DOU 19/09/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024091900014
14
Nº 182, quinta-feira, 19 de setembro de 2024
ISSN 1677-7042
Seção 1
Art. 15. As senhas de acesso serão renovadas a cada 24 (vinte e quatro)
meses, devendo o usuário ser informado antecipadamente da necessidade de alteração
de sua senha, a fim de que ele próprio possa efetuar a mudança.
Parágrafo único. Caso não efetue a troca no prazo estabelecido, seu acesso
será bloqueado à Rede Local até que nova senha seja configurada.
Art. 16. Os sistemas críticos do CNPq deverão possuir autenticação integrada
ao serviço de diretório da Instituição.
Art. 17. Deverá ser habilitada autenticação multifator para:
I - acesso dos usuários e administradores à Rede Local do CNPq;
II - acesso aos sistemas e serviços críticos de TI;
III - acesso aos sistemas internos e externos, em nuvem pública ou
privada;
IV - gerenciamento da infraestrutura de TI do CNPq; e
V - acesso à VPN do CNPq.
Art. 18. A CGETI deverá implementar processo automatizado para verificação
da saúde operacional das estações de trabalho de usuários em trabalho remoto que
acessam o ambiente pela VPN.
CAPÍTULO IV
BLOQUEIO, DESBLOQUEIO E CANCELAMENTO DA CONTA DE ACESSO
Art. 19. A conta de acesso será bloqueada nos seguintes casos:
I - após 5 (cinco) tentativas consecutivas de acesso errado;
II - solicitação do superior imediato do usuário com a devida justificativa;
III - quando da suspeita de mau uso dos serviços disponibilizados pelo CNPq
ou descumprimento da Política de Segurança da Informação (POSIN) e normas correlatas
em vigência;
IV - após 180 (cento e oitenta) dias consecutivos sem movimentação pelo
usuário; e
V - decorridos 90 (noventa) dias após a aposentadoria.
Art. 20. O desbloqueio da conta de acesso à Rede Local será realizado apenas
após solicitação formal do superior imediato do usuário ao SESUT.
Art. 21. Quando do afastamento temporário do usuário, a conta de acesso
deve ser bloqueada a pedido do superior imediato ou do SESUT.
Art. 22. A CGETI deverá implementar processo automatizado para revogação
de acessos, inativação e cancelamento das contas cujos períodos de inatividade atinjam
os prazos estabelecidos no art. 19 desta Portaria.
Art. 23. Os serviços serão filtrados por programas de antivírus, anti-phishing e
anti-spam e, caso violem alguma regra de configuração, serão bloqueados ou excluídos
automaticamente.
CAPÍTULO V
MOVIMENTAÇÃO INTERNA
Art. 24. Quando houver mudança do usuário para outro setor, os direitos de
acesso à Rede Local devem ser readequados, conforme solicitação do novo superior
imediato ao SESUT.
Parágrafo único. Os direitos de acesso antigos devem ser imediatamente
cancelados mediante solicitação do antigo superior imediato ao SESUT.
CAPÍTULO VI
CONTA DE ACESSO BIOMÉTRICO
Art. 25. A conta de acesso biométrico, quando implementada, deve ser
vinculada a uma conta de acesso lógico e ambas devem ser utilizadas para obtenção de
um acesso, a fim de atender os conceitos da autenticação multifator.
Parágrafo único. O CNPq deverá tratar seus respectivos dados biométricos
como dados sigilosos, preferencialmente, utilizando-se de criptografia, na forma da
legislação vigente.
CAPÍTULO VII
A D M I N I S T R A D O R ES
Art. 26. A utilização de identificação (login) com acesso no perfil de
administrador é permitida somente para execução de tarefas específicas na administração
de ativos de informação e restritas aos usuários cadastrados.
§ 1º Somente os técnicos da CGETI, devidamente identificados e habilitados,
terão senha com privilégio de administrador nos equipamentos locais e na rede.
§ 2º Excepcionalmente, poderão ser concedidas identificações (login) de
acesso à rede de comunicação de dados a visitante em caráter temporário após
apreciação da CGETI por meio do SESUT.
§ 3º A CGETI deve implementar a autenticação multifator para todas as contas
de administrador.
§ 4º A CGETI deve restringir os privilégios de administrador a contas de
administrador dedicados nos ativos de informação, para que o usuário com este privilégio
não consiga realizar atividades gerais de computação, como navegação na Internet, e-
mail e uso do pacote de produtividade, estas atividades deverão ser realizadas
preferencialmente a partir da conta primária não privilegiada do usuário.
