Escolar Documentos
Profissional Documentos
Cultura Documentos
1/62
Sumrio
1INTRODUO................................................................................................................................4 1.1DECLARAODECOMPROMETIMENTODADIREO..............................................4 1.2TERMOSEDEFINIES.......................................................................................................5 1.3VISOGERALDOSCONTROLESESEUSOBJETIVOS.................................................9 1.4LEGISLAO........................................................................................................................10 1.5DISPOSIODEATRIBUIES........................................................................................11 2CONDUTADEACESSOAREDE...............................................................................................12 2.1Abrangncia............................................................................................................................12 2.2AcessoeIdentificaodoUsurio.........................................................................................12 2.3RegrasdeUsodeRede...........................................................................................................13 2.4RegrasAdministrativasdeRedesedeServiosdeRede........................................................16 2.5RedeseServiosDisponveisnoMunicpio...........................................................................18 2.6MeiosdeAcessoaRedenoMunicpio...................................................................................19 2.7ProcessodeAutorizaoeouRemoodeAcessoaRedes................................................19 3CONDUTADEACESSOAINTERNET......................................................................................20 3.1Abrangncia............................................................................................................................20 3.2AcessoeIdentificaodoUsurio..........................................................................................20 3.3RegrasdeUsodeInternet.......................................................................................................21 3.4RegrasAdministrativasdeInternet.........................................................................................24 3.5ProcessodeAutorizaoouRemoodeAcessoaInternet..................................................25 3.6ProcessodeNotificaoparaBloqueioouLiberaodeEndereoseContedosaInternet.26 4CONDUTADEACESSOREMOTO.............................................................................................27 4.1Abrangncia............................................................................................................................27 4.2AcessoeIdentificaodoUsurio..........................................................................................27 4.3RegrasdeUsodeAcessoRemoto..........................................................................................28 4.4RegrasAdministrativasdeAcessoRemoto.............................................................................31 4.5ProcessodeAutorizaoouRemoodeAcessoaRedesRemotas......................................33 5CONDUTADEUSODEMENSAGENSELETRNICAS..........................................................34 5.1Abrangncia............................................................................................................................34 5.2AcessoeIdentificaodoUsurio..........................................................................................34 5.3RegrasdeUsodeMensagensEletrnicas...............................................................................35 5.4RegrasAdministrativasdeMensagensEletrnicas.................................................................37 5.5ProcessodeAutorizaoouRemoo....................................................................................38 6CONDUTADEUTILIZAODECONTASESENHAS..........................................................39 6.1Abrangncia............................................................................................................................39 6.2AcessoeIdentificaodoUsurio..........................................................................................39 6.3RegrasdeContaseSenhasparaUsurios..............................................................................40 6.4RegrasAdministrativasdeContaseSenhas...........................................................................41 6.5ProcessoParaCriaoouRemoodeContasdeUsurios...................................................43 7CONDUTADEINSTALAOEREMOODESOFTWARES.............................................44 7.1Abrangncia.............................................................................................................................44 7.2AcessoeIdentificaodoUsurio..........................................................................................44 7.3RegrasdeInstalaoeRemoodeProgramas......................................................................45 7.4RegrasAdministrativaseTcnicasdeInstalaoeRemoodeProgramas..........................46
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
2/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
3/62
4/62
