DOU 17/12/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025121700045
45
Nº 240, quarta-feira, 17 de dezembro de 2025
ISSN 1677-7042
Seção 1
risco: no sentido amplo, trata-se da possibilidade de ocorrência de um
evento que pode impactar o cumprimento dos objetivos. Pode ser mensurado em
termos de impacto e de probabilidade;
risco de segurança da informação: risco potencial associado à exploração de
uma ou mais vulnerabilidades de um ou mais ativos de informação, por parte de uma
ou mais ameaças, com impacto negativo no negócio da organização;
segurança da informação: preservação da confidencialidade, integridade,
disponibilidade,
adicionalmente
outras
propriedades,
tais
como
autenticidade,
responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas;
serviços: meio de fornecimento de valor a clientes, com vistas a entregar os
resultados que eles desejam, sem que tenham que arcar com a propriedade de
determinados custos e riscos;
SI: sigla de segurança da informação;
sistema de informação: conjunto de elementos materiais ou intelectuais,
colocados à disposição dos usuários, em forma de serviços ou bens, que possibilitam
a agregação dos recursos de tecnologia,
informação e comunicações de forma
integrada;
tecnologia da informação: ativo estratégico que apoia processos de negócios
institucionais, mediante a conjugação de recursos, processos e técnicas, utilizados para
obter, processar, armazenar, disseminar e fazer uso de informações; e
usuário: pessoa física ou jurídica, seja servidor público, estudante ou
prestador de serviços, voluntário habilitado pela administração para acessar os ativos
de informação do Incra.
CAPÍTULO III
DOS PRINCÍPIOS
Art. 6º Esta política considera os seguintes princípios:
I
-
respeito
aos
princípios
e
diretrizes
constitucionais,
legais
e
regulamentares que regem a Administração Pública Federal;
II - garantia de integridade, autenticidade e disponibilidade da informação
sob a custódia do Incra, com respeito ao princípio da transparência e atribuição de
confidencialidade apenas nos casos expressamente previstos na legislação;
III - alinhamento estratégico da Política de Segurança da Informação - PoSIC
com os demais planos institucionais;
IV - responsabilidade pelo cumprimento das normas pertinentes à segurança
da informação vigentes; e
V - conscientização, educação e comunicação como alicerces fundamentais
para o fomento da cultura em segurança da informação.
CAPÍTULO IV
DAS DIRETRIZES GERAIS
Art. 7º As diretrizes gerais constituem os pilares do controle de acesso no
Incra,
orientando
a
elaboração
de
norma,
processo,
planos,
procedimentos,
metodologia e ações de controle que garantem que os princípios básicos de segurança
da informação sejam alcançados.
§ 1º Procedimento operacional padrão deve ser estabelecido, documentado
e atualizado para implementar controles de acesso físicos e lógicos à informação e aos
ativos associados à informação que são por ele gerenciados ou custodiados, com
objetivo de proteger adequadamente a confidencialidade das informações não públicas,
bem como a integridade e a disponibilidade das informações consideradas críticas para
o negócio.
§ 2º Os controles de acesso devem ser implementados para identificação,
autenticação e autorização garantindo que apenas usuários autorizados tenham acesso
físico ou lógico aos recursos, sistemas ou serviços de TI.
§ 3º Rotinas devem ser configuradas para criar, atribuir, gerenciar e revogar
credenciais de acesso e privilégios para contas de usuário, administrador e serviço para
ativos e software institucionais devem ser estabelecidas e mantidas atualizadas.
§ 4º Sempre que possível controles de acesso devem ser implementados
conforme necessidade legítima que justifique o acesso à informação por pessoa,
sistema ou entidade, seguindo o princípio "privilégio mínimo", o qual estabelece que
o perfil de acesso concedido deve incluir apenas os poderes necessários para atender
as legítimas necessidades.
§ 5º Quando possível, os controles de acesso lógicos no Incra devem utilizar
autenticação com certificado digital, a fim de proporcionar uma identificação
inequívoca de pessoas físicas e jurídicas, assim como comprovação de autoria em
transações digitais.
§
6º Os
direitos
de
acesso lógicos
e
físicos
devem ser
analisados
criticamente, a intervalos regulares, para remover direitos que deixaram de ser
necessários e para assegurar que privilégios indevidos não foram obtidos.
§ 7º Os controles de autorização, identificação e autenticação devem
garantir que apenas usuários autorizados tenham acesso físico ou façam uso dos
sistemas de informação do Incra.
CAPÍTULO V
ACESSO LÓGICO
Art. 8º O acesso lógico aos recursos da Rede Local deve ser realizado por
meio de sistema de controle de acesso. O acesso deve ser concedido e mantido pela
Coordenação-Geral
de
Tecnologia
e
Gestão
da
Informação,
baseado
nas
responsabilidades e tarefas de cada usuário, logo:
I - o
Incra deve implementar protocolos de
comunicação e redes
seguros.
II - terão direito a acesso lógico aos recursos da Rede Local os usuários de
recursos de tecnologia da informação.
