Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 17/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025121700046
46
Nº 240, quarta-feira, 17 de dezembro de 2025
ISSN 1677-7042
Seção 1
Art. 25. A Coordenação-Geral de Tecnologia e Gestão da Informação deve
configurar o bloqueio automático de sessão nos ativos após um período de inatividade
preestabelecido. Tal prazo pode ser específico para cada tipo de ativo.
Art. 26. A Coordenação-Geral de Tecnologia e Gestão da Informação deve,
sempre que possível, priorizar a revogação/desativação de contas com o objetivo de
manter dados e logs para possíveis auditorias.
CAPÍTULO VIII
ACESSO FÍSICO
Art. 27. O Incra deve definir perímetros de segurança para proteger
ambientes e ativos contra acesso físico não autorizado, danos e interferências de
acordo com as diretrizes a seguir:
I - definir a localização e resistência dos perímetros de acordo com os
requisitos de segurança da informação relacionados aos ativos que se encontre dentro
dos perímetros;
II - proteger os ambientes seguros contra acessos não autorizados por meio
de mecanismos de controle de acesso, como fechaduras tradicionais ou digitais, que
possibilitem autenticação por biometria, senhas, PINs ou cartões de acesso. Sendo
assim:
a) o Incra deve executar testes nos mecanismos de controle de acesso em
períodos pré-definidos para assegurar a funcionalidade total do equipamento;
b) os mecanismos de controle de acesso devem ser monitorados pela
Coordenação-Geral de Tecnologia e Gestão da Informação.
III - estabelecer uma área de recepção ou outros meios de controle de
acesso físico a ambientes que não for conveniente a implementação de mecanismos de
controle de acesso.
Art. 28. O acesso físico a ambientes seguros ou ativos de tratamento e
armazenamento de dados do Incra é destinado apenas a pessoal autorizado.
Art. 29. O Incra deve manter um processo de gestão de acessos para
fornecimento, revisão periódica, atualização e revogação das autorizações.
Art. 30. O Incra deve implementar e manter seguro logs ou registro físico
de todos os acessos aos ativos de informação.
Art. 31.
O acesso a ambientes
seguros ou ativos de
tratamento e
armazenamento de dados por fornecedores ou prestadores de serviços será concedido
somente quando necessário e de acordo com as seguintes diretrizes:
I - para fins específicos e autorizados;
II - autorização concedida pela Coordenação-Geral de Tecnologia e Gestão
da Informação;
III - supervisionado e monitorado.
Art. 32. Os ativos de armazenamento e tratamento de dados que se
encontrem fora do Incra devem ser protegidos contra perda, roubos, danos e acesso
físico não autorizados conforme as seguintes diretrizes:
I - não deixar o ativo sem vigilância em locais públicos e inseguros;
II - proteger o ativo contra riscos associados a visualização de informações
por outra pessoa;
III - implementar as funcionalidades de rastreamento e limpeza remota.
Art. 33. O Incra deve estabelecer uma política ou normativo equivalente
sobre a gestão de mídias de
armazenamento, de acordo com as seguintes
diretrizes:
I - exigir autorização para a saída de mídias de armazenamento do Incra;
II - armazenar mídias em local seguro de acordo com a classificação de suas
informações;
III -
criptografar as mídias
de acordo
com a classificação
de suas
informações;
IV - manter cópias de segurança de mídias de acordo com a classificação de
suas informações.
Art. 34. O Incra deve elaborar política, ou normativo equivalente, que defina
condições e restrições pertinentes ao acesso físico nos dispositivos de trabalho remoto,
levando em consideração as seguintes diretrizes:
I - segurança física do local de trabalho remoto;
II - regras e orientações quanto ao acesso de familiares e visitantes ao
dispositivo.
CAPÍTULO IX
MOVIMENTAÇÃO INTERNA
Art. 35. Quando houver mudança do usuário para outra unidade ou o
usuário ocupar uma nova função, os direitos de acesso à Rede Local devem ser
revogados, sendo que:
I - o novo superior imediato deve realizar a solicitação de novos acessos de
acordo com nova unidade/função do usuário;
II - os direitos de acesso antigos devem ser imediatamente cancelados,
conforme solicitação do antigo superior imediato.
CAPÍTULO X
CONTA DE ACESSO BIOMÉTRICO
Art. 36. A conta de acesso biométrico, quando implementada, deve ser
vinculada a uma conta de acesso lógico e ambas devem ser utilizadas para se obter
um acesso, a fim de atender os conceitos da autenticação de multifatores (MFA).
Parágrafo único. O Incra deverá tratar seus respectivos dados biométricos
como dados sigilosos, preferencialmente, utilizando-se de criptografia, na forma da
legislação vigente.
