-
RN-031/2016
CONTROLES DE ACESSO FÍSICO - PoSIC
Homologa norma complementar à Política de Segurança da Informação e Comunicações do CNPq - PoSIC, que estabelece os controles de acesso físico relativos à segurança da informação e comunicações no âmbito do CNPq.
O Presidente Substituto do CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO E TECNOLÓGICO -CNPq, no uso das atribuições que lhe são conferidas pelo Estatuto aprovado pelo Decreto n° 8.866, de 10/03/2016 e em conformidade com a decisão do Comitê de Segurança da Informação e Comunicações em sua 23ª (vigésima terceira) reunião de 06/12/2016,
R E S O L V E:
Homologar norma complementar à Política de Segurança da Informação e Comunicações do CNPq - PoSIC, que estabelece os controles de acesso físico relativos à segurança da informação e comunicações no âmbito do CNPq.
1. Diretrizes
As diretrizes constantes desta norma visam:
a) estabelecer procedimentos e limites para o acesso e movimentação de pessoas e veículos, de forma a proteger os ativos de informação, evitar danos à imagem institucional e garantir a continuidade das atividades do CNPq;
b) fornecer aos usuários e visitantes orientações em relação ao acesso e movimentação nas suas dependências;
c) definir áreas de acesso físico restrito.
2. Conceitos e Definições
No âmbito desta Norma, considera-se:
- Ativos de informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso.
- Credencial: permissão concedida por autoridade competente, que habilita usuários e visitantes ao acesso às dependências do CNPq.
- Equipamento: todos os bens, eletrônicos ou não, registrados como patrimônio do CNPq;
- Materiais: itens de consumo adquiridos pelo CNPq.
- Usuário: servidores, estagiários, menores aprendizes, prestadores de serviço e membros de Comitês de Assessoramento que oficialmente executem atividades vinculadas à sua atuação institucional.
- Visitante: pessoas que não possuem vínculo com a instituição e fazem uso eventual dos serviços providos pelo CNPq.
3. Controle de Acesso Físico
3.1. Acesso às Dependências do CNPq
3.1.1 O acesso às dependências do CNPq será permitido por meio do uso de equipamentos ou mecanismos de controle de entrada e saída e barreiras físicas de segurança.
3.1.2 O acesso às dependências do CNPq só será permitido por meio da identificação da credencial individual, possibilitando o registro de toda a movimentação dos usuários e visitantes.
3.1.2.1 O usuário receberá uma credencial que durará o período em que oficialmente execute atividades vinculadas à sua atuação institucional.
3.1.2.2 Ao visitante será exigida a apresentação de documento de identificação com foto para a liberação de credencial temporária de acesso.
3.1.2.3 A entrada de visitantes somente será permitida após autorização da área de destino especificada na entrada.
3.1.2.4 As credenciais de visitante somente darão acesso à área do CNPq especificada na entrada.
3.1.3 O acesso de veículos à garagem obedecerá a cadastro prévio e estará sujeito a vigilância ostensiva, mecanismos de controle e barreiras físicas de segurança.
3.1.4 As áreas de recepção de equipamentos e materiais, bem como seus pontos de entrega e carregamento, terão regras e procedimentos definidos para o seu funcionamento.
3.1.4.1 A entrega de documentos, malotes e encomendas ao CNPq serão feitos em áreas específicas com controle de acesso exclusivo a pessoas autorizadas.
3.1.5 As dependências do CNPq serão providas de sistemas de monitoramento, tais como sistema de vídeo vigilância, sensores, catracas eletrônicas e equipe de segurança ostensiva.
3.1.5.1 Todas as gravações de áudio, vídeo e registro lógico de acesso às dependências deverão ser armazenadas no Datacenter do CNPq.
3.1.5.2 Os sistemas devem permitir o acompanhamento on-line, o backup e o acesso posterior aos registros por período a ser definido em norma específica.
3.2 Acesso a Áreas Restritas
3.2.1 As unidades do CNPq onde ocorrem o processamento e a guarda de informações restritas e/ou sigilosas manterão áreas específicas para estes fins.
3.2.1.1 As áreas, dispostas no Anexo A desta norma, terão definições específicas de perímetros de segurança, suas dimensões, equipamentos e tipos especiais de acesso aos ativos de informação, que previnam vandalismos, sabotagens, ataques etc.
3.2.1.2 O acesso a estas áreas será restrito a usuários credenciados mediante aceitação de termo específico de responsabilidade.
3.2.1.3 Compete aos responsáveis pelas unidades que contenham áreas dispostas no Anexo A desta norma elaborar as definições previstas no item 3.2.1.1 e submetê-las à deliberação do CSIC.
3.2.2 As áreas que possuem ativos de informação com alto grau de criticidade terão controle específico de acesso por meio de autenticação de multifatores.
4. Normatização Específica para o Controle de Acesso Físico
O CNPq estabelecerá normas específicas que regulamentem:
a) a emissão, uso e bloqueio de credenciais que se destinam ao controle de acesso dos usuários e visitantes às suas áreas e instalações;
b) os controles e sistemas para detecção de intrusos nas suas áreas e instalações;
c) procedimentos para instalação e uso de barreiras físicas de segurança, bem como de equipamentos ou mecanismos de controle de entrada e saída de pessoas e veículos;
d) as áreas e procedimentos para recepção de pessoas e para entrega e carregamento de equipamentos e materiais;
e) as áreas de acesso físico restrito, dispostas no Anexo A desta norma, perímetros de segurança, suas dimensões, equipamentos e tipos especiais de acesso aos ativos de informação, contemplando ações que previnam vandalismos, sabotagens e ataques;
f) procedimentos, uso, controle e manutenção de sistemas de monitoramento, tais como de vídeo vigilância, sensores e catracas eletrônicas;
g) rotinas e procedimentos das equipes de recepção e vigilância.
