Portaria SRF n 782, de 20 de junho de 1997

Dispe sobre a Segurana e o Controle de Acesso Lgico aos Sistemas Informatizados da Secretaria da Receita Federal - SRF. Alterada pela Portaria SRF n 346, de 15 de maro de 2002. Alterada pela Portaria SRF n 585, de 6 de maio de 2002. Alterada pela Portaria SRF n 728, de 18 de junho de 2002. Alterada pela Portaria SRF n 885, de 23 de maio de 2003. Revogada pela Portaria SRF n 450, de 28 de abril de 2004.

O SECRETRIO DA RECEITA FEDERAL, no uso de suas atribuies e tendo em vista a necessidade de regulamentar a segurana dos sistemas informatizados da Secretaria da Receita Federal, resolve : DAS DISPOSIES PRELIMINARES Art. 1 Os sistemas informatizados da Secretaria de Receita Federal observaro as normas de segurana e de controle de acesso lgico em conformidade com o disposto nesta Portaria. Art. 2 Para os efeitos desta Portaria entende-se por: I - Usurio: pessoa fsica cadastrada no Sistema de Entrada e Habilitao-SENHA e habilitada nos sistemas para acesso a informaes; II - Cadastrador: servidor pblico para este fim designado que utiliza o SENHA para cadastrar e habilitar usurios; III - Depositrio: pessoa fsica, rgo pblica, entidade pblica ou empresa responsvel pelo processamento e armazenamento de dados e informaes, bem como administrao dos controles especificados pelo gestor de cada sistema; IV - Gestor de Sistema: servidor da SRF responsvel pela definio e manuteno do respectivo sistema; V - Cadastramento: procedimento de incluso de sistema ou usurio no SENHA; VI - Habilitao: procedimento que permite ao usurio cadastrado acessar sistemas;

VII - Ambiente de desenvolvimento: conjunto de recursos utilizados para construir, testar e manter sistemas; VIII - Ambiente de homologao: conjunto de recursos utilizados para verificar se o sistema funciona conforme a especificao; IX - Ambiente de treinamento: conjunto de recursos utilizados para capacitar usurios nas funcionalidades dos sistemas; X - Ambiente de produo: conjunto de recursos onde so executados os sistemas com dados reais e operaes vlidas no mbito administrativo; XI - Perfil: subconjunto de transaes de um sistema, que define a abrangncia de atuao de um cadastrador ou usurio; XII - Transao: um programa executvel do sistema; XIII - Parmetro de normalidade: varivel que representa o padro definido de operao de um sistema; XIV - Acesso lgico: operao de atualizao e consulta de dados e informaes em um sistema; XV - Confidencialidade: princpio de segurana que estabelece restries ao acesso e utilizao da informao; XVI - Integridade: princpio de segurana que trata da confiabilidade da informao; XVII - Disponibilidade: princpio de segurana que trata da entrega tempestiva da informao a usurios e processos autorizados; XVIII - Acesso imotivado: aquele realizado para fins estranhos s tarefas do servidor. Art. 3 Os sistemas informatizados sujeitos s normas estabelecidas nesta Portaria e seus respectivos gestores so os definidos no Anexo I. DA SEGURANA DOS SISTEMAS INFORMATIZADOS DA SRF Art. 4 Os dados, informaes e sistemas informatizados da SRF devem ser protegidos contra aes intencionais ou acidentais que impliquem perda, destruio, insero, cpia, acesso e alterao indevidos, em conformidade com os princpios da confidencialidade, integridade e disponibilidade. Pargrafo nico. Para fim do disposto neste artigo devem ser adotadas medidas de segurana proporcionais aos riscos existentes e magnitude dos danos potenciais.

