PoliticaDeSeguranca Unificadav3.0.1 PDF

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO
POLTICA DE SEGURANA DA INFORMAO DO MUNICPIO DE SO JOS DO RIO PRETO
1/59
So Jos do Rio Preto 2009

1 INTRODUO.............................................................................................................4 1.1 DECLARAO DE COMPROMETIMENTO DA DIREO...................................4 1.2 TERMOS E DEFINIES............................................................................................5 1.3 VISO GERAL DOS CONTROLES E SEUS OBJETIVOS......................................8 1.4 LEGISLAO...............................................................................................................9 1.5 DISPOSIO DE ATRIBUIES.............................................................................10 2 CONDUTA DE ACESSO REDE.............................................................................11 2.1 Abrangncia..................................................................................................................11 2.2 Acesso e Identificao do Usurio ..............................................................................11 2.3 Regras de Uso de Rede.................................................................................................11 2.4 Regras Administrativas de Redes e de Servios de Rede.............................................14 2.5 Redes e Servios Disponveis no Municpio................................................................16 2.6 Meios de Acesso Rede no Municpio........................................................................16 2.7 Processo de Autorizao e/ou Remoo de Acesso Rede..........................................17 3 CONDUTA DE ACESSO INTERNET....................................................................18 3.1 Abrangncia..................................................................................................................18 3.2 Acesso e Identificao do Usurio...............................................................................18 3.3 Regras de Uso de Internet............................................................................................18 3.4 Regras Administrativas de Internet..............................................................................21 3.5 Processo de Autorizao ou Remoo de acesso Internet.........................................22 3.6 Processo de Notificao para Bloqueio ou Liberao de Endereos e Contedos da Internet..................................................................................................................................23 4 CONDUTA DE ACESSO REMOTO...........................................................................24 4.1 Abrangncia..................................................................................................................24 4.2 Acesso e Identificao do Usurio...............................................................................24 4.3 Regras de Uso de Acesso Remoto................................................................................24 4.4 Regras Administrativas de Acesso Remoto..................................................................27 4.5 Processo de Autorizao ou Remoo de Acesso a Redes Remotas............................28 5 CONDUTA DE USO DE MENSAGENS ELETRNICAS.......................................30 5.1 Abrangncia..................................................................................................................30 5.2 Acesso e Identificao do Usurio...............................................................................30 5.3 Regras de Uso de Mensagens Eletrnicas....................................................................30 5.4 Regras Administrativas de Mensagens Eletrnicas......................................................32 5.5 Processo de Autorizao ou Remoo..........................................................................33 6 CONDUTA DE UTILIZAO DE CONTAS E SENHAS........................................35 6.1 Abrangncia..................................................................................................................35 6.2 Acesso e Identificao do Usurio...............................................................................35 6.3 Regras de Contas e Senhas para Usurios....................................................................35 6.4 Regras Administrativas de Contas e Senhas.................................................................37 6.5 Processo Para Criao ou Remoo de Contas de Usurios........................................38 7 CONDUTA DE INSTALAO E REMOO DE SOFTWARES...........................40 7.1 Abrangncia..................................................................................................................40
2/59

7.2 Acesso e Identificao do Usurio...............................................................................40 7.3 Regras de Instalao e Remoo de Programas...........................................................40 7.4 Regras Administrativas e Tcnicas de Instalao e Remoo de Programas...............42 7.5 Processo de Requisio de Instalao e ou Remoo de Programas...........................43 8 CONDUTA DE CPIAS DE SEGURANA.............................................................45 8.1 Abrangncia..................................................................................................................45 8.2 Requisio de Gerao, Recuperao e ou Armazenamento de cpia de Segurana...45 8.3 Regras do Usurio........................................................................................................46 8.4 Regras Administrativas.................................................................................................47 9 CONDUTA DE ALIENAO, REMOO, REUTILIZAO E/OU DESCARTE DE MDIAS E EQUIPAMENTOS...................................................................................49 9.1 Abrangncia..................................................................................................................49 9.2 Remoo de propriedade..............................................................................................49 9.3 Inspees Aleatrias.....................................................................................................50 9.4 Regra do Usurio..........................................................................................................51 9.5 Regras de Usurios Nomeados.....................................................................................51 9.6 Regras Administrativas.................................................................................................52 10 CONFIDENCIALIDADE..........................................................................................54 10.1 Abrangncia................................................................................................................54 10.2 Acordo de Confidencialidade.....................................................................................54 11 PENALIDADES........................................................................................................57 12 REFERNCIAS BIBLIOGRFICAS.......................................................................59
3/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 1 INTRODUO

A prefeitura de So Jos do Rio Preto em conjunto com a Empresa Municipal de Processamento de Dados (EMPRO), disponibiliza uma Poltica de Segurana contendo um conjunto diversificado de informaes, tais como diretrizes e recomendaes, regras, infraes, penalidades, responsabilidade do usurio, abrangncia da poltica de segurana, entre outros, aplicados a todas as pessoas que utilizam informaes, sistemas, infraestruturas e dependncias de propriedade ou responsabilidade municipal. Tal pessoa ser definida em questo como usurio. A Poltica de Segurana parte do Sistema de Gesto da Segurana da Informao (SGSI) do municpio. O objetivo de um SGSI a anlise, operao, monitoramento, implementao, manuteno e melhoramento do gerenciamento da segurana de informao. A segurana da informao o conjunto de propriedades que proporcionam disponibilidade, integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e no repdio aplicados sobre os sistemas de informao. Para alcanar tais objetivos, necessria a criao de controles que abordem acordos de confidencialidade, uso de contas e senhas, uso de rede, acesso Internet, mensagens eletrnicas, acesso remoto, instalao e remoo de software, cpias de segurana e alienao do equipamento.
1.1
DECLARAO DE COMPROMETIMENTO DA DIREO

A administrao municipal no exerccio 2009 2012, representada pelo atual
prefeito, Sr. Dr. Valdomiro Lopes e pelos secretrios e diretores presidentes desta gesto, declara seu comprometimento e apoio a aplicao desta poltica de segurana, reconhecendo o valor de seus princpios, metas e objetivos condizentes com os negcios do municpio. Entende-se, assim, a importncia das partes abrangidas pela poltica de segurana, tais como: acordos de confidencialidade, uso de contas e senhas, uso de rede, acesso Internet, mensagens eletrnicas, acesso remoto, instalao e remoo de software, cpias de segurana e alienao do equipamento. Sra. Lcia Hirata, diretora presidente da Empresa Municipal de Processamento de Dados (EMPRO), apoia a poltica de segurana e declara seu comprometimento com a sua implantao, em conformidade com as intenes do prefeito Valdomiro Lopes.
4/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 1.2 TERMOS E DEFINIES
Acesso Remoto: Comunicao distncia dada entre um computador e um dispositivo; Alienao de equipamento e ou mdia: Transferncia de domnio de um equipamento ou mdia; Antispam: Programa com o objetivo de impedir o recebimento de mensagens no autorizadas no correio eletrnico; Antivrus: Programa com o objetivo de detectar e eliminar vrus do computador; Aplicao: O mesmo que programa de computador. Tem como objetivo executar uma determinada tarefa ou atividade; Armazenamento da Informao: Arquivamento de um ou mais dados em unidades de mdia; Armazenamento completo: Arquivamento de todos os dados de um stio em uma mdia; Armazenamento diferencial: Arquivamento de todos os dados alterados e adicionados de um stio em uma mdia; Banco de dados: Aplicao destinada ao armazenamento de um conjunto de informaes; Blog: Registro cronolgico inverso de mensagens postadas na WEB; Cdigo fonte: Representao comumente textual de um conjunto de instrues utilizado para gerao de um programa; Compartilhamento de Arquivos: Tcnica utilizada para disponibilizao de um ou mais arquivos a outros usurios; Compilador: Aplicao destinada a gerar novas aplicaes utilizando-se de cdigos fontes; Conta de Usurio: Composto normalmente por nome de usurio e senha. Permite acesso a um determinado sistema ou aplicao; Cpias de Segurana: Arquivamento de cpias de um ou mais dados em unidades de mdia com o intuito de prevenir a perda da informao; Correio eletrnico: Aplicao destinada ao envio e recebimento de mensagens eletrnicas; Descarte de equipamentos e mdias: O mesmo que jogar fora um equipamento ou mdia; Desktop: Computador de uso pessoal; DHCP : Permite a atribuio dinmica de nmeros IPs a um ou mais equipamentos; DNS: Permite a resoluo de nomes de um domnio devolvendo suas localizaes; Downgrade: Desfazer alguma atualizao, normalmente empregado no uso de aplicaes e sistemas; Download: Transferncia de dados de um equipamento externo para o computador local; Encriptao: Termo utilizado para tornar uma informao sigilosa; Equipamento: Termo utilizado para descrever uma ferramenta que permite a realizao de uma tarefa. Exemplo: computador; Estao de trabalho: Computador de uso pessoal destinado a execuo de tarefas especficas; Ethernet Meio de acesso Rede: Tecnologia eltrica que permite a interconexo de
5/59

computadores por meio de uma rede cabeada; Fibra tica Meio de acesso Rede: Tecnologia tica que permite a interconexo de computadores por meio de uma rede cabeada; Firewall: Aplicao destinada ao gerenciamento de segurana no trfego de informaes; Fishing: Tcnica utilizada para atrair usurios para situaes potencialmente perigosas utilizando-se de mensagens eletrnicas; Flame Wars: Propagao de mensagens hostis e/ou insultos entre usurios de uma rede; Flogs: Registro cronolgico inverso de fotos postadas na WEB; Formatao de dados: Remoo completa dos dados de uma mdia, preparando-a para escrita; FTP: Protocolo utilizado na transferncia de arquivos; Hardware: Todo e qualquer componente fsico encontrado em um computador; HTTP: Protocolo utilizado para visualizao de pginas na WEB; IP: Protocolo de Internet utilizado para identificar singularmente um equipamento em uma rede; Impresso: Servio destinado a gravao de dados em papel, normalmente realizado por uma impressora; Informao: Agrupamento de dados que contenham algum significado; Informao Sensvel: Informao de carter privativo normalmente associada com o negcio de um setor, departamento ou empresa; Informao Sigilosa: Informao de acesso privativo e restrito destinada a pessoas autorizadas; Integridade da Informao: Qualidade associada a preciso da informao; Interface de Desenvolvimento: Aplicao utilizada por um desenvolvedor destinada a construo de uma nova aplicao; Internet: Interligao de computadores em rede distribudos mundialmente; Interpretadores: Aplicao destinada interpretao e execuo de cdigos fontes; Intranet: Interligao de computadores em uma rede privada; Login: Processo de identificao de um usurio em um sistema; Malware: Nome atribudo a qualquer aplicao que execute atividades maliciosas; Mquina Virtual: Aplicao destinada a executar um programa aplicativo ou um programa de sistema; Mensageiro Instantneo: Aplicao destinada ao envio e recebimento de mensagens instantneas; Mdia: Unidade destinada ao armazenamento de dados, sendo normalmente portvel. Exemplo: CD; Negcio: Conjunto de atividades que define a existncia de uma empresa; Pacote de dados (data packet): um pacote de dados uma unidade de informao formatada que trafega em uma rede de computadores;
6/59