CAPÍTULO XI
A D M I N I S T R A D O R ES
Art. 37. A utilização de identificação (login) com acesso no perfil de
administrador é permitida somente para usuários cadastrados para execução de tarefas
específicas na administração de ativos de informação. Sendo que:
I - somente os técnicos da Coordenação-Geral de Tecnologia e Gestão da
Informação, devidamente identificados e habilitados, terão senha com privilégio de
administrador nos equipamentos locais e na rede;
II - na necessidade de utilização de login com privilégio de administrador do
equipamento local, o usuário deverá encaminhar solicitação para a Coordenação-Geral
de Tecnologia e Gestão da Informação, que poderá negar os casos em que entender
desnecessária a utilização;
III - se concedida a permissão ao usuário como administrador local na
estação de trabalho, esse será responsável por manter a integridade da máquina, não
podendo instalar, desinstalar ou remover qualquer programa sem autorização formal da
Coordenação-Geral de Tecnologia e Gestão da Informação;
IV - caso constatada a irregularidade, o usuário perderá o acesso como
administrador, não mais podendo requerer outra permissão;
V - a identificação (login) com privilégio de administrador nos equipamentos
locais será fornecida em caráter provisório, podendo ser renovada por solicitação
formal do titular da unidade requisitante;
VI - salvo para atividades específicas da área responsável pela gestão da
tecnologia da informação do órgão, não será concedida, para um mesmo usuário,
identificação (login) com privilégio de administrador para mais de uma estação de
trabalho, ou para acesso a equipamentos servidores e a dispositivos de rede;
VII - excepcionalmente, poderão ser concedidas identificações (login) de
acesso à rede de comunicação de dados a visitante em caráter temporário após
apreciação do superior imediato, por meio do Recursos Humanos;
VIII - a Coordenação-Geral de Tecnologia e Gestão da Informação deve
implementar o MFA para todas as contas de administrador;
IX - a Coordenação-Geral de Tecnologia e Gestão da Informação deve
restringir os privilégios de administrador a contas de administrador dedicados nos
ativos de informação, para que o usuário com privilégio de administrador não consiga
realizar atividades gerais de computação, como navegação na Internet, e-mail e uso do
pacote de produtividade, estas atividades deverão ser realizadas preferencialmente a
partir da conta primária não privilegiada do usuário;
X - ao tratar dados pessoais a Coordenação-Geral de Tecnologia e Gestão da
Informação observar o princípio do privilégio mínimo como regra, para garantir que o
usuário receba apenas os direitos mínimos necessários para executar suas atividades,
para tanto podem ser realizadas as seguintes ações:
a) remover os direitos de administrador nos dispositivos finais;
b) remover todos os direitos de acesso root e admin aos servidores e
utilizar tecnologias que permitam a elevação granular de privilégios conforme a
necessidade, ao mesmo tempo em que fornecem recursos claros de auditoria e
monitoramento;
c) eliminar privilégios permanentes (privilégios que estão "sempre ativos")
sempre que possível;
d) limitar a associação de uma conta privilegiada ao menor número possível
de pessoas;
e) minimizar o número de direitos para cada conta privilegiada.
CAPÍTULO XII
R ES P O N S A B I L I DA D ES
Art. 38. É de responsabilidade do superior imediato do usuário comunicar
formalmente aos Recursos Humano e à Coordenação-Geral de Tecnologia e Gestão da
Informação o desligamento ou saída do usuário do Incra, para que as permissões de
acesso à Rede Local sejam canceladas.
Art. 39. Caberá aos Recursos Humanos do Incra a criação, desbloqueio e
revogação de permissões de acesso aos recursos via automação.
Art. 40. É responsabilidade dos Recursos Humanos do Incra a comunicação
imediata à Coordenação-Geral de Tecnologia e Gestão da Informação sobre
desligamentos, férias e licenças de funcionários de empresas prestadoras de serviços,
para que seja efetuado o bloqueio momentâneo ou revogação definitiva da permissão
de acesso aos recursos. Ademais:
I - os serviços serão filtrados por programas de antivírus, anti-phishing e
anti-spam e, caso violem alguma regra de configuração, serão bloqueados ou excluídos
automaticamente;
II - nenhum usuário do Incra terá acesso ao conteúdo das informações
armazenadas nos equipamentos servidores do Instituto sem autorização da unidade
competente.
Art. 41. É de responsabilidade da Coordenação-Geral de Tecnologia e Gestão
da Informação o monitoramento da utilização de serviços de rede e de acesso à
Internet, podendo ainda exercer fiscalização nos casos de apuração de uso indevido
desses recursos, bem como bloquear, temporariamente, sem aviso prévio, a estação de
trabalho que esteja realizando atividade que coloque em risco a segurança da rede, até
que seja verificada a situação e descartada qualquer hipótese de dano à infraestrutura
tecnológica do Incra.