Art. 5 As necessidades de segurana devem ser avaliadas com relao a confidencialidade, integridade e disponibilidade para cada fase do ciclo de vida do sistema, na forma do art. 4 da Portaria 1.131, de 20 de junho de 1996, considerados: o ambiente; o valor da informao e a criticidade do sistema. Art. 6 A informao deve ser mantida com o mesmo nvel de proteo, independentemente do meio no qual esteja armazenada, em que trafegue ou do ambiente em que esteja sendo processada. Art. 7 O acesso aos sistemas, informaes e instalaes da SRF deve ser controlado e estar disponvel apenas s pessoas devidamente autorizadas. Art. 8 Os servidores da SRF devem ser permanentemente conscientizados sobre os aspectos de segurana e formas de proteo dos recursos e informaes sob sua responsabilidade. Art. 9 Os ambientes de produo, treinamento, homologao e desenvolvimento dos sistemas informatizados devem ser distintos e de exclusividade da SRF, observadas as regras definidas pela COTEC. 1 Os processos de desenvolvimento, homologao, treinamento e produo de sistemas devem ser executados exclusivamente nos seus respectivos ambientes. 2 A disponibilizao dos programas de cada sistema nos ambientes de homologao, produo e treinamento de exclusividade de servidor da SRF indicado pelo respectivo Gestor de Sistema. Art. 10. Os sistemas informatizados da SRF sero classificados pelos Gestores de Sistema como prioritrios ou no, em funo de sua importncia e devem possuir: I - controle de acesso lgico; II - sistemtica de recuperao de informaes devidamente documentada, abrangendo: periodicidade de cpias; forma e local de armazenamento; autorizao de uso; prazo de reteno e plano de simulao e testes; III - medidas para verificao dos dados quanto a sua preciso e consistncia; IV - registro das informaes (log) com prazos de reteno e formas de acesso definidos, de forma a permitir auditoria, recuperao do sistema em caso de falha, identificao de situaes de violao e contabilizao individual do uso dos sistemas; V - parmetros de normalidade de utilizao definidos; e

VI - plano de contingncia, assegurando a operao e a recuperao dos sistemas em situaes de emergncia, de acordo com as necessidades e prazos especficos. Pargrafo nico. Caber ainda aos Gestores de Sistema definir as condies para adoo e manuteno dos processos deste artigo, bem como analisar periodicamente os registros mencionados no inciso IV. Art. 11. O trfego de informaes em rede deve ser protegido contra danos, perdas, indisponibilidades, uso ou exposio indevidos, de acordo com seu valor, criticidade e confidencialidade. Art. 12. As redes locais e microcomputadores da SRF devem adotar e manter procedimentos de backup e recuperao, procedimentos de combate a vrus, bem como utilizar somente softwares autorizados. Pargrafo nico. As estaes de trabalho instaladas nas redes locais da SRF devem possuir controle de acesso lgico individual. Art. 13. No uso da Internet devem ser adotadas medidas adicionais para garantir: I - proteo contra acessos externos no autorizados; II - trfego seguro de informaes confidenciais ou corporativas; e III - proteo das mquinas servidoras. Art. 14. Os recursos devem ser inventariados periodicamente, devendo os recursos crticos ser mantidos em locais com acesso controlado. DO CONTROLE DE ACESSO LGICO AOS SISTEMAS INFORMATIZADOS Art. 15. O sistema de controle de acesso lgico deve: I - proteger as informaes dos sistemas informatizados da SRF contra o uso no autorizado; II - auxiliar na deteco de violaes de segurana; III - assegurar recuperao nas situaes de falha; IV - permitir contabilizao das informaes definidas pelos Gestores de Sistema; V - preservar os dados relativos s transaes realizadas nos sistemas, com a identificao do usurio, local, data e horrio de acesso; e

