Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOE 23/04/2024 - Diário Oficial do Estado do Ceará

                            41
DIÁRIO OFICIAL DO ESTADO  |  SÉRIE 3  |  ANO XVI Nº075  | FORTALEZA, 23 DE ABRIL DE 2024
6.1.As áreas seguras serão definidas pelo Comitê Gestor de Segurança da Informação e Proteção de Dados (CGSIPD) e sua classificação deverá 
levar em consideração:
6.1.1.A necessidade da instalação ser caracterizada como área segura;
6.1.2.Perímetro abrangido;
6.1.3.Controles de entrada e saída necessários;
6.2.O acesso aos recursos das áreas seguras da Sefaz é restrito aos responsáveis por sua administração e operação. O acesso aos recursos desses 
setores deve ser concedido somente após autorização do gestor da área, tendo como propósito evitar impactos à confidencialidade, integridade e 
disponibilidade das informações.
6.3.Informações e atividades relacionadas a áreas seguras devem ser de conhecimento restrito ao pessoal autorizado e apenas quando necessário.
6.4.Áreas seguras devem estar fechadas e trancadas adequadamente de forma a impedir acessos não autorizados. Quando desocupadas, além de 
fisicamente fechadas, devem ser verificadas periodicamente.
6.5.Somente pessoas imprescindíveis à realização dos trabalhos rotineiros ou de manutenção devem ter acesso às áreas seguras, mediante autorização 
do gestor ou responsável pela área segura.
6.6.Em dias não úteis ou em horários fora do funcionamento da Sefaz, excepcionalmente, poderá ser autorizado o ingresso em áreas seguras, por 
meio de formulário, para a realização de atividade de serviço ou manutenção, desde que devidamente justificado.
6.6.1.O formulário deverá ser assinado prioritariamente pelo gestor imediato do servidor, do terceirizado ou do prestador de serviço para que seja 
autorizado pelo responsável pela área.
6.7.O pessoal autorizado deve ter acesso físico somente às áreas imprescindíveis para a realização dos seus trabalhos, conforme solicitado pelo seu 
superior imediato e autorizado pelo gestor ou responsável pela área.
6.8.É terminantemente proibido em áreas seguras:
6.8.1.Fumar;
6.8.2.Consumir qualquer tipo de alimentos ou bebidas;
6.8.3.Usar produtos inflamáveis;
6.8.4.Desenvolver qualquer outra atividade que não esteja especificamente vinculada com a finalidade a ser exercida neste ambiente.
6.9.Materiais combustíveis ou perigosos devem ser guardados de forma adequada a uma distância apropriada de uma área segura. Suprimentos 
volumosos só devem ser armazenados em áreas seguras quando houver razão que justifique.
6.10.Equipamentos de gravação, fotografia, vídeo ou som, de uso pessoal, somente podem ser utilizados em áreas seguras com autorização do 
gestor ou responsável pela área.
7.INCIDENTES DE SEGURANÇA
7.1.São considerados Incidentes de Segurança quando ocorre em áreas seguras:
7.1.1.Acesso indevido, não autorizado;
7.1.2.Abertura, manuseio ou manutenção de ativos de TI sem autorização.
7.2.Os incidentes em áreas seguras devem considerar:
7.2.1.Fenômenos naturais;
7.2.2.Ações de vandalismo;
7.2.3.Qualquer evento de ordem social que gerar risco potencial de indisponibilidade de dados e sistemas ou destruição da área segura.
7.3.Objetivando reduzir os impactos que venham a ser ocasionados pelos incidentes, esses ambientes deverão contemplar:
7.3.1.Cópias de segurança para os dados processados na área;
7.3.2.Detecção, alertas e extintores de incêndio;
7.4.Os incidentes de segurança detectados serão tratados em conformidade com a Norma de Gestão de Incidentes.
8.SEGURANÇA DE INFRAESTRUTURA DE INFORMAÇÃO E COMUNICAÇÃO
8.1.Todos os equipamentos de produção, incluindo, mas não se limitando a servidores, firewalls, hubs, roteadores e sistemas de correio de voz, 
devem estar centralizados dentro de um “datacenter” seguro.
8.2.O cabeamento de dados e voz deve ser implementado de forma a atender às normas de cabeamento estruturado aplicáveis, mantendo sua segu-
rança e integridade.
8.3.O cabeamento de redes deve ser protegido contra interceptação não autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando trajetos 
que passem por áreas públicas.
