Escolar Documentos
Profissional Documentos
Cultura Documentos
Psi Normas Administrativas
Psi Normas Administrativas
Informao
Documento de Diretrizes e Normas
Administrativas
V.1.0
Fls: 2 / 24
Verso:
1.0
ndice
OBJETIVOS ...................................................................................................................... 4
APLICAES DA PSI ..................................................................................................... 4
PRINCPIOS DA PSI ........................................................................................................ 5
REQUISITOS DA PSI ...................................................................................................... 5
DAS RESPONSABILIDADES ESPECFICAS ............................................................... 7
1 - Dos Colaboradores em Geral ................................................................................... 7
2 - Dos Colaboradores em Regime de Exceo (Temporrios) .................................... 7
3 - Dos Gestores de Pessoas e/ou Processos.................................................................. 7
4 - Dos Custodiantes da Informao.............................................................................. 8
5 - DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE ....................... 11
CORREIO ELETRNICO.............................................................................................. 11
INTERNET ...................................................................................................................... 13
IDENTIFICAO .......................................................................................................... 15
COMPUTADORES E RECURSOS TECNOLGICOS ................................................ 17
DISPOSITIVOS MVEIS .............................................................................................. 19
DATACENTER............................................................................................................... 21
BACKUP ......................................................................................................................... 22
DAS DISPOSIES FINAIS ......................................................................................... 24
Fls: 3 / 24
Verso:
1.0
A Poltica de Segurana da Informao, tambm referida como PSI, o documento que orienta
e estabelece as diretrizes corporativas do Senac So Paulo para a proteo dos ativos de
informao e a preveno de responsabilidade legal para todos os usurios. Deve, portanto,
ser cumprida e aplicada em todas as reas da instituio.
A presente PSI est baseada nas recomendaes propostas pela norma ABNT NBR ISO/IEC
27002:2005, reconhecida mundialmente como um cdigo de prtica para a gesto da
segurana da informao, bem como est de acordo com as leis vigentes em nosso pas.
Com a inteno de aumentar a segurana da infraestrutura tecnolgica direcionada ao uso
acadmico,
foi
desenvolvida
paralelamente
uma
Norma
de
Segurana
da
Informao
Educacional, visando a orientao de nossos clientes para a utilizao dos ativos de tecnologia
da informao disponibilizados.
Tais documentos encontram-se disponveis na intranet do Senac So Paulo, na seo
SisNormas.
OBJETIVOS
Estabelecer diretrizes que permitam aos colaboradores e clientes do Senac So Paulo seguirem
padres
de
comportamento
relacionados
segurana
da
informao
adequados
APLICAES DA PSI
As diretrizes aqui estabelecidas devero ser seguidas por todos os colaboradores, bem como os
prestadores de servio, e se aplicam informao em qualquer meio ou suporte.
Fls:
4
/
24
Verso:
1.0
PRINCPIOS DA PSI
Toda informao produzida ou recebida pelos colaboradores como resultado da atividade
profissional contratada pelo Senac So Paulo pertence referida instituio. As excees
devem ser explcitas e formalizadas em contrato entre as partes.
Os equipamentos de informtica e comunicao, sistemas e informaes so utilizados pelos
colaboradores para a realizao das atividades profissionais. O uso pessoal dos recursos
permitido desde que no prejudique o desempenho dos sistemas e servios.
O Senac So Paulo, por meio da Gerncia de Sistemas, poder registrar todo o uso dos
sistemas e servios, visando garantir a disponibilidade e a segurana das informaes
utilizadas.
REQUISITOS DA PSI
Para a uniformidade da informao, a PSI dever ser comunicada a todos os colaboradores do
Senac So Paulo a fim de que a poltica seja cumprida dentro e fora da empresa.
Dever haver um comit multidisciplinar responsvel pela gesto da segurana da informao,
doravante designado como Comit de Segurana da Informao.
Tanto a PSI quanto as normas devero ser revistas e atualizadas periodicamente, sempre que
algum fato relevante ou evento motive sua reviso antecipada, conforme anlise e deciso do
Comit de Segurana.