VI - impedir a interveno dos prestadores de servio nas funes de cadastramento e habilitao. 1 O controle de acesso lgico dos sistemas informatizados da SRF especificados no Anexo I deve ser realizado por intermdio do SENHA. 2 Qualquer atualizao nas transaes, nos perfis e nas funcionalidades do SENHA utilizadas pela SRF somente pode ser executada com aprovao formal da COTEC. Art. 16. O acesso do usurio aos sistemas informatizados da SRF ser feito mediante o uso privativo de senha pessoal e intransfervel e a sua outorga no confere direito de acesso imotivado aos sistemas e informaes. Art. 17. O acesso aos sistemas informatizados da SRF por seus servidores deve ser sempre motivado por necessidade de servio ou, ainda, por determinao expressa de superior hierrquico em linha direta. 1 O superior hierrquico expressar a sua determinao mediante documento devidamente assinado, a qual deve ser motivada por necessidade de servio. 2 O servidor deve arquivar os documentos de solicitao de acesso por um prazo mnimo de um ano. Art. 18. So usurios dos sistemas informatizados da SRF, nos ambientes de desenvolvimento, homologao, treinamento e produo, aqueles definidos pelos respectivos Gestores de Sistema, desde que devidamente autorizados e habilitados a acess-los. Art. 19. O nvel de acesso observar o conjunto de transaes inerentes aos perfis estabelecidos pelo gestor de cada sistema. Art. 20. Os usurios ao acessarem os sistemas da SRF sero informados, na tela inicial, de suas responsabilidades quanto ao uso dos sistemas e informaes, bem como sobre as penalidades aplicveis quanto ao uso indevido de suas senhas. Art. 21. O Gestor de Sistema, relativamente ao controle de acesso lgico, possui as seguintes atribuies: I - definir e classificar os perfis de usurios, publicando-os em ato prprio; II - manter atualizada a relao dos perfis, com suas respectivas transaes; III - divulgar a relao de perfis vigentes e as alteraes supervenientes;

IV - definir os diferentes tipos de usurios nos ambientes de desenvolvimento, homologao, treinamento e produo, que podero ser habilitados nos perfis do sistema; V - definir, quando necessrio, as unidades administrativas nas quais os usurios devero estar em efetivo exerccio; VI - definir, quando for necessria, a execuo de transaes do sistema em locais especficos; VII - definir as informaes de acesso e de operaes realizadas no sistema que devam ser armazenadas, bem como o prazo de reteno das mesmas para acesso on-line e batch; e VIII - definir as condies tpicas de utilizao do sistema pelos usurios. Pargrafo nico. Para fim do disposto neste artigo, os perfis dos sistemas classificam-se em: a) Gerencial: quando relacionado com a recuperao de informaes consolidadas em nvel de gesto; b) Operacional: quando relacionado com funes bsicas do sistema; e c) Operacional de uso restrito: quando relacionado com as funes bsicas do sistema para acesso exclusivo nos terminais ou estaes de trabalho instaladas nas dependncias da unidade administrativa de efetivo exerccio do usurio. Art. 22. A autorizao para acesso lgico aos sistemas observar as seguintes funes: I - Administrador do SENHA, servidor da carreira ATN em exerccio na CoordenaoGeral de Tecnologia e de Sistemas de Informao-COTEC, designado pelo Secretrio da Receita Federal, com as seguintes atribuies: a) criar os sistemas da SRF nos ambientes de homologao, treinamento e produo; b) cadastrar o Cadastrador Nvel 1 no SENHA; c) atualizar os dados cadastrais do Cadastrador Nvel 1 no SENHA; d) habilitar ou desabilitar no SENHA o Cadastrador Nvel 1; e e) exercer as funes relativas a desativao, reativao e troca das senhas do Cadastrador Nvel 1;

