Port. SRF nº 782/1997

Portaria SRF nº 782, de 20 de junho de 1997

(Publicado(a) no DOU de 23/06/1997, seção , página 12902)

Multivigente Vigente Original Relacional

Dispõe sobre a Segurança e o Controle de Acesso Lógico aos Sistemas Informatizados da Secretaria da Receita Federal - SRF.

O SECRETÁRIO DA RECEITA FEDERAL, no uso de suas atribuições e tendo em vista a necessidade de regulamentar a segurança dos sistemas informatizados da Secretaria da Receita Federal, resolve :

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Os sistemas informatizados da Secretaria da Receita Federal observarão as normas de segurança e de controle de acesso lógico em conformidade com o disposto nesta Portaria.

Art. 2º Para os efeitos desta Portaria entende-se por:

I - Usuário: pessoa física cadastrada no Sistema de Entrada e Habilitação - SENHA e habilitada nos sistemas para acesso a informações;

II - Cadastrador: servidor público para este fim designado que utiliza o SENHA para cadastrar e habilitar usuários;

III - Depositário: pessoa física, órgão pública, entidade pública ou empresa responsável pelo processamento e armazenamento de dados e informações, bem como administração dos controles especificados pelo gestor de cada sistema;

IV - Gestor de Sistema: servidor da SRF responsável pela definição e manutenção do respectivo sistema;

V - Cadastramento: procedimento de inclusão de sistema ou usuário no SENHA;

VI - Habilitação: procedimento que permite ao usuário cadastrado acessar sistemas;

VII - Ambiente de desenvolvimento: conjunto de recursos utilizados para construir, testar e manter sistemas;

VIII - Ambiente de homologação: conjunto de recursos utilizados para verificar se o sistema funciona conforme a especificação;

IX - Ambiente de treinamento: conjunto de recursos utilizados para capacitar usuários nas funcionalidades dos sistemas;

X - Ambiente de produção: conjunto de recursos onde são executados os sistemas com dados reais e operações válidas no âmbito administrativo;

XI - Perfil: subconjunto de transações de um sistema, que define a abrangência de atuação de um cadastrador ou usuário;

XII - Transação: um programa executável do sistema;

XIII - Parâmetro de normalidade: variável que representa o padrão definido de operação de um sistema;

XIV - Acesso lógico: operação de atualização e consulta de dados e informações em um sistema;

XV - Confidencialidade: princípio de segurança que estabelece restrições ao acesso e à utilização da informação;

XVI - Integridade: princípio de segurança que trata da confiabilidade da informação;

XVII - Disponibilidade: princípio de segurança que trata da entrega tempestiva da informação a usuários e processos autorizados;

XVIII - Acesso imotivado: aquele realizado para fins estranhos às tarefas do servidor.

Art. 3º Os sistemas informatizados sujeitos às normas estabelecidas nesta Portaria e seus respectivos gestores são os definidos no Anexo I.

DA SEGURANÇA DOS SISTEMAS INFORMATIZADOS DA SRF

Art. 4º Os dados, informações e sistemas informatizados da SRF devem ser protegidos contra ações intencionais ou acidentais que impliquem perda, destruição, inserção, cópia, acesso e alteração indevidos, em conformidade com os princípios da confidencialidade, integridade e disponibilidade.

Parágrafo único. Para fim do disposto neste artigo devem ser adotadas medidas de segurança proporcionais aos riscos existentes e à magnitude dos danos potenciais.

Art. 5º As necessidades de segurança devem ser avaliadas com relação a confidencialidade, integridade e disponibilidade para cada fase do ciclo de vida do sistema, na forma do art. 4º da Portaria 1.131, de 20 de junho de 1996, considerados: o ambiente; o valor da informação e a criticidade do sistema.

Art. 6º A informação deve ser mantida com o mesmo nível de proteção, independentemente do meio no qual esteja armazenada, em que trafegue ou do ambiente em que esteja sendo processada.

