UNIVERSIDADE FEDERAL DE LAVRAS
Diretoria de Gestão de Tecnologia da Informação (DGTI/SGV)
Trevo Rotatório Professor Edmir Sá Santos , Campus Universitário - https://ufla.br
Lavras/MG, CEP 37203-202
UNIVERSIDADE FEDERAL DE LAVRAS
Diretoria de Gestão de Tecnologia da Informação (DGTI/SGV)
Trevo Rotatório Professor Edmir Sá Santos , Campus Universitário - https://ufla.br
Lavras/MG, CEP 37203-202
PORTARIA DGTI/SGV Nº 2, DE 04 DE abril de 2024.
Dispõe sobre a Norma de Criação e Uso de Senhas de Acesso a Sistemas Institucionais da Universidade Federal de Lavras.
O Diretor de Gestão de Tecnologia da Informação e o Coordenador de Operação e Segurança da Informação da UNIVERSIDADE FEDERAL DE LAVRAS, no uso de suas atribuições legais e regimentais, e,
Considerando Resolução do CUNI 054 de julho de 2011, que dispõe sobre a Política de Segurança da Informação e Comunicações da Universidade Federal de Lavras;
Considerando a Portaria Nº 1062, de 20 de Setembro 2019, que trata da Política de Gestão de Riscos da Universidade Federal de Lavras;
Considerando o Plano Diretor de Tecnologia da Informação e Comunicações da Universidade Federal de Lavras - triênio - 2017-2020,
Considerando o disposto no inciso VI do Art. 3º do Decreto Nº 8.638 de 15, de janeiro de 2016, que trata do princípio da segurança e privacidade no âmbito da Política de Governança Digital;
Considerando o disposto no artigo 5º, incisos IV e VI, da Instrução Normativa GSI nº 1, de 13/6/2008, do Gabinete de Segurança Institucional da Presidência da República, publicada na seção 1 do D.O.U. nº 115, de 18/6/2008,
Considerando o disposto na Lei Nº 12.965, de 23 de abril de 2014, Marco Civil da Internet,
Considerando o Decreto nº 9.637, de 26 de dezembro de 2018, que instituiu a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal,
Considerando as Boas Práticas em Segurança da Informação do Tribunal de Contas da União - 4ª Edição.
Resolvem:
Art. 1º Instituir a Norma de Criação e Uso de Senhas de Acesso a Sistemas Institucionais da Universidade Federal de Lavras - UFLA, de acordo com o texto anexo.
Art. 2º Esta portaria entra em vigor na data de sua publicação revogadas as disposições em contrário.
Anexo
Norma de Criação e Uso de Senhas de Acesso a Sistemas Institucionais da Universidade Federal de Lavras - UFLA
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Estabelecer normas para sistematização do processo de criação e utilização de senhas para acesso aos recursos institucionais, em consonância com os princípios da Política de Segurança da Informação e Comunicações (POSIC) da UFLA.
Art. 2º Esta norma se aplica a todos os usuários que necessitam de acesso aos recursos institucionais da UFLA e que estejam envolvidos nos processos de criação e utilização de senhas de acesso, independentemente do meio utilizado para tal fim.
Art. 3º Os usuários devem estar devidamente identificados por meio de um identificador único de usuário (ID) e senha para acessar os recursos institucionais através da rede e sistemas da instituição.
CAPÍTULO II
DOS PRINCÍPIOS
Art. 4º Esta norma é fundamentada nos princípios essenciais da POSIC, que abrange os pilares fundamentais da segurança da informação: confidencialidade, autenticidade, não-repúdio, integridade e disponibilidade. Destaca-se que estes pilares servem como fundamentos para todas as medidas e orientações estabelecidas nesta norma.
Art. 5º No contexto da Tecnologia da Informação, o uso de senhas é essencial para garantir o controle adequado sobre o acesso aos dados institucionais, permitindo que apenas indivíduos autorizados tenham permissão explícita para sua guarda e utilização.
CAPÍTULO III
CONCEITOS E DEFINIÇÕES
Art. 6º São termos e definições utilizados nesta norma:
I – Senha: Conjunto de caracteres destinado a identificar o usuário ou a permitir acesso a dados, programas ou sistemas que não estão disponíveis ao público;
II – Usuário: Indivíduo devidamente identificado que possui acesso a sistemas e recursos computacionais da instituição;
III – Login: Processo para acessar um sistema de informação restrito feita através da autenticação ou identificação do usuário, usando credenciais previamente cadastradas no sistema;
IV – Logon: Processo para saída de um sistema de informação restrito feita através da autenticação ou identificação do usuário.
CAPÍTULO IV
COMPETÊNCIAS E RESPONSABILIDADES
Art. 7º A unidade administrativa designada para gerir os recursos de Tecnologia da Informação (TI) é responsável por assegurar a execução da Norma de Criação e Uso de Senhas de Acesso a Sistemas Institucionais.
