Psi Normas Administrativas

PSI Poltica de Segurana da Informao
Documento de Diretrizes e Normas Administrativas
V.1.0
PSI - Poltica de Segurana da Informao

Fls: 2 / 24

Verso: 1.0

ndice
OBJETIVOS ...................................................................................................................... 4 APLICAES DA PSI ..................................................................................................... 4 PRINCPIOS DA PSI ........................................................................................................ 5 REQUISITOS DA PSI ...................................................................................................... 5 DAS RESPONSABILIDADES ESPECFICAS ............................................................... 7 1 - Dos Colaboradores em Geral ................................................................................... 7 2 - Dos Colaboradores em Regime de Exceo (Temporrios) .................................... 7 3 - Dos Gestores de Pessoas e/ou Processos.................................................................. 7 4 - Dos Custodiantes da Informao.............................................................................. 8 5 - DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE ....................... 11 CORREIO ELETRNICO.............................................................................................. 11 INTERNET ...................................................................................................................... 13 IDENTIFICAO .......................................................................................................... 15 COMPUTADORES E RECURSOS TECNOLGICOS ................................................ 17 DISPOSITIVOS MVEIS .............................................................................................. 19 DATACENTER............................................................................................................... 21 BACKUP ......................................................................................................................... 22 DAS DISPOSIES FINAIS ......................................................................................... 24
Fls: 3 / 24

Verso: 1.0

A Poltica de Segurana da Informao, tambm referida como PSI, o documento que orienta e estabelece as diretrizes corporativas do Senac So Paulo para a proteo dos ativos de informao e a preveno de responsabilidade legal para todos os usurios. Deve, portanto, ser cumprida e aplicada em todas as reas da instituio. A presente PSI est baseada nas recomendaes propostas pela norma ABNT NBR ISO/IEC 27002:2005, reconhecida mundialmente como um cdigo de prtica para a gesto da segurana da informao, bem como est de acordo com as leis vigentes em nosso pas. Com a inteno de aumentar a segurana da infraestrutura tecnolgica direcionada ao uso acadmico, foi desenvolvida paralelamente uma Norma de Segurana da Informao Educacional, visando a orientao de nossos clientes para a utilizao dos ativos de tecnologia da informao disponibilizados. Tais documentos encontram-se disponveis na intranet do Senac So Paulo, na seo SisNormas.
OBJETIVOS
Estabelecer diretrizes que permitam aos colaboradores e clientes do Senac So Paulo seguirem padres de comportamento relacionados segurana da informao adequados s necessidades de negcio e de proteo legal da empresa e do indivduo. Nortear a definio de normas e procedimentos especficos de segurana da informao, bem como a implementao de controles e processos para seu atendimento. Preservar as informaes do Senac So Paulo quanto : Integridade: garantia de que a informao seja mantida em seu estado original, visando proteg-la, na guarda ou transmisso, contra alteraes indevidas, intencionais ou acidentais. Confidencialidade: garantia de que o acesso informao seja obtido somente por pessoas autorizadas. Disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.
APLICAES DA PSI
As diretrizes aqui estabelecidas devero ser seguidas por todos os colaboradores, bem como os prestadores de servio, e se aplicam informao em qualquer meio ou suporte.
Fls: 4 / 24

Verso: 1.0

Esta poltica d cincia a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa podero ser monitorados e gravados, com prvia informao, conforme previsto nas leis brasileiras. tambm obrigao de cada colaborador manter-se atualizado em relao a esta PSI e aos procedimentos e normas relacionadas, buscando orientao do seu gestor ou da Gerncia de Sistemas sempre que no estiver absolutamente seguro quanto aquisio, uso e/ou descarte de informaes.
PRINCPIOS DA PSI
Toda informao produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pelo Senac So Paulo pertence referida instituio. As excees devem ser explcitas e formalizadas em contrato entre as partes. Os equipamentos de informtica e comunicao, sistemas e informaes so utilizados pelos colaboradores para a realizao das atividades profissionais. O uso pessoal dos recursos permitido desde que no prejudique o desempenho dos sistemas e servios. O Senac So Paulo, por meio da Gerncia de Sistemas, poder registrar todo o uso dos sistemas e servios, visando garantir a disponibilidade e a segurana das informaes utilizadas.
REQUISITOS DA PSI
Para a uniformidade da informao, a PSI dever ser comunicada a todos os colaboradores do Senac So Paulo a fim de que a poltica seja cumprida dentro e fora da empresa. Dever haver um comit multidisciplinar responsvel pela gesto da segurana da informao, doravante designado como Comit de Segurana da Informao. Tanto a PSI quanto as normas devero ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua reviso antecipada, conforme anlise e deciso do Comit de Segurana. Dever constar em todos os contratos do Senac So Paulo o anexo de Acordo de Confidencialidade ou Clusula de Confidencialidade, como condio imprescindvel para que possa ser concedido o acesso aos ativos de informao disponibilizados pela instituio. A responsabilidade em relao segurana da informao deve ser comunicada na fase de contratao dos colaboradores. Todos os colaboradores devem ser orientados sobre os
Fls: 5 / 24