Art. 7º O acesso aos sistemas, informações e instalações da SRF deve ser controlado e estar disponível apenas às pessoas devidamente autorizadas.

Art. 8º Os servidores da SRF devem ser permanentemente conscientizados sobre os aspectos de segurança e formas de proteção dos recursos e informações sob sua responsabilidade.

Art. 9º Os ambientes de produção, treinamento, homologação e desenvolvimento dos sistemas informatizados devem ser distintos e de exclusividade da SRF, observadas as regras definidas pela COTEC.

§ 1º Os processos de desenvolvimento, homologação, treinamento e produção de sistemas devem ser executados exclusivamente nos seus respectivos ambientes.

§ 2º A disponibilização dos programas de cada sistema nos ambientes de homologação, produção e treinamento é de exclusividade de servidor da SRF indicado pelo respectivo Gestor de Sistema.

Art. 10. Os sistemas informatizados da SRF serão classificados pelos Gestores de Sistema como prioritários ou não, em função de sua importância e devem possuir:

I - controle de acesso lógico;

II - sistemática de recuperação de informações devidamente documentada, abrangendo: periodicidade de cópias; forma e local de armazenamento; autorização de uso; prazo de retenção e plano de simulação e testes;

III - medidas para verificação dos dados quanto a sua precisão e consistência;

IV - registro das informações (log) com prazos de retenção e formas de acesso definidos, de forma a permitir auditoria, recuperação do sistema em caso de falha, identificação de situações de violação e contabilização individual do uso dos sistemas;

V - parâmetros de normalidade de utilização definidos; e

VI - plano de contingência, assegurando a operação e a recuperação dos sistemas em situações de emergência, de acordo com as necessidades e prazos específicos.

Parágrafo único. Caberá ainda aos Gestores de Sistema definir as condições para adoção e manutenção dos processos deste artigo, bem como analisar periodicamente os registros mencionados no inciso IV.

Art. 11. O tráfego de informações em rede deve ser protegido contra danos, perdas, indisponibilidades, uso ou exposição indevidos, de acordo com seu valor, criticidade e confidencialidade.

Art. 12. As redes locais e microcomputadores da SRF devem adotar e manter procedimentos de backup e recuperação, procedimentos de combate a vírus, bem como utilizar somente softwares autorizados.

Parágrafo único. As estações de trabalho instaladas nas redes locais da SRF devem possuir controle de acesso lógico individual.

Art. 13. No uso da Internet devem ser adotadas medidas adicionais para garantir:

I - proteção contra acessos externos não autorizados;

II - tráfego seguro de informações confidenciais ou corporativas; e

III - proteção das máquinas servidoras.

Art. 14. Os recursos devem ser inventariados periodicamente, devendo os recursos críticos ser mantidos em locais com acesso controlado.

DO CONTROLE DE ACESSO LÓGICO AOS SISTEMAS INFORMATIZADOS

Art. 15. O sistema de controle de acesso lógico deve:

I - proteger as informações dos sistemas informatizados da SRF contra o uso não autorizado;

II - auxiliar na detecção de violações de segurança;

III - assegurar recuperação nas situações de falha;

IV - permitir contabilização das informações definidas pelos Gestores de Sistema;

V - preservar os dados relativos às transações realizadas nos sistemas, com a identificação do usuário, local, data e horário de acesso; e

VI - impedir a intervenção dos prestadores de serviço nas funções de cadastramento e habilitação.

§ 1º O controle de acesso lógico dos sistemas informatizados da SRF especificados no Anexo I deve ser realizado por intermédio do SENHA.

§ 2º Qualquer atualização nas transações, nos perfis e nas funcionalidades do SENHA utilizadas pela SRF somente pode ser executada com aprovação formal da COTEC.

Art. 16. O acesso do usuário aos sistemas informatizados da SRF será feito mediante o uso privativo de senha pessoal e intransferível e a sua outorga não confere direito de acesso imotivado aos sistemas e informações.