Patches: Pacotes de atualizao de programas com o intuito de eliminao de erros ou falhas; Programa: Ferramenta computacional aplicada a uma atividade; Proxy: Aplicao intermediria que permite a conexo entre uma mquina na intranet Internet; Rdio Meio de acesso Rede: Tecnologia que utiliza ondas de rdio que permite a interconexo de computadores por meio de uma rede sem cabos; Rede: Meio que proporciona a interconexo entre os computadores; Rede cabeada: Rede que utiliza de cabeamento; Rede Externa: Rede externa a um stio; Rede Interna: Rede pertencente a um stio; Rede privada: O mesmo que intranet; Rede pblica: Rede de livre acesso; Rede sem fio: Rede que propaga-se por outros meios, dispensando o uso de cabos; Rede social: Interconexo de relacionamento entre vrias pessoas. Pode ser realizado por meio de uma aplicao; Router: Equipamento que encaminha pacotes de dados atravs das redes de computadores; Segurana da Informao: o conjunto de propriedades que proporcionam disponibilidade, integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e no repdio aplicados sobre os sistemas de informao; Servidor: Equipamento destinado a prover um determinado servio; SGSI: Sistema de Gesto da Segurana da Informao focado em anlise, operao, monitoramento, implementao, manuteno e melhoramento do gerenciamento da segurana de informao; Sistema: Um conjunto de elementos interconectados; Sistema Eletrnico: Um conjunto de equipamentos eletrnicos interconectados; Sistema Impresso: Um conjunto de arquivos impressos; Sistema Operacional: Programa destinado a controlar o computador e seus perifricos; Software: O mesmo que Programa; Software Aplicativo: Programa destinado a um objetivo fim. Exemplo: editor de textos; Software de Sistema: Programa intermedirio a um objetivo fim. Exemplo: Sistema Operacional; Spam: mensagens eletrnicas no solicitadas, geralmente de cunho comercial e enviadas para um grande nmero de pessoas. O mesmo que mensagem no autorizada; Spyware: Aplicao destinada a roubo de informaes; Trojan: Aplicao destinada a abertura de brechas de segurana; Upload: Transferncia de dados de um equipamento local para o computador externo; Usurio: Toda e qualquer pessoa que se utiliza de um determinado servio; Vrus de computador: aplicao que executa atividades maliciosas infectando o sistema.
7/59

VPN: Integrao de equipamentos a uma rede privada utilizando uma rede pblica; WEB: Rede pblica disponibilizada mundialmente.
1.3
VISO GERAL DOS CONTROLES E SEUS OBJETIVOS

A viso geral dos controles e seus objetivos so tabelados em trs colunas:
controle, objetivo e ABNT. A coluna controle representa os nomes dos captulos a serem abordados. O objetivo representa as metas do controle. ABNT representa a referencia dos controles na norma ABNT 17799:2005. Controle Acordos de Confidencialidade Objetivo No disseminao da informao com o dever de protegla. As informaes a serem protegidas devem atender as necessidades da instituio e as informaes devem ser analisadas criticamente. Estabelecer boas prticas na utilizao de senhas. ABN T 6.1.5
Contas e senhas Rede
11.3.1
Especificar quais usurios esto autorizados a utilizar um 11.4 determinado servio de rede a fim de prevenir acesso no autorizado nas redes. Proteger as trocas de informaes com enfoque na Internet. Proteger as mensagens eletrnicas trafegadas pela rede. 10.8.4
Acesso Internet Massagens Eletrnicas
Acesso Remoto
Especificar quais usurios esto autorizados a utilizar um 11.7.2 determinado acesso remoto e implementar procedimentos que satisfaam a necessidade do acesso remoto.
Instalao e Remoo de Delimitar regras de restrio e permisso de acesso para a 12.4.1 Software instalao de programas. Cpias de Segurana Garantir a recuperabilidade da informao aps um 10.5.1 incidente catastrfico ou falha na integridade da informao. Garantir o correto controle das informaes contidas em 9.2.6 mdias e equipamentos para evitar fuga de informao 9.2.7 sensvel dos domnios organizacionais.
10.7.2
Alienao, Remoo, Reutilizao e/ou Descarte de Mdias e Equipamentos
Tabela 1 Diagramao de seus Controles e Objetivos.
8/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 1.4 LEGISLAO

Cdigos e leis relacionados com as conformidades das polticas de segurana: a) Cdigo Penal (Decreto-Lei n.2.848/1940, com as alteraes da Lei N. 9.983/2000); b) Lei Federal n. 8.159, de 08 de janeiro de 1991 (Dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados); c) Decreto Federal n. 4.553, de 27 de dezembro de 2002 (Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado no mbito da Administrao Pblica Federal); d) Lei Federal n. 9.610, de 19 de fevereiro de 1998 (Dispe sobre o Direito Autoral); e) Lei Federal n. 9.279, de 14 de maio de 1996 (Dispe sobre Marcas e Patentes); f) Lei Federal n. 3.129, de 14 de outubro de 1982 (Regula a Concesso de Patentes aos autores de inveno ou descoberta industrial); g) Lei Federal n. 10.406, de 10 de janeiro de 2002 (Institui o Cdigo Civil); h) Decreto-Lei n. 2.848, de 7 de dezembro de 1940 (Institui o Cdigo Penal); i) Lei Federal n. 9.983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembro de 1940 -Cdigo Penal e d outras providencias); j) Decreto n. 3.505, de 13 de junho de 2000 (institui a Poltica de Segurana da Informao nos rgos e Entidades da Administrao Pblica Federal); k) Decreto n. 26.209, de 19 de abril de 2000 (Cria a Delegacia de Represso aos Crimes de Informtica - DRCI e d outras providncias); Observao: Na medida de suas competncias, outras legislaes podero ser aplicadas ao documento, de acordo com o caso concreto.
9/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 1.5 DISPOSIO DE ATRIBUIES

Contemplando a poltica de segurana da informao municipal, tem-se a necessidade de trs atribuies de funes: Gestor de Segurana da Informao, Gestor de Usurios e o Responsvel (o mesmo que Nomeado). O Gestor de Segurana da Informao, designado pela EMPRO, tem como atribuio a responsabilidade global pela identificao dos controles, desenvolvimento e implementaes necessrias para a segurana da informao. O Gestor de Usurios, designado pela EMPRO, tem como atribuio a responsabilidade global de gerenciar o acesso dos usurios e deve impedir o acesso no autorizado aos sistemas de informao. O Responsvel ou Nomeado tem como atribuio representar um determinado setor, autarquia ou empresa pblica nas tomadas de decises que so expressas na poltica de segurana da informao do municpio. Cada setor, quando achar necessrio, deve nomear o responsvel e comunicar ao Gestor da Segurana da Informao.
10/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 2 CONDUTA DE ACESSO REDE

O acesso rede permite aos usurios trafegar informaes de internet, correio eletrnico, sistemas disponibilizados pelo municpio e por terceiros. Uma rede definida como um conjunto de computadores interligados com o objetivo de permitir a transmisso das informaes. Quanto acessibilidade, podem ser pblicas ou privadas. As redes privadas possibilitam a transmisso restrita de informaes dentro do domnio de uma instituio pblica ou privada; esta rede privada denomina-se intranet. As redes pblicas permitem ao usurio a interconexo entre redes privadas. Quanto aos meios de transmisso, a informao pode ser enviada por conexes sem fio (Ex.: rdio e infravermelho) ou por conexes que utilizem cabeamento (Ex.: fibra tica, cabo coaxial e par tranado). No municpio de So Jos do Rio Preto, so utilizadas redes pblicas e privadas transmitindo as informaes tanto por redes cabeadas quanto por redes sem fio. Este captulo tem como objetivo a proteo e integridade da informao trafegada nestas redes estipulando um conjunto de diretrizes e recomendaes aos diferentes usurios do municpio. A boa utilizao destes servios de responsabilidade de cada usurio com seus respectivos privilgios. Lembre-se que estes servios esto disponibilizados para o uso estritamente profissional e de interesse do municpio.
2.1
Abrangncia
Esta norma abrange todos os usurios do municpio de So Jos do Rio Preto. Sendo
estes estatutrios, celetistas, estagirios e ou terceiros que utilizam servios de rede.
2.2
Acesso e Identificao do Usurio

Todo usurio do municpio tem seus identificadores providos pela EMPRO e seu
acesso Internet est restrito aos privilgios do usurio. Os privilgios so definidos pelo diretor presidente, responsvel e/ou secretrio de cada setor pblico envolvido.
2.3
Regras de Uso de Rede

O usurio responsvel direto pelo cumprimento das regras e pelas informaes
trafegadas nas redes privadas do municpio e redes pblicas oriundas da mquina pelo qual responsvel, em caso de no cumprimento o usurio estar passvel de punio. Estas regras
11/59

esto descrita abaixo: I. O usurio responsvel pela prpria e devida autenticao nos sistemas de redes disponibilizados pela EMPRO, no podendo fornecer e/ou compartilhar seu usurio, senha e/ou acesso rede com outros usurios; II. O usurio est proibido de utilizar contas de acesso s redes pertencentes a outros usurios; III. proibido ao usurio trafegar informaes sigilosas em redes pblicas. No caso de dvida sobre o sigilo destas informaes, contate e aguarde a aprovao por escrito do presidente, responsvel e ou diretor do setor competente. Caso seja estritamente necessrio o envio da informao para uma rede externa, contate o gestor de segurana da informao do municpio; IV. O usurio com acesso a rede no pode utilizar este acesso para envio de programas licenciados e/ou dados pertencentes a EMPRO, municpio e/ou quaisquer outros setores do municpio; V. O usurio somente poder trafegar informaes oriundas de redes pblicas desde que no fira toda e qualquer conformidade legal prevista em lei. Deve-se respeitar os direitos autorais, proprietrios, intelectuais e de licenciamento de todo e qualquer arquivo. No permitida a instalao de programas sem a prvia autorizao do diretor presidente, responsvel e/ou do secretrio do setor solicitante, e tambm sem a prvia autorizao do gestor de usurios do municpio e do gestor de segurana da informao; VI. O usurio est comprometido a utilizar as redes pblicas e ou privadas do municpio para uso exclusivo de atividades relacionadas ao setor no qual o usurio pertence; VII.Por ser um servio de concesso cedido pela EMPRO ao municpio, o usurio fica ciente sobre possvel auditoria interna relacionada aos acessos rede. Este processo deve conter autorizao do diretor presidente, responsvel e/ou do secretrio do setor cabvel, bem como a autorizao do gestor de usurios do municpio e do gestor de segurana da informao do municpio;
12/59