III - para fins desta Portaria, consideram-se usuários de recursos de
tecnologia da informação servidores ocupantes de cargo efetivo, temporário ou cargo
em comissão, ocupantes de emprego público em exercício, assim como funcionários de
empresas prestadoras de serviços, estagiários e demais usuários temporários em
atividade no Incra, que acessam fisicamente as dependências ou que acessam a rede
e sistemas de informação do Incra.
IV - o acesso remoto deve ser realizado por meio de VPN - Rede Virtual
Privada, após as devidas autorizações.
V - deve ser utilizado o MFA para a autenticação de acesso remoto.
VI - o acesso a todas as aplicações corporativas ou de terceiros que estejam
hospedados em fornecedores deve utilizar MFA.
VII - o Incra deve centralizar a autenticação, autorização e auditoria (AAA)
dos ativos de informação da sua infraestrutura de rede.
VIII - o Incra deve adotar técnicas de segmentação de rede visando limitar
o acesso de forma eficiente e segura, assegurando que apenas colaboradores e
dispositivos autorizados possam interagir com partes específicas da rede.
Art. 9º O Incra deve estabelecer e manter um inventário de todas as contas
gerenciadas, este deve incluir contas de usuário, administrativas, testes e serviço. Em
caso de contas de serviço, o inventário deve conter no mínimo informações de:
I - área de negócio proprietária.
II - data de criação/última autorização de renovação de acesso;
III - a Coordenação-Geral de Tecnologia e Gestão da Informação é
responsável por validar todas as contas ativas do órgão a cada 90 dias;
Art. 10. A Coordenação-Geral de Tecnologia e Gestão da Informação deve
implementar a centralização da gestão de contas por meio de serviço de diretório e/ou
identidade.
Art. 11. A Coordenação-Geral de Tecnologia e Gestão da Informação deve
estabelecer e manter um inventário dos sistemas de autenticação e autorização da
organização, tal inventário deve ser revisado periodicamente.
Art. 12. A Coordenação-Geral de Tecnologia e Gestão da Informação deve
centralizar o controle de acesso para todos os ativos de informação da organização por
meio de um serviço de diretório ou provedor de SSO.
Art. 13. A Coordenação-Geral de Tecnologia e Gestão da Informação deve
definir e manter o controle de acesso dos usuários baseado em funções, logo:
I - deve ser elaborada a documentação dos direitos dos acessos para cada
função dentro da organização.
II - a Coordenação-Geral de Tecnologia e Gestão da Informação deverá
realizar análises de controle de acesso aos ativos institucionais para validar se todos
os privilégios estão autorizados para a execução de atividades de cada função, este
processo deve ser repetido de forma periódica ou quando novas funções e ativos de
informação forem inseridos na organização.
III - ao conceder acesso a usuários que lidam com dados pessoais, deve-se
limitar, estritamente, o acesso aos sistemas que processam esses dados ao mínimo
necessário para cumprir os objetivos essenciais do processamento, em conformidade
com o princípio da minimização de dados. Ao atribuir ou revogar os direitos de acesso
concedidos deve-se incluir:
a) verificação de que o nível de acesso concedido é apropriado às políticas
de acesso, além de ser consistente com outros requisitos, tais como, segregação de
funções;
b) garantia de que os direitos de acesso não estão ativados antes que o
procedimento de autorização esteja completo;
c) manutenção de um registro preciso e atualizado dos perfis dos usuários
criados para os que tenham sido autorizados a acessar o sistema de informação e os
dados pessoais neles contidos;
d) mudança dos direitos de acesso dos usuários que tenham mudado de
função ou de atividades, e imediata remoção ou bloqueio dos direitos de acesso dos
usuários que deixaram o Incra;
e) analisar criticamente os direitos de acesso em intervalos regulares;
f) analisar e aprovar, ad referendum, os pedidos de acesso a dados
institucionais, por meio de APIs (Apllication Programming Interface) disponibilizadas no
Conecta Gov.br, e ratificar os novos acessos no Comitê de Governança Digital - CGD
e comunicar ao Comitê de Segurança da Informação e Comunicação - CSIC;
g) disponibilizar,
em ferramenta
própria, funcionalidade
para que
as
unidades organizacionais, proprietárias de dados, possam avaliar e aprovar pedidos de
acesso a seus respectivos dados, antes de atribuir direitos de acessos.
Art. 14. A Coordenação-Geral de Tecnologia e Gestão da Informação deve
implementar um processo formal de registro de usuários que tratem de dados pessoais
para permitir atribuição de direitos de acesso e fornecer medidas para lidar com o
comprometimento
do
controle
de
acesso
do
usuário,
como
corrupção
ou
comprometimento de senhas ou outros dados de registro do usuário, para tanto
podem ser realizadas as seguintes ações:
I - o uso de um identificador de usuário único, para permitir relacionar os
usuários com suas responsabilidades e ações;
II - o uso compartilhado de identificador de usuário somente será permitido,
onde eles são necessários por razões operacionais ou de negócios e deverá ser
aprovado e documentado;
III - a garantia de que o um mesmo identificador de usuário não é emitido
para outros.