Art. 17. O acesso aos sistemas informatizados da SRF por seus servidores deve ser sempre motivado por necessidade de serviço ou, ainda, por determinação expressa de superior hierárquico em linha direta.

§ 1º O superior hierárquico expressará a sua determinação mediante documento devidamente assinado, a qual deve ser motivada por necessidade de serviço.

§ 2º O servidor deve arquivar os documentos de solicitação de acesso por um prazo mínimo de um ano.

Art. 18. São usuários dos sistemas informatizados da SRF, nos ambientes de desenvolvimento, homologação, treinamento e produção, aqueles definidos pelos respectivos Gestores de Sistema, desde que devidamente autorizados e habilitados a acessá-los.

Art. 19. O nível de acesso observará o conjunto de transações inerentes aos perfis estabelecidos pelo gestor de cada sistema.

Art. 20. Os usuários ao acessarem os sistemas da SRF serão informados, na tela inicial, de suas responsabilidades quanto ao uso dos sistemas e informações, bem como sobre as penalidades aplicáveis quanto ao uso indevido de suas senhas.

Art. 21. O Gestor de Sistema, relativamente ao controle de acesso lógico, possui as seguintes atribuições:

I - definir e classificar os perfis de usuários, publicando-os em ato próprio;

II - manter atualizada a relação dos perfis, com suas respectivas transações;

III - divulgar a relação de perfis vigentes e as alterações supervenientes;

IV - definir os diferentes tipos de usuários nos ambientes de desenvolvimento, homologação, treinamento e produção, que poderão ser habilitados nos perfis do sistema;

V - definir, quando necessário, as unidades administrativas nas quais os usuários deverão estar em efetivo exercício;

VI - definir, quando for necessária, a execução de transações do sistema em locais específicos;

VII - definir as informações de acesso e de operações realizadas no sistema que devam ser armazenadas, bem como o prazo de retenção das mesmas para acesso on-line e batch; e

VIII - definir as condições típicas de utilização do sistema pelos usuários.

Parágrafo único. Para fim do disposto neste artigo, os perfis dos sistemas classificam-se em:

a) Gerencial: quando relacionado com a recuperação de informações consolidadas em nível de gestão;

b) Operacional: quando relacionado com funções básicas do sistema; e

c) Operacional de uso restrito: quando relacionado com as funções básicas do sistema para acesso exclusivo nos terminais ou estações de trabalho instaladas nas dependências da unidade administrativa de efetivo exercício do usuário.

Art. 22. A autorização para acesso lógico aos sistemas observará as seguintes funções:

I - Administrador do SENHA, servidor da carreira ATN em exercício na Coordenação-Geral de Tecnologia e de Sistemas de Informação - COTEC, designado pelo Secretário da Receita Federal, com as seguintes atribuições:

a) criar os sistemas da SRF nos ambientes de homologação, treinamento e produção;

b) cadastrar o Cadastrador Nível 1 no SENHA;

c) atualizar os dados cadastrais do Cadastrador Nível 1 no SENHA;

d) habilitar ou desabilitar no SENHA o Cadastrador Nível 1; e

e) exercer as funções relativas a desativação, reativação e troca das senhas do Cadastrador Nível 1;

II - Cadastrador Nível 1, servidor da carreira ATN em exercício na Coordenação-Geral de Tecnologia e de Sistemas de Informação - COTEC, designado pelo Secretário da Receita Federal, com as seguintes atribuições:

a) cadastrar e manter atualizadas as árvores, perfis e transações dos sistemas informatizados no SENHA, conforme definição dos Gestores de Sistema;

b) atualizar no SENHA os dados cadastrais dos cadastradores sob sua supervisão;

c) cadastrar no SENHA os Cadastradores Nível 2 da SRF e de órgãos ou entidades públicas;

d) habilitar ou desabilitar no SENHA os cadastradores elencados na alínea "b";

e) exercer as funções de desativação, reativação e troca de senha dos cadastradores elencados na alínea "b";

f) orientar os cadastradores elencados na alínea "b" na execução de suas atividades; e

g) manter atualizado, para efeito de auditoria, arquivo contendo as solicitações de cadastramento, habilitação, desabilitação, desativação, reativação e troca de senha dos cadastradores sob sua supervisão, bem como os atos formais que os nomearam para exercer suas funções;

