O B J E CT I V O Estabelecer critérios gerais para disponibilizar e manipular os recursos da tecnologia de informação do Projecto Portal do Governo. D O C U M E N T O S D E R E F E R Ê N C I A ISO/IEC 17799 - Código de prática para gestão da Segurança da Informação. D E F I N I Ç Õ E S Ausência: afastamento por qualquer período, com previsão de retorno ao trabalho. Gestor imediato: funcionário que exerce a actividade hierárquica superior ao utilizador em questão. Gestor do Ministério: funcionário do Ministério com a atribuições e responsabilidades de administração dos utilizadores do Ministério e a gestão do conteúdo do Ministério publicado no Projecto Portal do Governo. Contas de visita: contas especiais destinadas a acessos pontuais, como por exemplo convidado. Rede: rede Corporativa (Projecto Portal do Governo). Funcionários: profissionais integrantes do quadro do organismo. Equipamentos de conexão: equipamentos responsáveis pela conectividade na infra-estrutura de rede, como por exemplo, switches, roteadores, hubs, modems etc. Equipamentos de rede: servidores, equipamentos de conexão, equipamentos firewall e estações de gerência Identificação da conta: nome do utilizador. Prestadores de Serviço: empresas que pertencem ao estado e prestam trabalhos para o instituições estatais (exemplo: INACOM ). Senhas em branco : não utilização de caracteres para criação da senha, senha nula. Utilizadores: pessoas que acedam ou fazem uso de recursos ou sistemas de informação do Portal Administrativo, conforme interesse do Ministério/Organismo onde esta lotado. 1
D I S P O S I Ç Õ E S G E R A I S 1. Solicitação 1.1. O acesso deve ser disponibilizado aos funcionários do organismo, conforme sua a função. 1.2. O registo da conta de Utilizador para acesso ao Projecto Portal do Governo deve ser realizado após solicitação do próprio funcionário do Ministério/Organismo e a aprovação do Gestor do Ministério. 1.3. No caso de não funcionários o acesso pode ser disponibilizado mediante solicitação formal, com devida justificação (oficio) do seu superior da área responsável pelas actividades desenvolvidas pelos referidos funcionários. 1.4. A conta de utilizador é o instrumento para identificação do utilizador no Projecto Portal do Governo e caracteriza-se por ser individual e intransferível. 1.5. Cada utilizador deve possuir apenas uma conta de acesso ao Projecto Portal do Governo. 1.6. A solicitação formal de criação e manutenção de contas de acesso deve conter as seguintes informações: a) Data de solicitação; b) Tipo da solicitação (criação, activação, desactivação, desbloqueio de conta e outras alterações); c) Justificação (no caso de não funcionários); d) Permissões de acesso aos serviços do Portal Administrativo, em conformidade com as actividades realizadas pelos utilizadores com justificação(oficio) imediata do seu superior; e) Dados do utilizador: - Nome completo; - Bilhete de Identidade; - Ministério; - Endereço / Telefone; 1.6.1. As excepções a esta regra devem ser informadas e registradas. 1.7. Contas de acesso de não funcionários devem ter prazo de validade no máximo igual ao período de vigência do contrato ou período de duração de suas actividades. 1.8. As autorização de acesso aos serviços da Rede devem estar condicionadas à política do uso estabelecida pelos respectivos gestores desses serviços. 1.9. A conta de funcionários deve ter acesso no mínimo de consulta ao Portal Administrativo e Portal do Ministério e às permissões definidas pelo Gestor do Ministério. 1.10. As autorização da conta devem ser concedidas de acordo com as actividades desempenhadas pelo funcionário desde que justificada pelo Gestor do Ministério. 2