§ 5º Ao tratar dados pessoais o CNPq deve observar o princípio do privilégio
mínimo como regra, para garantir que o usuário receba apenas os direitos mínimos
necessários para executar suas atividades, para tanto podem ser realizadas as seguintes
ações:
I - remover os direitos de administrador nos dispositivos finais;
II - remover todos os direitos de acesso root e "admin" aos servidores e
utilizar tecnologias que permitam a elevação granular de privilégios conforme a
necessidade, ao mesmo tempo em que fornecem recursos claros de auditoria e
monitoramento;
III - eliminar privilégios permanentes (privilégios que estão "sempre ativos")
sempre que possível;
IV - limitar a associação de uma conta privilegiada ao menor número possível
de pessoas; e
V - minimizar o número de direitos para cada conta privilegiada.
Art.
27. Nos
casos em
que a
utilização
de login
com privilégio
de
administrador do equipamento local for necessária, o usuário deverá encaminhar
solicitação
motivada ao
SESUT,
que poderá
negar os
casos
em que
entender
desnecessária sua utilização.
§ 1º A identificação (login) com privilégio de administrador nos equipamentos
locais será fornecida em caráter provisório, não podendo ser superior a 30 dias, no
entanto poderá ser renovada por solicitação formal do titular da unidade requisitante.
§ 2º Salvo para atividades específicas da área responsável pela gestão da
tecnologia da informação do CNPq, não será concedida, para um mesmo usuário,
identificação (login) com privilégio de administrador para mais de uma estação de
trabalho, ou para acesso a equipamentos, servidores e a dispositivos de rede.
CAPÍTULO VIII
R ES P O N S A B I L I DA D ES
Art. 28. É de responsabilidade da Coordenação Geral de Gestão de Pessoas
(CGGEP) e do SESUT comunicar formalmente o desligamento ou saída do usuário do
CNPq para que as permissões de acesso à Rede Local, sistemas e serviços de TI sejam
canceladas.
Art. 29. Caberá à CGGEP do CNPq a comunicação imediata ao SESUT sobre
desligamentos de
servidores e
estagiários, para que
seja efetuado
o bloqueio
momentâneo ou a revogação definitiva da permissão de acesso aos recursos de TI.
Art. 30. É responsabilidade dos Gestores de contratos de terceirização a
comunicação imediata a CGETI sobre desligamentos de funcionários de empresas
prestadoras de serviços, para que seja efetuado o bloqueio momentâneo ou revogação
definitiva da permissão de acesso aos recursos de TI.
Art. 31. O monitoramento da utilização de serviços de rede e de acesso à
Internet é de responsabilidade da CGETI, podendo ainda exercer a função de investigação
nos casos de apuração de uso indevido desses recursos.
Parágrafo único. A CGETI poderá bloquear, temporariamente, sem aviso
prévio, a estação de trabalho que estiver realizando atividades que coloquem em risco a
segurança da rede, até que seja verificada a situação e descartada qualquer hipótese de
dano à infraestrutura tecnológica do CNPq.
Art. 32. O usuário é responsável por todos os acessos realizados através de
sua conta de acesso e por possíveis danos causados à Rede Local e a recursos de
tecnologia custodiados ou de propriedade do CNPq.
§ 1º O usuário é responsável pela integridade e utilização de sua estação de
trabalho, devendo, no caso de sua ausência temporária do local onde se encontra o
equipamento, bloqueá-lo ou desconectar-se da estação, para coibir acessos indevidos.
§ 2º A utilização simultânea da conta de acesso à Rede Local em mais de uma
estação de trabalho ou notebook deve ser evitada, sendo de responsabilidade do usuário
titular da conta de acesso os riscos que essa utilização paralela implica.
§ 3º O usuário não poderá, em hipótese alguma, transferir ou compartilhar
com outrem sua conta de acesso e respectiva senha à Rede Local.
Art. 33. O usuário deve informar ao SESUT qualquer situação da qual tenha
conhecimento que configure violação de sigilo ou que possa colocar em risco a segurança
inclusive de terceiros.
Art. 34. É dever do usuário zelar pelo uso dos sistemas informatizados,
tomando as medidas necessárias para restringir ou eliminar riscos para o CNPq, a
saber:
I - não permitir a
interferência externa caracterizada como invasão,
monitoramento ou utilização de sistemas por terceiros, e outras formas;
II - evitar sobrecarga de redes, de dispositivos de armazenamento de dados
ou de outros, para não gerar indisponibilidade de informações internas e externas;
III - interromper a conexão aos sistemas e adotar medidas que bloqueiem o
acesso de terceiros, sempre que completarem suas atividades ou quando se ausentarem
do local de trabalho por qualquer motivo;
IV - não se conectar a sistemas e não buscar acesso a informações para as
quais não lhe tenham sido dadas senhas e/ou autorização de acesso;
V - não divulgar a terceiros ou a outros usuários dispositivos ou programas de
segurança existentes em seus equipamentos ou sistemas;
VI - utilizar corretamente os equipamentos de informática e conservá-los
conforme os cuidados e medidas preventivas estabelecidas pelas normas de uso dos
mesmos e regras estabelecidas nesta Portaria;
VII - não divulgar suas senhas e nem permitir que terceiros tomem
conhecimento delas, reconhecendo-as como pessoais e intransferíveis; e
VIII - assinar o Termo de Responsabilidade de utilização da respectiva conta
de acesso, conforme modelo constante no Anexo I desta Portaria.
