Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOE 23/04/2024 - Diário Oficial do Estado do Ceará

                            37
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XVI Nº075  | FORTALEZA, 23 DE ABRIL DE 2024
como, detecção de intrusos, programas antivírus, programas de análise de conteúdo, etc.
8.2.Os sistemas de detecção de malware devem verificar automaticamente os arquivos recebidos pela internet ou por mídias físicas.
8.3.Os incidentes de segurança ocasionados por malware devem ser tratados adequadamente, conforme regras definidas pela Sefaz, e os usuários 
comunicados sobre como proceder, de forma a minimizar os danos causados às atividades deste órgão.
9.SEGURANÇA E MANUSEIO DE MÍDIAS
9.1.Deve haver um procedimento documentado específico para uso, transporte, guarda e descarte ou destruição de mídias, assegurando os aspectos 
básicos de segurança da informação: confidencialidade, integridade e disponibilidade.
10.GERENCIAMENTO DE REDE
10.1.A Ceiti deverá documentar e manter atualizada a configuração dos recursos de rede, preservando a confidencialidade das informações e a 
sensibilidade que as mesmas representam para o negócio da Sefaz. Esta documentação deve ser mantida atualizada, respeitando as regras para 
versionamento de documentos, definidas pela Sefaz.
10.2.Os usuários devem ser identificados e autenticados para o uso de informações na rede corporativa da Sefaz.
10.3.Os recursos de rede devem ser instalados e configurados de maneira restritiva, considerando o mínimo necessário e autorizado para seu 
funcionamento.
10.4.A topologia de rede deve ser atualizada sempre que sofrer alterações, fazendo parte de um processo formal de manutenção das redes existentes 
na Sefaz.
10.5.Os acessos às redes da Sefaz devem ser limitados e controlados através de gateways de segurança, tais como:
10.5.1.Internet – firewall e proxy;
10.5.2.Redes internas – switches e roteadores;
10.5.3.Acesso externo – VPN’s.
10.6.A interconexão entre redes deve ser sempre avaliada quanto ao comprometimento da PSI e dos interesses da Sefaz.
10.7.As listas de controle de acesso de filtros implementados devem ser documentadas e revalidadas periodicamente.
10.7.1.Esta documentação deve ser mantida atualizada, respeitando as regras para versionamento de documentos, definidas pela Sefaz.
10.8.São vedadas as conexões de estações de trabalho e notebooks em outras redes de dados que não sejam as redes da Sefaz, exceto quando 
formalmente autorizadas.
10.9.É vedada a conexão de dispositivos particulares às redes da Sefaz, exceto redes sem fio criadas para esse fim.
11.CONEXÃO ENTRE REDES
11.1.A troca de informações entre a Sefaz e outras instituições deve ser realizada a partir de acordos formalizados considerando a criticidade da 
informação.
11.2.As informações devem ser transmitidas apenas por mecanismos de transporte autorizados, assegurando os aspectos básicos de segurança da 
informação: confidencialidade, integridade e disponibilidade.
11.3.Quando houver necessidade de tráfego de dados através de canais de comunicação não controlados pela Sefaz, tal transmissão deverá ocorrer, 
necessariamente, através de tecnologia que permita a criptografia e proteção desses dados.
11.4.A interconexão entre servidores e serviços deve ser autenticada por ambos os lados.
11.5.O uso de sniffers é proibido, exceto nos casos que sejam formalmente autorizados pela Cotic.
11.6.A segmentação das redes em sub-redes, quando aplicável, deve ser adotada, de forma a assegurar a confidencialidade das informações entre 
segmentos.
11.7.Os endereços da rede interna devem ser protegidos, de forma que outras redes (públicas) não possam ter conhecimento deles.
12.LOGS E TRILHAS DE AUDITORIA
12.1.Para efeito de controle e auditoria, serão registrados em trilhas de auditoria os acessos à rede, banco de dados, internet, e a sistemas, bem como 
o acesso remoto de usuários a quaisquer recursos de rede.
12.2.Os novos sistemas desenvolvidos ou adquiridos pela Sefaz devem registrar e manter arquivado por um tempo definido operações e falhas, de 
forma a assegurar investigações de manutenção e auditoria.