VIII. O usurio se compromete a respeitar toda a CONDUTA DE USO DE MENSAGENS ELETRNICAS; IX. O usurio se compromete a respeitar toda a CONDUTA DE USO DE ACESSO INTERNET; X. proibida a utilizao de proxies no autorizados que permitam o trfego de informaes a redes privadas externas; XI. proibido o acesso a redes que disponibilizem contedos obscenos, pornogrficos, erticos, racistas, nazistas e de qualquer outro contedo que viole a lei; XII.O usurio responsvel por informar a EMPRO, por meio de solicitao de servio todo e qualquer contedo inapropriado contendo informaes pornogrficas, erticas, racistas, nazistas, discriminatrias e de qualquer outro contedo que viole a lei; XIII. O usurio no deve utilizar o acesso rede, tanto a intranet quanto a Internet, para molestar, caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituies pblicas e/ou privadas. Este item tambm compreende todo e qualquer ato ilcito proibido por lei; XIV. O usurio no deve utilizar o acesso rede para disseminar informaes de contedos obscenos, pornogrficos, racistas e de qualquer carter discriminatrio; XV.O usurio no deve utilizar acesso rede para trfego de contedos que firam a legislao vigente, a moral e os bons costumes; XVI. O usurio deve garantir que as senhas de acesso rede no sejam enviadas a outras pessoas, pois a senha de uso pessoal, intransfervel e sigilosa; XVII. proibido ao usurio a divulgao parcial e/ou total de materiais que violem os direitos autorais e/ou intelectuais; XVIII. proibido ao usurio a transmisso proposital de arquivos que
contenham vrus, malware, spyware, fishing, trojan e qualquer outro arquivo
13/59

potencialmente danoso ou cdigo executvel; XIX. O usurio deve reportar toda e qualquer indisponibilidade aos endereos e contedos relativos a realizao de suas atividades. Esta solicitao deve ser realizada pelo Processo de Notificao para Bloqueio ou Liberao de Endereos e Contedos da Internet; XX. O usurio declara-se ciente de que o equipamento utilizado no municpio est devidamente identificado. Todas e quaisquer tentativas de alterao na identificao do equipamento por parte do usurio caracteriza uma infrao do usurio; XXI. O usurio somente pode acessar aplicaes pela rede que estejam de acordo com as atividades profissionais relacionadas a funo exercida e autorizadas pelo presidente, responsvel e/ou diretor do setor competente; XXII. O usurio somente pode realizar acesso interativo pela rede onde a permisso esteja autorizada. A autorizao depende das atividades profissionais relacionadas funo exercida e autorizadas pelo diretor presidente, responsvel e ou secretrio do setor competente; A EMPRO, o gestor de usurios do municpio e o gestor de segurana da informao no se responsabilizam por possveis perdas e/ou danos que possam ser causados pela utilizao do acesso Internet.
2.4
Regras Administrativas de Redes e de Servios de Rede

O administrador responsvel direto pelo cumprimento destas regras, sendo o
administrador (celetista, estatutrio e ou terceiro) gerenciado pela EMPRO. I. O administrador responsvel direto pela manuteno, integridade, segurana e disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do respectivo sistema deve informar o superior imediato do setor correspondente; II. O administrador proibido de alterar quaisquer informaes trafegadas na rede oriundas dos equipamentos dos usurios do municpio;
14/59

III. A cada 30 dias o administrador deve verificar a existncia de contas invlidas e informar por meio de um relatrio ao gestor de segurana da informao. A remoo de contas invlidas deve ser previamente aprovada pelo gestor de segurana da informao e enviada por uma solicitao de servio; IV. Os servidores de acesso Internet devem ser gerenciados para coibir, sempre que possvel, o trfego de informaes com contedos de entretenimento, pornogrficos, discriminatrios, racistas, obscenos, nazistas, vrus, programas (no autorizados) e quaisquer outros contedos que violem a lei, ou a propriedade intelectual, ou a propriedade autoral; V. O administrador pode analisar, visualizar e ou bloquear quaisquer informaes trafegadas pela rede independentemente de sua origem e contedo. Ou seja, o administrador tem o direito de analisar e visualizar as informaes trafegadas em rede mesmo que estas contenham informaes pessoais; VI. O administrador tem total liberdade de bloquear e ou liberar acesso rede e servios de rede por meio de mecanismos automticos e/ou manuais; VII.O administrador responsvel pela proteo da informao durante o trfego pela rede de domnio municipal. Ento, cabe ao administrador o gerenciamento de controles e procedimentos no acesso de conexes e servios de rede; VIII. O administrador responsvel pelo desenvolvimento de procedimentos seguros, no trfego de informaes entre redes privadas, que permitam um usurio devidamente autorizado a conectar-se em redes externas. Neste caso, o administrador deve prover uma rede privada virtual (VPN); IX. O administrador responsvel pela devida identificao dos equipamentos conectados a intranet pertencente ao municpio. Para tanto, o administrador pode-se utilizar de mscara de rede e endereos IP; X. O administrador responsvel pela segregao das redes. Cada domnio lgico segregado deve conter apenas os usurios que realizem atividades para um determinado setor. Tambm de responsabilidade do administrador a definio do permetro de segurana;
15/59

XI. O administrador responsvel pela utilizao de filtros de trfego utilizando tabelas de restries e/ou regras predefinidas que restrinjam o acesso dos usurios a servios de rede no autorizados; XII.O administrador responsvel pelo controle de roteamento de redes, com o objetivo de assegurar a integridade dos privilgios dos usurios nos acessos s redes.
2.5
Redes e Servios Disponveis no Municpio

Os servios e redes disponibilizados pelo municpio de So Jos do Rio Preto a
diferentes usurios at a presente data de publicao deste documento so: Rede e Servio de Rede Intranet Contas de Usurio DNS DHCP Identificao dos Equipamentos na rede por IP Compartilhamento de Arquivos Correio eletrnico Internet Impresso Acesso Remoto Antivrus Antispam Proxy Firewall HTTP FTP Mensageiro Instantneo Responsvel EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO
Observao: embora estes sejam as redes e servios de redes disponibilizados pelo municpio, o acesso do usurio a cada um destes servios e redes est restrito ao prprio privilgio de acesso do usurio definido individualmente ou em grupo.
2.6
Meios de Acesso Rede no Municpio

Os meios de acesso rede disponibilizados pelo municpio de So Jos do Rio Preto
16/59

a diferentes usurios at a presente data de publicao deste documento so: Meio Cabo (Ethernet) Cabo (Fibra ptica) Rdio (Sem Fio) Responsvel EMPRO EMPRO EMPRO
Observao: embora estes sejam os meios de acesso a redes disponibilizados pelo municpio, o acesso do usurio a cada um destes servios e redes est restrito ao prprio privilgio de acesso do usurio definido individualmente por um presidente, diretor e/ou responsvel.
2.7
Processo de Autorizao e/ou Remoo de Acesso Rede

A solicitao para a liberao ou negao de acesso redes requisitada somente
pelo diretor presidente, responsveis e/ou diretores do setor pblico solicitante no municpio. Esta solicitao deve ser realizada por intermdio de uma solicitao de servio EMPRO, contemplando os requisitos descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
II. Pessoa para contato; III. Nome do usurio que utilizar os servios de rede; IV. Informar: requisio de acesso ou remoo rede; V. Descrio detalhada; VI. Justificativa para a liberao ou remoo de acesso contendo tipo de acesso e privilgios esperados. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlise das solicitaes de servio. No caso de aprovao, o gestor de usurios do municpio deve liberar a solicitao de servio para execuo.
17/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 3 CONDUTA DE ACESSO INTERNET

A utilizao de servios de acesso Internet permite ao usurio navegar dentro de um conglomerado de redes distribudas pelo mundo. Os servios disponibilizados na WEB permitem ao usurio acessar aplicaes online, pginas de contedo dinmico e ou esttico, trafegar arquivos tanto por download quanto por upload. Estes servios podem estar relacionados a determinadas atividades tais como pginas de busca, webmails, relacionamentos, mensagens eletrnicas, blogs, flogs, notcias, redes sociais, repositrios de arquivos, editores de texto e planilhas eletrnicas. Por se tratar de uma rede pblica, a proteo e integridade da informao trafegada nestas redes so classificadas como alto risco. Logo, este tpico tem como objetivo estipular um conjunto de diretrizes e recomendaes aos diferentes usurios do municpio. A boa utilizao destes servios de responsabilidade de cada usurio com seus respectivos privilgios. Lembre-se que estes servios esto disponibilizados para o uso estritamente profissional e de interesse do municpio.
3.1
Abrangncia
Esta norma abrange todos os usurios do municpio de So Jos do Rio Preto, sendo
estes estatutrios, celetistas, estagirios e/ou terceiros que utilizam servios de acesso Internet.
3.2

acesso Internet est restrito aos privilgios do usurio. Os privilgios so definidos pelo diretor presidente, responsvel e/ou secretrio de cada setor pblico envolvido.
3.3
Regras de Uso de Internet

O usurio responsvel direto pelo cumprimento das regras e pelos servios de
Internet acessados, em caso de no cumprimento o usurio estar passvel de punio. Estas regras esto descritas abaixo: I. O usurio responsvel pela prpria e devida autenticao no sistema, no
18/59

podendo fornecer e/ou compartilhar seu usurio, senha e/ou acesso de Internet com outros usurios; II. O usurio est proibido de utilizar contas de acesso Internet pertencente a outros usurios; III. proibido ao usurio divulgar, publicar, compartilhar e/ou modificar informaes sigilosas em listas de discusso, bate-papo, pginas de relacionamento, blogs, webmails e quaisquer outros servios disponibilizados na Internet para divulgao deste contedo. No caso de dvida sobre o sigilo destas informaes, contate e aguarde a aprovao por escrito do diretor presidente, responsvel e/ou secretrio do setor competente; IV. O usurio com acesso Internet no pode utilizar servios de upload para envio de programas licenciados e/ou dados pertencentes a EMPRO, municpio e/ou quaisquer outros setores do municpio; V. O usurio somente poder realizar download de arquivos oriundos da Internet que no fira toda e qualquer conformidade legal. Deve-se respeitar os direitos autorais, proprietrios, intelectuais e de licenciamento de todo e qualquer arquivo. No permitida a instalao de programas sem a prvia autorizao do diretor presidente, responsvel e/ou do secretrio do setor solicitante, e tambm sem a prvia autorizao do gestor de usurios do municpio e do gestor de segurana da informao; VI. O usurio est comprometido a utilizar o acesso Internet para uso exclusivo de atividades relacionadas ao setor ao qual o usurio pertence; VII.Por ser um servio de concesso cedido pela EMPRO ao municpio, fica ciente o usurio sobre possvel auditoria interna relacionada aos acessos do usurio Internet. Este processo deve conter autorizao do presidente, responsvel e/ou do diretor do setor cabvel, bem como a autorizao do gestor de usurios do municpio e do gestor de segurana da informao do municpio; VIII. O usurio no deve utilizar programas de compartilhamento de arquivos tanto via WEB quanto instalados localmente ou de qualquer outra natureza, salvo os programas que contenham prvia autorizao do diretor presidente, responsvel
19/59

e/ou secretrio do setor competente, e tambm a aprovao do gestor de usurios do municpio e do gestor de segurana da informao do municpio; IX. proibido ao usurio todo e qualquer acesso a pginas de relacionamento, blogs, mensageiros instantneos, jogos, redes sociais ou qualquer outra pgina relacionada com contedos de entretenimento, salvo os endereos que contenham prvia autorizao do diretor presidente, responsvel e/ou secretrio do setor competente, e tambm a aprovao do gestor de usurios do municpio e do gestor de segurana da informao do municpio; X. proibida a utilizao de pginas e programas que permitam acesso no autorizado a pginas devidamente bloqueadas pelo administrador do sistema de internet ou de contedo no cabvel as atividades realizadas pelo usurio; XI. proibido o acesso de pginas que contenham contedos obscenos, pornogrficos, erticos, racistas, nazistas e de qualquer outro contedo que viole a lei; O usurio responsvel por informar a EMPRO, por meio de solicitao de servio, todo e qualquer contedo inapropriado contendo informaes pornogrficas, erticas, racistas, nazistas, discriminatrios e de qualquer outro contedo que viole a lei; O usurio no deve utilizar o acesso Internet para molestar, caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituies pblicas e/ou instituies privadas. Este item tambm compreende todo e qualquer ato ilcito proibido por lei; XII.O usurio no deve utilizar o acesso Internet para envio e recebimento de contedos obscenos, pornogrficos, racistas e de qualquer carter discriminatrio; XIII. O usurio no deve utilizar acesso Internet para envio, edio e armazenamento de contedos que ferem a legislao vigente, a moral e os bons costumes; XIV. O usurio deve garantir que as senhas de acesso Internet no sejam enviadas a outras pessoas, pois a senha de uso pessoal, intransfervel e sigilosa; XV. vedado ao usurio o acesso Internet utilizando-se de contas de outros usurios;
20/59