1.11. As solicitações relativas a cada conta devem ser mantidas registradas e armazenadas de forma segura por um período mínimo de um ano 2. Criação 2.1. Contas 2.1.1. Todos os utilizadores devem assinar um termo responsabilizando-se pela utilização da conta de acesso. 2.1.2. A nomenclatura das contas de acesso de utilizadores deve ser padronizada pelo gestor do Ministério não devendo ser baseada em apelidos, cargos, funções ou similares que sejam de fácil acesso ou discoberta, recomenda-se a utilização, por exemplo, do primeiro nome acompanhado do sobrenome. 2.1.3. Ao ser criada, a conta de utilizador deve ter as permissões definidas na solicitação. 2.1.4. A senha temporária usada na criação de conta deve ser criada de acordo com o item 2.2.1 2.1.5. A conta deve ser bloqueada após 10 (dez) tentativas de acesso mal sucedidas, e desbloqueada mediante solicitação formal com aprovação do gestor do Ministério. 2.1.6. Para o desbloqueio da conta de Utilizador, utiliza-se a senha inicial que deve ser alterada no primeiro acesso do utilizador. 2.2. Senhas 2.2.1. As senhas para autenticação no Portal Administrativo do Projecto Portal do Governo devem seguir os seguintes critérios: a) Tamanho mínimo de 6 (seis) caracteres. b) Impedida a utilização de senhas em branco ; c) Alteração imediata da senha inicial, pelo utilizador, no primeiro acesso; d) Senha válida pelo período de, no máximo, 240 (duzentos e quarenta) dias, devendo ser enviado ao utilizador 6 (seis) avisos de vencimento de senha. e) Impedida a repetição das últimas 2 (duas) senhas. 2.2.2. A base de dados de senhas devem ser armazenadas com criptografia. 3. Desactivação e Activação da Conta de Utilizador 3.1. Em casos de desvinculação, afastamento temporário ou transferência entre áreas, o utilizador deverá solicitar a desactivação da sua conta de acesso ao Portal Administrativo, a sua solicitação será aprovada ou reprovado pelo gestor do Ministério. 3.1.1. Em casos de se desligar, ou transferência, à conta deve ser desactivada, após verificação e efectuar-se a transferência das informações de permissão exclusiva deste utilizador. 3
3.1.2. Em caso de ausência temporária, a conta deve permanecer desactivada até que haja nova solicitação formal do utilizador ou do seu superior imediato para activação. 3.1.3. No caso de transferência do utilizador entre Ministérios, a conta deve permanecer desactivada até que ocorra outra solicitação de activação com a devida aprovação do gestor do Ministério para onde o utilizador foi transferido, informando as novas permissões e capacidades. 3.2. O gestor do Ministério deve verificar mensalmente o estado das contas de utilizador do seu ministério. 5. Utilização 5.1. A senha para acesso ao Portal Administrativo do Projecto Portal do Governo deve ter um sigilo e não pode ser compartilhada. 5.2. A utilização da conta de acesso ao Portal Administrativo do Projecto Portal do Governo em sessões simultânea não deve ser realizada. 6. Controle 6.1. O Gestor do Ministério, responsável pela administração do Portal Administrativo do seu Ministério, a cada 60 (sessenta) dias, deve verificar se há alguma conta fora dos padrões estabelecidos e elaborar relatório com as deficiências encontradas, com o objectivo de corrigir e servir de subsidio para auditorias. 6.1.1. O relatório deve ser armazenado num local restrito aos responsáveis durante 1 (um) ano e, em casos de inconformidade, durante 5 (cinco) anos. 6.2. O Gestor do Ministério responsável da área a qual pertence o utilizador deve ser informada formalmente a respeito de algum evento relacionado à falhas de segurança referentes à conta do utilizador. R E S P O N S A B I L I D A D E GESTOR DO MINISTÉRIO Fornece privilégios de acesso aos serviços do Portal Administrativo para cada utilizador; Disseminar permanentemente as Normas de Segurança da Informação para o Projecto Portal do Governo. Aprovar e revogar as solicitações de cadastro, activação, desactivação, desbloqueio e impressão da 2ª via da senha inicial da conta de utilizador para acesso ao Portal Administrativo do Projecto Portal do Governo. UTILIZADORES Conhecer e obedecer as Normas de Segurança da Informação para o Projecto Portal do Governo. Cumprir os requisitos para utilização da conta, formação e manutenção da senha. Solicitar cadastro, activação, desactivação e desbloqueio da sua conta de utilizador e recuperação da senha e 2ª via da carta que contém a senha inicial. 4
Informar o Gestor do Ministério os eventos de falha de segurança referentes a sua conta de utilizador. CENTRAL DE ATENDIMENTO Conhecer e obedecer as Normas de Segurança da Informação para o Projecto Portal do Governo; Garantir o cumprimento dos requisitos para a criação e manutenção das contas do utilizador; Verificar o cumprimento dos padrões estabelecidos e relatar deficiências encontrados; Ter conhecimento de todas as funcionalidades do Portal Administrativo. 5