Armazenamento completo: Arquivamento de todos os dados de um stio em uma mdia; Armazenamento diferencial: um stio em uma mdia; Banco de dados: Aplicao destinada ao armazenamento de um conjunto de informaes; Blog: Registro cronolgico inverso de mensagens postadas na WEB; Cdigo fonte Representao comumente textual de um conjunto de instrues utilizados para gerao de um programa; Compartilhamento de Arquivos: Tcnica utilizada para disponibilizao de um ou mais arquivos a outros usurios; Compilador: Aplicao destinada a gerar novas aplicaes utilizando-se de cdigos fontes; Conta de Usurio: Composto normalmente por nome de usurio e senha, permite acesso a um Arquivamento de cpias de um ou mais dados em unidades de mdia determinado sistema ou aplicao; Cpias de Segurana: com o intuito de prevenir a perda da informao; Correio eletrnico: Aplicao destinada ao envio e recebimento de mensagens eletrnicas; Descarte de equipamentos e mdias: Desktop: DHCP : Computador de uso pessoal; Permite a atribuio dinmica de nmeros IPs a um ou mais equipamentos; O mesmo que jogar fora um equipamento ou mdia; Arquivamento de todos os dados alterados e adicionados de
DNS: Permite a resoluo de nomes de um domnio devolvendo suas localizaes; Downgrade: Desfazer alguma atualizao, normalmente empregado no uso de aplicaes e sistemas;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
5/62
Encriptao: Termo utilizado para tornar uma informao sigilosa; Equipamento: uma tarefa. Exemplo: computador; Estao de trabalho: Computador de uso pessoal destinados a execuo de tarefas especficas; Ethernet Meio de acesso a Rede: Tecnologia computadores por meio de uma rede cabeada; Fibra tica Meio de acesso a Rede: Firewall: Fishing: Tecnologia tica que permite a interconexo de computadores por meio de uma rede cabeada; Aplicao destinada ao gerenciamento de segurana no trfego de informaes; Tcnica utilizada para atrair usurios para situaes potencialmente perigosas eltrica que permite a interconexo de
utilizando-se de mensagens eletrnicas; Flame Wars: Propagao de mensagens hostis e ou insultos entre usurios de uma rede; Flogs: Registro cronolgico inverso de fotos postadas na WEB; Formatao de dados: Remoo completa dos dados de uma mdia, preparando-a para nove escrita; FTP: Protocolo utilizado na transferncia de arquivos; Hardware: HTTP: IP: Impresso: impressora; Informao: Agrupamento de dados que contenham algum significado; Informao Sensvel: Informao de carter privativo normalmente associada com o negcio de um setor, departamento ou empresa; informao Sigilosa: Informao de acesso privativo e restrito destinados a pessoas autorizadas; Integridade da Informao: Interface de Desenvolvimento: construo de uma nova aplicao; Internet: Intranet: Interligao de computadores em rede distribudos mundialmente; Aplicao destinada a interpretao e execuo de cdigos fontes; Interligao de computadores em uma rede privada; Interpretadores: Qualidade associada a preciso da informao; Aplicao utilizada por um desenvolvedor destinada a Todo e qualquer componente fsico encontrado em um computador; Protocolo utilizado para visualizao de pginas na WEB; Servio destinado a gravao de dados em papel, normalmente realizado por uma
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
6/62
Proxy: Aplicao intermediria que permite a conexo entre uma mquina na intranet a Internet; Rdio Meio de acesso a Rede: interconexo de computadores por meio de uma rede sem cabos; Rede: Meio que proporciona a interconexo entre os computadores; Rede cabeada: Rede Externa: Rede Interna: Rede privada: Rede pblica: Rede sem fio: uma aplicao; Router: Equipamento utilizado para buscar um endereo e enviar pacotes a um destino; Segurana da Informao: o conjunto de propriedades que proporcionam disponibilidade, integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e no repdio aplicados sobre os sistemas de informao; Servidor: Equipamento destinado a prover um determinado servio; SGSI: Sistema Gesto da Segurana da Informao focado em: anlise, operao, monitoramento, implementao, manuteno e melhoramento do gerenciamento da segurana de informao; Sistema: Um conjunto de elementos interconectados; Um conjunto de arquivos impressos; Sistema Eletrnico: Um conjunto de equipamentos eletrnicos interconectados; Sistema Impresso: Rede que utiliza de cabeamento; Rede externa a um stio; Rede pertencente a um stio; O mesmo que intranet; Rede de livre acesso; Rede que propaga por outros meios, dispensando o uso de cabos;
Rede social: Interconexo de relacionamento entre vrias pessoas. Pode ser realizado por meio de
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
7/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
8/62
1.3
VISOGERALDOSCONTROLESESEUSOBJETIVOS A viso geral dos controles e seus objetivos so tabelados em quatro colunas: controle,
objetivo e ABNT. A coluna controle representa os nomes do captulos a serem abordados. O objetivo representa as metas do controle. ABNT representa a referencia dos controles na norma ABNT 17799:2005.
Objetivo No disseminao da informao com o dever de protegela. As informaes a serem protegidas deve atender as necessidades da instituio e as informaes tem de ser analisadas criticamente. Estabelecer boas prticas na utilizao de senhas. Especificar quais usurios esto autorizados a utilizar um determinado servio de rede afim de prevenir acesso no autorizado nas redes. Proteger as trocas de informaes com enfoque na Internet. Proteger as mensagens eletrnicas trafegadas pela rede. Especificar quais usurios esto autorizados a utilizar um determinado acesso remoto e implementar procedimentos que satisfaam a necessidade do acesso remoto.
ABNT 6.1.5
11.3.1 11.4
10.8.4 11.7.2
Instalao e Remoo de Delimitar regras de restrio e permisso de acesso Software instalao de programas. Cpias de Segurana Garantir a recuperabilidade da informao aps um incidente catastrfico ou falha na integridade da informao. Garantir o correto controle das informaes contidas em mdias e equipamentos para evitar fuga de informao sensvel dos domnios organizacionais. Tabela 1 Diagramao de seus Controles e Objetivos.