8.4.Pontos de rede das instalações da Sefaz que não estejam sendo utilizados devem ser desabilitados, exceto aqueles destinados à contingência, 
previamente determinados pela unidade responsável.
8.5.Cabos excedentes e inativos do “datacenter” da Sefaz devem ser removidos.
8.6.A estrutura de cabeamento de voz e dados da rede deve ser documentada, e esta documentação deve ser mantida atualizada, respeitando as regras 
para versionamento de documentos definidas pela Sefaz.
8.7.Os cabos de energia devem ser separados dos cabos de comunicações para evitar interferências.
8.8.Devem ser utilizadas marcações claramente identificáveis nos cabos e nos equipamentos.
8.9.Toda manutenção de equipamentos de infraestrutura, incluindo elétrica e ar-condicionado, devem seguir rigorosamente as recomendações dos 
fabricantes e normas técnicas em vigor, de forma a evitar indisponibilidade do equipamento e custos desnecessários para a organização.
8.10.Devem ser desenvolvidos mecanismos de troca programada de equipamentos, considerando sua vida útil, de acordo com as especificações 
do fabricante, ou seu estado de conservação. Equipamentos que ultrapassem seu tempo de vida útil ou que estejam em mau estado de conservação 
podem se tornar riscos de segurança, podendo provocar desde indisponibilidade até danos materiais, como incêndios.
8.11.Toda manutenção de equipamentos da Sefaz deve ser realizada somente por técnico capacitado, habilitado e devidamente identificado.
9.SEGURANÇA DO DATACENTER
9.1.O datacenter necessariamente será classificado como uma área segura e deverá ter minimamente os mesmos controles definidos para essas áreas.
9.2.O acesso ao ambiente do datacenter deve ser controlado. Após o horário de trabalho, somente pessoas autorizadas, formalmente, e por escrito.
9.3.A entrada no datacenter deve ser protegida por uma autorização de acesso.
9.4.As portas de acesso ao ambiente físico do datacenter devem ser protegidas por meio de um dispositivo de fechamento automático.
9.5.A entrada e a saída de materiais nas instalações do datacenter devem ser controladas.
9.6.O acesso do pessoal de apoio de serviços gerais e de suporte tecnológico à sala do datacenter deve ocorrer somente com autorização e em 
horário previamente determinado por um gerente da área. Além disso, deve ser acompanhado por um colaborador responsável pela área durante 
sua permanência no referido local.
10.MOVIMENTAÇÃO DE ATIVOS DE TI
10.1.Equipamentos, informações ou softwares não devem ser movidos ou retirados do local sem autorização prévia.
10.2.Os colaboradores que tenham autoridade para permitir a remoção de ativos de TI devem ser identificados.
10.3.Deverá ser feito o registro de toda e qualquer retirada e devolução de equipamentos de TI.
11.EXCEÇÕES
1.1.Os casos omissos, excepcionais e eventuais dúvidas quanto à aplicação da Política de Segurança da Informação (PSI) serão resolvidos pelo 
Comitê de Segurança da Informação e Privacidade de Dados (CSIPD).
12.PENALIDADES
12.1.O não cumprimento da Norma de Segurança Física por parte dos colaboradores estará sujeito às penalidades previstas nas esferas administra-
tiva, civil e penal.
13.ELUCIDÁRIO
13.1.Datacenter - Local físico que armazena máquinas de computação e seus equipamentos de hardware relacionados.
13.2.Controle de acesso físico - Medidas de segurança para gerenciar o fluxo de pessoas com a ajuda de dispositivos como, fechaduras, catracas e chaves.
13.3.CFTV - Circuito Fechado de TV, é o conjunto de equipamentos de monitoramento que capta e fornece imagens de um determinado perímetro.
13.4.Flipchart - É um tipo de quadro, usado geralmente para exposições didáticas ou apresentações.
13.5.CGSIPD - Comitê Gestor de Segurança da Informação e Proteção de Dados.
13.6.Área protegida - Áreas que correspondem às dependências de trabalho tais como escritórios, salas e instalações de processamento de informa-
ções, áreas de entrega, entre outros.
13.7.Área segura - Áreas que contenham informações, dispositivos ou serviços imprescindíveis aos negócios, tais como salas de servidores, salas 
de operação e monitoramento, cofres, arquivos, salas e armários com informações sensíveis e locais com equipamentos, infraestrutura e utilidades 
de TI (switches, roteadores, storage, dispositivos elétricos, de dados e voz, nobreaks, ar condicionado, entre outros).

Fechar