XVI. proibido ao usurio a divulgao parcial e/ou total de materiais que violem os direitos autorais; XVII. proibido ao usurio o envio proposital de arquivos que contenham vrus, malware, spyware, fishing, trojan e qualquer outro arquivo ou cdigo executvel; XVIII. O usurio deve reportar toda e qualquer indisponibilidade aos
endereos e contedos relativos a realizao de suas atividades. Esta solicitao deve ser realizada pelo processo de Processo de Notificao para Bloqueio ou Liberao de Endereos e Contedos a Internet. A EMPRO, o gestor de usurios do municpio e o gestor de segurana da informao no se responsabilizam por possveis perdas e/ou danos que possam ser causados pela utilizao do acesso Internet.
3.4
Regras Administrativas de Internet

O administrador responsvel direto pelo cumprimento destas regras, sendo estes
responsveis (celetistas, estatutrios e/ou terceiros) gerenciados pela EMPRO. I. O administrador responsvel direto pela manuteno, integridade, segurana e disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do respectivo sistema deve informar o superior imediato do setor correspondente; II. O administrador proibido de modificar e/ou remover todo e qualquer contedo de pginas e arquivos enviados ou acessados pelo usurio. Para auditoria deve-se encaminhar uma solicitao de servio a EMPRO para a execuo de cpia, leitura e/ou remoo destas informaes. Esta solicitao de servio deve ser aprovada pelo gestor de segurana da informao do municpio; III. A cada 30 dias o administrador deve verificar a existncia de contas e endereos eletrnicos invlidos e informar por meio de um relatrio ao gestor de segurana da informao. A remoo dos endereos eletrnicos e contas invlidas devem ser previamente aprovadas pelo gestor de segurana da informao e enviados por uma solicitao de servio;
21/59

IV. Os servidores de acesso Internet devem ser gerenciados para coibir sempre que possvel o envio e o acesso a pginas, programas e arquivos com contedos de entretenimento, pornogrficos, discriminatrios, racistas, obscenos, nazistas, vrus, programas (no autorizados) e quaisquer outros contedos que violem a lei e/ou a propriedade intelectual. A autorizao para a instalao e utilizao de programas de competncia dos diretores presidentes, responsveis e secretrios do setor envolvido juntamente com o gestor de segurana do municpio e/ou gestor de usurios do municpio; V. Independentemente das pginas acessadas por outros usurios terem contedos pblicos e/ou privados, o administrador tem a liberdade total para realizar tentativas de acesso a essas; VI. O administrador tem total liberdade de bloquear e/ou liberar acesso a endereos e contedos de Internet por meio de mecanismos automticos e/ou manuais nos casos de suspeita e/ou comprovao.
3.5
Processo de Autorizao ou Remoo de acesso Internet

A solicitao para a liberao ou negao de acesso Internet requisitada somente
pelos diretores presidentes, responsveis e/ou secretrios do setor pblico solicitante no municpio. Esta solicitao deve ser realizada por intermdio de uma solicitao de servio a EMPRO, contemplando os requisitos descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
II. Pessoa para contato; III. Nome do usurio que utilizar os servios de rede; IV. Informar: requisio de acesso ou remoo Internet; V. Descrio detalhada; VI. Justificativa para a liberao ou remoo de acesso Internet. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlise das solicitaes de servio. No caso de aprovao, o gestor de usurios do municpio
22/59

deve liberar a solicitao de servio para a execuo.
3.6 Processo de Notificao para Bloqueio ou Liberao de Endereos e Contedos da Internet

A solicitao para a liberao ou bloqueio de acessos a contedos e endereos de Internet pode ser realizada somente pelo diretor presidente, responsvel e/ou secretrio. Esta solicitao deve ser realizada por intermdio de uma solicitao de servio sendo este disponibilizado pela EMPRO, contemplando os requisitos descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
II. Pessoa para contato; III. Nome do usurio; IV. Informar: requisio de liberao ou bloqueio de endereos; V. Descrio detalhada; VI. Justificativa para a liberao ou bloqueio do endereo. Cabe ao administrador de acesso Internet a conferncia, aprovao e/ou reprovao do uso e/ou visualizao de endereos e/ou contedos. Porm o administrador do sistema de Internet pode entrar em contato com os diretores presidentes, responsveis e/ou secretrios do setor relacionado para sanar dvidas quanto ao contedo da solicitao de servio.
23/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 4 CONDUTA DE ACESSO REMOTO

A interconexo entre redes privadas a distncia permite ao usurio utilizar de redes e servios de redes disponibilizados por terceiros. O acesso a redes remotas disponibilizados por redes privadas externas permitem ao usurio acessar, utilizar e executar aplicaes e sistemas operacionais disponibilizados naquele ambiente, desde que tenham acesso autorizado para isto. Por se tratar de um acesso entre redes privadas, a segurana e integridade da informao trafegada dependem das configuraes da rede. Logo, este tpico tem como objetivo estipular um conjunto de diretrizes e recomendaes aos diferentes usurios do municpio. A boa utilizao destes servios de responsabilidade de cada usurio com seus respectivos privilgios. Lembre-se que estes servios esto disponibilizados para o uso estritamente profissional e de interesse do municpio.
4.1
Abrangncia
estes estatutrios, funcionrios, estagirios e/ou terceiros que utilizam servios de acesso remoto.
4.2

acesso remoto est restrito aos privilgios do usurio. Os privilgios so definidos pelo diretor responsvel e/ou pelo presidente de cada setor pblico envolvido.
4.3
Regras de Uso de Acesso Remoto

O usurio responsvel direto pelo cumprimento das regras e pelas informaes
trafegadas entre redes privadas. Em caso de no cumprimento o usurio estar passvel de punio. Estas regras esto descritas abaixo: I. O usurio responsvel pela prpria e devida autenticao nos sistemas de redes disponibilizadas pela EMPRO em conjunto com outras instituies privadas ou pblicas, no podendo fornecer e/ou compartilhar seu usurio, senha e/ou acesso
24/59

a rede com outros usurios; II. O usurio esta proibido de utilizar contas de acesso a redes pertencentes a outros usurios; III. proibido ao usurio trafegar informaes sigilosas e de propriedade do municpio em redes privadas externas, salvo o caso destas informaes sigilosas serem previamente autorizadas por escrito pelo presidente, diretor ou responsvel do setor competente e somado com a autorizao do gestor de segurana da informao do municpio. No caso de dvida sobre o sigilo destas informaes, contate e aguarde a aprovao por escrito do presidente, responsvel e/ou diretor do setor competente; IV. O usurio com acesso rede no pode utilizar este acesso para envio de programas licenciados e/ou dados pertencentes a EMPRO, municpio e/ou quaisquer outros setores do municpio; V. O usurio somente poder trafegar informaes oriundas de redes externas desde que no fira toda e qualquer conformidade legal. Deve-se respeitar os direitos autorais, proprietrios, intelectuais e de licenciamento de todo e qualquer arquivo. No permitido a instalao de programas sem a prvia autorizao do presidente, responsvel e/ou do diretor do setor responsvel, e tambm sem a prvia autorizao do gestor de usurios do municpio, do gestor de segurana da informao e do administrador da rede externa envolvida; VI. O usurio est comprometido a utilizar o acesso a redes remotas para uso exclusivo de atividades relacionadas ao setor no qual o usurio pertence; VII.Por ser um servio de concesso cedido pela EMPRO em conjunto com uma instituio privada ou pblica ao municpio, fica ciente ao usurio sobre possvel auditoria interna relacionada aos acessos de rede. Este processo deve conter autorizao do presidente, responsvel e/ou do diretor do setor cabvel, bem como a autorizao do gestor de usurios do municpio e do gestor de segurana da informao do municpio; VIII. proibida a utilizao de proxies no autorizados que permitam o trfego de informaes a redes privadas externas;
25/59

IX. O usurio no deve utilizar acesso rede para trfego de informaes que violem os acordos de trocas de informao; X. O usurio deve garantir que as senhas de acesso rede no sejam enviadas a outras pessoas, pois a senha de uso pessoal, intransfervel e sigilosa; XI. O usurio somente pode acessar aplicaes entre redes que estejam autorizados por meio de acordos de troca de informaes entre terceiros e municpio; XII.O usurio somente pode realizar acesso interativo entre redes onde a permisso esteja autorizada. A autorizao depende das atividades profissionais relacionadas a funo exercida e autorizadas pelo presidente, responsvel e/ou diretor do setor competente; XIII. O usurio deve utilizar somente o local e o ambiente fsico aprovado pelo administrador de acesso remoto; XIV. O usurio externo deve configurar de forma adequada o firewall e a proteo antivrus na rede externa a rede municipal; XV.O usurio externo deve garantir a manuteno do equipamento tanto de hardware quanto de software utilizados remotamente. Caso seja necessrio, ser solicitado a proviso de um seguro. Esta solicitao realizada pelo gestor de segurana da informao do municpio; XVI. O usurio no deve permitir que familiares e/ou visitantes acessem estes equipamentos; XVII. O usurio externo responsvel pela devida cpia de segurana das informaes presentes em equipamentos externos a rede do municpio. Caso seja requisitado, tambm devero ser implementados procedimentos de continuidade do negcio. Esta requisio realizada pelo gestor de segurana da informao do municpio; XVIII. O usurio fica ciente da obrigatoriedade de devoluo de equipamentos
de propriedade do municpio; XIX. O usurio externo, no que tange a utilizao de equipamentos de propriedade
26/59

do municpio, abre mo da propriedade intelectual sobre estas informaes; XX. O usurio externo deve utilizar somente softwares devidamente licenciados em seu equipamento; XXI. O usurio deve utilizar equipamentos de comunicao apropriados exigidos pelo administrador do acesso remoto; XXII. O usurio somente poder realizar as atividades em perodo estipulado pelo gestor de segurana da informao do municpio; XXIII. O usurio externo responsvel, quando no for fornecido pelo
municpio, pela aquisio de equipamentos e moblia apropriados para a realizao das atividades profissionais; A EMPRO, o gestor de usurios do municpio e o gestor de segurana da informao e instituies pblicas e/ou privadas no se responsabilizam por possveis perdas e/ou danos no acordo firmado entre as partes.
4.4
Regras Administrativas de Acesso Remoto