12.4.1 10.5.1
9.2.6 9.2.7
10.7.2
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
9/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
10/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
11/62
2.1 Abrangncia
EstanormaabrangetodososusuriosdomunicpiodeSoJosdoRioPreto.Sendoestes estatutrios,celetistas,estagirioseouterceirosqueutilizamserviosderede.
2.2 AcessoeIdentificaodoUsurio
TodousuriodomunicpiotemseusidentificadoresprovidospelaEMPROeseuacesso Internetestrestritoaosprivilgiosdousurio.Osprivilgiossodefinidospelodiretorpresidente, responsveleousecretriodecadasetorpblicoenvolvido.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
12/62
2.3 RegrasdeUsodeRede Ousurioresponsveldiretopelocumprimentodasregrasepelasinformaestrafegadas nasredesprivadasdomunicpioeredespblicasoriundasdamquinapeloqualresponsvel,em casodenocumprimentoousurioestarpassveldepunio.Estasregrasestodescritasabaixo: I. Ousurio responsvelpelaprpriaedevidaautenticaonossistemasderedes disponibilizadospelaEMPRO,nopodendofornecereoucompartilharseuusurio,senhae ouacessoaredecomoutrosusurios; II. Ousurioest proibidodeutilizarcontasdeacesso sredespertencentesaoutros usurios; III. proibidoaousuriotrafegarinformaessigilosasemredespblicas.Nocasode dvida sobre osigilo destas informaes, contate e aguarde a aprovao por escrito do presidente,responsveleoudiretordosetorcompetente.Casosejaestritamentenecessrioo enviodainformaoparaumaredeexterna,contateogestordeseguranadainformaodo municpio; IV. Ousuriocomacessoredenopodeutilizaresteacessoparaenviodeprogramas licenciadoseoudadospertencentesaEMPRO,municpioeouquaisqueroutrossetoresdo municpio; V. Ousuriosomentepoder trafegar informaes oriundasderedespblicasdesde quenofiratodaequalquerconformidadelegalprevistaemlei.Deveserespeitarosdireitos autorais,proprietrios,intelectuaisedelicenciamentodetodoequalquerarquivo.No permitida a instalao de programas sem a prvia autorizao do diretor presidente, responsveleoudosecretriodosetorsolicitante,etambmsemaprviaautorizaodo gestordeusuriosdomunicpioedogestordeseguranadainformao;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
13/62
VI. O usurio est comprometido a utilizar as redes pblicas e ou privadas do municpioparausoexclusivodeatividadesrelacionadasaosetornoqualousuriopertence; VII.PorserumserviodeconcessocedidopelaEMPROaomunicpio,ousuriofica cientesobrepossvelauditoriainternarelacionadaaosacessosderede.Esteprocessodeve conterautorizaododiretorpresidente,responsveleoudosecretriodosetorcabvel,bem como a autorizao do gestor de usurios do municpio e do gestor de segurana da informaodomunicpio; VIII. O usurio se compromete a respeitar toda a CONDUTA DE USO DE MENSAGENSELETRNICAS; IX. OusuriosecomprometearespeitartodaaCONDUTADEUSODEACESSOA INTERNET; X. proibido autilizaode proxies no autorizados quepermitamotrfego de informaesaredesprivadasexternas; XI. proibidooacessoaredesquedisponibilizemcontedosobscenos,pornogrficos, erticos,racistas,nazistasedequalqueroutrocontedoqueviolemalei; XII. O usurio responsvel por informar a EMPRO, por meio de solicitao de servio todo e qualquer contedo inapropriado contendo informaes pornogrficas, erticas,racistas,nazistas,discriminatriasedequalqueroutrocontedoqueviolemalei; XIII.Ousurionodeveutilizaroacessoarede,tantoaintranetquantoaInternet,para molestar, caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituies pblicas e ou instituies privadas. Este item tambm compreende todo e qualqueratoilcitoproibidosporlei;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
14/62
15/62
AEMPRO,ogestordeusuriosdomunicpioeogestordeseguranadainformaono seresponsabilizamporpossveisperdaseoudanosquepossamsercausadospelautilizaodo acessoInternet. 2.4 RegrasAdministrativasdeRedesedeServiosdeRede O administrador responsvel direto pelo cumprimento destas regras, sendo o administrador(celetista,estatutrioeouterceiro)gerenciadopelaEMPRO. I. Oadministrador responsveldiretopelamanuteno,integridade,seguranae disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do respectivosistemadeveinformarosuperiorimediatodosetorcorrespondente; II. Oadministrador proibidodealterar quaisquer informaes trafegadas na rede oriundasdosequipamentosdosusuriodomunicpio; III. Acada30diasoadministradordeveverificaraexistnciadecontasinvlidase informarpormeiodeumrelatrioaogestordeseguranadainformao.Aremoode contasinvlidasdeveserpreviamenteaprovadaspelogestordeseguranadainformaoe enviadoporumasolicitaodeservio; IV. Osservidoresdeacesso Internetdevemsergerenciadosparacoibir,sempreque possvel, o trfego de informaes com contedos de entretenimento, pornogrficos, discriminatrios,racistas,obscenos,nazistas,vrus,programas(noautorizados)equaisquer outroscontedosqueviolemalei,ouapropriedadeintelectual,ouapropriedadeautoral; V. O administrador pode analisar, visualizar e ou bloquear quaisquer informaes trafegadaspelaredeindependentementedesuaorigemecontedo.Ousejaoadministrador temodireitodeanalisarevisualizarasinformaestrafegadasemredemesmoqueestas contenhaminformaespessoais;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
16/62