Verso: 1.0

procedimentos de segurana, bem como o uso correto dos ativos, a fim de reduzir possveis riscos. Eles devem assinar um termo de responsabilidade. Todo incidente que afete a segurana da informao dever ser comunicado inicialmente Gerncia de Sistemas e ela, se julgar necessrio, dever encaminhar posteriormente ao Comit de Segurana da Informao para anlise. Um plano de contingncia e a continuidade dos principais sistemas e servios devero ser implantados e testados no mnimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informao. Todos os requisitos de segurana da informao, incluindo a necessidade de planos de contingncia, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implantados e testados durante a fase de execuo. Devero ser criados e institudos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituio julgar necessrio para reduzir os riscos dos seus ativos de informao como, por exemplo, nas estaes de trabalho, notebooks, nos acessos internet, no correio eletrnico, nos sistemas comerciais e financeiros desenvolvidos pelo Senac So Paulo ou por terceiros. Os ambientes de produo devem ser segregados e rigidamente controlados, garantindo o isolamento necessrio em relao aos ambientes de desenvolvimento, testes e homologao. O Senac exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e servios concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidncias para obteno de provas a serem utilizadas nos processos investigatrios, bem como adotar as medidas legais cabveis. Esta PSI ser implementada no Senac So Paulo por meio de procedimentos especficos, obrigatrios para todos os colaboradores, independentemente do nvel hierrquico ou funo na empresa, bem como de vnculo empregatcio ou prestao de servio. O no cumprimento dos requisitos previstos nesta PSI e das Normas de Segurana da Informao acarretar violao s regras internas da instituio e sujeitar o usurio s medidas administrativas e legais cabveis.
Fls: 6 / 24

Verso: 1.0

DAS RESPONSABILIDADES ESPECFICAS

1 - Dos Colaboradores em Geral
Entende-se por colaborador toda e qualquer pessoa fsica, contratada CLT ou prestadora de servio por intermdio de pessoa jurdica ou no, que exera alguma atividade dentro ou fora da instituio. Ser de inteira responsabilidade de cada colaborador, todo prejuzo ou dano que vier a sofrer ou causar ao Senac So Paulo e/ou a terceiros, em decorrncia da no obedincia s diretrizes e normas aqui referidas.
2 - Dos Colaboradores em Regime de Exceo (Temporrios)

Devem entender os riscos associados sua condio especial e cumprir rigorosamente o que est previsto no aceite concedido pelo Comit de Segurana da Informao. A concesso poder ser revogada a qualquer tempo se for verificado que a justificativa de motivo de negcio no mais compensa o risco relacionado ao regime de exceo ou se o colaborador que o recebeu no estiver cumprindo as condies definidas no aceite.
3 - Dos Gestores de Pessoas e/ou Processos

Ter postura exemplar em relao segurana da informao, servindo como modelo de conduta para os colaboradores sob a sua gesto. Atribuir aos colaboradores, na fase de contratao e de formalizao dos contratos individuais de trabalho, de prestao de servios ou de parceria, a responsabilidade do cumprimento da PSI do Senac So Paulo. Exigir dos colaboradores a assinatura do Termo de Compromisso e Cincia, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informaes do Senac So Paulo. Antes de conceder acesso s informaes da instituio, exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de servios que no estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentao de propostas comerciais. Adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI, bem como aos termos da Norma Educacional.
Fls: 7 / 24

Verso: 1.0

Documento de Diretrizes e Normas Administrativas 4 - Dos Custodiantes da Informao 4.1 - Da rea de Tecnologia da Informao
Testar a eficcia dos controles utilizados e informar aos gestores os riscos residuais. Acordar com os gestores o nvel de servio que ser prestado e os procedimentos de resposta aos incidentes. Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessrios para cumprir os requerimentos de segurana estabelecidos por esta PSI, e em sua verso educacional, pelas Normas de Segurana da Informao complementares. Os administradores e operadores dos sistemas computacionais podem, pela caracterstica de seus privilgios como usurios, acessar os arquivos e dados de outros usurios. No entanto, isso s ser permitido quando for necessrio para a execuo de atividades operacionais sob sua responsabilidade como, por exemplo, a manuteno de computadores, a realizao de cpias de segurana, auditorias ou testes no ambiente. Segregar as funes administrativas, operacionais e educacionais a fim de restringir ao mnimo necessrio os poderes de cada indivduo e eliminar, ou ao menos reduzir, a existncia de pessoas que possam excluir os logs e trilhas de auditoria das suas prprias aes. Garantir segurana especial para sistemas com acesso pblico, incluindo o ambiente educacional, fazendo guarda de evidncias que permitam a rastreabilidade para fins de auditoria ou investigao. Gerar e manter as trilhas para auditoria com nvel de detalhe suficiente para rastrear possveis falhas e fraudes. Para as trilhas geradas e/ou mantidas em meio eletrnico, implantar controles de integridade para torn-las juridicamente vlidas como evidncias. Administrar, proteger e testar as cpias de segurana dos programas e dados relacionados aos processos crticos e relevantes para o Senac So Paulo. Implantar controles que gerem registros auditveis para retirada e transporte de mdias das informaes custodiadas pela TI, nos ambientes totalmente controlados por ela. O gestor da informao deve ser previamente informado sobre o fim do prazo de reteno, para que tenha a alternativa de alter-lo antes que a informao seja definitivamente descartada pelo custodiante. Quando ocorrer movimentao interna dos ativos de TI, garantir que as informaes de um usurio no sero removidas de forma irrecupervel antes de disponibilizar o ativo para outro usurio.
Fls: 8 / 24