II - Cadastrador Nvel 1, servidor da carreira ATN em exerccio na Coordenao-Geral de Tecnologia e de Sistemas de Informao-COTEC, designado pelo Secretrio da Receita Federal, com as seguintes atribuies: a) cadastrar e manter atualizadas as rvores, perfis e transaes dos sistemas informatizados no SENHA, conforme definio dos Gestores de Sistema; b) atualizar no SENHA os dados cadastrais dos cadastradores sob sua superviso; c) cadastrar no SENHA os Cadastradores Nvel 2 da SRF e de rgos ou entidades pblicas; d) habilitar ou desabilitar no SENHA os cadastradores elencados na alnea "b"; e) exercer as funes de desativao, reativao e troca de senha dos cadastradores elencados na alnea "b"; f) orientar os cadastradores elencados na alnea "b" na execuo de suas atividades; e g) manter atualizado, para efeito de auditoria, arquivo contendo as solicitaes de cadastramento, habilitao, desabilitao, desativao, reativao e troca de senha dos cadastradores sob sua superviso, bem como os atos formais que os nomearam para exercer suas funes; III - Cadastrador Nvel 2 da SRF, servidor da carreira ATN em exerccio na projeo regional da COTEC na Superintendncia, designado pelo Superintendente da Receita Federal, com as seguintes atribuies, no mbito da sua respectiva Regio Fiscal: a) cadastrar no SENHA os Cadastradores Nvel 3 das Unidades Descentralizadas da SRF, bem como os Cadastradores Nvel 3 de rgos ou entidades pblicas que no possuam Cadastrador Nvel 2; b) atualizar no SENHA os dados cadastrais dos cadastradores sob sua superviso; c) habilitar ou desabilitar no SENHA os cadastradores elencados na alnea "a"; d) exercer as funes de desativao, reativao e troca de senha dos cadastradores elencados na alnea "a"; e) orientar os cadastradores elencados na alnea "a" no desempenho de suas atribuies; e f) manter atualizado, para efeito de auditoria, arquivo contendo as solicitaes de cadastramento, habilitao, desabilitao, desativao, reativao e troca de senha dos cadastradores elencados na alnea "a", os atos formais que os nomearam para exercer

suas funes, bem como os formulrios de cadastramento inicial dos Cadastradores Nvel 3 e usurios da sua respectiva Regio Fiscal; IV - Cadastrador Nvel 2 de rgo ou entidade pblica, servidor pblico designado pelo dirigente de sua respectiva unidade administrativa para exercer as seguintes atribuies: a) cadastrar no SENHA os Cadastradores Nvel 3 das unidades administrativas de seu respectivo rgo ou entidade pblica e de outros rgos ou entidades nas situaes prevista pelos Gestores de Sistema; b) atualizar no SENHA os dados cadastrais dos cadastradores sob sua superviso; c) habilitar ou desabilitar no SENHA os cadastradores elencados na alnea "a"; d) exercer as funes de desativao, reativao e troca de senha dos cadastradores elencados na alnea "a"; e) orientar os Cadastradores Nvel 3 na execuo de suas atividades; e f) manter atualizado arquivo contendo as solicitaes de cadastramento, habilitao, desabilitao, desativao, reativao e troca de senha dos cadastradores elencados na alnea "a", os atos formais que os nomearam para exercer suas funes, bem como os formulrios de cadastramento inicial dos usurios de seu respectivo rgo ou entidade pblica, que devero ficar disposio da SRF, para efeito de auditoria; V - Cadastrador Nvel 3 da SRF, servidor da carreira ATN em exerccio na COTEC ou em suas projees, designado pelo titular da Unidade, com as seguintes atribuies no mbito da sua respectiva Unidade: a) cadastrar no SENHA os servidores da SRF e os usurios externos que estejam vinculados a rgo, entidade pblica ou empresa que no possuam Cadastrador Nvel 3; b) atualizar no SENHA os dados cadastrais dos usurios sob sua superviso; c) habilitar ou desabilitar nos sistemas os usurios elencados na alnea "a" nos perfis definidos pelos Gestores de Sistema; d) exercer as funes de desativao, reativao e troca de senha dos usurios elencados na alnea "a"; e) encaminhar ao Cadastrador Nvel 2 o formulrio de cadastramento inicial dos usurios sob sua superviso; e