CAPÍTULO IX
DISPOSIÇÕES FINAIS
Art. 35. Os incidentes que afetem a Segurança das Informações, assim como
o descumprimento da Política de Segurança da Informação e de outras normas de
segurança devem ser obrigatoriamente comunicados pelos usuários ao SESUT.
Art. 36. Quando houver suspeita de quebra da segurança da informação que
exponha ao risco os serviços ou recursos de tecnologia, a CGETI fará a investigação,
podendo interromper temporariamente o serviço afetado, sem prévia autorização.
§ 1º Nos casos em que o responsável pela quebra de segurança for um
usuário, a CGETI comunicará os resultados ao superior imediato do mesmo para adoção
de medidas cabíveis.
§ 2º As ações que violem a POSIN ou que quebrem os controles de Segurança
da Informação serão passíveis de sanções civis, penais e administrativas, conforme a
legislação em vigor, que podem ser aplicadas isolada ou cumulativamente.
Art. 37. Processo Administrativo Disciplinar específico será instaurado para
apurar as ações que constituem em quebra das diretrizes impostas por esta Política e
pela POSIN.
Art. 38. Os casos de violação ou transgressões omissos nesta Política e nas
legislações correlatas serão resolvidos pelo Comitê de Segurança da Informação (CSI) do
CNPq.
Art. 39. Esta Portaria entra em vigor 30 (trinta) dias após a data sua
publicação.
RICARDO MAGNUS OSÓRIO GALVÃO
Ministério das Comunicações
SECRETARIA DE COMUNICAÇÃO SOCIAL ELETRÔNICA
DEPARTAMENTO DE INOVAÇÃO, REGULAMENTAÇÃO E
F I S C A L I Z AÇ ÃO
PORTARIA N° 13.395, DE 16 DE SETEMBRO DE 2024
O
DIRETOR
DO
DEPARTAMENTO DE
INOVAÇÃO,
REGULAMENTAÇÃO
E
FISCALIZAÇÃO, no uso de suas atribuições, e tendo em vista o que consta da Nota Técnica
nº 9855/2024/SEI-MCOM, que integra o Processo nº 53900.048593/2015-01, cujos
fundamentos encontram-se motivados na forma prevista no art. 50, § 1º, da Lei nº 9.784,
de 29/1/1999, resolve:
Art. 1º Tornar sem efeito a decisão exarada pela Portaria nº 1415/2020/SEI-
MCOM, de 11/03/2021, publicada no Diário Oficial da União de 19/03/2021, que aplicou
sanção à ASSOCIAÇÃO COMUNITÁRIA DE RADIODIFUSÃO ESPERANÇA DO VALE -
ACREV/FM, Fistel nº 50011466316, inscrita no CNPJ nº 01.917.015/0001-81, outorgada
para executar o Serviço de Radiodifusão Comunitária, no Município de Salto Grande,
Estado de São Paulo.
Art. 2º ARQUIVAR o processo sem aplicação de sanção.
Art. 3º Esta Portaria entra em vigor na data de sua publicação.
THIAGO AGUIAR SOARES
PORTARIA N° 13.406, DE 16 DE SETEMBRO DE 2024
O
DIRETOR
DO
DEPARTAMENTO DE
INOVAÇÃO,
REGULAMENTAÇÃO
E
FISCALIZAÇÃO, no uso de suas atribuições, e tendo em vista o que consta da Nota Técnica
nº 9904/2024/SEI-MCOM, que integra o Processo nº 53000.003662/2013-21, cujos
fundamentos encontram-se motivados na forma prevista no art. 50, § 1º, da Lei nº 9.784,
de 29/1/1999, resolve:
Art. Tornar sem efeito a decisão exarada pela Portaria nº 1308/2019/SEI-MCT I C,
de 17/05/2019, publicada no Diário Oficial da União de 22/05/2019, que aplicou sanção à
ASSOCIAÇÃO DE RÁDIODIFUSÃO COMUNITÁRIA VOZ DA ILHA, Fistel nº 50011427094,
inscrita no CNPJ nº 03.219.877/0001-66, outorgada para executar o Serviço de
Radiodifusão Comunitária, no Município de Ilha de Itamaracá, Estado de Pernambuco.
Art. 2º ARQUIVAR o processo sem aplicação de sanção.
Art. 3º Esta Portaria entra em vigor na data de sua publicação.
THIAGO AGUIAR SOARES
Fechar