Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOE 23/04/2024 - Diário Oficial do Estado do Ceará

                            36
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XVI Nº075  | FORTALEZA, 23 DE ABRIL DE 2024
utilização de firewalls, ferramentas de detecção e proteção de intrusão, ferramentas de prevenção de vazamento de dados confidenciais, entre outras.
3.8.Os administradores de rede locais devem monitorar os recursos computacionais, dentre os quais, disponibilidade de espaço de disco em compu-
tadores servidores de rede, solicitando ao gestor do recurso a remoção do lixo informático.
3.9.Deve ser mantido o sincronismo das informações de data e hora entre os computadores servidores de rede, estações, notebooks e outros equi-
pamentos que utilizem tais informações em seus registros de atividades.
3.10.As estações de trabalho e notebooks devem ser protegidas por ferramentas de segurança ou procedimentos administrativos que garantam a 
liberação do uso somente após identificação e validação do usuário.
3.11.A Ceiti deverá prover a atualização de vacinas da ferramenta de antivírus nas estações, notebooks e servidores de rede, bem como os procedi-
mentos a serem seguidos em caso de contaminação por malware.
3.12.As mensagens eletrônicas por email e respectivos arquivos anexados a elas, devem sofrer verificação por ferramenta antivírus.
3.13.O acesso do pessoal de apoio de serviços gerais e de suporte tecnológico à sala do datacenter deve ocorrer somente com autorização, horário 
previamente determinado pelo Gestor do datacenter e acompanhado por um colaborador responsável pela área durante sua permanência no referido local.
3.14.Os procedimentos de operações de TI devem ser documentados para facilitar a transferência de conhecimento e a rápida recuperação de incidentes.
3.14.1.Os procedimentos de operações de TI incluem a inicialização de serviços, instalação e configuração de equipamentos, procedimentos de 
restore, tratamento de informações, etc.
4.MANUTENÇÃO DE EQUIPAMENTOS
4.1.A Cotic deve manter um inventário atualizado dos recursos de informática na Sefaz, com a identificação dos responsáveis, bem como o mape-
amento da lista de documentos que auxiliam na manutenção de tais equipamentos.
4.2.Os equipamentos devem ser vistoriados de acordo com procedimento específico para verificar a sua conformidade com a Política de Segurança 
da Informação (PSI).
4.3.A manutenção preventiva dos equipamentos deve ser realizada de acordo com as especificações dos fabricantes e por períodos definidos pela 
Ceiti em um programa de manutenção preventiva, considerando o grau de criticidade desses equipamentos.
4.4.As manutenções preventiva e corretiva dos equipamentos da Sefaz devem ser realizadas mediante procedimentos formalizados pela Ceiti e 
somente por pessoal autorizado devidamente identificado.
4.5.Toda e qualquer manutenção de equipamento realizada, seja por equipe própria ou por equipe externa à Sefaz, deverá respeitar as normas e 
controles existentes na PSI.
5.MONITORAMENTO E ANÁLISE CRÍTICA
5.1.A verificação das atividades de monitoração do ambiente deve considerar os riscos do sistema a ser monitorado, tais como:
5.1.1.Sensibilidade dos processos e fluxos de trabalho;
5.1.2.Valor e sensibilidade da informação envolvida;
5.1.3.Experiência anterior com invasões e uso impróprio do sistema;
5.1.4.Extensão da interconexão dos sistemas (particularmente com redes públicas).
5.2.Deve-se monitorar e realizar análise crítica dos serviços de tecnologia da informação e comunicação terceirizados pela instituição, de forma que 
seja garantida a aderência com a PSI e as condições dos acordos.
6.HOMOLOGAÇÃO DE SOFTWARES
6.1.O escopo de homologação de softwares desta norma abrange apenas requisitos não funcionais .
6.2.Os requisitos funcionais deverão ser avaliados previamente pelo colaborador ou área solicitante de forma a verificar se o sistema a ser homolo-
gado atende as necessidades das atividades a serem desempenhadas com a sua utilização.
6.3.Sistemas desenvolvidos ou adquiridos pela Sefaz devem ser homologados pela Célula de Solução e Projetos de Tecnologia da Informação e 
Comunicação (Cesop) antes de colocados em produção.
6.4.A homologação de softwares deve levar em consideração a entrega de documentações de planejamento, requisitos de recursos, arquitetura da 
solução, previsão de impactos, avaliação de riscos, planejamento de backup, recuperação de desastres, classificação dos ativos envolvidos, instalação, 
monitoramento, entre outros documentos relevantes para a continuidade do negócio.
6.5.A fase de concepção ou análise de requisitos da solução de software, a ser desenvolvida ou adquirida, deverá abranger os requisitos e padrões 
de segurança da informação definidos em documentação destinada para tal finalidade.