Dever constar em todos os contratos do Senac So Paulo o anexo de Acordo de
Confidencialidade ou Clusula de Confidencialidade, como condio imprescindvel para que
possa ser concedido o acesso aos ativos de informao disponibilizados pela instituio.
A responsabilidade em relao segurana da informao deve ser comunicada na fase de
contratao dos colaboradores. Todos os colaboradores devem ser orientados sobre os
Fls:
5
/
24
Verso:
1.0
procedimentos de segurana, bem como o uso correto dos ativos, a fim de reduzir possveis
riscos. Eles devem assinar um termo de responsabilidade.
Todo incidente que afete a segurana da informao dever ser comunicado inicialmente
Gerncia de Sistemas e ela, se julgar necessrio, dever encaminhar posteriormente ao Comit
de Segurana da Informao para anlise.
Um plano de contingncia e a continuidade dos principais sistemas e servios devero ser
implantados e
testados no
mnimo
anualmente, visando
reduzir riscos de
perda
de
Fls: 6 / 24
Verso:
1.0
Fls: 7 / 24
Verso:
1.0
Fls: 8 / 24
Verso:
1.0
incidentes de segurana (vrus, trojans, furtos, acessos indevidos, e assim por diante);
Fls: 9 / 24
Verso:
1.0
Verso:
1.0
Cabe ao CSI:
definir as medidas cabveis nos casos de descumprimento da PSI e/ou das Normas de
Segurana da Informao complementares.
CORREIO ELETRNICO
O objetivo desta norma informar aos colaboradores do Senac So Paulo quais so as
atividades permitidas e proibidas quanto ao uso do correio eletrnico corporativo.
O uso do correio eletrnico do Senac So Paulo para fins corporativos e relacionados s
atividades do colaborador usurio dentro da instituio. A utilizao desse servio para fins
pessoais permitida desde que feita com bom senso, no prejudique o Senac e tambm no
cause impacto no trfego da rede.
Fls: 11 / 24
Verso:
1.0
enviar mensagem por correio eletrnico pelo endereo de seu departamento ou usando
o nome de usurio de outra pessoa ou endereo de correio eletrnico que no esteja
autorizado a utilizar;
enviar qualquer mensagem por meios eletrnicos que torne seu remetente e/ou o
Senac So Paulo ou suas unidades vulnerveis a aes civis ou criminais;
contenha arquivos com cdigo executvel (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src,
.cpl, .reg, .dll, .inf) ou qualquer outra extenso que represente um risco
segurana;
Fls: 12 / 24
Verso:
1.0
inclua material protegido por direitos autorais sem a permisso do detentor dos
direitos.
As mensagens de correio eletrnico sempre devero incluir assinatura com o seguinte formato:
Nome do colaborador
Gerncia ou departamento
Nome da empresa
Telefone(s)
Correio eletrnico
INTERNET
Todas as regras atuais do Senac So Paulo visam basicamente o desenvolvimento de um
comportamento eminentemente tico e profissional do uso da internet. Embora a conexo
direta e permanente da rede corporativa da instituio com a internet oferea um grande
potencial de benefcios, ela abre a porta para riscos significativos para os ativos de informao.
Qualquer informao que acessada, transmitida, recebida ou produzida na internet est
sujeita a divulgao e auditoria. Portanto, o Senac So Paulo, em total conformidade legal,
reserva-se o direito de monitorar e registrar todos os acessos a ela.
Os equipamentos, tecnologia e servios fornecidos para o acesso internet so de propriedade
da instituio, que pode analisar e, se necessrio, bloquear qualquer arquivo, site, correio
eletrnico, domnio ou aplicao armazenados na rede/internet, estejam eles em disco local, na
estao ou em reas privadas da rede, visando assegurar o cumprimento de sua Poltica de
Segurana da Informao.
O Senac, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas.
Toda tentativa de alterao dos parmetros de segurana, por qualquer colaborador, sem o
devido credenciamento e a autorizao para tal, ser julgada inadequada e os riscos
relacionados sero informados ao colaborador e ao respectivo gestor. O uso de qualquer
recurso para atividades ilcitas poder acarretar as aes administrativas e as penalidades
decorrentes de processos civil e criminal, sendo que nesses casos a instituio cooperar
ativamente com as autoridades competentes.