O administrador responsvel direto pelo cumprimento destas regras, sendo os
administradores (funcionrios, estatutrios e/ou terceiros) gerenciados pela EMPRO. I. O administrador responsvel direto pela manuteno, integridade, segurana e disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do respectivo sistema deve informar o superior imediato do setor correspondente; II. O administrador proibido de alterar quaisquer informaes trafegadas na rede oriundas dos equipamentos dos usurios do municpio; III. O administrador pode analisar, visualizar e/ou bloquear quaisquer informaes trafegadas pelo acesso remoto. Ou seja, o administrador tem o direito de analisar e visualizar as informaes trafegadas em rede mesmo que estas contenham informaes pessoais; IV. O administrador tem total liberdade de bloquear e/ou liberar acesso a redes e
27/59

servios de rede que no estejam acordados; V. O administrador responsvel pela proteo da informao durante o trfego pela rede. Ento, cabe ao administrador o gerenciamento de controles e procedimentos no acesso de conexes e servios de rede; VI. O administrador responsvel pelo desenvolvimento de procedimentos seguros, no trfego de informaes entre redes privadas que permitam um usurio devidamente autorizado a conectar-se em redes externas. Neste caso, o administrador deve prover uma rede privada virtual (VPN); VII.O administrador responsvel pelo gerenciamento de acessos fsicos e lgicos em determinadas portas destinadas para diagnstico e configurao; VIII. A troca de informaes entre redes privadas s poder ser iniciada aps a identificao do equipamento e a autenticao do usurio; IX. O administrador deve aprovar ou reprovar a segurana e o ambiente fsico utilizada no local do acesso remoto; X. O administrador deve especificar, aprovar ou reprovar o meio de acesso entre as redes envolvidas, sendo estas cabeadas ou sem fios; XI. O administrador deve configurar de forma adequada o firewall e a proteo antivrus na rede do municpio; XII.O administrador deve remover os direitos de acesso remoto de usurios externos ao trmino do trabalho remoto.
4.5 Processo de Autorizao ou Remoo de Acesso a Redes Remotas

A solicitao para a liberao ou negao de acesso a redes requisitada somente pelos presidentes, responsveis e/ou diretores do setor pblico solicitantes no municpio. Esta requisio deve ser realizada por intermdio de uma solicitao de servio a EMPRO, contemplando os requisitos descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
28/59

II. Pessoa para contato; III. Nome do usurio que utilizar os servios de rede; IV. Informar: requisio de acesso ou remoo rede remota; V. Descrio detalhada; VI. Justificativa para a liberao ou remoo de acesso remoto. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlise das solicitaes de servio. No caso de aprovao, o gestor de usurios do municpio deve liberar a solicitao de servio para a execuo.
29/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 5 CONDUTA DE USO DE MENSAGENS ELETRNICAS

A utilizao de servios no domnio das mensagens eletrnicas tais como correio eletrnico, mensagens instantneas e voz sobre IP tm como principal papel a integrao e a comunicao de todos os diversos setores do municpio. A utilizao destes servios tem carter de concesso cedido pelo gestor de usurios do municpio em conjunto com a EMPRO e requerida por meio de uma solicitao de servio enviada por um diretor presidente e/ou diretor e/ou responsvel por um setor, neste caso anteriormente indicado, de um setor do municpio. Este tpico tem como objetivo estipular um conjunto de diretrizes e recomendaes aos diferentes usurios do municpio. A boa utilizao destes servios de responsabilidade de cada usurio com seus respectivos privilgios. Lembre-se que estes servios esto disponibilizados para o uso estritamente profissional e de interesse do municpio.
5.1
Abrangncia
estes estatutrios, celetistas, estagirios e/ou terceiros que utilizam servios de mensagens eletrnicas.
5.2

Todo usurio do municpio tem um identificador nico provido pela EMPRO e seu
acesso a estes servios est restrito aos privilgios do usurio a cada sistema ou programa instalado ou acessado via WEB. Os privilgios so definidos pelo diretor presidente e/ou responsvel ou ainda secretrios de cada setor pblico envolvido.
5.3
Regras de Uso de Mensagens Eletrnicas

O usurio responsvel direto pelo cumprimento das regras e pelo contedo das
mensagens enviadas e em caso de no cumprimento o usurio estar passvel de punio. Estas regras esto descritas abaixo: I. O usurio no deve utilizar os sistemas de mensagens eletrnicas para propagao ou gerao de spam, correntes, propagandas, pirmides e boatos.
30/59

Somente devem ser enviadas as mensagens correlatas ao interesse profissional do setor que representa e do municpio; II. O usurio deve configurar o software de correio eletrnico e de mensagens instantneas presentes na mquina, pelo qual responsvel, para enviar mensagens. Para prevenir perda de informaes por falhas de envio o usurio deve configurar programas de correio eletrnico e de mensagens instantneas para receber o retorno das mensagens que no obtiveram sucesso no envio; III. O usurio no deve utilizar os sistemas de mensagens eletrnicas para molestar, caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituies pblicas e instituies privadas. Este item tambm compreende todo e qualquer ato ilcito proibido por lei; IV. O usurio no deve utilizar os sistemas de mensagens eletrnicas para envio e/ou armazenamento de contedos obscenos, pornogrficos, racistas e de qualquer carter discriminatrio. Adicionalmente no se deve editar ou armazenar mensagens cujo contedo fere a legislao vigente, a moral e os bons costumes; V. O usurio no deve alimentar os sistemas de mensagens eletrnicas com mensagens de discusso ou polmica que caracterizem flame wars. O flame war caracterizado como o envio de mensagens hostis e de carter ofensivo dentro do contexto do assunto; VI. O usurio responsvel pela cpia de segurana das mensagens eletrnicas armazenadas na estao de trabalho da qual se utiliza; VII.Cabe ao usurio o bom gerenciamento do correio eletrnico a fim de respeitar os limites de armazenamento impostos pela EMPRO; VIII. O usurio que utiliza sistemas de correio eletrnico deve utilizar-se de assinatura digital fornecida pela EMPRO; IX. O usurio deve garantir que as senhas de acesso a sistemas de envio e recebimento de mensagens eletrnicas no sejam enviadas a outras pessoas, pois a senha de uso pessoal, intransfervel e sigilosa; X. vedado ao usurio o envio de mensagens eletrnicas no autorizadas que
31/59

contenham informaes sigilosas do municpio e/ou do setor envolvido. As autorizaes devem ser redigidas pelos diretores presidentes, secretrios e/ou responsveis de cada setor envolvido; XI. vedado ao usurio o acesso no autorizado as mensagens do correio eletrnico de outros usurios. As autorizaes devem ser redigidas, impressas e assinadas pelo proprietrio da conta do correio eletrnico; XII. proibido ao usurio a divulgao parcial e/ou total de materiais que violem os direitos autorais; XIII. proibido ao usurio o envio proposital de arquivos que contenham vrus, malware, spyware, fishing, trojan e qualquer outro arquivo ou cdigo executvel malicioso (malware). Os arquivos de cdigo executvel so normalmente scripts e macros; XIV. proibido ao usurio destinar o uso de contas pessoais nos programas de gerenciamento de mensagens eletrnicas instaladas na estao de trabalho; A EMPRO, o gestor de usurios do municpio e o gestor de segurana da informao no se responsabilizam por possveis perdas e/ou danos que possam ser causados pela utilizao destes servios.
5.4
Regras Administrativas de Mensagens Eletrnicas

O administrador responsvel direto pelo cumprimento destas regras, Sendo estes
responsveis (celetistas, estatutrios, estagirios e/ou terceiros) gerenciados pela EMPRO. I. Os respectivos administradores de correio eletrnico, mensagens instantneas e mensagens de voz sobre IP so responsveis diretos pela manuteno, integridade, segurana e disponibilidade destes sistemas. Em caso de eventuais problemas o administrador do respectivo sistema deve informar o superior imediato do setor correspondente; II. O administrador no pode acessar, ler, copiar, modificar e/ou remover toda e quaisquer mensagens eletrnicas enviadas por um usurio. Salvo o caso de recebimento de uma solicitao de servio para a execuo de cpia, leitura e/ou
32/59

remoo destas informaes. Esta solicitao de servio deve ser enviada a EMPRO e aprovada pelo gestor de segurana da informao do municpio; III. A cada 30 dias os administradores devem verificar a existncia de contas e endereos eletrnicos invlidos e informar por meio de um relatrio ao gestor de segurana da informao. A remoo dos endereos eletrnicos e/ou contas invlidas devem ser previamente aprovados pelo gestor de segurana da informao e enviados por uma solicitao de servio. A obrigatoriedade de informar os administradores sobre a admisso, demisso e frias de funcionrios de responsabilidade do setor de recursos humanos do municpio, ou pelo setor/departamento equivalente nas empresas pblicas, autarquias ou fundaes municipais que utilizam este servio de mensagens eletrnicas; IV. Os servidores devem ser gerenciados para coibir sempre que possvel o envio e o recebimento de spam, mensagens pornogrficas, mensagens de carter discriminatrio, programas, cdigos executveis e envio de contedo que violem a propriedade intelectual; V. Os respectivos administradores dos diferentes sistemas de mensagens eletrnicas so responsveis diretos pela segurana no acesso dos usurios em ambiente de redes pblicas. O administrador deve-se utilizar de mecanismos tcnicos para garantir o sigilo da mensagem e mais nveis de segurana na autenticao do usurio.
5.5
Processo de Autorizao ou Remoo

A solicitao para a instalao ou remoo de programas e liberao ou negao de
acesso a sistemas de mensagens eletrnicas requisitada somente pelos diretores presidentes, responsveis e/ou secretrios do setor pblico solicitante no municpio. Esta requisio deve ser realizada por intermdio de uma solicitao de servio a EMPRO, contemplando os requisitos descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
II. Pessoa para contato; III. Nome do usurio que utilizar os servios de mensagens eletrnicas;
33/59

IV. Informar: requisio de acesso ou remoo aos servios de mensagens eletrnicas; V. Descrio detalhada; VI. Justificativa para a liberao ou remoo de acesso. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlise das solicitaes de servio. No caso de aprovao o gestor de usurios do municpio deve liberar a solicitao de servio para a execuo.
34/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 6 CONDUTA DE UTILIZAO DE CONTAS E SENHAS

As senhas so um meio comum de verificar a identidade de um usurio antes que acessos sejam concedidos a um sistema de informao ou servio de acordo com a autorizao do usurio. As senhas so utilizadas pela grande maioria dos sistemas de autenticao e so consideradas necessrias como meio de autenticao. Porm, elas so consideradas perigosas, pois dependem dos usurios, que podem, por exemplo, escolher senhas bvias e fceis de serem descobertas, ou ainda compartilh-las com seus amigos. Assim, a cooperao de usurios autorizados essencial para uma efetiva segurana, a fim de prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informao e dos recursos de processamento da informao. O objetivo deste tpico estipular um conjunto de diretrizes e recomendaes aos diferentes usurios do municpio. A boa utilizao destes servios de responsabilidade de cada usurio com seus respectivos privilgios.
6.1
Abrangncia
estes estatutrios, funcionrios, estagirios ou terceiros que utilizam os recursos computacionais que requerem autenticao por senhas.
6.2

Todo o usurio do municpio possui para cada recurso computacional (estaes de
trabalho, sistemas, etc.) um identificador nico provido pela EMPRO, sendo que para cada identificador associado uma senha que permite o acesso ao recurso com seus devidos privilgios. Os privilgios so definidos pelo diretor e/ou presidente de cada setor pblico envolvido.
6.3
Regras de Contas e Senhas para Usurios

