Portaria
SRF
nº 782, de 20 de junho de 1997
(Publicado(a) no DOU de 23/06/1997, seção , página 12902)
Dispõe sobre a Segurança e o Controle de Acesso Lógico aos Sistemas Informatizados da Secretaria da Receita Federal - SRF.
(Revogado(a) pelo(a) Portaria SRF nº 450, de 28 de abril de 2004)Histórico de alterações
O SECRETÁRIO DA RECEITA FEDERAL, no uso de suas atribuições e tendo em vista a necessidade de regulamentar a segurança dos sistemas informatizados da Secretaria da Receita Federal, resolve :
Art. 1º Os sistemas informatizados da Secretaria da Receita Federal observarão as normas de segurança e de controle de acesso lógico em conformidade com o disposto nesta Portaria.
I - Usuário: pessoa física cadastrada no Sistema de Entrada e Habilitação - SENHA e habilitada nos sistemas para acesso a informações;
II - Cadastrador: servidor público para este fim designado que utiliza o SENHA para cadastrar e habilitar usuários;
III - Depositário: pessoa física, órgão pública, entidade pública ou empresa responsável pelo processamento e armazenamento de dados e informações, bem como administração dos controles especificados pelo gestor de cada sistema;
IV - Gestor de Sistema: servidor da SRF responsável pela definição e manutenção do respectivo sistema;
VII - Ambiente de desenvolvimento: conjunto de recursos utilizados para construir, testar e manter sistemas;
VIII - Ambiente de homologação: conjunto de recursos utilizados para verificar se o sistema funciona conforme a especificação;
IX - Ambiente de treinamento: conjunto de recursos utilizados para capacitar usuários nas funcionalidades dos sistemas;
X - Ambiente de produção: conjunto de recursos onde são executados os sistemas com dados reais e operações válidas no âmbito administrativo;
XI - Perfil: subconjunto de transações de um sistema, que define a abrangência de atuação de um cadastrador ou usuário;
XIII - Parâmetro de normalidade: variável que representa o padrão definido de operação de um sistema;
XV - Confidencialidade: princípio de segurança que estabelece restrições ao acesso e à utilização da informação;
XVII - Disponibilidade: princípio de segurança que trata da entrega tempestiva da informação a usuários e processos autorizados;
Art. 3º Os sistemas informatizados sujeitos às normas estabelecidas nesta Portaria e seus respectivos gestores são os definidos no Anexo I.
Art. 4º Os dados, informações e sistemas informatizados da SRF devem ser protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, acesso e alteração indevidos, em conformidade com os princípios da confidencialidade, integridade e disponibilidade.
Parágrafo único. Para fim do disposto neste artigo devem ser adotadas medidas de segurança proporcionais aos riscos existentes e à magnitude dos danos potenciais.
Art. 5º As necessidades de segurança devem ser avaliadas com relação a confidencialidade, integridade e disponibilidade para cada fase do ciclo de vida do sistema, na forma do art. 4º da Portaria 1.131, de 20 de junho de 1996, considerados: o ambiente; o valor da informação e a criticidade do sistema.
Art. 6º A informação deve ser mantida com o mesmo nível de proteção, independentemente do meio no qual esteja armazenada, em que trafegue ou do ambiente em que esteja sendo processada.
Art. 7º O acesso aos sistemas, informações e instalações da SRF deve ser controlado e estar disponível apenas às pessoas devidamente autorizadas.
Art. 8º Os servidores da SRF devem ser permanentemente conscientizados sobre os aspectos de segurança e formas de proteção dos recursos e informações sob sua responsabilidade.
Art. 9º Os ambientes de produção, treinamento, homologação e desenvolvimento dos sistemas informatizados devem ser distintos e de exclusividade da SRF, observadas as regras definidas pela COTEC.
§ 1º Os processos de desenvolvimento, homologação, treinamento e produção de sistemas devem ser executados exclusivamente nos seus respectivos ambientes.
§ 2º A disponibilização dos programas de cada sistema nos ambientes de homologação, produção e treinamento é de exclusividade de servidor da SRF indicado pelo respectivo Gestor de Sistema.
Art. 10. Os sistemas informatizados da SRF serão classificados pelos Gestores de Sistema como prioritários ou não, em função de sua importância e devem possuir:
II - sistemática de recuperação de informações devidamente documentada, abrangendo: periodicidade de cópias; forma e local de armazenamento; autorização de uso; prazo de retenção e plano de simulação e testes;
IV - registro das informações (log) com prazos de retenção e formas de acesso definidos, de forma a permitir auditoria, recuperação do sistema em caso de falha, identificação de situações de violação e contabilização individual do uso dos sistemas;
VI - plano de contingência, assegurando a operação e a recuperação dos sistemas em situações de emergência, de acordo com as necessidades e prazos específicos.