Verso: 1.0

Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmisso necessrios para garantir a segurana requerida pelas reas de negcio. Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informao a um responsvel identificvel como pessoa fsica, sendo que: os usurios (logins) individuais de funcionrios sero de responsabilidade do prprio funcionrio. os usurios (logins) de terceiros sero de responsabilidade do gestor da rea contratante. Proteger continuamente todos os ativos de informao da empresa contra cdigo malicioso, e garantir que todos os novos ativos s entrem para o ambiente de produo aps estarem livres de cdigo malicioso e/ou indesejado. Garantir que no sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produo da empresa em processos de mudana, sendo ideal a auditoria de cdigo e a proteo contratual para controle e responsabilizao no caso de uso de terceiros. Definir as regras formais para instalao de software e hardware em ambiente de produo corporativo, bem como em ambiente exclusivamente educacional, exigindo o seu cumprimento dentro da empresa. Realizar auditorias peridicas de configuraes tcnicas e anlise de riscos. Responsabilizar-se pelo uso, manuseio, guarda de assinatura e certificados digitais. Garantir, da forma mais rpida possvel, com solicitao formal, o bloqueio de acesso de usurios por motivo de desligamento da empresa, incidente, investigao ou outra situao que exija medida restritiva para fins de salvaguardar os ativos da empresa. Garantir que todos os servidores, estaes e demais dispositivos com acesso rede da empresa operem com o relgio sincronizado com os servidores de tempo oficiais do governo brasileiro. Monitorar o ambiente de TI, gerando indicadores e histricos de: uso da capacidade instalada da rede e dos equipamentos; tempo de resposta no acesso internet e aos sistemas crticos do Senac So Paulo; perodos de indisponibilidade no acesso internet e aos sistemas crticos do Senac So Paulo; incidentes de segurana (vrus, trojans, furtos, acessos indevidos, e assim por diante);
Fls: 9 / 24

Verso: 1.0

atividade de todos os colaboradores durante os acessos s redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros);
4.2 - Da rea de Segurana da Informao

Propor as metodologias e os processos especficos para a segurana da informao, como avaliao de risco e sistema de classificao da informao. Propor e apoiar iniciativas que visem segurana dos ativos de informao do Senac So Paulo. Publicar e promover as verses da PSI e as Normas de Segurana da Informao aprovadas pelo Comit de Segurana da Informao. Promover a conscientizao dos colaboradores em relao relevncia da segurana da informao para o negcio do Senac So Paulo, mediante campanhas, palestras, treinamentos e outros meios de endomarketing. Apoiar a avaliao e a adequao de controles especficos de segurana da informao para novos sistemas ou servios. Analisar criticamente incidentes em conjunto com o Comit de Segurana da Informao. Apresentar as atas e os resumos das reunies do Comit de Segurana da Informao, destacando os assuntos que exijam interveno do prprio comit ou de outros membros da diretoria. Manter comunicao efetiva com o Comit de Segurana da Informao sobre assuntos relacionados ao tema que afetem ou tenham potencial para afetar o Senac So Paulo. Buscar alinhamento com as diretrizes corporativas da instituio.
4.3 - Do Comit de Segurana da Informao

Deve ser formalmente constitudo por colaboradores com nvel hierrquico mnimo gerencial, nomeados para participar do grupo pelo perodo de um ano. A composio mnima deve incluir um colaborador de cada uma das reas: GO, GD, CAS, AJ, GEP, GCR, GMS e GES. Dever o CSI reunir-se formalmente pelo menos uma vez a cada seis meses. Reunies adicionais devem ser realizadas sempre que for necessrio deliberar sobre algum incidente grave ou definio relevante para o Senac So Paulo. O CSI poder utilizar especialistas, internos ou externos, para apoiarem nos assuntos que exijam conhecimento tcnico especfico.
Fls: 10 / 24

Verso: 1.0

Cabe ao CSI:
propor investimentos relacionados segurana da informao com o objetivo de reduzir mais os riscos; propor alteraes nas verses da PSI e a incluso, a eliminao ou a mudana de normas complementares; avaliar os incidentes de segurana e propor aes corretivas; definir as medidas cabveis nos casos de descumprimento da PSI e/ou das Normas de Segurana da Informao complementares.
5 - DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE

Para garantir as regras mencionadas nesta PSI, bem como de sua verso educacional, o Senac So Paulo poder: implantar sistemas de monitoramento nas estaes de trabalho, servidores, correio eletrnico, conexes com a internet, dispositivos mveis ou wireless e outros componentes da rede a informao gerada por esses sistemas poder ser usada para identificar usurios e respectivos acessos efetuados, bem como material manipulado; tornar pblicas as informaes obtidas pelos sistemas de monitoramento e auditoria, no caso de exigncia judicial, solicitao do gerente (ou superior) ou por determinao do Comit de Segurana da Informao; realizar, a qualquer tempo, inspeo fsica nas mquinas de sua propriedade; instalar sistemas de proteo, preventivos e detectveis, para garantir a segurana das informaes e dos permetros de acesso.
CORREIO ELETRNICO
O objetivo desta norma informar aos colaboradores do Senac So Paulo quais so as atividades permitidas e proibidas quanto ao uso do correio eletrnico corporativo. O uso do correio eletrnico do Senac So Paulo para fins corporativos e relacionados s atividades do colaborador usurio dentro da instituio. A utilizao desse servio para fins pessoais permitida desde que feita com bom senso, no prejudique o Senac e tambm no cause impacto no trfego da rede.
Fls: 11 / 24