III - Cadastrador Nível 2 da SRF, servidor da carreira ATN em exercício na projeção regional da COTEC na Superintendência, designado pelo Superintendente da Receita Federal, com as seguintes atribuições, no âmbito da sua respectiva Região Fiscal:

a) cadastrar no SENHA os Cadastradores Nível 3 das Unidades Descentralizadas da SRF, bem como os Cadastradores Nível 3 de órgãos ou entidades públicas que não possuam Cadastrador Nível 2;

b) atualizar no SENHA os dados cadastrais dos cadastradores sob sua supervisão;

c) habilitar ou desabilitar no SENHA os cadastradores elencados na alínea "a";

d) exercer as funções de desativação, reativação e troca de senha dos cadastradores elencados na alínea "a";

e) orientar os cadastradores elencados na alínea "a" no desempenho de suas atribuições; e

f) manter atualizado, para efeito de auditoria, arquivo contendo as solicitações de cadastramento, habilitação, desabilitação, desativação, reativação e troca de senha dos cadastradores elencados na alínea "a", os atos formais que os nomearam para exercer suas funções, bem como os formulários de cadastramento inicial dos Cadastradores Nível 3 e usuários da sua respectiva Região Fiscal;

IV - Cadastrador Nível 2 de órgão ou entidade pública, servidor público designado pelo dirigente de sua respectiva unidade administrativa para exercer as seguintes atribuições:

a) cadastrar no SENHA os Cadastradores Nível 3 das unidades administrativas de seu respectivo órgão ou entidade pública e de outros órgãos ou entidades nas situações prevista pelos Gestores de Sistema;

b) atualizar no SENHA os dados cadastrais dos cadastradores sob sua supervisão;

c) habilitar ou desabilitar no SENHA os cadastradores elencados na alínea "a";

d) exercer as funções de desativação, reativação e troca de senha dos cadastradores elencados na alínea "a";

e) orientar os Cadastradores Nível 3 na execução de suas atividades; e

f) manter atualizado arquivo contendo as solicitações de cadastramento, habilitação, desabilitação, desativação, reativação e troca de senha dos cadastradores elencados na alínea "a", os atos formais que os nomearam para exercer suas funções, bem como os formulários de cadastramento inicial dos usuários de seu respectivo órgão ou entidade pública, que deverão ficar à disposição da SRF, para efeito de auditoria;

V - Cadastrador Nível 3 da SRF, servidor da carreira ATN em exercício na COTEC ou em suas projeções, designado pelo titular da Unidade, com as seguintes atribuições no âmbito da sua respectiva Unidade:

a) cadastrar no SENHA os servidores da SRF e os usuários externos que estejam vinculados a órgão, entidade pública ou empresa que não possuam Cadastrador Nível 3;

b) atualizar no SENHA os dados cadastrais dos usuários sob sua supervisão;

c) habilitar ou desabilitar nos sistemas os usuários elencados na alínea "a" nos perfis definidos pelos Gestores de Sistema;

d) exercer as funções de desativação, reativação e troca de senha dos usuários elencados na alínea "a";

e) encaminhar ao Cadastrador Nível 2 o formulário de cadastramento inicial dos usuários sob sua supervisão; e

f) manter atualizado, para efeito de auditoria, arquivo contendo as solicitações de habilitação, desabilitação, desativação, reativação e troca de senha dos usuários elencados na alínea "a";