Parágrafo único. Caberá ainda aos Gestores de Sistema definir as condições para adoção e manutenção dos processos deste artigo, bem como analisar periodicamente os registros mencionados no inciso IV.
Art. 11. O tráfego de informações em rede deve ser protegido contra danos, perdas, indisponibilidades, uso ou exposição indevidos, de acordo com seu valor, criticidade e confidencialidade.
Art. 12. As redes locais e microcomputadores da SRF devem adotar e manter procedimentos de backup e recuperação, procedimentos de combate a vírus, bem como utilizar somente softwares autorizados.
Parágrafo único. As estações de trabalho instaladas nas redes locais da SRF devem possuir controle de acesso lógico individual.
Art. 14. Os recursos devem ser inventariados periodicamente, devendo os recursos críticos ser mantidos em locais com acesso controlado.
V - preservar os dados relativos às transações realizadas nos sistemas, com a identificação do usuário, local, data e horário de acesso; e
§ 1º O controle de acesso lógico dos sistemas informatizados da SRF especificados no Anexo I deve ser realizado por intermédio do SENHA.
§ 2º Qualquer atualização nas transações, nos perfis e nas funcionalidades do SENHA utilizadas pela SRF somente pode ser executada com aprovação formal da COTEC.
Art. 16. O acesso do usuário aos sistemas informatizados da SRF será feito mediante o uso privativo de senha pessoal e intransferível e a sua outorga não confere direito de acesso imotivado aos sistemas e informações.
Art. 17. O acesso aos sistemas informatizados da SRF por seus servidores deve ser sempre motivado por necessidade de serviço ou, ainda, por determinação expressa de superior hierárquico em linha direta.
§ 1º O superior hierárquico expressará a sua determinação mediante documento devidamente assinado, a qual deve ser motivada por necessidade de serviço.
Art. 18. São usuários dos sistemas informatizados da SRF, nos ambientes de desenvolvimento, homologação, treinamento e produção, aqueles definidos pelos respectivos Gestores de Sistema, desde que devidamente autorizados e habilitados a acessá-los.
Art. 19. O nível de acesso observará o conjunto de transações inerentes aos perfis estabelecidos pelo gestor de cada sistema.
Art. 20. Os usuários ao acessarem os sistemas da SRF serão informados, na tela inicial, de suas responsabilidades quanto ao uso dos sistemas e informações, bem como sobre as penalidades aplicáveis quanto ao uso indevido de suas senhas.
Art. 21. O Gestor de Sistema, relativamente ao controle de acesso lógico, possui as seguintes atribuições:
IV - definir os diferentes tipos de usuários nos ambientes de desenvolvimento, homologação, treinamento e produção, que poderão ser habilitados nos perfis do sistema;
V - definir, quando necessário, as unidades administrativas nas quais os usuários deverão estar em efetivo exercício;
VII - definir as informações de acesso e de operações realizadas no sistema que devam ser armazenadas, bem como o prazo de retenção das mesmas para acesso on-line e batch; e
c) Operacional de uso restrito: quando relacionado com as funções básicas do sistema para acesso exclusivo nos terminais ou estações de trabalho instaladas nas dependências da unidade administrativa de efetivo exercício do usuário.