VI. O administrador tem total liberdade de bloquear e ou liberar acesso a rede e serviosderedepormeiodemecanismosautomticoseoumanuais; VII.Oadministradorresponsvelpelaproteodainformaoduranteotrafegopela redededomniomunicipal.Ento,cabeaoadministradorogerenciamentodecontrolese procedimentosnoacessodeconexeseserviosderede; VIII. Oadministrador responsvelpelodesenvolvimentodeprocedimentosseguros, no trafego de informaes entre redes privadas, que permitam um usurio devidamente autorizadoaconectarseemredesexternas.Nestecaso,oadministradordeveproveruma redeprivadavirtual(VPN); IX. O administrador responsvel pela devida identificao dos equipamentos conectadosaintranetpertencentesaomunicpio.Paratanto,oadministradorpodeseutilizar demscaraderedeeendereosIP; X. Oadministrador responsvelpelasegregaodasredes.Cadadomniolgico segregadodeveconterapenas osusurios querealizematividadesparaumdeterminado setor. Tambm de responsabilidade do administrador a definio do permetro de seguranadestassegregaodarede; XI. O administrador responsvel pela utilizao de filtros de trfego utilizando tabelasderestrieseouregraspredefinidasquerestrinjamoacessodosusuriosaservios deredenoautorizados; XII. O administrador responsvel pelo controle de roteamento de redes, com o objetivodeasseguraraintegridadedosprivilgiosdosusuriosnosacessossredes.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
17/62
RedeeServiodeRede Intranet ContasdeUsurio DNS DHCP IdentificaodosEquipamentosnaredeporIP CompartilhamentodeArquivos Correioeletrnico Internet Impresso AcessoRemoto AntiVrus AntiSpam Proxy Firewall HTTP FTP MensageiroInstantneo
Responsvel EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO EMPRO
Observao: Embora estes sejam as redes e servios de redes disponibilizados pelo municpio,oacessodousurioacadaumdestesservioseredesestrestritoaoprprioprivilgio deacessodousuriodefinidoindividualmenteouemgrupo.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
18/62
2.6 MeiosdeAcessoaRedenoMunicpio OsmeiosdeacessoarededisponibilizadospelomunicpiodeSoJos doRioPretoa diferentesusuriosatapresentedatadepublicaodestedocumentoso: Meio Cabo(Ethernet) Cabo(Fibraptica) Rdio(SemFio) Responsvel EMPRO EMPRO EMPRO
Observao: Embora estes sejam os meios de acesso a redes disponibilizados pelo municpio,oacessodousurioacadaumdestesservioseredesestrestritoaoprprioprivilgio deacessodousuriodefinidoindividualmenteporumpresidente,diretoreouresponsvel. 2.7 ProcessodeAutorizaoeouRemoodeAcessoaRedes Asolicitaoparaaliberaoounegaodeacessoaredes requisitadasomentepelo, diretor presidentes, responsveis e ou diretores do setor pblico solicitante no municpio. Esta solicitao deve ser realizada por intermdio de uma solicitao de servio a EMPRO, contemplandoosrequisitosdescritosabaixo: I. Nomedosolicitante(responsvelpelosetor); II. Pessoaparacontato; III. Nomedousurioqueutilizarosserviosderede; IV. Informar:requisiodeacessoouremoorede; V. Descriodetalhada; VI. Justificativa para a liberao ou remoo de acesso contendo tipo de acesso e privilgiosesperados. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlisedassolicitaesdeservio.Nocasodeaprovao,ogestordeusuriosdomunicpiodeve liberarasolicitaodeservioparaexecuo.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
19/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
20/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
21/62
VII.PorserumserviodeconcessocedidopelaEMPROaomunicpio,ficacienteo usuriosobrepossvelauditoriainternarelacionadosaosacessosdousurioaInternet.Este processodeveconterautorizaodopresidente,responsveleoudodiretordosetorcabvel, bemcomoaautorizaodogestordeusuriosdomunicpioedogestordeseguranada informaodomunicpio; VIII.Ousurionodeveutilizarprogramasdecompartilhamentodearquivostantovia WEBquantoinstaladoslocalmenteoudequalqueroutranatureza,salvoosprogramasque contenhamprviaautorizaododiretorpresidente,responsveleousecretriodosetor competente, e tambm a aprovao do gestor de usurios do municpio e do gestor de seguranadainformaodomunicpio; IX. proibidoaousuriotodoequalqueracessoapginasderelacionamento,blogs, mensageirosinstantneos,jogos,redessociaisouqualqueroutrapginarelacionadacom contedos de entretenimento, salvo os endereos que contenham prvia autorizao do diretordiretor,responsveleousecretriodosetorcompetente,etambmaaprovaodo gestordeusuriosdomunicpioedogestordeseguranadainformaodomunicpio; X. proibido a utilizao de pginas e programas que permitam acesso no autorizadoapginasdevidamentebloqueadaspeloadministradordosistemadeinternetou decontedonocabvelasatividadesrealizadaspelousurio; XI. proibidooacessodepginasquecontenhamcontedosobscenos,pornogrficos, erticos,racistas,nazistasedequalqueroutrocontedoqueviolemalei; XII. O usurio responsvel por informar a EMPRO, por meio de solicitao de servio, todo e qualquer contedo inapropriado contendo informaes pornogrficas, erticas,racistas,nazistas,discriminatriosedequalqueroutrocontedoqueviolemalei;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
22/62
23/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
24/62
3.5 ProcessodeAutorizaoouRemoodeAcessoaInternet AsolicitaoparaaliberaoounegaodeacessoaInternetrequisitadasomentepelos diretorespresidentes,responsveiseousecretriosdosetorpblicosolicitantenomunicpio.Esta solicitao deve ser realizada por intermdio de uma solicitao de servio a EMPRO, contemplandoosrequisitosdescritosabaixo: I. Nomedosolicitante(responsvelpelosetor); II. Pessoaparacontato; III. Nomedousurioqueutilizarosserviosderede; IV. Informar:requisiodeacessoouremooInternet; V. Descriodetalhada; VI. JustificativaparaaliberaoouremoodeacessoInternet. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlisedassolicitaesdeservio.Nocasodeaprovao,ogestordeusuriosdomunicpiodeve liberarasolicitaodeservioparaaexecuo.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
25/62