Verso: 1.0

Acrescentamos que proibido aos colaboradores o uso do correio eletrnico do Senac So Paulo: enviar mensagens no solicitadas para mltiplos destinatrios, exceto se relacionadas a uso legtimo da instituio; enviar mensagem por correio eletrnico pelo endereo de seu departamento ou usando o nome de usurio de outra pessoa ou endereo de correio eletrnico que no esteja autorizado a utilizar; enviar qualquer mensagem por meios eletrnicos que torne seu remetente e/ou o Senac So Paulo ou suas unidades vulnerveis a aes civis ou criminais; divulgar informaes no autorizadas ou imagens de tela, sistemas, documentos e afins sem autorizao expressa e formal concedida pelo proprietrio desse ativo de informao; falsificar informaes de endereamento, adulterar cabealhos para esconder a identidade de remetentes e/ou destinatrios, com o objetivo de evitar as punies previstas; apagar mensagens pertinentes de correio eletrnico quando qualquer uma das unidades do Senac So Paulo estiver sujeita a algum tipo de investigao. produzir, transmitir ou divulgar mensagem que: contenha qualquer ato ou fornea orientao que conflite ou contrarie os interesses do Senac So Paulo; contenha ameaas eletrnicas, como: spam, mail bombing, vrus de computador; contenha arquivos com cdigo executvel (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extenso que represente um risco segurana; vise obter acesso no autorizado a outro computador, servidor ou rede; vise interromper um servio, servidores ou rede de computadores por meio de qualquer mtodo ilcito ou no autorizado; vise burlar qualquer sistema de segurana; vise vigiar secretamente ou assediar outro usurio; vise acessar informaes confidenciais sem explcita autorizao do proprietrio; vise acessar indevidamente informaes que possam causar prejuzos a qualquer pessoa; inclua imagens criptografadas ou de qualquer forma mascaradas; contenha anexo(s) superior(es) a 15 MB para envio (interno e internet) e 15 MB para recebimento (internet) tenha contedo considerado imprprio, obsceno ou ilegal;
Fls: 12 / 24

Verso: 1.0

seja de carter calunioso, difamatrio, degradante, infame, ofensivo, violento, ameaador, pornogrfico entre outros; contenha perseguio preconceituosa baseada em sexo, raa, incapacidade fsica ou mental ou outras situaes protegidas; tenha fins polticos locais ou do pas (propaganda poltica); inclua material protegido por direitos autorais sem a permisso do detentor dos direitos.
As mensagens de correio eletrnico sempre devero incluir assinatura com o seguinte formato: Nome do colaborador Gerncia ou departamento Nome da empresa Telefone(s) Correio eletrnico
INTERNET
Todas as regras atuais do Senac So Paulo visam basicamente o desenvolvimento de um comportamento eminentemente tico e profissional do uso da internet. Embora a conexo direta e permanente da rede corporativa da instituio com a internet oferea um grande potencial de benefcios, ela abre a porta para riscos significativos para os ativos de informao. Qualquer informao que acessada, transmitida, recebida ou produzida na internet est sujeita a divulgao e auditoria. Portanto, o Senac So Paulo, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela. Os equipamentos, tecnologia e servios fornecidos para o acesso internet so de propriedade da instituio, que pode analisar e, se necessrio, bloquear qualquer arquivo, site, correio eletrnico, domnio ou aplicao armazenados na rede/internet, estejam eles em disco local, na estao ou em reas privadas da rede, visando assegurar o cumprimento de sua Poltica de Segurana da Informao. O Senac, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alterao dos parmetros de segurana, por qualquer colaborador, sem o devido credenciamento e a autorizao para tal, ser julgada inadequada e os riscos relacionados sero informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilcitas poder acarretar as aes administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a instituio cooperar ativamente com as autoridades competentes.
Fls: 13 / 24

Verso: 1.0

A internet disponibilizada pela instituio aos seus colaboradores, independentemente de sua relao contratual, pode ser utilizada para fins pessoais, desde que no prejudique o andamento dos trabalhos nas unidades. Como do interesse do Senac So Paulo que seus colaboradores estejam bem informados, o uso de sites de notcias ou de servios, por exemplo, aceitvel, desde que no comprometa a banda da rede em horrios estritamente comerciais, no perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os seus objetivos de negcio. Somente os colaboradores que esto devidamente autorizados a falar em nome do Senac So Paulo para os meios de comunicao podero manifestar-se, seja por e-mail, entrevista on-line, podcast, seja por documento fsico, entre outros. Apenas os colaboradores autorizados pela instituio podero copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender norma interna de uso de imagens, Lei de Direitos Autorais, proteo da imagem garantida pela Constituio Federal e demais dispositivos legais. proibida a divulgao e/ou o compartilhamento indevido de informaes da rea
administrativa em listas de discusso, sites ou comunidades de relacionamento, salas de batepapo ou chat, comunicadores instantneos ou qualquer outra tecnologia correlata que venha surgir na internet. Os colaboradores com acesso internet podero fazer o download (baixa) somente de programas ligados diretamente s suas atividades no Senac e devero providenciar o que for necessrio para regularizar a licena e o registro desses programas,desde que autorizados pela GES. O uso, a instalao, a cpia ou a distribuio no autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet so expressamente proibidos. Qualquer software no autorizado baixado ser excludo pela Gerncia de Sistemas. Os colaboradores no podero em hiptese alguma utilizar os recursos do Senac So Paulo para fazer o download ou distribuio de software ou dados pirateados, atividade considerada delituosa de acordo com a legislao nacional. O download e a utilizao de programas de entretenimento, jogos ou msicas (em qualquer formato) podero ser realizados por usurios que tenham atividades profissionais relacionadas a essas categorias. Para tal, grupos de segurana, cujos integrantes devero ser definidos pelos respectivos gestores, precisam ser criados a fim de viabilizar esse acesso especial. Mediante solicitao e aprovao da rea tcnica responsvel, o uso de jogos ser passvel de concesso, em regime de exceo, quando eles tiverem natureza intrnseca s atividades de cursos relacionados ao desenvolvimento de jogos.
Fls: 14 / 24