O usurio responsvel direto pelo cumprimento das regras e pelos recursos
acessados com seus usurios e senhas, estando passvel de punio em caso de no cumprimento. Estas regras esto descritas abaixo: I. O usurio deve, assim que receber as informaes da conta com a senha inicial
35/59

temporria, providenciar a sua alterao para uma senha que seja de seu conhecimento exclusivo; II. O usurio no deve armazenar as senhas anotadas em papel ou em arquivos, seja no computador ou em dispositivos mveis, de forma desprotegida ou seja, sem utilizar um meio de proteo, como, por exemplo, criptografia; III. As senhas de acesso tem carter pessoal, e intransfervel, cabendo ao seu titular total responsabilidade quanto ao seu sigilo; IV. A prtica de compartilhamento de contas e senhas de acesso proibida e o titular que fornecer suas contas e senhas a outrem responder pelas infraes por este cometidas, estando passvel das penalidades previstas; V. O usurio est proibido de utilizar contas e senhas de acesso pertencentes a outros usurios; VI. Caso o usurio desconfie que sua senha no mais segura, ou de seu domnio exclusivo, dever solicitar imediatamente a alterao desta; VII.As senhas para usurios finais devero conter no mnimo 6 (seis) caracteres, sendo recomendvel o uso de letras e nmeros. Sugere-se a utilizao de letras maisculas, minsculas e caracteres especiais ($, %, &,...); VIII. Dever ser evitada a composio de senhas com sequncias numricas (123...) e/ou alfabticas (abc...), alm de senhas de fcil deduo (nome do usurio, data de nascimento, nome de entes queridos...); IX. A reinicializao das senhas das contas s poder ser solicitada atravs de pedido formal do seu detentor, rea responsvel pela administrao das contas; X. Em casos de necessidade extrema de reinicializar uma senha em sistemas crticos ser solicitada ao usurio a confirmao de algumas informaes de carter pessoal, a fim de confirmar a identificao do solicitante; XI. O usurio no deve incluir suas senhas em nenhum processo automtico de autenticao, como por exemplo, em uma macro ou funes-chave; XII.O usurio no deve utilizar as mesmas senhas com finalidades pessoais e
36/59

profissionais; XIII. No ser permitido aos usurios finais possurem contas com perfil de administrador local das estaes, salvo solicitao expressa do diretor presidente, responsvel ou secretrio do setor.
6.4
Regras Administrativas de Contas e Senhas

Os usurios que possuem contas com privilgios de administrador so responsveis
pelo cumprimento destas regras, sendo estes responsveis (funcionrios ou terceiros) gerenciados pela EMPRO. I. O usurio administrador assim que receber as informaes da sua conta com sua respectiva senha inicial temporria dever imediatamente providenciar a sua alterao para uma senha que seja de seu conhecimento exclusivo; II. As senhas para os usurios com privilgios de administrador so pessoais e intransferveis, devendo estas permanecer em absoluto sigilo, sendo o proprietrio da senha responsvel pela sua utilizao; III. proibida a utilizao de contas e senhas com privilgios de administrador pertencentes a outros usurios; IV. No ser permitida a composio de senhas com sequncias numricas (123...) e/ou alfabticas (abc...), alm de senhas de fcil deduo (nome do usurio, data de nascimento, nome de entes queridos...); V. As senhas para usurios com privilgios de administrador devero
obrigatoriamente conter no mnimo 8 (oito) caracteres, sendo obrigatrio o uso de letras maisculas, minsculas e caracteres numricos e especiais ($, %, &,...). Para aqueles ambientes que no suportarem o mnimo de oito caracteres, devero ser utilizados o limite mximo que o ambiente permitir; VI. Os sistemas e aplicaes devero prover algum mecanismo ou instruo que garanta que s sejam aceitas senhas com a formao acima citada; VII. Os sistemas e aplicaes devero prover algum mecanismo ou instruo para bloquear as contas dos usurios aps 3 (trs) tentativas de acesso ( login) sem
37/59

sucesso; VIII. As contas com privilgios de administrador no podero conter em sua formao nomes que possam identific-las como sendo uma conta de administrador (Exemplo: administrador, adm, admin, etc); IX. Devero ser criadas, nos servidores, uma ou mais contas, sem nenhum privilgio, com a formao que possa identific-la como sendo uma conta de administrador. Essas contas devero ser constantemente submetidas auditoria, com o propsito de se verificar as tentativas de utilizao das mesmas.
6.5
Processo Para Criao ou Remoo de Contas de Usurios

As solicitaes para criao de contas de usurios para acesso rede ou sistemas
devero ser feitas pelos diretores presidentes, responsveis e/ou diretores do setor pblico solicitante. Estas solicitaes devero ser realizadas atravs de uma solicitao de servio EMPRO, contemplando os itens descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
II. Pessoa para contato; III. Nome do usurio; IV. Informar: requisio de criao ou remoo de conta de usurio; V. Descrio detalhada; VI. Justificativa para a criao ou remoo de conta de usurio. Nos casos de remanejamento de usurios, o presidente e/ou diretor do setor pblico em que o usurio est ingressando deve realizar uma solicitao de servio EMPRO contendo os mesmos itens acima, a fim de manter atualizados os dados cadastrais do usurio e, principalmente, a lista de privilgios do mesmo. Nos casos de desligamento do usurio, o presidente e/ou diretor do setor pblico deve solicitar o bloqueio das contas do usurio atravs de solicitao de servio EMPRO. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e
38/59

anlise das solicitaes de servio. No caso de aprovao o gestor de usurios do municpio deve liberar a solicitao de servio para a execuo.
39/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 7 CONDUTA DE INSTALAO E REMOO DE SOFTWARES

Todo e qualquer programa (software) so ferramentas e/ou instrumentos que auxiliam civis, empresas, governos, instituies de pesquisa, instituies de ensino, entre outros a realizar suas respectivas atividades. Os softwares podem ser executados em desktops, estaes de trabalho, servidores, mainframes, roteadores, celulares, e em qualquer outro dispositivo computacional. Quanto aos tipos de programas eles podem ser: software de sistema e software de aplicativo. Os softwares de sistema so responsveis pela integrao entre mquina, perifricos e software de aplicativo. Os softwares de aplicativo so responsveis pela interao entre o usurio e suas atividades. Alguns exemplos de software so: sistemas operacionais, planilhas eletrnicas, editores de texto, editores de imagens, visualizadores de arquivos, mensageiros instantneos, correio eletrnico, dentre outros. O acesso de um aplicativo pode ser realizado localmente (quando acessados fisicamente na mquina utilizada) e/ou remotamente (quando os aplicativos so providos por outros equipamentos diferentes da mquina utilizada fisicamente). Este tpico tem como objetivo estipular um conjunto de diretrizes e recomendaes aos diferentes usurios sobre os procedimentos de instalao e/ou remoo de programas nos equipamentos do municpio.
7.1
Abrangncia
Esta norma abrange todos os usurios do municpio de So Jos do Rio Preto. Sendo
estes estatutrios, celetistas, estagirios e/ou terceiros que necessitam instalar e/ou remover programas.
7.2

O usurio do municpio devidamente identificado na utilizao de programas
fornecidos e/ou mantidos pela EMPRO que requeiram algum tipo de identificao. Os privilgios de acesso do usurio aos programas so definidos pelo diretor presidente, responsvel e/ou secretrio de cada setor pblico envolvido.
7.3
Regras de Instalao e Remoo de Programas

O usurio responsvel direto pelo cumprimento das regras e pela instalao e
40/59

remoo de todo e qualquer programa no previamente autorizado pela EMPRO, pelo gestor de usurios do municpio, pelo diretor presidente, pelos secretrios e/ou responsveis do setor competente. Em caso de no comprimento o usurio estar passvel de punio. Estas regras esto descritas abaixo: I. O usurio proibido de instalar todo e qualquer programa no autorizado no computador e qualquer outro dispositivo computacional pertencente ao municpio, salvo as instalaes de programas que contenham prvia autorizao do diretor e/ou presidente do setor responsvel, e tambm com a aprovao do gestor de usurios do municpio e do gestor de segurana da informao do municpio. Este item tambm aplicado a programas com contedos de atualizao conhecidos como patches; II. Ao usurio permitido instalar todo e qualquer programa previamente autorizado pela EMPRO. A relao de programas previamente autorizados so disponibilizados na pgina da EMPRO; III. O usurio proibido de instalar e/ou remover todo e qualquer programa voltado para desenvolvimento de aplicaes, tais como compiladores, interpretadores, mquinas virtuais, interfaces de desenvolvimento(IDEs), banco de dados, cdigos-fontes e qualquer outra ferramenta voltada ao desenvolvimento de software, salvo os usurios que necessitem destes programas para realizar estas atividades. Estes usurios devem requerer prvia autorizao do diretor e/ou presidente do setor responsvel, e tambm a aprovao do gestor de usurios do municpio e do gestor de segurana da informao do municpio; IV. O usurio proibido de remover toda e qualquer verso de software obsoleto, mesmo em casos onde exista uma verso atualizada da aplicao utilizada; V. Caso o usurio necessite remover qualquer software instalado, entre em contato com seus superiores para que estes entrem em contato com o gestor de usurios do municpio e a EMPRO; VI. O usurio fica ciente de possvel auditoria nos equipamentos de propriedade do municpio.
41/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 7.4 Regras Administrativas e Tcnicas de Instalao e Remoo de Programas
Os administradores e tcnicos so responsveis diretos pelo cumprimento destas regras, sendo estes responsveis (funcionrios, estatutrios e/ou terceiros) gerenciados pela EMPRO. I. O administrador responsvel direto pela atualizao dos programas nos equipamentos. Antes de realizar toda e qualquer atualizao de software, o administrador deve enviar uma solicitao ao seu superior descrevendo o nome do programa, nmero da verso, descrio, justificativa, as notas da verso, fabricante, pgina do fabricante e do produto; II. O administrador no deve liberar softwares em desenvolvimento, testes, previews, betas e candidatos a liberao para instalao em computadores do municpio. Somente devem ser utilizados programas homologados e liberados para utilizao em produo; III. O administrador proibido de instalar todo e qualquer programa voltado para desenvolvimento de aplicaes, tais como compiladores, interpretadores, mquinas virtuais, interfaces de desenvolvimento (IDEs), banco de dados, cdigos-fontes e qualquer outra ferramenta voltada ao desenvolvimento de software, salvo os usurios que necessitem destes programas para realizar estas atividades. Estes usurios devem requerer prvia autorizao do diretor e/ou presidente do setor responsvel, e tambm com a aprovao do gestor de usurios do municpio e do gestor de segurana da informao do municpio; IV. O administrador responsvel pela delegao e/ou realizao de testes nos softwares. Os testes devem conter anlises de usabilidade, amigabilidade, segurana e efeitos no sistema. Estes testes devem ser transformados em um relatrio e entregues ao diretor do setor de tecnologia. O ambiente de teste deve ser isolado dos ambientes de produo utilizados; V. O administrador deve especificar, por escrito, o processo de downgrade de um software autorizado para que possibilite o retorno do sistema no caso de aparecimento de erros. Sempre que for necessrio e possvel, o administrador deve prover ferramentas de apoio tais como mdias e softwares para realizar o
42/59

downgrade; VI. O administrador deve prover um repositrio da ltima verso anterior de softwares autorizados, desde que no fira as respectivas licenas e conformidades legais; VII.O administrador deve utilizar ferramentas de controle de verso para gerenciar documentos de instalao, processos, procedimentos, requisitos, configuraes, software e quaisquer outros materiais que sejam necessrios para instalao, remoo, atualizao e/ou downgrade de uma aplicao; VIII. O administrador responsvel pela publicao de uma lista com programas previamente autorizados para instalao. A licena destes programas deve ser do tipo livre, gratuita e/ou pblica. Deve-se respeitar todas as conformidades legais e de propriedade de licenciamento destes programas; IX. O administrador responsvel por manter, quando adquirido e no prazo de validade de suporte do programa, uma lista com nomes de fornecedores e meios de contato para acionar a manuteno e a resoluo de erros; X. O administrador deve requisitar por escrito toda e qualquer autorizao de seus superiores para liberar os privilgios de acesso necessrios a terceiros, tanto fsico quanto lgico. Estes acessos devem ser monitorados pelo administrador.
7.5 Processo de Requisio de Instalao e ou Remoo de Programas