3.6 ProcessodeNotificaoparaBloqueioouLiberaodeEndereoseContedosa Internet AsolicitaoparaaliberaooubloqueiodeacessosacontedoseendereosdeInternet podeserrealizadasomentepelo,diretorpresidente,responsveleousecretrio.Estasolicitao deveserrealizadaporintermdiodeumasolicitaodeserviosendoestedisponibilizadopela EMPRO,contemplandoosrequisitosdescritosabaixo: I.Nomedosolicitante(responsvelpelosetor); II.Pessoaparacontato; III.Nomedousurio; IV.Informar:requisiodeliberaooubloqueiodeendereos; V.Descriodetalhada; VI.Justificativaparaaliberaooubloqueiodoendereo. Cabe ao administrador de acesso Internet a conferncia, aprovao e ou reprovao do uso e ou visualizao de endereos e ou contedos. Porm o administrador do sistema de Internet pode entrar em contato com os diretores presidentes, responsveis e ou secretrios do setor relacionado para sanar dvidas quanto ao contedo da solicitao de servio.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
26/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
27/62
4.3 RegrasdeUsodeAcessoRemoto Ousurioresponsveldiretopelocumprimentodasregrasepelasinformaestrafegadas entreredesprivadas.Emcasodenocumprimentoousurioestar passveldepunio.Estas regrasestodescritasabaixo: I. Ousurio responsvelpelaprpriaedevidaautenticaonossistemasderedes disponibilizadaspelaEMPROemconjuntocomoutrasinstituiesprivadasoupblicas; Nopodendofornecereoucompartilharseuusurio,senhaeouacessoaredecomoutros usurios; II. Ousurioestaproibidodeutilizarcontasdeacessoaredespertencentesaoutros usurios; III. proibidoaousuriotrafegarinformaessigilosasedepropriedadedomunicpio emredesprivadasexternas,salvoocasodestasinformaessigilosasserempreviamente autorizadasporescritopelopresidente,diretorouresponsveldosetorcompetenteesomado comaautorizaodogestordeseguranadainformaodomunicpio.Nocasodedvida sobreosigilodestasinformaes,contateeaguardeaaprovaoporescritodopresidente, responsveleoudiretordosetorcompetente; IV. Ousuriocomacessoredenopodeutilizaresteacessoparaenviodeprogramas licenciadoseoudadospertencentesaEMPRO,municpioeouquaisqueroutrossetoresdo municpio; V. Ousuriosomentepoder trafegar informaes oriundasderedesexternasdesde que no fira toda e qualquer conformidade legal. Devese respeitar os direitos autorais, proprietrios,intelectuaisedelicenciamentodetodoequalquerarquivo.Nopermitidoa instalaodeprogramassemaprviaautorizaodopresidente,responsveleoudodiretor
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
28/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
29/62
XIV.Ousurioexternodeveconfigurardeformaadequadaofirewalleaproteoanti vrusnaredeexternaarederedemunicipal; XV. Ousurioexternodevegarantiramanutenodoequipamentotanto hardware quantosoftwareutilizadosremotamente.Ecasonecessriosersolicitadoaprovisodeum seguro,estasolicitaorealizadapelogestordeseguranadainformaodomunicpio; XVI. O usurio no deve permitir que familiares e ou visitantes acessem estes equipamentos; XVII.Ousurioexternoresponsvelpeladevidacpiadeseguranadainformaes presentesemequipamentosexternosarededomunicpio.Ecasorequeridotambmdever serimplementadosprocedimentosdecontinuidadedonegcio.Estarequisio realizada pelogestordeseguranadainformaodomunicpio; XVIII. O usurio fica ciente da obrigatoriedade de devoluo de equipamentos de propriedadedomunicpio; XIX.Ousurioexterno,noquetangeautilizaodeequipamentosdepropiedadedo municpio,abremodapropriedadeintelectualsobreestasinformaes; XX.Ousurioexternodeveutilizarsomentesoftwaresdevidamentelicenciadoemseu equipamento; XXI.Ousuriodeveutilizarequipamentosdecomunicaoapropriadosexigidospelo administradordoacessoremoto; XXII. O usurio somente poder realizar as atividades em perodo estipulado pelo gestordeseguranadainformaodomunicpio;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
30/62
4.4 RegrasAdministrativasdeAcessoRemoto O administrador responsvel direto pelo cumprimento destas regras, sendo os administradores(funcionrios,estatutrioseouterceiros)gerenciadospelaEMPRO. I. Oadministrador responsveldiretopelamanuteno,integridade,seguranae disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do respectivosistemadeveinformarosuperiorimediatodosetorcorrespondente; II. Oadministrador proibidodealterar quaisquer informaes trafegadas na rede oriundasdosequipamentosdosusuriodomunicpio; III. O administrador pode analisar, visualizar e ou bloquear quaisquer informaes trafegadaspeloacessoremoto.Ousejaoadministradortemodireitodeanalisarevisualizar asinformaestrafegadasemredemesmoqueestascontenhaminformaespessoais; IV. O administrador tem total liberdade de bloquear e ou liberar acesso a redes e serviosderedequenoestejamacordados.; V. Oadministrador responsvelpelaproteodainformaoduranteotrfegopela rede.Ento,cabeaoadministradorogerenciamentodecontroleseprocedimentosnoacesso deconexeseserviosderede;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
31/62
VI. Oadministradorresponsvelpelodesenvolvimentodeprocedimentosseguros,no trfego de informaes entre redes privadas que permitam um usurio devidamente autorizadoaconectarseemredesexternas.Nestecaso,oadministradordeveproveruma redeprivadavirtual(VPN); VII.Oadministrador responsvelpelogerenciamentodeacessosfsicoselgicosem determinadasportasdestinadasparadiagnsticoeconfigurao; VIII. A troca de informaes entre redes privadas s podero ser iniciadas aps a identificaodoequipamentoeaautenticaodousurio; IX. Oadministradordeveaprovaroureprovaraseguranaeoambientefsicoutilizada nolocaldoacessoremoto; X. Oadministradordeveespecificar,aprovaroureprovaromeiodeacessoentreas redesenvolvidas,sendoestascabeadasousemfios; XI. Oadministradordeveconfigurardeformaadequadao firewall eaproteoanti vrusnarededomunicpio; XII.Oadministradordeveremoverosdireitosdeacessoremotodeusuriosexternosao trminodotrabalhoremoto.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
32/62
