Aspectos gerais de controle de acesso

Os requisitos desta seção são aplicáveis independentemente do modelo de controle de acesso adotado, de acordo com a política de segurança da informação.

REQREQUISITOOBRIGTIPO
RSC8.2.1Permitir o acesso às funções administrativas do sistema somente a usuários autorizados pelo gestor do sistemaORF
RSC8.2.2Garantir que a pesquisa feita por metadados diversos do número de documento/processo/dossiê somente retorne resultado positivo em caso de grau de sigilo acessível ao usuário.ORF
RSC8.2.3Garantir que, na consulta feita exclusivamente por número de documento/processo/dossiê cujo grau de sigilo seja maior que o do usuário, resulte apenas a existência do documento/processo/dossiê e a informação de restrição de acesso, sem qualquer outro metadado.ORF
RSC8.2.4Garantir que somente o gestor do GestãoDoc seja capaz de criar, alterar, remover ou revogar as permissões associadas a perfis de usuários, grupos de usuários ou usuários individuais.ORF
RSC8.2.5Implementar imediatamente alterações ou revogações dos atributos de segurança de usuários e de documentos digitais.ORF
RSC8.2.6Oferecer ferramentas de aumento de produtividade ao gestor do GestãoDoc, tais como a realização de operações sobre lotes ou grupos de usuários e lotes de documentos digitais, agenda de tarefas, análises de trilhas e geração de alarmes.ORF
RSC8.2.7Controlar o acesso por grupos de usuários, papéis de usuários e usuários individuais, obedecendo a uma hierarquia de permissões preestabelecida na política de segurança da informação dos órgãos do Poder Judiciário.ORF

a) Controle de acesso por grupos de usuários

Grupos são conjuntos de usuários (possivelmente com papéis diferentes) reunidos para a realização de alguma atividade em comum.

Estes requisitos só são aplicáveis aos órgãos em que há controle de acesso por grupos de usuários.

REQREQUISITOOBRIGTIPO
RSC8.2.8Aplicar a política de controle de acesso a documentos por grupos de usuários considerando:
  • a identidade do usuário e sua participação em grupos; e
  • os atributos de segurança, associados ao documento arquivístico digital, às classes e/ou aos dossiês/processos.
ORF
RSC8.2.9Conceder o acesso a documentos, a dossiês/processos ou classes, se a permissão requerida para a operação estiver associada a pelo menos um dos grupos aos quais pertença o usuário.ORF
RSC8.2.10Permitir que um usuário pertença a mais de um grupo.ORF
RSC8.2.11Permitir que alguns usuários habilitados estipulem que outros usuários ou grupos de usuários possam ter acesso aos documentos sob sua responsabilidade. Essa permissão deve ser atribuída pelo gestor do GestãoDoc, de acordo com a política de segurança do órgão.ORF

b) Controle de acesso por papéis de usuários

O controle de acesso é um "conjunto de procedimentos, recursos e meios utilizados com a finalidade de conceder ou bloquear o acesso ao uso de recursos físicos ou computacionais" (BRASIL, 2021), requerendo para isso procedimentos de autenticação.

O usuário é habilitado a utilizar um GestãoDoc no devido procedimento de credenciamento, momento no qual lhe é atribuído o conjunto de operações do que pode realizar sobre um determinado documento/processo/dossiê (perfil de acesso).

O controle de acesso baseado em papéis é uma abordagem que define os direitos e permissões de um usuário baseado no papel que ele desempenha na organização, simplificando o gerenciamento das permissões dadas aos usuários (BRASIL, 2021). Dessa forma, por exemplo, um magistrado, ao ser credenciado em um GestãoDoc, já recebe um conjunto de perfis de acesso condizentes com o papel que desempenha na organização.

REQREQUISITOOBRIGTIPO
RSC8.2.12Utilizar os seguintes atributos do usuário ao implementar a política de controle de acesso por papéis de usuários sobre documentos:
  • identificação do usuário; e
  • papéis associados ao usuário.
ORF
RSC8.2.13Utilizar os seguintes atributos dos documentos ao implementar a política de controle de acesso por papéis:
  • identificação do documento; e
  • operações permitidas para os vários perfis de usuários, sobre as unidades a que pertence o documento.
ORF
RSC8.2.14Conceder acesso a documentos, processos/dossiês somente se a permissão requerida para a operação estiver presente em pelo menos um dos perfis associados ao usuário.ORF
RSC8.2.15Impedir que um(a) usuário(a) assuma papéis com direitos conflitantes.ORF
RSC8.2.16Permitir a criação de hierarquias de papéis e o conceito de herança de permissões entre eles.ORF
RSC8.2.17Permitir ao gestor a definição do limite de tentativas de acesso. Quando esse valor for atingido, o acesso deve ser bloqueado.ORF
RSC8.2.18Permitir que o gestor, de maneira controlada, recupere, identifique, visualize e reconfigure os parâmetros do sistema e os atributos dos perfis dos usuários.ORF