CAPÍTULO VI
CONTA DE ACESSO LÓGICO E SENHA
Art. 15. Para utilização das estações de trabalho do Incra, será obrigatório
o uso de uma única identificação (login) e de senha de acesso, fornecidos pela
Coordenação-Geral de Tecnologia e Gestão da Informação, mediante solicitação formal
pelo titular da unidade do requisitante, sendo assim, fazem-se necessários:
I - o preenchimento do formulário de solicitação de acesso se encontra
disponível no Sistema Eletrônico de Informações - SEI;
II - a definição, pela unidade requisitante ao qual o usuário está vinculado,
os privilégios
de acesso
dos usuários
à Rede
Local, limitando-se
a atividades
estritamente necessárias à realização de suas tarefas.
III - na necessidade de utilização de perfil diferente do disponibilizado, o
titular da unidade do usuário deverá encaminhar solicitação para a Coordenação-Geral
de Tecnologia e Gestão da Informação, que a examinará, podendo negá-la nos casos
em que a entender desnecessária.
Art. 16. O login e senha são de uso pessoal e intransferível, sendo proibida
a sua divulgação, sob pena de serem bloqueados pela Coordenação-Geral de Tecnologia
e Gestão da Informação quando constatada qualquer irregularidade.
Parágrafo único. Para retomar o acesso à rede, deverá ser formalizada nova
requisição pelo titular da unidade do requisitante.
Art. 17. O padrão adotado para o formato da conta de acesso do usuário
é a sequência primeiro nome + ponto + último nome do usuário, como por exemplo,
joao.silva.
Parágrafo único. Nos casos de já existência de conta de acesso para outro
usuário, a Coordenação-Geral de Tecnologia e Gestão da Informação realizará outra
combinação utilizando o nome completo do usuário para o qual a conta está sendo
criada.
Art. 18. O padrão adotado para o formato da senha é o definido pela
Coordenação-Geral de Tecnologia e Gestão da Informação, que considera o tamanho
mínimo de caracteres, a tipologia (letras, número e símbolos) e a proibição de
repetição de senhas anteriores, sendo assim:
I - a formação da senha da identificação (login) de acesso à Rede Local deve
seguir as regras de:
a) possuir tamanho mínimo de oito caracteres, sendo obrigatório o uso de
letras e números, para contas que utilizam MFA e 14 (catorze) caracteres para contas
que não utilizam MFA;
b) recomenda-se a utilização de letras maiúsculas, minúsculas e caracteres
especiais ($, %, &,...);
c) não ser formada por sequência numérica (123...), alfabética (abc...),
nomes próprios, palavras de fácil dedução, datas, placa de carro, número de telefone,
a própria conta de acesso, apelidos ou abreviações;
d) não utilizar termos óbvios, tais como: Brasil, senha, usuário, password ou
system;
e) não reutilizar as últimas 05 (cinco) senhas.
II - a Coordenação-Geral de Tecnologia e Gestão da Informação fornecerá
uma senha temporária para cada conta de acesso criada no momento da liberação
dessa conta e a mesma deverá ser alterada pelo usuário quando do primeiro acesso
à Rede Local.
Art. 19. As senhas de acesso serão renovadas a cada 90 dias, devendo o
usuário
ser informado
antecipadamente,
a fim
de que
ele
próprio efetue
a
mudança.
Parágrafo único. Caso não efetue a troca no prazo estabelecido, será
bloqueado seu acesso à Rede Local até que a nova senha seja configurada.
CAPÍTULO VII
BLOQUEIO, DESBLOQUEIO E CANCELAMENTO DA CONTA DE ACESSO
Art. 20. A conta de acesso será bloqueada nos seguintes casos:
I - após 5 tentativas consecutivas de acesso errado;
II - solicitação do superior imediato do usuário com a devida justificativa;
III - quando da suspeita de mau uso dos serviços disponibilizados pelo Incra
ou descumprimento da Política de Segurança da Informação - PoSIC e normas
correlatas em vigência;
IV - após 90 dias consecutivos sem movimentação pelo usuário.
Art. 21. O desbloqueio da conta de acesso à Rede Local será realizado
apenas após solicitação formal do superior imediato do usuário à Coordenação-Geral
de Tecnologia e Gestão da Informação.
Art. 22. Quando do afastamento temporário do usuário, a conta de acesso
deve ser bloqueada a pedido do superior imediato ou da unidade de Recursos
Humanos.
Art. 23. A conta de acesso não utilizada há mais de 180 dias poderá ser
cancelada.
Art. 24. O Incra deve garantir a implementação de um processo formal de
cancelamento de usuários que administrem ou operem sistemas e serviços que tratem
de dados pessoais. Tal processo deverá incluir:
I - a imediata remoção ou desabilitação de usuário que tenha deixado o Incra;
II - a remoção e identificação, de forma periódica, ou a desabilitação de
usuários com os mesmos identificadores.
Fechar