4.5 ProcessodeAutorizaoouRemoodeAcessoaRedesRemotas Asolicitaoparaaliberaoounegaodeacessoaredes requisitadasomentepelos presidentes,responsveiseoudiretoresdosetorpblicosolicitantenomunicpio.Estarequisio deveserrealizadaporintermdiodeumasolicitaodeservioaEMPRO,contemplandoos requisitosdescritosabaixo: I. Nomedosolicitante(responsvelpelosetor); II. Pessoaparacontato; III. Nomedousurioqueutilizarosserviosderede; IV. Informar:requisiodeacessoouremoorederemoto; V. Descriodetalhada; VI. Justificativaparaaliberaoouremoodeacessoremoto. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlise das solicitaes de servio. No caso de aprovao, o gestor de usurios do municpio deve liberar a solicitao de servio para a execuo.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
33/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
34/62
5.3 RegrasdeUsodeMensagensEletrnicas O usurio responsvel direto pelo cumprimento das regras e pelo contedo das mensagens enviadas, em casode no cumprimento ousurio estar passvel depunio. Estas regrasestodescritasabaixo: I. Ousurionodeveutilizarossistemasdemensagenseletrnicasparapropagao ougeraode spam,correntes,propagandas,pirmideseboatos.Somentedevemser enviadas as mensagens correlatas ao interesse profissional do setor que representa e do municpio; II. O usurio deve configurar o software de correio eletrnico e de mensagens instantneaspresentesnamquina,peloqual responsvel,paraenviarmensagens.Para prevenirperdadeinformaesporfalhasdeenvioousuriodeveconfigurarprogramasde correioeletrnicoedemensagensinstantneasparareceberoretornodasmensagens que noobtiveramsucessonoenvio; III. Ousurionodeveutilizarossistemasdemensagenseletrnicasparamolestar, caluniar,constranger,intimidar,extorquir,assediaroudifamaroutraspessoas,instituies pblicaseinstituiesprivadas.Esteitemtambmcompreendetodoequalqueratoilcito proibidosporlei; IV. Ousurionodeveutilizarossistemasdemensagenseletrnicasparaenvioeou armazenamento de contedos obscenos, pornogrficos, racistas e de qualquer carter discriminatrio.Adicionalmentenosedeveeditarouarmazenarmensagenscujocontedo ferealegislaovigente,amoraleosbonscostumes; V. Ousurionodevealimentarossistemasdemensagenseletrnicascommensagens dediscussooupolmicaquecaracterizemflamewars.Oflamewarcaracterizadocomoo
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
35/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
36/62
XIV. proibido ao usurio destinar o uso de contas pessoais nos programas de gerenciamentodemensagenseletrnicasinstaladasnaestaodetrabalho; AEMPRO,ogestordeusuriosdomunicpioeogestordeseguranadainformaono seresponsabilizamporpossveisperdaseoudanosquepossamsercausadospelautilizaodestes servios.
5.4 RegrasAdministrativasdeMensagensEletrnicas O administrador responsvel direto pelo cumprimento destas regras, Sendo estes responsveis(celetistas,estatutrios,estagirioseouterceiros)gerenciadospelaEMPRO. I. Os respectivos administradores de correio eletrnico, mensagens instantneas e mensagensdevozsobreIPsoresponsveisdiretospelamanuteno,integridade,segurana e disponibilidade destes sistemas. Em caso de eventuais problemas o administrador do respectivosistemadeveinformarosuperiorimediatodosetorcorrespondente; II. O administrador no pode acessar, ler, copiar, modificar e ou remover toda e quaisquermensagenseletrnicasenviadasporumusurio.Salvoocasoderecebimentode uma solicitao de servio para a execuo de cpia, leitura e ou remoo destas informaes.EstasolicitaodeserviodeveserenviadaaEMPROeaprovadapelogestor deseguranadainformaodomunicpio; III. A cada 30 dias os administradores devem verificar a existncia de contas e endereoseletrnicosinvlidoseinformarpormeiodeumrelatrioaogestordesegurana da informao. A remoo dos endereos eletrnicos e contas invlidas devem ser previamente aprovados pelo gestor de segurana da informao e enviado por uma solicitaodeservio.Aobrigatoriedadedeinformarosadministradoressobreaadmisso, demissoefriasdefuncionrios deresponsabilidadedosetorderecursoshumanosdo municpio;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
37/62
IV. Osservidoresdevemsergerenciadosparacoibir,semprequepossvel,oenvioeo recebimento de spam, mensagens pornogrficas, mensagens de carter discriminatrio, programas,cdigosexecutveiseenviodecontedoqueviolemapropriedadeintelectual; V. Osrespectivosadministradoresdosdiferentessistemasdemensagenseletrnicas so responsveis diretos pela segurana no acesso dos usurios em ambiente de redes pblicas.Oadministradordeveseutilizardemecanismostcnicosparagarantirosigiloda mensagememaisnveisdesegurananaautenticaodousurio.
5.5 ProcessodeAutorizaoouRemoo Asolicitaoparaainstalaoouremoodeprogramaseliberaoounegaodeacesso asistemasdemensagenseletrnicasrequisitadasomentepelosdiretorespresidentes,responsveis eousecretriosdosetorpblicosolicitantenomunicpio.Estarequisiodeveserrealizadapor intermdiodeumasolicitaodeservioaEMPRO,contemplandoosrequisitosdescritosabaixo: I. Nomedosolicitante(responsvelpelosetor); II. Pessoaparacontato; III. Nomedousurioqueutilizarosserviosdemensagenseletrnicas; IV. Informar: requisio de acesso ou remoo aos servios de mensagens eletrnicas; V. Descriodetalhada; VI. Justificativaparaaliberaoouremoodeacesso. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlise das solicitaes de servio. No caso de aprovao o gestor de usurios do municpio deve liberar a solicitao de servio para a execuo.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
38/62
6.1 Abrangncia
Esta norma abrange todos os usurios do municpio de So Jos do Rio Preto, sendo estes estatutrios, funcionrios, estagirios ou terceiros que utilizam os recursos computacionais que requerem autenticao por senhas.