f) manter atualizado, para efeito de auditoria, arquivo contendo as solicitaes de habilitao, desabilitao, desativao, reativao e troca de senha dos usurios elencados na alnea "a"; VI - Cadastrador Nvel 3 de rgos e entidades pblicas, servidor pblico, designado pelo titular de sua respectiva unidade administrativa para exercer as seguintes atribuies: a) cadastrar no SENHA os servidores de sua respectiva unidade administrativa como usurios; b) atualizar no SENHA os dados cadastrais dos usurios sob sua superviso; c) habilitar ou desabilitar os usurios elencados na alnea "a" nos sistemas da SRF, segundo condies estabelecidas pelos Gestores de Sistema; d) exercer as funes de desativao, reativao e troca de senha dos usurios sob sua superviso; e) encaminhar ao Cadastrador Nvel 2 o formulrio de cadastramento inicial dos usurios sob sua superviso; e f) manter atualizado arquivo contendo as solicitaes de habilitao, desabilitao, desativao, reativao e troca de senha dos usurios elencados na alnea "a", que devero ficar disposio da SRF, para efeito de auditoria; VII - Gestor de Segurana, servidor da carreira ATN em exerccio na projeo regional da COTEC na Superintendncia, designado pelo Superintendente da Receita Federal, com as seguintes atribuies no mbito da sua respectiva Regio Fiscal: a) orientar a execuo das atividades dos cadastradores e dos usurios nos aspectos relativos segurana dos sistemas informatizados da SRF; b) fiscalizar o cumprimento das normas de utilizao dos sistemas pelos cadastradores e usurios sob sua superviso; c) promover programas visando a utilizao consciente e correta das senhas por parte dos cadastradores e usurios sob sua superviso; d) analisar os registros de acesso e de operaes realizadas pelos usurios que apresentem desvio dos parmetros de normalidade, definidos pelos Gestores de Sistema; e e) relatar periodicamente COTEC, de forma consolidada, as irregularidades acontecidas no mbito de sua respectiva Regio Fiscal.

 1 Na hiptese de inexistncia de Cadastrador Nvel 3 em uma Unidade, suas atividades devem ser exercidas pelo Cadastrador Nvel 3 da Unidade de nvel hierrquico imediatamente superior. 2 Nas Unidades Centrais da SRF as funes do Cadastrador Nvel 2 devem ser exercidas pelo Cadastrador Nvel 1. 3 Os servidores ou empregados somente podem ser habilitados como cadastrador de um nico nvel. Art. 23. O cadastramento inicial e a atualizao de cadastradores e usurios dos sistemas informatizados da SRF sero efetuados mediante a utilizao dos formulrios do Anexo V e segundo as rotinas constantes dos Anexos II a IV. 1 O cadastramento inicial vincular o CPF do usurio a uma senha secreta, pessoal e intransfervel e se consubstanciar com a assinatura do Termo de Responsabilidade. 2 Nas operaes de cadastramento inicial e atualizaes de usurios e cadastradores o nmero de inscrio no CPF e o respectivo nome do servidor devero ser validados em relao ao Cadastro de Pessoas Fsicas da SRF. 3 As habilitaes de acesso de usurios e cadastradores obedecero os critrios definidos pelo gestor de cada sistema. 4 O chefe imediato do servidor o responsvel pelo cadastramento inicial e atualizaes de acesso aos sistemas, devendo solicitar ao cadastrador competente a desabilitao dos sistemas aos quais o servidor tiver acesso quando do desligamento do setor, afastamento temporrio e outras ocorrncias que alterem a natureza das atividades dos cadastradores e usurios sob sua superviso. 5 O chefe imediato de usurios e cadastradores deve revalidar, de forma on-line, as suas habilitaes de acesso lgico, de acordo com os critrios definidos pela COTEC em ato prprio. DAS RESPONSABILIDADES INSTITUCIONAIS E FUNCIONAIS Art. 24. responsabilidade de todos os servidores cuidar da integridade, confidencialidade e disponibilidade dos dados, informaes e sistemas da SRF, devendo comunicar por escrito chefia imediata quaisquer irregularidades, desvios ou falhas identificadas. 1 proibida a explorao de falhas ou vulnerabilidades porventura existentes nos sistemas.