Fls: 13 / 24
Verso:
1.0
proibida
divulgao
e/ou
compartilhamento
indevido
de
informaes
da
rea
administrativa em listas de discusso, sites ou comunidades de relacionamento, salas de batepapo ou chat, comunicadores instantneos ou qualquer outra tecnologia correlata que venha
surgir na internet.
Os colaboradores com acesso internet podero fazer o download (baixa) somente de
programas ligados diretamente s suas atividades no Senac e devero providenciar o que for
necessrio para regularizar a licena e o registro desses programas,desde que autorizados pela
GES.
O uso, a instalao, a cpia ou a distribuio no autorizada de softwares que tenham direitos
autorais, marca registrada ou patente na internet so expressamente proibidos. Qualquer
software no autorizado baixado ser excludo pela Gerncia de Sistemas.
Os colaboradores no podero em hiptese alguma utilizar os recursos do Senac So Paulo
para fazer o download ou distribuio de software ou dados pirateados, atividade considerada
delituosa de acordo com a legislao nacional.
O download e a utilizao de programas de entretenimento, jogos ou msicas (em qualquer
formato) podero ser realizados por usurios que tenham atividades profissionais relacionadas
a essas categorias. Para tal, grupos de segurana, cujos integrantes devero ser definidos pelos
respectivos gestores, precisam ser criados a fim de viabilizar esse acesso especial. Mediante
solicitao e aprovao da rea tcnica responsvel, o uso de jogos ser passvel de concesso,
em regime de exceo, quando eles tiverem natureza intrnseca s atividades de cursos
relacionados ao desenvolvimento de jogos.
Fls:
14
/
24
Verso:
1.0
Como regra geral, materiais de cunho sexual no podero ser expostos, armazenados,
distribudos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja
necessrio, grupos de segurana devero ser criados para viabilizar esse perfil de usurio
especial e seus integrantes definidos pelos respectivos gestores.
Colaboradores com acesso internet no podero efetuar upload (subida) de qualquer software
licenciado ao Senac So Paulo ou de dados de sua propriedade aos seus parceiros e clientes,
sem expressa autorizao do responsvel pelo software ou pelos dados.
Os colaboradores no podero utilizar os recursos do Senac para deliberadamente propagar
qualquer tipo de vrus, worm, cavalo de troia, spam, assdio, perturbao ou programas de
controle de outros computadores.
O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) no sero permitidos. J os
servios de streaming (rdios on-line, canais de broadcast e afins) sero permitidos a grupos
especficos. Porm, os servios de comunicao instantnea (MSN, ICQ e afins) sero
inicialmente disponibilizados aos usurios e podero ser bloqueados caso o gestor requisite
formalmente Gerencia de Sistemas.
No permitido acesso a sites de proxy.
IDENTIFICAO
Os dispositivos de identificao e senhas protegem a identidade do colaborador usurio,
evitando e prevenindo que uma pessoa se faa passar por outra perante o Senac So Paulo
e/ou terceiros.
O uso dos dispositivos e/ou senhas de identificao de outra pessoa constitui crime tipificado no
Cdigo Penal Brasileiro (art. 307 falsa identidade).
Tal norma visa estabelecer critrios de responsabilidade sobre o uso dos dispositivos de
identificao e dever ser aplicada a todos os colaboradores.
Todos os dispositivos de identificao utilizados no Senac So Paulo, como o nmero de
registro do colaborador, o crach, as identificaes de acesso aos sistemas, os certificados e
assinaturas digitais e os dados biomtricos tm de estar associados a uma pessoa fsica e
atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislao brasileira.
O usurio, vinculado a tais dispositivos identificadores, ser responsvel pelo seu uso correto
perante a instituio e a legislao (cvel e criminal).
Todo e qualquer dispositivo de identificao pessoal, portanto, no poder ser compartilhado
com outras pessoas em nenhuma hiptese.
Fls:
15
/
24
Verso:
1.0
Fls: 16 / 24
Verso:
1.0
logins com privilgios administrativos devem exigir a troca de senhas a cada 30 dias. Os
sistemas devem forar a troca das senhas dentro desse prazo mximo.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessrios.