Verso: 1.0

Como regra geral, materiais de cunho sexual no podero ser expostos, armazenados, distribudos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessrio, grupos de segurana devero ser criados para viabilizar esse perfil de usurio especial e seus integrantes definidos pelos respectivos gestores. Colaboradores com acesso internet no podero efetuar upload (subida) de qualquer software licenciado ao Senac So Paulo ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorizao do responsvel pelo software ou pelos dados. Os colaboradores no podero utilizar os recursos do Senac para deliberadamente propagar qualquer tipo de vrus, worm, cavalo de troia, spam, assdio, perturbao ou programas de controle de outros computadores. O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) no sero permitidos. J os servios de streaming (rdios on-line, canais de broadcast e afins) sero permitidos a grupos especficos. Porm, os servios de comunicao instantnea (MSN, ICQ e afins) sero inicialmente disponibilizados aos usurios e podero ser bloqueados caso o gestor requisite formalmente Gerencia de Sistemas. No permitido acesso a sites de proxy.
IDENTIFICAO
Os dispositivos de identificao e senhas protegem a identidade do colaborador usurio, evitando e prevenindo que uma pessoa se faa passar por outra perante o Senac So Paulo e/ou terceiros. O uso dos dispositivos e/ou senhas de identificao de outra pessoa constitui crime tipificado no Cdigo Penal Brasileiro (art. 307 falsa identidade). Tal norma visa estabelecer critrios de responsabilidade sobre o uso dos dispositivos de identificao e dever ser aplicada a todos os colaboradores. Todos os dispositivos de identificao utilizados no Senac So Paulo, como o nmero de registro do colaborador, o crach, as identificaes de acesso aos sistemas, os certificados e assinaturas digitais e os dados biomtricos tm de estar associados a uma pessoa fsica e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislao brasileira. O usurio, vinculado a tais dispositivos identificadores, ser responsvel pelo seu uso correto perante a instituio e a legislao (cvel e criminal). Todo e qualquer dispositivo de identificao pessoal, portanto, no poder ser compartilhado com outras pessoas em nenhuma hiptese.
Fls: 15 / 24

Verso: 1.0

Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante o Senac e a legislao (cvel e criminal) ser dos usurios que dele se utilizarem. Somente se for identificado conhecimento ou solicitao do gestor de uso compartilhado ele dever ser responsabilizado. proibido o compartilhamento de login para funes de administrao de sistemas. O Departamento de Recursos Humanos do Senac So Paulo o responsvel pela emisso e pelo controle dos documentos fsicos de identidade dos colaboradores. A Gerncia de Sistemas responde pela criao da identidade lgica dos colaboradores na instituio, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usurios. Devem ser distintamente identificados os visitantes, estagirios, empregados temporrios, empregados regulares e prestadores de servios, sejam eles pessoas fsicas e/ou jurdicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usurio dever trocar imediatamente a sua senha conforme as orientaes apresentadas. Os usurios que no possuem perfil de administrador devero ter senha de tamanho varivel, possuindo no mnimo 6 (seis) caracteres alfanumricos, utilizando caracteres especiais (@ # $ %) e variao entre caixa-alta e caixa-baixa (maisculo e minsculo) sempre que possvel. J os usurios que possuem perfil de administrador ou acesso privilegiado devero utilizar uma senha de no mnimo 10 (dez) caracteres, alfanumrica, utilizando caracteres especiais (@ # $ %) e variao de caixa-alta e caixa-baixa (maisculo e minsculo) obrigatoriamente. de responsabilidade de cada usurio a memorizao de sua prpria senha, bem como a proteo e a guarda dos dispositivos de identificao que lhe forem designados. As senhas no devem ser anotadas ou armazenadas em arquivos eletrnicos (Word, Excel, etc.), compreensveis por linguagem humana (no criptografados); no devem ser baseadas em informaes pessoais, como prprio nome, nome de familiares, data de nascimento, endereo, placa de veculo, nome da empresa, nome do departamento; e no devem ser constitudas de combinaes bvias de teclado, como abcdefgh, 87654321, entre outras. Aps 3 (trs) tentativas de acesso, a conta do usurio ser bloqueada. Para o desbloqueio necessrio que o usurio entre em contato com a Gerncia de Sistemas do Senac So Paulo. Dever ser estabelecido um processo para a renovao de senha (confirmar a identidade). Os usurios podem alterar a prpria senha, e devem ser orientados a faz-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha. A periodicidade mxima para troca das senhas 45 (quarenta e cinco) dias, no podendo ser repetidas as 3 (trs) ltimas senhas. Os sistemas crticos e sensveis para a instituio e os
Fls: 16 / 24