A solicitao para a instalao, remoo e/ou atualizaes de programas requisitada somente pelos presidentes, responsveis e/ou diretores do setor pblico solicitante no municpio. Esta solicitao deve ser realizada por intermdio de uma solicitao de servio a EMPRO, contemplando os requisitos descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
II. Pessoa para contato; III. Nome do usurio;
43/59

IV. Informar: requisio de instalao ou remoo de software; V. Descrio detalhada; VI. Justificativa para instalao ou remoo de software. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlise das solicitaes de servio. No caso de aprovao, o gestor de usurios do municpio deve liberar a solicitao de servio para a execuo pela EMPRO.
44/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 8 CONDUTA DE CPIAS DE SEGURANA

Com a finalidade de manter a integridade e disponibilidade da informao, devem ser realizadas cpias de segurana de base de dados, arquivos textos, planilhas eletrnicas e de quaisquer outros arquivos e pastas que contenham informaes sensveis. O objetivo das cpias de segurana garantir a recuperao sob demanda da informao quando necessria. Programas e sistemas operacionais tambm devem ter cpias de segurana, pois estes so responsveis por permitir o processamento da informao. Alguns dos agentes que podem acarretar perdas de informao so desastres naturais, acidentes, falhas de equipamentos e aes intencionais. Por isso, as cpias de segurana tambm devem ser efetuadas com periodicidade, bem como o teste de integridade das informaes contidas e o armazenamento das cpias deve ser realizado em locais distintos do local principal. No caso de perda de informao as cpias de segurana ajudaro a restaurao do contedo perdido permitindo a continuao do negcio. No caso de sistemas crticos devem ser realizadas cpias de segurana que abranjam todos os sistemas de informao, aplicaes e dados. O objetivo deste tpico estipular um conjunto de diretrizes e recomendaes aos diferentes usurios do municpio. A boa utilizao destes servios de responsabilidade de cada usurio com seus respectivos privilgios.
8.1
Abrangncia
estes estatutrios, funcionrios, estagirios ou terceiros que utilizam o parque de tecnologia da informao do municpio.
8.2 Requisio de Gerao, Recuperao e ou Armazenamento de cpia de Segurana

Toda e qualquer cpia de segurana deve ser armazenada, gerada ou recuperada pela EMPRO. Para realizar a requisio necessria a autorizao prvia por solicitao de servio (sistema eletrnico disponibilizado pela EMPRO) do diretor e/ou presidente do setor envolvido. Esta deve contemplar os itens descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
45/59

II. Pessoa para contato; III. Nome do usurio; IV. Informar: gerao/armazenamento ou recuperao; V. Descrio detalhada; VI. Justificativa para a gerao/armazenamento ou recuperao das cpias de segurana, bem como o intervalo de armazenamento, extenso, a frequncia e a criticidade deste processo.
8.3
Regras do Usurio
O usurio responsvel direto pelo cumprimento das regras referentes a cpias de
segurana, estando passvel de punio em caso de no cumprimento. Esta regra est descrita abaixo: I. O usurio deve sempre comunicar e aguardar autorizao do diretor e/ou presidente a necessidade da gerao/armazenamento ou recuperao de uma cpia de segurana bem como seus parmetros a serem aplicados; II. O usurio deve definir a abrangncia dos arquivos, pastas, programas e sistemas operacionais a serem copiados. A necessidade de cpias de segurana de programas e sistemas operacionais est sujeita a recusa da EMPRO caso este no cumpra os termos legais e de licenciamento do produto; III. O usurio deve definir qual a extenso, a frequncia e a criticidade da gerao das cpias de segurana. Entenda-se como extenso o armazenamento completo ou diferencial da informao contidas nas cpias de segurana. A extenso e a frequncia das cpias de segurana podem ser discutidas e alteradas pela EMPRO; IV. O usurio deve respeitar os requisitos de negcio do setor, autarquia ou empresa pblica a qual pertence; V. O usurio pode requerer a encriptao dos dados para garantir, caso necessrio, a confidencialidade da informao. Neste caso, a senha de recuperao, bem como
46/59

a possibilidade de recuperao da informao atrelada a esta cpia de segurana, de total responsabilidade do usurio; VI. O usurio deve determinar qual o tempo de validade da cpia de segurana da informao. A validade da cpia est sujeita a alterao e/ou negociao pela EMPRO.
8.4
Regras Administrativas
pelo cumprimento destas regras, sendo estes responsveis (funcionrios ou terceiros) gerenciados pela EMPRO. I. O usurio administrador deve realizar as cpias de segurana sempre no perodo solicitado pelo usurio, conforme descrito na solicitao de servio; II. O usurio administrador deve realizar testes peridicos sobre as cpias de segurana para verificar a integridade das mesmas. O perodo em que devem ser realizados os testes semestral, com possibilidade de reduo ou ampliao deste intervalo e devem estar de acordo com requisitos de negcio do usurio requerente; III. O usurio administrador responsvel pela integridade, completude e exatido das cpias de segurana efetuadas; IV. O usurio administrador deve armazenar as cpias de segurana em locais remotos ao local principal; V. O usurio administrador deve garantir que o nvel de proteo esteja em conformidade fsica e ambiental com as informaes contidas nas cpias de segurana; VI. O usurio administrador responsvel pela elaborao, implantao e documentao do processo de gerao/armazenamento e restaurao de cpias de segurana em conformidade com as necessidades do usurio e dos requisitos de negcio. Sempre que possvel e aplicvel o usurio administrativo deve automatizar estes processos;
47/59

VII. O usurio administrador responsvel por testes peridicos dos processos de gerao/armazenamento e restaurao de cpias de segurana. A periodicidade destes testes deve ser definida em conformidade com a frequncia de falhas e a criticidade dos requisitos de negcio envolvidos; VIII. O usurio administrador responsvel pela restaurao em at 7 dias teis das cpias de segurana quando requeridas. Este prazo somente ser aplicado desde que os equipamentos utilizados pelos usurios estejam plenamente funcionais para a restaurao das cpias de segurana; IX. O usurio administrador responsvel pelo descarte das cpias de segurana quando o prazo de validade definido se esgotar; X. O usurio administrador deve disponibilizar, quando solicitado, a encriptao dos dados para garantir, caso necessrio, a confidencialidade da informao. Neste caso, a senha de recuperao, bem como a possibilidade de recuperao da informao atrelada a esta cpia de segurana, de total responsabilidade do usurio requerente.
48/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 9 CONDUTA DE ALIENAO, REMOO, REUTILIZAO E/OU DESCARTE DE MDIAS E EQUIPAMENTOS
Quando um equipamento e/ou mdia tornam-se obsoletos, seja por danos materiais, depreciao da tecnologia ou da informao, torna-se necessrio a alienao, remoo, reutilizao ou descarte das unidades de mdia e equipamentos. Porm, dados e informaes contidos podem ser sigilosos e restritos ao municpio. Um exemplo onde poderia ocorrer este problema no envio de equipamentos da prefeitura para terceiros, seja para doao ou manuteno, que caso no tivessem os devidos cuidados poderiam revelar informaes sensveis, tais como informaes restritas e privadas de uma secretaria, empresa e rgo pblico. Isto tambm se aplica no descarte inadequado de mdias, sendo elas impressas, magnticas ou de qualquer outra natureza, pois tornaria acessvel a unidade e seu contedo a agentes externos. Em ambos os casos necessrio a eliminao segura desta informao sensvel por meio de sua destruio ou eliminao completa dos dados contidos na unidade de armazenamento, a fim de torn-las irrecuperveis (caso exista a necessidade de cpia de segurana, ver conduta de cpias de segurana). O objetivo deste tpico estipular um conjunto de diretrizes e recomendaes aos diferentes usurios do municpio. A boa utilizao destes servios de responsabilidade de cada usurio com seus respectivos privilgios.
9.1
Abrangncia
estes estatutrios, funcionrios, estagirios e/ou terceiros que utilizam o parque de tecnologia da informao do municpio.
9.2
Remoo de propriedade
Toda e qualquer remoo de equipamentos, informaes ou mdias requerem
autorizao prvia por solicitao de servio (sistema eletrnico disponibilizado pela EMPRO) do diretor e/ou presidente do setor envolvido. Caso a remoo da mquina seja realizada por terceiros extra EMPRO, no campo de detalhe da solicitao de servio deve-se conter informaes municipais (So Jos do Rio Preto), estaduais (So Paulo) e ou federais (Brasil) que identifiquem em plenitude os terceiros envolvidos no processo de remoo do equipamento. Algumas destas identificaes so informaes contidas em RGs, CPFs e/ou
49/59

CNPJs. Tambm deve ser informado o intervalo de tempo dedicado para a retirada do equipamento do local. Quando devolvidos, os presidentes e diretores, responsveis devem se utilizar dos termos de remoo e devoluo disponibilizados pela EMPRO. Todos os registros de remoo e devoluo de equipamentos e mdias so devidamente registrados pela EMPRO. Quando endereadas EMPRO, as solicitaes para alienao, remoo, reutilizao e/ou descarte de mdias e equipamentos devero ser realizadas atravs de solicitao de servio, contemplando os itens descritos abaixo: I. Nome do solicitante (responsvel pelo setor);
II. Pessoa para contato; III. Nome do usurio; IV. Informar: alienao, remoo, reutilizao e/ou descarte de mdias e equipamentos relacionados; V. Descrio detalhada; VI. Justificativa para a alienao, remoo, reutilizao e /ou descarte de mdias e equipamentos relacionados. A EMPRO responsvel somente pelo processamento destas solicitaes. Quando aplicado o processo de reutilizao e/ou remoo dos equipamentos e mdias realizados pela EMPRO, os itens processados sero devolvidos ao setor solicitante.
9.3
Inspees Aleatrias
Todas as secretarias, autarquias, empresas pblicas e fundaes pertencentes ao
municpio esto passveis de inspees realizadas pela EMPRO para a deteco de retirada no autorizada de bens relacionados informtica, bem como a instalao no autorizada de dispositivos de gravao. A EMPRO deve comunicar a realizao destas inspees com, no mnimo, 24 horas de antecedncia. Estas inspees requerem a autorizao do presidente ou diretor do setor envolvido ou somente a autorizao do prefeito.
50/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 9.4 Regra do Usurio

O usurio responsvel direto pelo cumprimento da regra referente a remoo, alienao, reutilizao e/ou descarte de um equipamento e/ou mdia, estando passvel de punio em caso de no cumprimento. Esta regra est descrita abaixo: I. O usurio deve sempre comunicar e aguardar autorizao ao diretor e/ou presidente a necessidade da remoo, alienao, reutilizao e/ou descarte de um equipamento e/ou mdia.
9.5
Regras de Usurios Nomeados