Portanto, assim que algum usurio for demitido ou solicitar demisso, o Departamento de
Recursos Humanos dever imediatamente comunicar tal fato ao Departamento de Tecnologia
da Informao, a fim de que essa providncia seja tomada. A mesma conduta se aplica aos
usurios cujo contrato ou prestao de servios tenha se encerrado, bem como aos usurios de
testes e outras situaes similares.
Caso o colaborador esquea sua senha, ele dever requisitar formalmente a troca ou
comparecer pessoalmente rea tcnica responsvel para cadastrar uma nova.
Fls: 17 / 24
Verso:
1.0
Arquivos pessoais e/ou no pertinentes ao negcio do Senac So Paulo (fotos, msicas, vdeos,
etc..) no devero ser copiados/movidos para os drives de rede, pois podem sobrecarregar o
armazenamento nos servidores. Caso identificada a existncia desses arquivos, eles podero
ser excludos definitivamente por meio de comunicao prvia ao usurio.
Documentos imprescindveis para as atividades dos colaboradores da instituio devero ser
salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por
exemplo, no drive C:), no tero garantia de backup e podero ser perdidos caso ocorra uma
falha no computador, sendo, portanto, de responsabilidade do prprio usurio.
Os colaboradores do Senac So Paulo e/ou detentores de contas privilegiadas no devem
executar nenhum tipo de comando ou programa que venha sobrecarregar os servios
existentes na rede corporativa sem a prvia solicitao e a autorizao da Gerncia de
Sistemas.
No uso dos computadores, equipamentos e recursos de informtica, algumas regras devem ser
atendidas.
Todos os computadores de uso individual devero ter senha de Bios para restringir o
acesso de colaboradores no autorizados. Tais senhas sero definidas pela Gerncia de
Sistemas do Senac So Paulo, que ter acesso a elas para manuteno dos
equipamentos.
Fls: 18 / 24
Verso:
1.0
Devero ser protegidos por senha (bloqueados), nos termos previstos pela Norma de
Autenticao, todos os terminais de computador e impressoras quando no estiverem
sendo utilizados.
Todos
os
recursos
tecnolgicos
adquiridos
pelo
Senac
So
Paulo
devem
ter
Usar qualquer tipo de recurso tecnolgico para cometer ou ser cmplice de atos de
violao, assdio sexual, perturbao, manipulao ou supresso de direitos autorais
ou propriedades intelectuais sem a devida autorizao legal do titular;
DISPOSITIVOS MVEIS
O Senac So Paulo deseja facilitar a mobilidade e o fluxo de informao entre seus
colaboradores. Por isso, permite que eles usem equipamentos portteis.
Quando se descreve dispositivo mvel entende-se qualquer equipamento eletrnico com
atribuies de mobilidade de propriedade da instituio, ou aprovado e permitido por sua
Gerncia de Sistemas, como: notebooks, smartphones e pendrives.
Essa norma visa estabelecer critrios de manuseio, preveno e responsabilidade sobre o uso
de dispositivos mveis e dever ser aplicada a todos os colaboradores que utilizem tais
equipamentos.
Fls: 19 / 24
Verso:
1.0
Verso:
1.0
DATACENTER
O acesso ao Datacenter somente dever ser feito por sistema forte de autenticao. Por
exemplo: biometria, carto magntico entre outros.
Todo acesso ao Datacenter, pelo sistema de autenticao forte, dever ser registrado (usurio,
data e hora) mediante software prprio.
Dever ser executada semanalmente uma auditoria nos acessos ao Datacenter por meio do
relatrio do sistema de registro.
O usurio "administrador" do sistema de autenticao forte ficar de posse e administrao do
coordenador de infraestrutura, de acordo com o Procedimento de Controle de Contas
Administrativas.
A lista de funes com direito de acesso ao Datacenter dever ser constantemente atualizada,
de acordo com os termos do Procedimento de Controle de Acesso ao Datacenter, e salva no
diretrio de rede.