I - Administrador do SENHA, servidor da carreira ATN em exercício na Coordenação-Geral de Tecnologia e de Sistemas de Informação - COTEC, designado pelo Secretário da Receita Federal, com as seguintes atribuições:
e) exercer as funções relativas a desativação, reativação e troca das senhas do Cadastrador Nível 1;
II - Cadastrador Nível 1, servidor da carreira ATN em exercício na Coordenação-Geral de Tecnologia e de Sistemas de Informação - COTEC, designado pelo Secretário da Receita Federal, com as seguintes atribuições:
a) cadastrar e manter atualizadas as árvores, perfis e transações dos sistemas informatizados no SENHA, conforme definição dos Gestores de Sistema;
e) exercer as funções de desativação, reativação e troca de senha dos cadastradores elencados na alínea "b";
g) manter atualizado, para efeito de auditoria, arquivo contendo as solicitações de cadastramento, habilitação, desabilitação, desativação, reativação e troca de senha dos cadastradores sob sua supervisão, bem como os atos formais que os nomearam para exercer suas funções;
III - Cadastrador Nível 2 da SRF, servidor da carreira ATN em exercício na projeção regional da COTEC na Superintendência, designado pelo Superintendente da Receita Federal, com as seguintes atribuições, no âmbito da sua respectiva Região Fiscal:
a) cadastrar no SENHA os Cadastradores Nível 3 das Unidades Descentralizadas da SRF, bem como os Cadastradores Nível 3 de órgãos ou entidades públicas que não possuam Cadastrador Nível 2;
d) exercer as funções de desativação, reativação e troca de senha dos cadastradores elencados na alínea "a";
f) manter atualizado, para efeito de auditoria, arquivo contendo as solicitações de cadastramento, habilitação, desabilitação, desativação, reativação e troca de senha dos cadastradores elencados na alínea "a", os atos formais que os nomearam para exercer suas funções, bem como os formulários de cadastramento inicial dos Cadastradores Nível 3 e usuários da sua respectiva Região Fiscal;
IV - Cadastrador Nível 2 de órgão ou entidade pública, servidor público designado pelo dirigente de sua respectiva unidade administrativa para exercer as seguintes atribuições:
a) cadastrar no SENHA os Cadastradores Nível 3 das unidades administrativas de seu respectivo órgão ou entidade pública e de outros órgãos ou entidades nas situações prevista pelos Gestores de Sistema;
d) exercer as funções de desativação, reativação e troca de senha dos cadastradores elencados na alínea "a";
f) manter atualizado arquivo contendo as solicitações de cadastramento, habilitação, desabilitação, desativação, reativação e troca de senha dos cadastradores elencados na alínea "a", os atos formais que os nomearam para exercer suas funções, bem como os formulários de cadastramento inicial dos usuários de seu respectivo órgão ou entidade pública, que deverão ficar à disposição da SRF, para efeito de auditoria;
V - Cadastrador Nível 3 da SRF, servidor da carreira ATN em exercício na COTEC ou em suas projeções, designado pelo titular da Unidade, com as seguintes atribuições no âmbito da sua respectiva Unidade:
a) cadastrar no SENHA os servidores da SRF e os usuários externos que estejam vinculados a órgão, entidade pública ou empresa que não possuam Cadastrador Nível 3;
c) habilitar ou desabilitar nos sistemas os usuários elencados na alínea "a" nos perfis definidos pelos Gestores de Sistema;
d) exercer as funções de desativação, reativação e troca de senha dos usuários elencados na alínea "a";
e) encaminhar ao Cadastrador Nível 2 o formulário de cadastramento inicial dos usuários sob sua supervisão; e
f) manter atualizado, para efeito de auditoria, arquivo contendo as solicitações de habilitação, desabilitação, desativação, reativação e troca de senha dos usuários elencados na alínea "a";
VI - Cadastrador Nível 3 de órgãos e entidades públicas, servidor público, designado pelo titular de sua respectiva unidade administrativa para exercer as seguintes atribuições:
c) habilitar ou desabilitar os usuários elencados na alínea "a" nos sistemas da SRF, segundo condições estabelecidas pelos Gestores de Sistema;
e) encaminhar ao Cadastrador Nível 2 o formulário de cadastramento inicial dos usuários sob sua supervisão; e
f) manter atualizado arquivo contendo as solicitações de habilitação, desabilitação, desativação, reativação e troca de senha dos usuários elencados na alínea "a", que deverão ficar à disposição da SRF, para efeito de auditoria;
VII - Gestor de Segurança, servidor da carreira ATN em exercício na projeção regional da COTEC na Superintendência, designado pelo Superintendente da Receita Federal, com as seguintes atribuições no âmbito da sua respectiva Região Fiscal:
a) orientar a execução das atividades dos cadastradores e dos usuários nos aspectos relativos à segurança dos sistemas informatizados da SRF;
b) fiscalizar o cumprimento das normas de utilização dos sistemas pelos cadastradores e usuários sob sua supervisão;
c) promover programas visando a utilização consciente e correta das senhas por parte dos cadastradores e usuários sob sua supervisão;
d) analisar os registros de acesso e de operações realizadas pelos usuários que apresentem desvio dos parâmetros de normalidade, definidos pelos Gestores de Sistema; e
e) relatar periodicamente à COTEC, de forma consolidada, as irregularidades acontecidas no âmbito de sua respectiva Região Fiscal.
§ 1º Na hipótese de inexistência de Cadastrador Nível 3 em uma Unidade, suas atividades devem ser exercidas pelo Cadastrador Nível 3 da Unidade de nível hierárquico imediatamente superior.
§ 2º Nas Unidades Centrais da SRF as funções do Cadastrador Nível 2 devem ser exercidas pelo Cadastrador Nível 1.