5. Disposições Finais
5.1 A lista constante do ANEXO A não é exaustiva. Os responsáveis por áreas que contenham ativos de informação de acesso restrito, não contempladas na lista, deverão submeter pedido de inclusão ao CSIC.
5.2 Os casos omissos nesta Resolução serão dirimidos pelo Comitê de Segurança da Informação e Comunicações - CSIC.
5.3 Esta Resolução Normativa entra em vigor na data de sua publicação.
ANEXOS
Anexo A - Áreas de Acesso Físico Restrito no CNPq
Anexo B - Modelo de Classificação de Ativos de Informação quanto ao Grau de Criticidade.
Brasília, 28 de dezembro de 2016.
MARCELO MARCOS MORALES
Presidente Substituto
PO nº 154/2016
REFERÊNCIAS NORMATIVAS:
- Lei n° 8.112, de 11 de dezembro de 1990, dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais.
- Norma ABNT NBR ISO/IEC 27002/2013, que fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.
- Instrução Normativa GSI-PR n° 01 de 13 de junho de 2008, que disciplina a gestão de segurança da informação e comunicações na administração Pública Federal, direta e indireta.
- Lei nº 12.527, de 18 de novembro de 2011, regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal.
- Decreto nº 7.724, de 16 de maio de 2012, que regulamenta a Lei no 12.527, de 18 de novembro de 2011, que dispõe sobre o acesso a informações previsto no inciso XXXIII do caput do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição.
- Resolução Normativa nº 033, de 23 de outubro de 2012, aprova a Política de Segurança da Informação e Comunicações - PoSIC do CNPq.
- Portaria nº 312, de 30 de novembro de 2016, reconstitui o Comitê de Segurança da Informação e Comunicações - CSIC no CNPq.
- Norma Complementar n° 07 do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional - DSIC/GSI, de 15 de julho de 2014, dispõe sobre diretrizes para implementação de controles de acesso relativos à Segurança da Informação e Comunicações.
Anexo A
Áreas de Acesso Físico Restrito no CNPq
ÁREA/SERVIÇO
ATIVOS
GRAU DE CRITICIDADE
RESPONSÁVEL
Datacenter
Cópias de segurança;
Banco de dados;
Especificação e arquitetura de projeto e códigos-fonte de sistemas de informação;
Ativos do Datacenter e rede lógica;
Registros de acesso e operações em recursos de rede e em sistemas de informação.
Alto
CGETI
Desenvolvimento de sistemas
Sistemas de informação;
Especificação e arquitetura de projeto; e códigos-fonte de sistemas de informação;
Banco de dados.
Alto
CGETI
Serviço de Gestão da Segurança da Informação
Planos de continuidade operacional;
Registro de ocorrências de incidentes em TI;
Informações sobre gerenciamento de riscos em TI.
Alto
CGETI
Almoxarifado de TI
Equipamentos e materiais de TI
Médio
CGETI
Manutenção de hardware
Equipamentos de TI em manutenção
Médio
CGETI
Serviço de Protocolo
Documentos Sigilosos e/ou Restritos
Alto
CGADM
Documentos não sujeitos a restrição ou sigilo
Médio
CGADM
Serviço de Arquivo
Arquivo Geral
Arquivo Histórico
Alto
CGADM
Arquivo de documentos sigilosos
Alto
CGADM
Almoxarifado
Bens e materiais
Baixo
CGADM
Áreas técnicas ou administrativas
Arquivo corrente
Médio
Chefia imediata
Recursos Humanos
Arquivo de pessoal, como dossiês funcionais dos servidores, avaliação de desempenho dos servidores.
Alto
CGERH
Arquivos médicos, como prontuários médicos, relatórios psicossociais e registros de licenças médicas dos servidores
Alto
CGERH
CFTV
Registro de Imagens;
Servidores;
Equipamentos
Alto
CGADM e CGETI
Presidência
Informações estratégicas
Alto
GAB
Central Telefônica
Equipamentos;
Sistemas.
Alto
CGADM
Procuradoria Federal
Documentos;
Processos;
Pareceres.
Alto
PF
Auditoria
Documentos;
Processos;
Pareceres
Alto
AUD
Área de Licitações
Propostas em processos licitatórios (aquisição de bens e serviços) antes da abertura do certame
Alto
CGADM
Comissão de Ética
Processos de apuração
Documentos preparatórios
Médio
COMISSÃO DE ÉTICA
Núcleo CGU/PAD
Processos
Alto
PRESIDÊNCIA
Ouvidoria
Demandas cadastradas;
Documentos restritos.
Médio
OUVIDORIA
Anexo B
Modelo de Classificação de Ativos de Informação quanto ao Grau de Criticidade
Grau de criticidade
Ativos de informação
Impacto
Cor
Alto
(Nível 1)
Datacenter, servidores, central telefônica, recursos criptológicos, cópias de segurança, equipamentos de conectividade ou de armazenamento de informações ou de computação móvel das autoridades de primeiro escalão.
Interrompe a missão do órgão ou provoca grave dano à imagem institucional, à segurança do estado ou sociedade.
Vermelha
Médio
(Nível 2)
Computadores com dados e informações únicas, de grande relevância, equipamentos de conectividade ou de armazenamento de informações ou de computação móvel das autoridades de segundo escalão.
Degrada o serviço do órgão ou provoca dano à imagem institucional, à segurança do estado ou sociedade.
Amarela
Baixo
(Nível 3)
Os demais ativos de informação
Compromete planos ou provoca danos aos ativos de informação.
Sem cor