CAPÍTULO V
DIRETRIZES GERAIS
Art. 8º São diretrizes gerais da Norma de Criação e Uso de Senhas de Acesso a Sistemas Institucionais da UFLA:
I – No procedimento de identificação e autenticação, conhecido como logon, deve-se evitar a divulgação excessiva de informações sobre o sistema, a fim de evitar o fornecimento de detalhes a usuários não autorizados;
II – É imprescindível informar que o serviço ou sistema só pode ser acessado por indivíduos autorizados;
III – Evitar a identificação do sistema ou de suas aplicações até que o processo de logon esteja totalmente concluído;
IV – Durante o processo de logon, é importante não fornecer mensagens de ajuda que possam facilitar a conclusão do procedimento por usuários não autorizados;
V – Validar as informações de logon somente quando todos os dados de entrada estiverem completos. Em caso de erro, o sistema não deve indicar qual parte dos dados de entrada está correta ou incorreta, como por exemplo, ID ou senha;
VI – Limitar o número de tentativas de logon sem sucesso, por exemplo um máximo de cinco tentativas;
VII – Registrar todas as tentativas de acesso inválidas;
VIII – Forçar um tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeitar qualquer tentativa posterior de acesso sem autorização específica;
IX – Encerrar as conexões com o sistema ou serviço depois de um período de inatividade ou quando finalizado o acesso;
X – Limitar o tempo máximo para o procedimento de logon. Se excedido, o sistema deverá encerrar o procedimento;
XI – Mostrar as seguintes informações, quando o procedimento de logon no sistema finalizar com êxito, tais como data e hora do último logon com sucesso ou detalhes de qualquer tentativa de logon sem sucesso, desde o último procedimento realizado com sucesso;
Art. 9º Os usuários, sistemas ou serviços que implementam controle de acesso à informação devem restringir a criação de senhas compostas por elementos facilmente identificáveis, tais como:
I- O nome do usuário ou identificador do usuário;
II- nomes de membros da família ou de amigos íntimos;
III- nomes de pessoas ou lugares em geral;
IV- nome do sistema operacional ou do dispositivo utilizado;
V- datas, números de telefone, placas de carro, de cartão de crédito, de carteira de identidade ou de outros documentos pessoais;
VI- palavras que constam de dicionários em qualquer idioma;
VII- letras ou números repetidos;
VIII- letras seguidas do teclado do computador (ASDFG, QWERT, YUIOP, etc.);
IX- objetos ou locais que podem ser vistos a partir da mesa do usuário, tais como nome de um livro na estante, nome de uma loja vista pela janela;
X- qualquer senha com menos de oito (8) caracteres.
Art. 10 As senhas criadas deverão possuir pelo menos uma letra maiúscula e minúscula, um número e um símbolo, totalizando pelo menos oito (8) caracteres.
Art. 11 Os sistemas, serviços e usuários que utilizam o controle de acesso à informação devem modificar suas senhas em intervalos regulares, não excedendo doze (12) meses.
§ 1º Os usuários devem evitar a reutilização das últimas cinco senhas.
§ 2º O acesso do usuário será bloqueado caso não efetue a troca de senha dentro do prazo de doze meses. O respectivo acesso será restituído após a troca da senha.
Art. 12 Os usuários são responsáveis por proteger suas senhas e por garantir que não sejam compartilhadas com terceiros, exceto nos casos em que seja estritamente necessário para fins institucionais e de acordo com as diretrizes estabelecidas pela UFLA, no mais, é proibido:
I- revelar a senha de acesso de sistema institucional, sendo ela pessoal e intransferível, além de que, o fornecimento ou empréstimo de senha que possibilite o acesso de pessoas não autorizadas a sistemas de informações é tratado no inciso I do § 1º do art. 325 do Código penal;
II- registrar as senhas em papel, navegador ou meio que não garanta privacidade da informação;
III- divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
IV- falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
V- trocar arquivos que entrem em desacordo com leis, políticas e normas vigentes.
Art. 13 A unidade administrativa encarregada da gestão TI reserva-se o direito, motivada por suspeitas de qualquer forma de abuso, de suspender, sem aviso prévio, qualquer conta de acesso a sistemas ou serviços institucionais pelo período que julgar necessário.
§ 1º Todos os usuários devem proceder à alteração de suas senhas sempre que houver qualquer indicação de comprometimento do sistema, da própria senha ou mediante solicitação da equipe de TI.
§ 2º A equipe de TI pode requerer que os usuários efetuem a troca de senha sempre que houver qualquer sinal de comprometimento da mesma ou se houver modificações nos procedimentos de gestão de senhas.
Art. 14 A equipe de TI reserva-se o direito de modificar a Norma de Criação e Uso de Senhas de Acesso a Sistemas Institucionais conforme necessário, sem aviso prévio, em consonância com as demandas técnicas, recursos disponíveis, alterações nos processos e legislação em vigor.
CAPÍTULO VI
VIOLAÇÕES, PENALIDADES E SANÇÕES
Art. 15 O descumprimento ou violação desta norma acarretará em sanções administrativas conforme estabelecido pela legislação, normas complementares, regimentos e resoluções internas, sem prejuízo das medidas previstas nas esferas cível e penal.
Parágrafo Único: O processo de aplicação das penalidades e/ou sanções será conduzido de acordo com o procedimento específico estabelecido na legislação, normas, regimentos ou resoluções pertinentes ao caso em questão.
CAPÍTULO VII
DISPOSIÇÕES FINAIS
Art. 16 Os casos omissos e as dúvidas surgidas na aplicação do disposto na Norma de Criação e Uso de Senhas de Acesso a Sistemas Institucionais deverão ser analisados pela DGTI.
Art. 17 A presente norma passa a vigorar a partir da data de sua publicação, revogando-se as disposições em contrário.
 | Documento assinado eletronicamente por ERASMO EVANGELISTA DE OLIVEIRA, Diretor(a) da Diretoria de Gestão de Tecnologia da Informação, em 04/04/2024, às 16:50, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015. |
| | Documento assinado eletronicamente por FERNANDO ELIAS DE OLIVEIRA, Coordenador(a) da Coordenadoria de Operação e Segurança da Informação, em 04/04/2024, às 17:02, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015. |
 | A autenticidade deste documento pode ser conferida no site https://sei.ufla.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0246687 e o código CRC F4BA85DA. |
| Referência: Caso responda este Documento, indicar expressamente o Processo nº 23090.006137/2024-97 | SEI nº 0246687 |