6.2 AcessoeIdentificaodoUsurio
Todo o usurio do municpio possui para cada recurso computacional (estaes de trabalho, sistemas, etc) um identificador nico provido pela EMPRO, sendo que para cada identificador associado uma senha que permite o acesso ao recurso com seus devidos privilgios. Os privilgios so definidos pelo diretor e ou presidente de cada setor pblico envolvido.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
39/62
O usurio responsvel direto pelo cumprimento das regras e pelos recursos acessados com seus usurios e senhas, estando passvel de punio em caso de no cumprimento. Estas regras esto descritas abaixo:
I. O usurio deve, assim que receber as informaes da conta com a senha inicial temporria, providenciar a sua alterao para uma senha que seja de seu conhecimento exclusivo;
II. O usurio no deve armazenar as senhas anotadas em papel ou em arquivos, seja no computador ou em dispositivos mveis, de forma desprotegida, ou seja, sem se utilizar de um meio de proteo, como, por exemplo, criptografia;
III. As senhas de acesso tem carter pessoal, e intransfervel, cabendo ao seu titular total responsabilidade quanto ao seu sigilo;
IV. A prtica de compartilhamento de contas e senhas de acesso proibida e o titular que fornecer suas contas e senhas a outrem responder pelas infraes por este cometidas, estando passvel das penalidades previstas;
V. O usurio est proibido de utilizar contas e senhas de acesso pertencentes a outros usurios;
VI. Caso o usurio desconfie que sua senha no mais segura, ou de seu domnio exclusivo, dever solicitar imediatamente a alterao desta;
VII.As senhas para usurios finais devero conter no mnimo 6 (seis) caracteres, sendo recomendvel o uso de letras e nmeros. Sugere-se a utilizao de letras maisculas, minsculas e caracteres especiais ($, %, &,...);
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
40/62
VIII. Dever ser evitada a composio de senhas com sequncias numricas (123...) e/ou alfabticas (abc...), alm de senhas de fcil deduo (nome do usurio, data de nascimento, nome de entes queridos...);
IX. A reinicializao das senhas das contas s podero ser solicitadas atravs de solicitao formal do seu detentor, rea responsvel pela administrao das contas;
X. Em casos de necessidade extrema de reinicializar uma senha em sistemas crticos ser solicitado ao usurio a confirmao de algumas informaes de carter pessoal, a fim de confirmar a identificao do solicitante;
XI. O usurio no deve incluir suas senhas em nenhum processo automtico de autenticao, como por exemplo em uma macro ou funes-chave;
XII. O usurio no deve utilizar as mesmas senhas com finalidades pessoais e profissionais;
XIII. No ser permitido aos usurios finais possurem contas com perfil de administrador local das estaes, salvo solicitao expressa do diretor presidente , responsvel ou secretrio do setor.
6.4 RegrasAdministrativasdeContaseSenhas
Os usurios que possuem contas com privilgios de administrador so responsveis pelo cumprimento destas regras, sendo estes responsveis (funcionrios ou terceiros) gerenciados pela EMPRO. I. O usurio administrador assim que receber as informaes da sua conta com sua respectiva senha inicial temporria dever imediatamente providenciar a sua alterao para uma senha que seja de seu conhecimento exclusivo;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
41/62
III. proibida a utilizao de contas e senhas com privilgios de administrador pertencentes a outros usurios;
IV. No ser permitida a composio de senhas com sequncias numricas (123...) e/ou alfabticas (abc...), alm de senhas de fcil deduo (nome do usurio, data de nascimento, nome de entes queridos...);
V. As senhas para usurios com privilgios de administrador devero obrigatoriamente conter no mnimo 8 (oito) caracteres, sendo obrigatrio o uso de letras maisculas, minsculas e caracteres numricos e especiais ($, %, &,...). Para aqueles ambientes que no suportarem o mnimo de oito caracteres, devero ser utilizados o limite mximo que o ambiente permitir;
VI. Os sistemas e aplicaes devero prover algum mecanismo ou instruo que garanta que s sejam aceitas senhas com a formao acima citada;
VII. Os sistemas e aplicaes devero prover algum mecanismo ou instruo para bloquear as contas dos usurios aps 3 (trs) tentativas de acesso (login) sem sucesso;
VIII. As contas com privilgios de administrador no podero conter em sua formao nomes que possam identific-las como sendo uma conta de administrador (Exemplo: administrador, adm, admin, etc);
IX. Devero ser criadas, nos servidores, uma ou mais contas, sem nenhum privilgio, com a formao que possa identific-la como sendo uma conta de administrador. Essas contas devero ser constantemente submetidas auditoria, com o propsito de se verificar as tentativas de utilizao das mesmas.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
42/62
6.5 ProcessoParaCriaoouRemoodeContasdeUsurios
As solicitaes para criao de contas de usurios para acesso a rede ou sistemas devero ser feitas pelos diretores presidentes, responsveis e ou diretores do setor pblico solicitante. Estas solicitaes devero ser realizadas atravs de uma solicitao de servio EMPRO, contemplando os itens descritos abaixo: I. Nomedosolicitante(responsvelpelosetor); II. Pessoaparacontato; III. Nomedousurio; IV. Informar:requisiodecriaoouremoodecontadeusurio; V. Descriodetalhada; VI. Justificativa para a criao ou remoo de conta de usurio.
Nos casos de remanejamento de usurios, o presidente e ou diretor do setor pblico em que o usurio est ingressando deve realizar uma solicitao de servio EMPRO contendo os mesmos itens acima, a fim de manter atualizado os dados cadastrais do usurio e, principalmente, a lista de privilgios do mesmo.