12.3.Os sistemas devem manter registros (logs) dos principais eventos realizados, como:
12.3.1.Operações privilegiadas, tais como:
12.3.1.1.Conta de supervisor e administrador;
12.3.1.2.Inicialização e finalização do sistema;
12.3.1.3.Conexão e desconexão (quando possível) de dispositivos de entrada e saída.
12.3.2.Tentativas de acesso não autorizadas, tais como:
12.3.2.1.Tentativas que falharam;
12.3.2.2.Violação da política de acesso e notificações para gateways e firewalls da rede;
12.3.2.3.Alertas dos sistemas proprietários de detecção de intrusão.
12.3.3.Alertas e falhas do sistema, tais como:
12.3.3.1.Alertas ou mensagens da console;
12.3.3.2.Registro das exceções do sistema;
12.3.3.3.Alarmes do gerenciamento da rede.
12.4.Respaldada em análise de impacto e de custo/benefício, as trilhas de auditoria gravadas devem conter, no mínimo, as seguintes informações:
12.4.1.Identificação do usuário;
12.4.2.Data e hora de início do acesso;
12.4.3.Transação e/ou serviço executado;
12.4.4.Conteúdo modificado, se for o caso (novo e anterior);
12.4.5.Identificação da estação de trabalho (endereço IP);
12.4.6.Data e hora do término do acesso, se aplicável.
12.5.Compete à Cotic prover meios para o acompanhamento formal dos registros de acesso e utilização de recursos da Sefaz, gravados em arquivos 
de log e trilhas de auditoria.
12.6.Os registros das atividades nos arquivos de log e trilhas de auditoria devem ser arquivados para auditagem periódica, por prazo de acordo com 
a legislação vigente.
12.7.O técnico envolvido diretamente com o objeto de análise não deve fazer parte da equipe de análise de registros.
12.8.Deve haver controles de registros (logs), a fim de se evitar falsificações, perdas de eventos ou incorreções. São considerados controles de registros:
12.8.1.Impossibilidade de livre desativação de registro (log);
12.8.2.Proibição de alterações ou exclusão dos registros (logs) – utilização de dispositivos “Write once”;
12.8.3.Limitação do meio magnético do arquivo de registros (logs), erros no registro de eventos ou sobreposição do próprio arquivo.
12.9.Sempre que possível os arquivos de log devem ser agrupados e separados conforme sua finalidade (logs de auditoria, logs de erros, etc).
12.10.O acesso aos logs, ou grupo de logs, deve ser restrito e correspondente à função executada pelo colaborador. Quando necessária a disponibi-
lização dos mesmos, devem ser realizados procedimentos de forma a mascarar eventuais dados sensíveis ali presentes.
13.GESTÃO DE MUDANÇAS
13.1.Devem ser adotados procedimentos de controle de mudanças que envolvem a documentação das operações, análise de impactos, cronograma, 
garantia de possibilidade de restauração, matriz de comunicação, responsáveis e procedimentos de testes.
13.2.Somente usuários autorizados podem solicitar tais mudanças.
13.3.Sempre que possível, a nova versão ou mudança aplicada no sistema, deve ser homologada previamente em um ambiente segmentado.
13.4.Quando possível, a implantação de mudanças deve ocorrer em horário apropriado, evitando perturbações nos processos de negócio.
13.5.Deve ser registrado um plano de comunicação com todos os parceiros envolvidos, responsáveis e técnicos envolvidos direta ou indiretamente, 
a fim de que sejam avisados previamente e, quando necessário, seja feito contato durante e após a execução de tais mudanças.
13.6.Se possível, devem ser registradas trilhas para auditoria das operações de alteração realizadas.
13.7.Deve haver a atualização da documentação do sistema ou ativo modificado.
13.8.Deve-se garantir que as mudanças documentais necessárias sejam executadas nos planos de continuidade de negócios, procedimentos de cópias 
de segurança, etc.
13.9.As modificações em pacotes de softwares devem ser desencorajadas e limitadas às mudanças necessárias.
13.10.Deve existir um processo de gestão de atualizações para assegurar a instalação das mais recentes correções de softwares.
14.EXCEÇÕES

Fechar