Page 31 - Manual de Rotinas de Segurança TCE-AM
P. 31
tema de gerenciamento de senhas for usado, é necessário que ele garanta o
cadastramento de senhas seguras;
4) restrição do tempo de conexão dos usuários, quando apropriado;
5) procedimentos de entrada e saída no sistema (logon/logoff);
6) desconexão de terminal por inatividade;
7) controle do acesso dos usuários à informação e às funções dos siste-
mas de aplicação, de acordo com as normas definidas pelo órgão;
8) proteção contra acesso não autorizado para qualquer software que seja
capaz de sobrepor-se aos controles das aplicações ou do sistema;
9) o não comprometimento da segurança de outros sistemas com os
quais os recursos de informação são compartilhados; e
10) acesso à informação apenas ao seu proprietário, a outros indivíduos
nominalmente autorizados ou a determinados grupos de usuários.
i) O monitoramento do uso e acesso ao sistema, com o objetivo de des-
cobrir atividades não autorizadas, fornecendo evidências nos casos de inciden-
tes de segurança, deve ser implementado.
Para isso, um registro (log) de eventos, com trilhas de auditoria registran-
do as exceções e outros aspectos de segurança relevantes, deve ser produzido
e mantido por um período de tempo acordado para auxiliar em investigações
futuras e no monitoramento do controle de acesso.
j) No mínimo, os registros (log) de auditoria incluem:
1) identificação dos usuários;
2) datas e horários de entrada (logon) e saída (logoff) no sistema;
3) identidade do terminal e, quando possível, a sua localização;
4) registros das tentativas de acesso ao sistema aceitas e rejeitadas; e
5) registros das tentativas de acesso a outros recursos e dados aceitas
e rejeitadas.
k) Atenção especial deve ser dada à segurança dos registros de auditoria
(log) porque, se adulterados, podem gerar uma falsa sensação de segurança.
l) Devem ser implementados controles que impeçam modificações não
30