Nas localidades em que no existam colaboradores da rea de tecnologia da informao,
pessoas de outros departamentos devero ser cadastradas no sistema de acesso para que
possam exercer as atividades operacionais dentro do Datacenter, como: troca de fitas de
backup, suporte em eventuais problemas, e assim por diante.
O acesso de visitantes ou terceiros somente poder ser realizado com acompanhamento de um
colaborador autorizado, que dever preencher a solicitao de acesso prevista no Procedimento
de Controle de Acesso ao Datacenter, bem como assinar o Termo de Responsabilidade.
O acesso ao Datacenter, por meio de chave, apenas poder ocorrer em situaes de
emergncia, quando a segurana fsica do Datacenter for comprometida, como por incndio,
inundao, abalo da estrutura predial ou quando o sistema de autenticao forte no estiver
funcionando.
Caso haja necessidade do acesso no emergencial, a rea requisitante deve solicitar
autorizao com antecedncia a qualquer colaborador responsvel pela administrao de
Fls:
21
/
24
Verso:
1.0
BACKUP
Todos os backups devem ser automatizados por sistemas de agendamento automatizado para
que sejam preferencialmente executados fora do horrio comercial, nas chamadas janelas de
backup perodos em que no h nenhum ou pouco acesso de usurios ou processos
automatizados aos sistemas de informtica.
Os colaboradores responsveis pela gesto dos sistemas de backup devero realizar pesquisas
frequentes para identificar atualizaes de correo, novas verses do produto, ciclo de vida
(quando o software no ter mais garantia do fabricante), sugestes de melhorias, entre
outros.
As mdias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser acondicionadas em
local seco, climatizado, seguro (de preferncia em cofres corta-fogo segundo as normas da
ABNT) e distantes o mximo possvel do Datacenter.
Fls: 22 / 24
Verso:
1.0
As fitas de backup devem ser devidamente identificadas, inclusive quando for necessrio
efetuar alteraes de nome, e de preferncia com etiquetas no manuscritas, dando uma
conotao mais organizada e profissional.
O tempo de vida e uso das mdias de backup deve ser monitorado e controlado pelos
responsveis, com o objetivo de excluir mdias que possam apresentar riscos de gravao ou
de restaurao decorrentes do uso prolongado, alm do prazo recomendado pelo fabricante.
necessria a previso, em oramento anual, da renovao das mdias em razo de seu
desgaste natural, bem como dever ser mantido um estoque constante das mdias para
qualquer uso emergencial.
Mdias que apresentam erros devem primeiramente ser formatadas e testadas. Caso o erro
persista, devero ser inutilizadas.
necessrio que seja inserido, periodicamente, o dispositivo de limpeza nas unidades de
backup nos termos do Procedimento de Controle de Mdias de Backup.
As mdias de backups histricos ou especiais devero ser armazenadas em instalaes seguras,
preferencialmente com estrutura de sala-cofre, distante no mnimo 10 quilmetros do
Datacenter.
Os backups imprescindveis, crticos, para o bom funcionamento dos negcios do Senac,
exigem uma regra de reteno especial, conforme previsto nos procedimentos especficos e de
acordo com a Norma de Classificao da Informao, seguindo assim as determinaes fiscais e
legais existentes no pas.
Na situao de erro de backup e/ou restore necessrio que ele seja feito logo no primeiro
horrio disponvel, assim que o responsvel tenha identificado e solucionado o problema.
Caso seja extremamente negativo o impacto da lentido dos sistemas derivados desse backup,
eles devero ser autorizados apenas mediante justificativa de necessidade nos termos do
Procedimento de Controle de Backup e Restore.
Quaisquer atrasos na execuo de backup ou restore devero ser justificados formalmente
pelos responsveis nos termos do Procedimento de Controle de Mdias de Backup.
Testes de restaurao (restore) de backup devem ser executados por seus responsveis, nos
termos dos procedimentos especficos, aproximadamente a cada 30 ou 60 dias, de acordo com
a criticidade do backup.
Por se tratar de uma simulao, o executor deve restaurar os arquivos em local diferente do
original, para que assim no sobreponha os arquivos vlidos.
Fls: 23 / 24
Verso:
1.0
Fls: 24 / 24
Verso:
1.0