 2 O acesso informao no garante direito sobre a mesma nem confere autoridade para liberar acesso a outras pessoas. 3 Os usurios e os cadastradores devem manter suas senhas de acesso secretas, no podendo deixar qualquer sistema em condies de ser acessado por terceiros. Art. 25. responsabilidade da chefia imediata iniciar ao corretiva apropriada para corrigir os desvios com relao s normas desta Portaria ou procedimentos de segurana dentro de sua rea de atuao, comunicando o fato ao Gestor de Segurana de sua respectiva Regio Fiscal. Art. 26. O descumprimento das disposies desta Portaria caracterizaro infrao funcional, a ser apurada em processo administrativo disciplinar, sem prejuzo da responsabilidade penal e civil. Art. 27. O acesso imotivado do servidor aos sistemas informatizados da SRF constitui, sem prejuzo da responsabilidade civil e penal, infrao funcional de falta de zelo e dedicao s atribuies do cargo e descumprimento de normas legais ou regulamentares tipificadas na Lei n 8.112, de 11 de dezembro de 1990, art. 116, incisos I e III. Art. 28. Constitui descumprimento de normas legais e regulamentares e quebra de sigilo funcional de que tratam os incisos III e VIII, do art. 116, da Lei n 8.112, de 1990, a divulgao de dados obtidos dos sistemas informatizados para servidores da SRF que no estejam envolvidos nos trabalhos objeto das consultas. Art. 29. Ressalvadas as hipteses de requisies legalmente autorizadas, constitui infrao funcional de revelao de segredo do qual se apropriou em razo do cargo, tipificada no inciso IX do art. 132 da Lei n 8.112, de 1990, e crime contra a administrao pblica, tipificado no art. 325, do Decreto-Lei n 2.848, de 7 de dezembro de 1940 (Cdigo Penal) a divulgao, a quem no seja servidor da SRF, de informaes dos sistemas informatizados protegidas pelo sigilo fiscal, sujeitando o infrator penalidade de demisso. Art. 30. Sem prejuzo da responsabilidade penal e civil, na forma dos arts.121 a 125, da Lei n 8.112, de 1990, e de outras infraes disciplinares, constitui falta de zelo e dedicao s atribuies do cargo e descumprimento de normas legais e regulamentares, na forma dos incisos I e III, do art. 116, da Lei n 8.112, de 1990, no proceder o servidor com o devido cuidado na guarda e utilizao da senha ou emprest-la a outro servidor, ainda que habilitado. DAS DISPOSIES FINAIS Art. 31. Cabe COTEC gerenciar o processo de implantao e aplicao das normas desta Portaria, expedir normas complementares, bem como realizar periodicamente

auditoria de segurana nos ambientes operacionais e nos sistemas de informao localizados nos prestadores de servio e nas prprias instalaes da SRF. Art. 32. Os contratos de prestao de servios relacionados aos sistemas informatizados da SRF devem conter clusulas que viabilizem a adoo e manuteno das normas de segurana institudas por esta Portaria. Art. 33. Os aspectos de segurana especficos de cada sistema podero ser regulados em atos prprios, expedidos pelos respectivos Gestores de Sistema em conjunto com a COTEC. Art. 34. Os cadastradores e usurios dos sistemas informatizados da SRF que se encontrem habilitados na data da publicao desta Portaria devem ser recadastrados no prazo de 60 dias, a contar da data de sua publicao. Art. 35. Esta Portaria entra em vigor na data de sua publicao. EVERARDO MACIEL