Art. 42. O usuário é responsável por todos os acessos realizados através de
sua conta de acesso e por possíveis danos causados à Rede Local e a recursos de
tecnologia custodiados ou de propriedade do Incra, logo:
I - o usuário é responsável pela integridade e utilização de sua estação de
trabalho, devendo, no caso de sua ausência temporária do local onde se encontra o
equipamento,
bloqueá-lo 
ou
desconectar-se 
da
estação,
para 
coibir
acessos
indevidos;
II - a utilização simultânea da conta de acesso à Rede Local em mais de
uma estação de trabalho ou notebook deve ser evitada, sendo responsabilidade do
usuário titular da conta de acesso os riscos que a utilização paralela implica;
III - o usuário não poderá, em hipótese alguma, transferir ou compartilhar
com outrem sua conta de acesso e respectiva senha à Rede Local.
Art. 43. O usuário deve informar à Coordenação-Geral de Tecnologia e
Gestão da Informação qualquer situação da qual tenha conhecimento que configure
violação de sigilo ou que possa colocar em risco a segurança inclusive de terceiros.
Art. 44. É dever de o usuário zelar pelo uso dos sistemas informatizados,
tomando as medidas necessárias para restringir ou eliminar riscos para a Instituição, a
saber:
I - não permitir a
interferência externa caracterizada como invasão,
monitoramento ou utilização de sistemas por terceiros, e outras formas;
II - evitar sobrecarga de redes, de dispositivos de armazenamento de dados
ou de outros, para não gerar indisponibilidade de informações internas e externas;
III - interromper a conexão aos sistemas e adotar medidas que bloqueiem
o acesso de terceiros, sempre que completarem suas atividades ou quando se
ausentarem do local de trabalho por qualquer motivo;
IV - não se conectar a sistemas e não buscar acesso a informações para as
quais não lhe tenham sido dadas senhas e/ou autorização de acesso;
V - não divulgar a terceiros ou a outros usuários dispositivos ou programas
de segurança existentes em seus equipamentos ou sistemas;
VI - utilizar corretamente os equipamentos de informática e conservá-los
conforme os cuidados e medidas preventivas estabelecidas;
VII - não divulgar suas senhas e nem permitir que terceiros tomem
conhecimento delas, reconhecendo-as como pessoais e intransferíveis;
VIII - assinar o Termo de Responsabilidade (Modelo - Anexo I) quanto a
utilização da respectiva conta de acesso.
CAPÍTULO XIII
DISPOSIÇÕES GERAIS
Art. 45. Os incidentes que afetem a segurança das informações, assim como
o descumprimento da Política de Segurança da Informação - PoSIC e Normas de
Segurança, devem ser obrigatoriamente comunicados pelos usuários à Coordenação-
Geral de Tecnologia e Gestão da Informação.
Art. 46. Quando houver suspeita de quebra da segurança da informação que
exponha ao risco os serviços ou recursos de tecnologia, a Coordenação-Geral de
Tecnologia e Gestão da Informação fará a investigação, podendo interromper
temporariamente o serviço afetado, sem prévia autorização, e considerando que:
I - nos casos em que o ator da quebra de segurança for um usuário, a
Coordenação-Geral de Tecnologia e Gestão da Informação comunicará os resultados ao
superior imediato do mesmo para adoção de medidas cabíveis;
II - ações que violem a PoSIC, ou que quebrem os controles de Segurança
da Informação, serão passíveis de sansões civis, penais e administrativas, conforme a
legislação em vigor, que podem ser aplicadas isoladamente ou cumulativamente;
III - processo administrativo disciplinar específico deverá ser instaurado para
apurar as ações que constituem em quebra das diretrizes impostas por esta Norma e
pela PoSIC;
IV - a resolução de casos de violação/transgressões omissos nas legislações
correlatas será resolvida pelo Comitê de Segurança da Informação - CSI do Incra.
Art. 47. Esta Portaria entra em vigor na data de sua publicação.
CÉSAR FERNANDO SCHIAVON ALDRIGHI
ANEXO
Modelo de Termo de Responsabilidade
SERVIÇO PÚBLICO FEDERAL
Instituto Nacional de Colonização e Reforma Agrária - Incra
TERMO DE RESPONSABILIDADE
Pelo presente instrumento, eu _______________________________, CPF
____________, identidade ______________, expedida pelo ______, em __________, e
lotado no(a)_________________________________________________deste Ministério,
DECLARO , sob pena das sanções cabíveis nos termos da _____________ (legislação
vigente) que assumo a responsabilidade por:
I - tratar o(s) ativo(s) de informação como patrimônio do Instituto Nacional
de Colonização e Reforma Agrária - Incra;
II - utilizar as informações em qualquer suporte sob minha custódia,
exclusivamente, no interesse do serviço do Incra;

Fechar