAAF Nex Admin 6 meses GAAF
6/12 Todas as análises devem ser registradas em um formulário.f02 - Avaliação Periódica de Acesso aos Sistemas Informatizados da Celpos (ANEXO II) e devem ser enviadas à Assessoria de TI de acordo com o prazo acordado. 4.5. Acesso Físico Datacenter e Arquivo Físico O acesso ao Datacenter da Fundação é restrito aos colaboradores da Assessoria de Informática ASI, e aos empregados e terceiros autorizados e devidamente acompanhados de um empregado da referida assessoria. É responsabilidade da ASI monitorar e controlar os serviços residentes no Datacenter da Fundação. Somente a ASI está autorizada a liberar o acesso físico às instalações do Datacenter. O mesmo acontece com o arquivo físico da fundação, onde somente colaboradores da Gerência Administrativa - GAAF são autorizados a ter acesso ao local e outros empregados e terceiros com sua devida permissão e acompanhamento. 4.6. Acesso Físico as Instalações Administrativas O Acesso às instalações administrativas da Fundação, conforme escopo é restrita aos colaboradores e a Diretoria Executiva da Fundação, e aos terceiros devidamente autorizados, conforme termo de confidencialidade devidamente assinado. Os demais prestadores de serviços devem ser acompanhados por um colaborador da Fundação ou um terceiro devidamente autorizado. Todos os serviços devem ser executados no horário comercial. Contudo, as exceções devem ser tratadas em formulário especifico.f03 - Acesso Físico as Instalações Administrativas (ANEXO III), e devem ser aprovadas pelo Comitê do SGSI e a Diretoria Executiva. Sendo necessária a constatação das clausulas no contrato dos fornecedores dos termos de segurança da informação e a obrigatoriedade do termo de confidencialidade dos terceiros. Os funcionários terceirizados terão acesso através na portaria do edifício Celpos, conforme lista no formulário.f03 - Acesso Físico as Instalações Administrativas, devidamente aprovada pelo Comitê do SGSI e a Diretoria Executiva, e terá senha de acesso nas portas digitais por tempo limitado.
7/12 4.7. Alteração de status Mediante a alteração ou o encerramento das atividades, o gestor da área deve informar imediatamente aos responsáveis que implementaram os privilégios para o funcionário em questão a alteração dos direitos de acesso. Mediante a alteração das relações contratuais com partes externas que têm direito de acesso aos sistemas, aos serviços e às instalações ou mediante a expiração do contrato, o proprietário do contrato deve informar imediatamente aos responsáveis que implementaram os privilégios para as partes externas em questão. Os direitos de acesso para todas as pessoas que mudaram de status de emprego ou relacionamento contratual precisam ser imediatamente removidas por pessoas responsáveis com definido na próxima seção. 4.8. Implementação técnica A implementação técnica da alocação ou remoção dos direitos de acesso é de responsabilidade do proprietário do ativo. NOME DO SISTEMA/ REDE/ SERVIÇO/ ÁREA FÍSICA AtenaPrev.net JCMB ARQUIVAR RHSSENSO SISTEMAS LEGADO Active Directory Soap Admin MD Comune Nex Admin RESPONSÁVEL PELA IMPLEMENTAÇÃO ASI ASC GAAF GAAF ASI ASI ASI GAAF GAAF As pessoas listadas nesta tabela podem não conceder ou remover direitos de acesso livremente, mas somente com base nos perfis dos usuários definidos nesta Política e nas solicitações das pessoas autorizadas a alocar privilégios.
8/12 5. CONTROLE DE REGISTROS Código Identificação Origem Armazenamento (área) Proteção (suporte) Recuperação Tipo de Arquivo Indexação Acesso Mag. Fis. Tempo de Retenção Disposição.F01.F02 Solicitação de Inclusão/ Exclusão/ Alteração/ Suspensão de acesso aos sistemas de Informação Avaliação Periódica dos direitos de acesso Arquivo Corrente Servidor Pasta Backup Ordem Cronológica X Restrito à área Todos (Somente o Assessor de TI tem o direito de editar ou remover esses registros) X X Indeterminado 3 anos NA NA.F03 Acesso Físico às Instalações Administrativas Arquivo Corrente Pasta Ordem Cronológica Restrito à área X Indeterminado NA Termo de Confidencialidade dos Terceiros Arquivo Corrente Pasta Ordem Cronológica Restrito à área X Indeterminado NA Mensagem de e- mail Servidor Backup Q:\SGSI\ Concessão de Acesso Todos (Somente o Proprietário do ativo tem o direito de editar e remover esses registros) x 3 anos NA Somente o Responsável por implementar as regras no Sistema pode conceder aos demais funcionários o acesso a qualquer um dos documentos mencionados acima. 6. REFERÊNCIAS BIBLIOGRÁFICAS Norma NBR ISO/IEC 27001 - Sistemas de Gestão da Segurança da Informação NBR ISO 9001 - Sistemas de Gestão da Qualidade GE01.01 - Emissão e Controle de Instrumentos Normativos NBR ISO 31.000 - Sistema de Gestão de Riscos
9/12 7. ANEXOS ANEXO I -.F01 - Solicitação de Inclusão/Exclusão/Alteração de Acesso ao Sistema de Informação
10/12
11/12 ANEXO II -.F02 - Avaliação Periódica de Acesso aos Sistemas Informatizados da Celpos
12/12 ANEXO III -.F03 - Acesso Físico às Instalações Administrativas