Verso: 1.0

logins com privilgios administrativos devem exigir a troca de senhas a cada 30 dias. Os sistemas devem forar a troca das senhas dentro desse prazo mximo. Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessrios. Portanto, assim que algum usurio for demitido ou solicitar demisso, o Departamento de Recursos Humanos dever imediatamente comunicar tal fato ao Departamento de Tecnologia da Informao, a fim de que essa providncia seja tomada. A mesma conduta se aplica aos usurios cujo contrato ou prestao de servios tenha se encerrado, bem como aos usurios de testes e outras situaes similares. Caso o colaborador esquea sua senha, ele dever requisitar formalmente a troca ou comparecer pessoalmente rea tcnica responsvel para cadastrar uma nova.
COMPUTADORES E RECURSOS TECNOLGICOS

Os equipamentos disponveis aos colaboradores so de propriedade do Senac So Paulo, cabendo a cada um utiliz-los e manuse-los corretamente para as atividades de interesse da instituio, bem como cumprir as recomendaes constantes nos procedimentos operacionais fornecidos pelas gerncias responsveis. proibido todo procedimento de manuteno fsica ou lgica, instalao, desinstalao, configurao ou modificao, sem o conhecimento prvio e o acompanhamento de um tcnico da Gerncia de Sistemas do Senac So Paulo, ou de quem este determinar. As gerncias que necessitarem fazer testes devero solicit-los previamente Gerncia de Sistemas e/ou Gerncia de Materiais e Servios, ficando responsveis jurdica e tecnicamente pelas aes realizadas. Todas as atualizaes e correes de segurana do sistema operacional ou aplicativos somente podero ser feitas aps a devida validao no respectivo ambiente de homologao, e depois de sua disponibilizao pelo fabricante ou fornecedor. Os sistemas e computadores devem ter verses do software antivrus instaladas, ativadas e atualizadas permanentemente. O usurio, em caso de suspeita de vrus ou problemas na funcionalidade, dever acionar o departamento tcnico responsvel mediante registro de chamado no service desk. A transferncia e/ou a divulgao de qualquer software, programa ou instrues de computador para terceiros, por qualquer meio de transporte (fsico ou lgico), somente poder ser realizada com a devida identificao do solicitante, se verificada positivamente e estiver de acordo com a classificao de tal informao e com a real necessidade do destinatrio.
Fls: 17 / 24

Verso: 1.0

Arquivos pessoais e/ou no pertinentes ao negcio do Senac So Paulo (fotos, msicas, vdeos, etc..) no devero ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existncia desses arquivos, eles podero ser excludos definitivamente por meio de comunicao prvia ao usurio. Documentos imprescindveis para as atividades dos colaboradores da instituio devero ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), no tero garantia de backup e podero ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do prprio usurio. Os colaboradores do Senac So Paulo e/ou detentores de contas privilegiadas no devem executar nenhum tipo de comando ou programa que venha sobrecarregar os servios existentes na rede corporativa sem a prvia solicitao e a autorizao da Gerncia de Sistemas. No uso dos computadores, equipamentos e recursos de informtica, algumas regras devem ser atendidas. Todos os computadores de uso individual devero ter senha de Bios para restringir o acesso de colaboradores no autorizados. Tais senhas sero definidas pela Gerncia de Sistemas do Senac So Paulo, que ter acesso a elas para manuteno dos equipamentos. Os colaboradores devem informar ao departamento tcnico qualquer identificao de dispositivo estranho conectado ao seu computador. vedada a abertura ou o manuseio de computadores ou outros equipamentos de informtica para qualquer tipo de reparo que no seja realizado por um tcnico da Gerncia de Sistemas do Senac So Paulo ou por terceiros devidamente contratados para o servio. Todos os modems internos ou externos devem ser removidos ou desativados para impedir a invaso/evaso de informaes, programas, vrus. Em alguns casos especiais, conforme regra especfica, ser considerada a possibilidade de uso para planos de contingncia mediante a autorizao dos gestores das reas e da rea de informtica. expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa de trabalho e prximo aos equipamentos. O colaborador dever manter a configurao do equipamento disponibilizado pelo Senac, seguindo os devidos controles de segurana exigidos pela Poltica de Segurana da Informao e pelas normas especficas da instituio, assumindo a responsabilidade como custodiante de informaes.
Fls: 18 / 24

Verso: 1.0

Devero ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticao, todos os terminais de computador e impressoras quando no estiverem sendo utilizados. Todos os recursos tecnolgicos adquiridos pelo Senac So Paulo devem ter
imediatamente suas senhas padres (default) alteradas. Os equipamentos devero manter preservados, de modo seguro, os registros de eventos, constando identificao dos colaboradores, datas e horrios de acesso. Acrescentamos algumas situaes em que proibido o uso de computadores e recursos tecnolgicos do Senac So Paulo. Tentar ou obter acesso no autorizado a outro computador, servidor ou rede. Burlar quaisquer sistemas de segurana. Acessar informaes confidenciais sem explcita autorizao do proprietrio. Vigiar secretamente outrem por dispositivos eletrnicos ou softwares, como, por exemplo, analisadores de pacotes (sniffers). Interromper um servio, servidores ou rede de computadores por meio de qualquer mtodo ilcito ou no autorizado. Usar qualquer tipo de recurso tecnolgico para cometer ou ser cmplice de atos de violao, assdio sexual, perturbao, manipulao ou supresso de direitos autorais ou propriedades intelectuais sem a devida autorizao legal do titular; Hospedar pornografia, material racista ou qualquer outro que viole a legislao em vigor no pas, a moral, os bons costumes e a ordem pblica. Utilizar software pirata, atividade considerada delituosa de acordo com a legislao nacional.
DISPOSITIVOS MVEIS
O Senac So Paulo deseja facilitar a mobilidade e o fluxo de informao entre seus colaboradores. Por isso, permite que eles usem equipamentos portteis. Quando se descreve dispositivo mvel entende-se qualquer equipamento eletrnico com atribuies de mobilidade de propriedade da instituio, ou aprovado e permitido por sua Gerncia de Sistemas, como: notebooks, smartphones e pendrives. Essa norma visa estabelecer critrios de manuseio, preveno e responsabilidade sobre o uso de dispositivos mveis e dever ser aplicada a todos os colaboradores que utilizem tais equipamentos.
Fls: 19 / 24