Os diretores e presidentes devem nomear um responsvel (referenciado como
usurio nomeado). O usurio nomeado deve zelar pelo cumprimento destas regras, sendo estas listadas abaixo: I. O usurio nomeado deve examinar todas as mdias de armazenamento, tanto contidas no equipamento quanto removveis, antes do descarte, para classificar e rotular a sensibilidade da informao contida, este processo usado para determinar a necessidade do descarte seguro; II. O usurio nomeado responsvel pela anlise e avaliao de riscos sobre as informaes contidas. Logo o responsvel, diretor e/ou presidente responsvel pela escolha de destruio fsica ou formatao dos dados contidos no equipamento ou na mdia. No caso de conserto de equipamentos e mdias, estes riscos devem ser avaliados para evitar a divulgao da informao sensvel; III. O usurio nomeado deve recolher os equipamentos e mdias do setor a qual responsvel, e solicitar o recolhimento deste material pela EMPRO; IV. O responsvel deve recolher todos os papis impressos destinados ao descarte e que contenham informaes sensveis, e solicitar a EMPRO o recolhimento do material; V. O usurio nomeado responsvel pelo registro dos controles sobre os materiais alienados, reutilizados, removidos e/ou descartados do seu setor; VI. O usurio nomeado unicamente responsvel pela autorizao para alienao,
51/59

reutilizao, remoo e/ou descarte de mdias e equipamentos; VII. O usurio nomeado, diretor e/ou presidente so responsveis pelo devido armazenamento das mdias em ambiente seguro e de acordo com as especificaes do fabricante.
9.6
Regras Administrativas
pelo cumprimento destas regras, sendo estes responsveis (funcionrios ou terceiros) gerenciados pela EMPRO. I. O usurio administrador deve examinar todas as mdias de armazenamento antes do descarte, para garantir a eliminao ou sobrescrita completa dos dados sensveis e/ou softwares instalados nela; II. O usurio administrador deve garantir a irrecuperabilidade completa e total de todas as informaes contidas nas mdias de armazenamento, sendo aplicvel a destruio fsica e/ou tcnica de formatao apropriada; III. O usurio administrador deve recolher os equipamentos e mdias dos setores e empresas pblicas do municpio e encaminh-los EMPRO; IV. O usurio administrador responsvel pelo devido armazenamento e posterior destruio para as mdias de descarte. Este processo pode ser realizado atravs de triturao, incinerao e/ou remoo dos dados; V. O usurio administrador deve recolher todos os papis impressos solicitados para descarte, que contenham informaes sensveis, para armazenamento e posterior destruio; VI. O usurio administrador responsvel pelo registro dos controles sobre os materiais alienados, reutilizados, removidos e/ou descartados; VII. O usurio administrador responsvel por evitar grande acmulo de materiais, sendo o procedimento de alienao e descarte realizados mensalmente; VIII. O usurio administrador responsvel pelo devido armazenamento das mdias
52/59

em ambiente seguro e de acordo com as especificaes do fabricante. Entenda-se como ambiente seguro a proteo fsica contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem.
53/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 10 CONFIDENCIALIDADE

Toda e qualquer informao deve estar disponvel somente aos indivduos e entidades autorizados. O acesso e a divulgao da informao so considerados como sigilosos sempre quando o valor do contedo informado representa riscos ou comprometimento financeiro, moral, intelectual, ou da imagem do municpio, de empresas ou de setores envolvidos. Para restringir e controlar o acesso a informao e divulgao destes contedos so redigidos acordos de confidencialidade e no divulgao. Estes acordos devem refletir as necessidades de cada setor do municpio contemplando uma identificao e uma anlise crtica peridica das informaes a serem protegidas. Os acordos de confidencialidade do municpio respeitam a todos os requisitos legais, tais como leis e regulamentaes aplicveis. O objetivo deste captulo determinar quais so as informaes confidenciais a serem protegidas, bem como: acordo, o tempo de durao, aes de encerramento de acordos, proprietrio, segredos comerciais, propriedade intelectual, usos permitidos, auditoria, monitoramento, notificao, violao, retorno, destruio, punio, decretos e leis.
10.1 Abrangncia
Este captulo abrange todos os usurios do municpio de So Jos do Rio Preto, sendo estes estatutrios, funcionrios, estudantes e/ou terceiros que utilizam as informaes confidenciais de propriedade do municpio.
10.2 Acordo de Confidencialidade

Os usurios sendo estes estudantes, estatutrios, celetistas e terceiros que acessam a dados e informaes do municpio de So Jos do Rio Preto, declaram que: I. O usurio tem plena cincia de que os dados e informaes de propriedade do municpio de So Jos do Rio Preto so confidenciais; II. O usurio tem plena cincia que NO deve divulgar, revelar e/ou publicar todas e quaisquer informaes ou dados confidenciais do municpio que englobem qualquer tipo de negcio, comrcio, propriedade da informao, propriedade intelectual, know-how ou dados tcnicos. A violao deste acordo passvel de punio;
54/59

III. O usurio a qualquer momento poder ser auditado pelo gestor de segurana da informao do municpio ou por uma equipe escolhida pelo prprio gestor de segurana da informao. Esta auditoria tem como objetivo garantir que o sigilo e propriedade das informaes do municpio foram mantidos; IV. O usurio tem plena cincia de que no caso de divulgao, revelao e /ou publicao de informaes NO autorizadas estar sujeito as penalidades previstas em lei e, no caso de divulgao de informao por terceiros, dever ocorrer o pagamento sobre o valor da informao liberada, salvo nos casos de exigncia previstos em leis e quaisquer outras instituies e /ou setores governamentais que realizam alguma auditoria. As informaes consideradas autorizadas para a divulgao, revelao, publicao e/ou distribuio so aquelas previamente autorizadas por escrito e assinadas pelo diretor presidente ou secretrio do setor envolvido; V. O usurio pode divulgar toda e qualquer informao que seja de domnio pblico, desde que no fira este acordo. Tambm passvel de publicao toda e qualquer outra informao de propriedade do municpio de carter pblico e autorizada por escrito com a assinatura do presidente ou responsvel do setor com envio de cpia para o gestor de segurana da informao do municpio; VI. O gestor de segurana da informao do municpio de So Jos do Rio Preto tem como obrigao verificar que o usurio que tenha acesso s informaes e dados do municpio esteja cumprindo as determinaes deste acordo; VII. Desde o momento da assinatura desde acordo, o usurio passa a ter acesso s informaes cabveis ao cargo, atividade, servio ou funo competente; VIII. No caso de controvrsias deste documento de responsabilidade da comarca de So Jos do Rio Preto o julgamento deste acordo; IX. O acordo de confidencialidade tem durao indeterminada a partir da data de assinatura deste acordo. No caso em que a informao acessada tiver que ser mantida por um tempo determinado sobre sigilo, o presidente do setor concedente da informao dever redigir um novo acordo, que NO viole este acordo, estipulando o domnio da informao e o tempo de sigilo destas
55/59

informaes que o usurio deve respeitar; X. Caso exista a divulgao NO autorizada da informao ou dados de propriedade do municpio, o usurio deve entrar em contato imediato com o presidente do setor e com o gestor de segurana da informao do municpio; XI. O usurio est plenamente ciente do dever de destruio e retorno de toda e qualquer informao e dados de propriedade do municpio ao trmino e/ou suspenso do contrato. O retorno das informaes de propriedade do municpio deve ser realizado diretamente ao setor onde o usurio executou suas atividades.
56/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 11 PENALIDADES

As penalidades aplicadas pelo no cumprimento da poltica de segurana do municpio por parte dos usurios e administradores so divididas em cinco categorias: comunicado, advertncia, suspenso, demisso por justa causa e indenizao monetria. Conforme descrito abaixo: COMUNICADO O usurio ser notificado por correio eletrnico ou por ofcio contendo, de forma direta e clara, a violao praticada. Em caso de reincidncia, ser enviada uma cpia para o presidente, diretor ou responsvel do setor. ADVERTNCIA O usurio ser advertido por ofcio, contendo de forma direta e clara a violao praticada com cpia para o presidente, diretor ou responsvel do setor. Este item s ser aplicado a funcionrios, estudantes e estatutrios, respeitando as conformidades legais e um processo de auditoria. SUSPENSO O usurio ser suspenso por ofcio, contendo de forma direta e clara a violao praticada com cpia para o presidente, diretor ou responsvel do setor. Este item s ser aplicado em funcionrios, estudantes e estatutrios, respeitando as conformidades legais e um processo de auditoria. DEMISSO POR JUSTA CAUSA O usurio ser demitido por justa causa somente aps um processo de auditoria e dentro das conformidades legais. No caso dos funcionrios enquadrados no regime CLT ser aplicado o artigo 482 e paragrafo nico da Consolidao das Leis do Trabalho (DECRETO-LEI N. 5.452, DE 1 DE MAIO DE 1943). No caso de funcionrios enquadrados no regime ESTATUTRIO ser aplicado o estatuto que regulamenta a categoria.
57/59

ANULAO CONTRATUAL O usurio terceirizado poder ter o contrato rescindido no caso de violao da poltica de segurana do municpio. INDENIZAO MONETRIA O usurio terceirizado ou a empresa representante legal do usurio ter que indenizar monetariamente o municpio no caso de violao da poltica de segurana do municpio. Este processo requer uma auditoria para analisar a ocorrncia e, caso necessrio, estabelecer o valor a ser indenizado, baseando-se em um acordo sobre valores da informao previamente estabelecido e assinado entre as partes.
58/59
PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 12 REFERNCIAS BIBLIOGRFICAS
ABNT 17799:2005 ABNT 27001:2006
59/59

PoliticaDeSeguranca Unificadav3.0.1 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

PoliticaDeSeguranca Unificadav3.0.1 PDF

Uploaded by

Copyright:

Available Formats

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

POLTICA DE SEGURANA DA INFORMAO DO MUNICPIO DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

So Jos do Rio Preto 2009

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 1 INTRODUO

DECLARAO DE COMPROMETIMENTO DA DIREO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 1.2 TERMOS E DEFINIES

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

VISO GERAL DOS CONTROLES E SEUS OBJETIVOS

Contas e senhas Rede

Acesso Internet Massagens Eletrnicas

Alienao, Remoo, Reutilizao e/ou Descarte de Mdias e Equipamentos

Tabela 1 Diagramao de seus Controles e Objetivos.

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 1.4 LEGISLAO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 1.5 DISPOSIO DE ATRIBUIES

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 2 CONDUTA DE ACESSO REDE

estes estatutrios, celetistas, estagirios e ou terceiros que utilizam servios de rede.

Acesso e Identificao do Usurio

Regras de Uso de Rede

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

contenham vrus, malware, spyware, fishing, trojan e qualquer outro arquivo

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

Regras Administrativas de Redes e de Servios de Rede

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

Redes e Servios Disponveis no Municpio

Meios de Acesso Rede no Municpio

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

Processo de Autorizao e/ou Remoo de Acesso Rede

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 3 CONDUTA DE ACESSO INTERNET

Acesso e Identificao do Usurio

Regras de Uso de Internet

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

Regras Administrativas de Internet

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

Processo de Autorizao ou Remoo de acesso Internet

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

3.6 Processo de Notificao para Bloqueio ou Liberao de Endereos e Contedos da Internet

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 4 CONDUTA DE ACESSO REMOTO

Acesso e Identificao do Usurio

Regras de Uso de Acesso Remoto

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

Regras Administrativas de Acesso Remoto

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

4.5 Processo de Autorizao ou Remoo de Acesso a Redes Remotas

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO 5 CONDUTA DE USO DE MENSAGENS ELETRNICAS

Acesso e Identificao do Usurio

Regras de Uso de Mensagens Eletrnicas

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

Regras Administrativas de Mensagens Eletrnicas

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO

Processo de Autorizao ou Remoo

PREFEITURA MUNICIPAL DE SO JOS DO RIO PRETO