Art. 23. O cadastramento inicial e a atualização de cadastradores e usuários dos sistemas informatizados da SRF serão efetuados mediante a utilização dos formulários do Anexo V e segundo as rotinas constantes dos Anexos II a IV.
§ 1º O cadastramento inicial vinculará o CPF do usuário a uma senha secreta, pessoal e intransferível e se consubstanciará com a assinatura do Termo de Responsabilidade.
§ 2º Nas operações de cadastramento inicial e atualizações de usuários e cadastradores o número de inscrição no CPF e o respectivo nome do servidor deverão ser validados em relação ao Cadastro de Pessoas Físicas da SRF.
§ 3º As habilitações de acesso de usuários e cadastradores obedecerão os critérios definidos pelo gestor de cada sistema.
§ 4º O chefe imediato do servidor é o responsável pelo cadastramento inicial e atualizações de acesso aos sistemas, devendo solicitar ao cadastrador competente a desabilitação dos sistemas aos quais o servidor tiver acesso quando do desligamento do setor, afastamento temporário e outras ocorrências que alterem a natureza das atividades dos cadastradores e usuários sob sua supervisão.
§ 5º O chefe imediato de usuários e cadastradores deve revalidar, de forma on-line, as suas habilitações de acesso lógico, de acordo com os critérios definidos pela COTEC em ato próprio.
Art. 24. É responsabilidade de todos os servidores cuidar da integridade, confidencialidade e disponibilidade dos dados, informações e sistemas da SRF, devendo comunicar por escrito à chefia imediata quaisquer irregularidades, desvios ou falhas identificadas.
§ 2º O acesso à informação não garante direito sobre a mesma nem confere autoridade para liberar acesso a outras pessoas.
§ 3º Os usuários e os cadastradores devem manter suas senhas de acesso secretas, não podendo deixar qualquer sistema em condições de ser acessado por terceiros.
Art. 25. É responsabilidade da chefia imediata iniciar ação corretiva apropriada para corrigir os desvios com relação às normas desta Portaria ou procedimentos de segurança dentro de sua área de atuação, comunicando o fato ao Gestor de Segurança de sua respectiva Região Fiscal.
Art. 26. O descumprimento das disposições desta Portaria caracterizarão infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil.
Art. 27. O acesso imotivado do servidor aos sistemas informatizados da SRF constitui, sem prejuízo da responsabilidade civil e penal, infração funcional de falta de zelo e dedicação às atribuições do cargo e descumprimento de normas legais ou regulamentares tipificadas na Lei nº 8.112, de 11 de dezembro de 1990, art. 116, incisos I e III.
Art. 28. Constitui descumprimento de normas legais e regulamentares e quebra de sigilo funcional de que tratam os incisos III e VIII, do art. 116, da Lei nº 8.112, de 1990, a divulgação de dados obtidos dos sistemas informatizados para servidores da SRF que não estejam envolvidos nos trabalhos objeto das consultas.
Art. 29. Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração funcional de revelação de segredo do qual se apropriou em razão do cargo, tipificada no inciso IX do art. 132 da Lei nº 8.112, de 1990, e crime contra a administração pública, tipificado no art. 325, do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal) a divulgação, a quem não seja servidor da SRF, de informações dos sistemas informatizados protegidas pelo sigilo fiscal, sujeitando o infrator à penalidade de demissão.
Art. 30. Sem prejuízo da responsabilidade penal e civil, na forma dos arts. 121 a 125, da Lei nº 8.112, de 1990, e de outras infrações disciplinares, constitui falta de zelo e dedicação às atribuições do cargo e descumprimento de normas legais e regulamentares, na forma dos incisos I e III, do art. 116, da Lei nº 8.112, de 1990, não proceder o servidor com o devido cuidado na guarda e utilização da senha ou emprestá-la a outro servidor, ainda que habilitado.
Art. 31. Cabe à COTEC gerenciar o processo de implantação e aplicação das normas desta Portaria, expedir normas complementares, bem como realizar periodicamente auditoria de segurança nos ambientes operacionais e nos sistemas de informação localizados nos prestadores de serviço e nas próprias instalações da SRF.
Art. 32. Os contratos de prestação de serviços relacionados aos sistemas informatizados da SRF devem conter cláusulas que viabilizem a adoção e manutenção das normas de segurança instituídas por esta Portaria.
Art. 33. Os aspectos de segurança específicos de cada sistema poderão ser regulados em atos próprios, expedidos pelos respectivos Gestores de Sistema em conjunto com a COTEC.
*Este texto não substitui o publicado oficialmente.