Verso: 1.0

O Senac So Paulo, na qualidade de proprietrio dos equipamentos fornecidos, reserva-se o direito de inspecion-los a qualquer tempo, caso seja necessrio realizar uma manuteno de segurana. O colaborador, portanto, assume o compromisso de no utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito prprio ou de terceiros, qualquer informao, confidencial ou no, que tenha ou venha a ter conhecimento em razo de suas funes no Senac So Paulo, mesmo depois de terminado o vnculo contratual mantido com a instituio. Todo colaborador dever realizar periodicamente cpia de segurana (backup) dos dados de seu dispositivo mvel. Dever, tambm, manter estes backups separados de seu dispositivo mvel, ou seja, no carreg-los juntos. O suporte tcnico aos dispositivos mveis de propriedade do Senac So Paulo e aos seus usurios dever seguir o mesmo fluxo de suporte contratado pela instituio. Todo colaborador dever utilizar senhas de bloqueio automtico para seu dispositivo mvel. No ser permitida, em nenhuma hiptese, a alterao da configurao dos sistemas operacionais dos equipamentos, em especial os referentes segurana e gerao de logs, sem a devida comunicao e a autorizao da rea responsvel e sem a conduo, auxlio ou presena de um tcnico da Gerncia de Sistemas. O colaborador dever responsabilizar-se em no manter ou utilizar quaisquer programas e/ou aplicativos que no tenham sido instalados ou autorizados por um tcnico da Gerncia de Sistemas do Senac So Paulo. A reproduo no autorizada dos softwares instalados nos dispositivos mveis fornecidos pela instituio constituir uso indevido do equipamento e infrao legal aos direitos autorais do fabricante. permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua casa, hotis, fornecedores e clientes. responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo mvel fornecido pelo Senac, notificar imediatamente seu gestor direto e a Gerncia de Sistemas. Tambm dever procurar a ajuda das autoridades policiais registrando, assim que possvel, um boletim de ocorrncia (BO). O colaborador dever estar ciente de que o uso indevido do dispositivo mvel caracterizar a assuno de todos os riscos da sua m utilizao, sendo o nico responsvel por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar ao Senac So Paulo e/ou a terceiros.
Fls: 20 / 24

Verso: 1.0

O colaborador que deseje utilizar equipamentos portteis particulares ou adquirir acessrios e posteriormente conect-los rede do Senac dever submeter previamente tais equipamentos ao processo de autorizao da Gerncia de Sistemas. Equipamentos portteis, como smart phones, palmtops, pen drives e players de qualquer espcie, quando no fornecidos ao colaborador pela instituio, no sero validados para uso e conexo em sua rede corporativa.
DATACENTER
O acesso ao Datacenter somente dever ser feito por sistema forte de autenticao. Por exemplo: biometria, carto magntico entre outros. Todo acesso ao Datacenter, pelo sistema de autenticao forte, dever ser registrado (usurio, data e hora) mediante software prprio. Dever ser executada semanalmente uma auditoria nos acessos ao Datacenter por meio do relatrio do sistema de registro. O usurio "administrador" do sistema de autenticao forte ficar de posse e administrao do coordenador de infraestrutura, de acordo com o Procedimento de Controle de Contas Administrativas. A lista de funes com direito de acesso ao Datacenter dever ser constantemente atualizada, de acordo com os termos do Procedimento de Controle de Acesso ao Datacenter, e salva no diretrio de rede. Nas localidades em que no existam colaboradores da rea de tecnologia da informao, pessoas de outros departamentos devero ser cadastradas no sistema de acesso para que possam exercer as atividades operacionais dentro do Datacenter, como: troca de fitas de backup, suporte em eventuais problemas, e assim por diante. O acesso de visitantes ou terceiros somente poder ser realizado com acompanhamento de um colaborador autorizado, que dever preencher a solicitao de acesso prevista no Procedimento de Controle de Acesso ao Datacenter, bem como assinar o Termo de Responsabilidade. O acesso ao Datacenter, por meio de chave, apenas poder ocorrer em situaes de emergncia, quando a segurana fsica do Datacenter for comprometida, como por incndio, inundao, abalo da estrutura predial ou quando o sistema de autenticao forte no estiver funcionando. Caso haja necessidade do acesso no emergencial, a rea requisitante deve solicitar autorizao com antecedncia a qualquer colaborador responsvel pela administrao de
Fls: 21 / 24