VI - Cadastrador Nível 3 de órgãos e entidades públicas, servidor público, designado pelo titular de sua respectiva unidade administrativa para exercer as seguintes atribuições:

a) cadastrar no SENHA os servidores de sua respectiva unidade administrativa como usuários;

b) atualizar no SENHA os dados cadastrais dos usuários sob sua supervisão;

c) habilitar ou desabilitar os usuários elencados na alínea "a" nos sistemas da SRF, segundo condições estabelecidas pelos Gestores de Sistema;

d) exercer as funções de desativação, reativação e troca de senha dos usuários sob sua supervisão;

e) encaminhar ao Cadastrador Nível 2 o formulário de cadastramento inicial dos usuários sob sua supervisão; e

f) manter atualizado arquivo contendo as solicitações de habilitação, desabilitação, desativação, reativação e troca de senha dos usuários elencados na alínea "a", que deverão ficar à disposição da SRF, para efeito de auditoria;

VII - Gestor de Segurança, servidor da carreira ATN em exercício na projeção regional da COTEC na Superintendência, designado pelo Superintendente da Receita Federal, com as seguintes atribuições no âmbito da sua respectiva Região Fiscal:

a) orientar a execução das atividades dos cadastradores e dos usuários nos aspectos relativos à segurança dos sistemas informatizados da SRF;

b) fiscalizar o cumprimento das normas de utilização dos sistemas pelos cadastradores e usuários sob sua supervisão;

c) promover programas visando a utilização consciente e correta das senhas por parte dos cadastradores e usuários sob sua supervisão;

d) analisar os registros de acesso e de operações realizadas pelos usuários que apresentem desvio dos parâmetros de normalidade, definidos pelos Gestores de Sistema; e

e) relatar periodicamente à COTEC, de forma consolidada, as irregularidades acontecidas no âmbito de sua respectiva Região Fiscal.

§ 1º Na hipótese de inexistência de Cadastrador Nível 3 em uma Unidade, suas atividades devem ser exercidas pelo Cadastrador Nível 3 da Unidade de nível hierárquico imediatamente superior.

§ 2º Nas Unidades Centrais da SRF as funções do Cadastrador Nível 2 devem ser exercidas pelo Cadastrador Nível 1.

§ 3º Os servidores ou empregados somente podem ser habilitados como cadastrador de um único nível.

Art. 23. O cadastramento inicial e a atualização de cadastradores e usuários dos sistemas informatizados da SRF serão efetuados mediante a utilização dos formulários do Anexo V e segundo as rotinas constantes dos Anexos II a IV.

§ 1º O cadastramento inicial vinculará o CPF do usuário a uma senha secreta, pessoal e intransferível e se consubstanciará com a assinatura do Termo de Responsabilidade.

§ 2º Nas operações de cadastramento inicial e atualizações de usuários e cadastradores o número de inscrição no CPF e o respectivo nome do servidor deverão ser validados em relação ao Cadastro de Pessoas Físicas da SRF.

§ 3º As habilitações de acesso de usuários e cadastradores obedecerão os critérios definidos pelo gestor de cada sistema.

§ 4º O chefe imediato do servidor é o responsável pelo cadastramento inicial e atualizações de acesso aos sistemas, devendo solicitar ao cadastrador competente a desabilitação dos sistemas aos quais o servidor tiver acesso quando do desligamento do setor, afastamento temporário e outras ocorrências que alterem a natureza das atividades dos cadastradores e usuários sob sua supervisão.

§ 5º O chefe imediato de usuários e cadastradores deve revalidar, de forma on-line, as suas habilitações de acesso lógico, de acordo com os critérios definidos pela COTEC em ato próprio.

DAS RESPONSABILIDADES INSTITUCIONAIS E FUNCIONAIS

Art. 24. É responsabilidade de todos os servidores cuidar da integridade, confidencialidade e disponibilidade dos dados, informações e sistemas da SRF, devendo comunicar por escrito à chefia imediata quaisquer irregularidades, desvios ou falhas identificadas.