6.6.A homologação de softwares deve contemplar ainda as seguintes etapas:
6.6.1.Validação de entradas de dados (de usuários ou interfaces com outros sistemas) quanto ao formato dos dados e valores/caracteres esperados;
6.6.2.Implementação de funcionalidades de segurança, incluindo todas as condições definidas na especificação de segurança do sistema ou aplicativo;
6.6.3.Mitigação de vulnerabilidades, contemplando:
6.6.3.1.Inspeção de código nos pontos críticos do sistema e/ou aplicativo, abrangendo, pelo menos:
6.6.3.1.1.Autenticação (logon);
6.6.3.1.2.Controle de acesso;
6.6.3.1.3.Mecanismos de auditoria.
6.6.3.2.Verificação de ataques mais comuns na plataforma e arquitetura do sistema aplicativo ou na infraestrutura de suporte;
6.7.Sistemas desenvolvidos ou adquiridos pela Sefaz devem garantir que:
6.7.1.Antes da execução, desde que a performance seja mantida em níveis aceitáveis, sejam realizados testes automáticos, verificando-se a integri-
dade dos principais componentes.
6.7.2.Toda comunicação ou transferência de dados realizado originalmente da rede da Sefaz ocorra sempre de forma criptografada.
6.7.3.Aplicações que apresentem funcionalidade de upload de arquivos sempre os submetem à verificação de antivírus.
6.8.Aplicativos WEB devem ser desenvolvidos e configurados de forma a realizar as validações de segurança no servidor e utilizar, se possível, 
recursos como:
6.8.1.Sessões de usuários;
6.8.2.Cookies criptografados para armazenar informações de acesso de usuários;
6.8.3.Segurança na utilização de banco de dados;
6.8.4.Soluções de software desenvolvidos ou adquiridos, que, na fase de homologação, devem ser submetidos a uma análise de vulnerabilidades.
6.9.A relação dos softwares homologados e autorizados para uso na Sefaz deve estar sempre atualizada e disponível.
6.10.As aplicações, bem como suas documentações, devem sempre estar armazenadas em diretórios protegidos contra acessos não autorizados.
6.11.Sempre que os fabricantes disponibilizarem, correções e atualizações poderão ser implementadas nos sistemas somente após processo de homo-
logação e análise de impacto no ambiente, a fim de evitar que esses sistemas fiquem vulneráveis a programas maliciosos ou a qualquer tentativa 
de quebra de segurança.
7.SEGREGAÇÃO DE AMBIENTES
7.1.As redes da Sefaz devem estar separadas, considerando a criticidade das informações e dos fluxos de trabalho existentes, bem como os interesses 
da própria Instituição e de seus clientes.
7.2.As funções devem ser segregadas para reduzir as oportunidades de modificação ou o uso indevido não autorizado ou não intencional dos ativos 
da organização.
7.3.Colaboradores de desenvolvimento não devem ter acesso ao ambiente de produção a fim de evitar erros operacionais, acidentais ou não, da 
mesma forma que os ambientes de desenvolvimento, homologação e produção devem ser logicamente separados e independentes.
7.4.Os compiladores, editores e outros programas de desenvolvimento não devem ser acessíveis a partir do ambiente de produção, exceto quando 
estritamente necessário, mediante a solicitação formal e autorização do responsável pelo respectivo ambiente de produção.
7.5.Todos os recursos a serem colocados em produção devem ser controlados e previamente homologados em ambiente segregado da produção.
7.5.1.Os sistemas compartilhados devem ser especialmente testados de modo a não causar impacto no serviço de outros sistemas.
7.6.O ambiente de homologação deve reproduzir da maneira mais fidedigna possível o de produção.
7.7.O acesso ao ambiente de produção deve ocorrer de modo diverso do acesso ao ambiente de desenvolvimento e homologação.
7.7.1.Os usuários devem usar diferentes senhas para os ambientes previstos no item 7.7, e as telas de abertura devem exibir mensagens de identi-
ficação apropriadas.
7.8.A transferência de dados sigilosos, dados pessoais ou dados pessoais sensíveis do ambiente de produção para o ambiente de homologação ou 
de desenvolvimento deve ser autorizada pelo responsável da respectiva informação, mediante processos formalizados, atendendo aos requisitos da 
Lei Geral de Proteção de Dados (LGPD) e aos normativos adotados pela Sefaz.
8.PROTEÇÃO CONTRA SOFTWARES MALICIOSOS
8.1.Os servidores e estações de trabalho devem possuir e manter ativos sistemas de detecção e bloqueio de programas maliciosos (malware), tais

Fechar