Verso: 1.0

liberao de acesso, conforme lista salva em Procedimento de Controle de Acesso ao Datacenter. Devero existir duas cpias de chaves da porta do Datacenter. Uma das cpias ficar de posse do coordenador responsvel pelo Datacenter, a outra, de posse do coordenador de infraestrutura. O Datacenter dever ser mantido limpo e organizado.. Qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poder ser realizado com a colaborao do Departamento de Servios Gerais. No permitida a entrada de nenhum tipo de alimento, bebida, produto fumgeno ou inflamvel. A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dar com o preenchimento da solicitao de liberao pelo colaborador solicitante e a autorizao formal desse instrumento pelo responsvel do Datacenter, de acordo com os termos do Procedimento de Controle e Transferncia de Equipamentos. No caso de desligamento de empregados ou colaboradores que possuam acesso ao Datacenter, imediatamente dever ser providenciada a sua excluso do sistema de autenticao forte e da lista de colaboradores autorizados, de acordo com o processo definido no Procedimento de Controle de Acesso ao Datacenter.
BACKUP
Todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horrio comercial, nas chamadas janelas de backup perodos em que no h nenhum ou pouco acesso de usurios ou processos automatizados aos sistemas de informtica. Os colaboradores responsveis pela gesto dos sistemas de backup devero realizar pesquisas frequentes para identificar atualizaes de correo, novas verses do produto, ciclo de vida (quando o software no ter mais garantia do fabricante), sugestes de melhorias, entre outros. As mdias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser acondicionadas em local seco, climatizado, seguro (de preferncia em cofres corta-fogo segundo as normas da ABNT) e distantes o mximo possvel do Datacenter.
Fls: 22 / 24

Verso: 1.0

As fitas de backup devem ser devidamente identificadas, inclusive quando for necessrio efetuar alteraes de nome, e de preferncia com etiquetas no manuscritas, dando uma conotao mais organizada e profissional. O tempo de vida e uso das mdias de backup deve ser monitorado e controlado pelos responsveis, com o objetivo de excluir mdias que possam apresentar riscos de gravao ou de restaurao decorrentes do uso prolongado, alm do prazo recomendado pelo fabricante. necessria a previso, em oramento anual, da renovao das mdias em razo de seu desgaste natural, bem como dever ser mantido um estoque constante das mdias para qualquer uso emergencial. Mdias que apresentam erros devem primeiramente ser formatadas e testadas. Caso o erro persista, devero ser inutilizadas. necessrio que seja inserido, periodicamente, o dispositivo de limpeza nas unidades de backup nos termos do Procedimento de Controle de Mdias de Backup. As mdias de backups histricos ou especiais devero ser armazenadas em instalaes seguras, preferencialmente com estrutura de sala-cofre, distante no mnimo 10 quilmetros do Datacenter. Os backups imprescindveis, crticos, para o bom funcionamento dos negcios do Senac, exigem uma regra de reteno especial, conforme previsto nos procedimentos especficos e de acordo com a Norma de Classificao da Informao, seguindo assim as determinaes fiscais e legais existentes no pas. Na situao de erro de backup e/ou restore necessrio que ele seja feito logo no primeiro horrio disponvel, assim que o responsvel tenha identificado e solucionado o problema. Caso seja extremamente negativo o impacto da lentido dos sistemas derivados desse backup, eles devero ser autorizados apenas mediante justificativa de necessidade nos termos do Procedimento de Controle de Backup e Restore. Quaisquer atrasos na execuo de backup ou restore devero ser justificados formalmente pelos responsveis nos termos do Procedimento de Controle de Mdias de Backup. Testes de restaurao (restore) de backup devem ser executados por seus responsveis, nos termos dos procedimentos especficos, aproximadamente a cada 30 ou 60 dias, de acordo com a criticidade do backup. Por se tratar de uma simulao, o executor deve restaurar os arquivos em local diferente do original, para que assim no sobreponha os arquivos vlidos.
Fls: 23 / 24

Verso: 1.0

Para formalizar o controle de execuo de backups e restores, dever haver um formulrio de controle rgido de execuo dessas rotinas, o qual dever ser preenchido pelos responsveis e auditado pelo coordenador de infraestrutura, nos termos do Procedimento de Controle de Backup e Restore. Os colaboradores responsveis descritos nos devidos procedimentos e na planilha de responsabilidade podero delegar a um custodiante a tarefa operacional quando, por motivos de fora maior, no puderem operacionalizar. Contudo, o custodiante no poder se eximir da responsabilidade do processo.
DAS DISPOSIES FINAIS

Assim como a tica, a segurana deve ser entendida como parte fundamental da cultura interna do Senac So Paulo. Ou seja, qualquer incidente de segurana subtende-se como algum agindo contra a tica e os bons costumes regidos pela instituio.
Fls: 24 / 24

Verso: 1.0

Psi Normas Administrativas

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Psi Normas Administrativas

Enviado por

Direitos autorais:

Formatos disponíveis

PSI Poltica de Segurana da Informao

Documento de Diretrizes e Normas Administrativas

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

DAS RESPONSABILIDADES ESPECFICAS

2 - Dos Colaboradores em Regime de Exceo (Temporrios)

3 - Dos Gestores de Pessoas e/ou Processos

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

4.2 - Da rea de Segurana da Informao

4.3 - Do Comit de Segurana da Informao

PSI - Poltica de Segurana da Informao

5 - DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

COMPUTADORES E RECURSOS TECNOLGICOS

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

PSI - Poltica de Segurana da Informao

DAS DISPOSIES FINAIS

Você também pode gostar