§ 1º É proibida a exploração de falhas ou vulnerabilidades porventura existentes nos sistemas.

§ 2º O acesso à informação não garante direito sobre a mesma nem confere autoridade para liberar acesso a outras pessoas.

§ 3º Os usuários e os cadastradores devem manter suas senhas de acesso secretas, não podendo deixar qualquer sistema em condições de ser acessado por terceiros.

Art. 25. É responsabilidade da chefia imediata iniciar ação corretiva apropriada para corrigir os desvios com relação às normas desta Portaria ou procedimentos de segurança dentro de sua área de atuação, comunicando o fato ao Gestor de Segurança de sua respectiva Região Fiscal.

Art. 26. O descumprimento das disposições desta Portaria caracterizarão infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil.

Art. 27. O acesso imotivado do servidor aos sistemas informatizados da SRF constitui, sem prejuízo da responsabilidade civil e penal, infração funcional de falta de zelo e dedicação às atribuições do cargo e descumprimento de normas legais ou regulamentares tipificadas na Lei nº 8.112, de 11 de dezembro de 1990, art. 116, incisos I e III.

Art. 28. Constitui descumprimento de normas legais e regulamentares e quebra de sigilo funcional de que tratam os incisos III e VIII, do art. 116, da Lei nº 8.112, de 1990, a divulgação de dados obtidos dos sistemas informatizados para servidores da SRF que não estejam envolvidos nos trabalhos objeto das consultas.

Art. 29. Ressalvadas as hipóteses de requisições legalmente autorizadas, constitui infração funcional de revelação de segredo do qual se apropriou em razão do cargo, tipificada no inciso IX do art. 132 da Lei nº 8.112, de 1990, e crime contra a administração pública, tipificado no art. 325, do Decreto-Lei nº 2.848, de 7 de dezembro de 1940 (Código Penal) a divulgação, a quem não seja servidor da SRF, de informações dos sistemas informatizados protegidas pelo sigilo fiscal, sujeitando o infrator à penalidade de demissão.

Art. 30. Sem prejuízo da responsabilidade penal e civil, na forma dos arts. 121 a 125, da Lei nº 8.112, de 1990, e de outras infrações disciplinares, constitui falta de zelo e dedicação às atribuições do cargo e descumprimento de normas legais e regulamentares, na forma dos incisos I e III, do art. 116, da Lei nº 8.112, de 1990, não proceder o servidor com o devido cuidado na guarda e utilização da senha ou emprestá-la a outro servidor, ainda que habilitado.

DAS DISPOSIÇÕES FINAIS

Art. 31. Cabe à COTEC gerenciar o processo de implantação e aplicação das normas desta Portaria, expedir normas complementares, bem como realizar periodicamente auditoria de segurança nos ambientes operacionais e nos sistemas de informação localizados nos prestadores de serviço e nas próprias instalações da SRF.

Art. 32. Os contratos de prestação de serviços relacionados aos sistemas informatizados da SRF devem conter cláusulas que viabilizem a adoção e manutenção das normas de segurança instituídas por esta Portaria.

Art. 33. Os aspectos de segurança específicos de cada sistema poderão ser regulados em atos próprios, expedidos pelos respectivos Gestores de Sistema em conjunto com a COTEC.

Art. 34. Os cadastradores e usuários dos sistemas informatizados da SRF que se encontrem habilitados na data da publicação desta Portaria devem ser recadastrados no prazo de 60 dias, a contar da data de sua publicação.

Art. 35. Esta Portaria entra em vigor na data de sua publicação.

EVERARDO MACIEL

Nota SIJUT: O Anexo V encontra-se publicado no DOU de 23/06/97, pág. 12.902/11.

ANEXO I

ANEXO I.doc

ANEXO II

ANEXO II.doc

ANEXO III

ANEXO III.doc

ANEXO IV

ANEXO IV.doc

*Este texto não substitui o publicado oficialmente.