Nos casos de desligamento do usurio, o presidente e ou diretor do setor pblico deve solicitar o bloqueio das contas do usurio atravs de solicitao de servio EMPRO. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlise das solicitaes de servio. No caso de aprovao o gestor de usurios do municpio deve liberar a solicitao de servio para a execuo.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
43/62
44/62
7.3 RegrasdeInstalaoeRemoodeProgramas Ousurioresponsveldiretopelocumprimentodasregrasepelainstalaoeremoode todo e qualquer programa no previamente autorizado pela EMPRO, gestor de usurios do municpioepelosdiretorpresidenteesecretrioseouresponsveisdosetorcompetente.Emcaso denocomprimentoousurioestarpassveldepunio.Estasregrasestodescritasabaixo: I. Ousurioproibidoinstalartodoequalquerprogramanoautorizadonocomputadore qualqueroutrodispositivocomputacionalpertencenteaomunicpio,salvoasinstalaesde programasquecontenhamprviaautorizaododiretoreoupresidentedosetor responsvel,etambmcomaaprovaodogestordeusuriosdomunicpioedogestorde seguranadainformaodomunicpio.Esteitemtambmaplicadoaprogramascom contedosdeatualizaoconhecidoscomopacthes; II. Aousuriopermitidoinstalartodoequalquerprogramapreviamenteautorizadopela EMPRO.Arelaodeprogramaspreviamenteautorizadossodisponibilizadosnapginada EMPRO; III. Ousurioproibidodeinstalareouremovertodoequalquerprogramavoltadopara desenvolvimentodeaplicaes,taiscomocompiladores,interpretadores,mquinasvirtuais, interfacesdedesenvolvimento(IDEs),bancodedados,cdigofontesequalqueroutra ferramentavoltadaadesenvolvimentodesoftware.Salvoosusuriosquenecessitemdestes programaspararealizarestasatividades.Estesusuriosdevemrequererprviaautorizao dodiretoreoupresidentedosetorresponsvel,etambmaaprovaodogestordeusurios domunicpioedogestordeseguranadainformaodomunicpio; IV. Ousurioproibidoderemovertodaequalquerversodesoftwareobsoleto,mesmoem casosondeexistaumaversoatualizadadaaplicaoutilizada;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
45/62
7.4 RegrasAdministrativaseTcnicasdeInstalaoeRemoodeProgramas Osadministradoresetcnicossoresponsveisdiretospelocumprimentodestasregras, Sendoestesresponsveis(funcionrios,estatutrioseouterceiros)gerenciadospelaEMPRO. I. Oadministradorresponsveldiretopelaatualizaodosprogramasnosequipamentos. Antesderealizartodaequalqueratualizaodesoftware,oadministradordeveenviaruma solicitaoaoseusuperiordescrevendoonomedoprograma,nmerodaverso,descrio, justificativa,asnotasdaverso,fabricante,pginadofabricanteedoproduto; II. Oadministradornodeveliberarsoftwaresemdesenvolvimento,testes,previews,betase candidatosaliberaoparainstalaoemcomputadoresdomunicpio.Somentedevemser utilizadosprogramashomologadoseliberadosparautilizaoemproduo; III. Oadministradorproibidodeinstalartodoequalquerprogramavoltadopara desenvolvimentodeaplicaes,taiscomocompiladores,interpretadores,mquinasvirtuais, interfacesdedesenvolvimento(IDEs),bancodedados,cdigofontesequalqueroutra ferramentavoltadaadesenvolvimentodesoftware,salvoosusuriosquenecessitemdestes programaspararealizarestasatividades.Estesusuriosdevemrequererprviaautorizao dodiretoreoupresidentedosetorresponsvel,etambmcomaaprovaodogestorde usuriosdomunicpioedogestordeseguranadainformaodomunicpio; IV. Oadministradorresponsvelpeladelegaoeourealizaodetestesnossoftwares.Os testesdevemconteranlisesdeusabilidade,amigabilidade,seguranaeefeitosnosistema.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
46/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
47/62
7.5 ProcessodeRequisiodeInstalaoeouRemoodeProgramas Asolicitaoparaainstalao,remooeou atualizaesdeprogramas requisitada somentepelospresidentes,responsveiseoudiretoresdosetorpblicosolicitantenomunicpio. Esta solicitao deve ser realizada por intermdio de uma solicitao de servio a EMPRO, contemplandoosrequisitosdescritosabaixo: I. Nomedosolicitante(responsvelpelosetor); II. Pessoaparacontato; III. Nomedousurio; IV. Informar:requisiodeinstalaoouremoodesoftware; V. Descriodetalhada; VI. Justificativaparainstalaoouremoodesoftware. Cabe ao gestor de usurios do municpio a aprovao, reprovao, questionamento e anlisedassolicitaesdeservio.Nocasodeaprovao,ogestordeusuriosdomunicpiodeve liberarasolicitaodeservioparaaexecuopelaEMPRO.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
48/62
Alguns dos agentes que podem acarretar perdas de informao so desastres naturais, acidentes, falhas de equipamentos e aes intencionais. Por isso, as cpias de segurana tambm devem ser efetuadas com periodicidade, bem como o teste de integridade das informaes contidas e o armazenamento das cpias devem ser realizados em locais distintos do local principal. No caso de perda de informao as cpias de segurana ajudaro a restaurao do contedo perdido permitindo a continuao do negcio. No caso de sistemas crticos devem ser realizadas cpias de segurana que abranjam todos os sistemas de informao, aplicaes e dados.
O objetivo deste tpico estipular um conjunto de diretrizes e recomendaes diferentes usurios do municpio. A boa utilizao destes servios de responsabilidade de cada usurio com seus respectivos privilgios.
8.1 Abrangncia
Esta norma abrange todos os usurios do municpio de So Jos do Rio Preto, sendo estes estatutrios, funcionrios, estagirios ou terceiros que utilizam o parque de tecnologia da informao do municpio.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
49/62
8.2 RequisiodeGerao,RecuperaoeouArmazenamentodecpiadeSegurana
Toda e qualquer cpia de segurana deve ser armazenada, gerada ou recuperada pela EMPRO. Para realizar a requisio necessria a autorizao prvia por solicitao de servio (sistema eletrnico disponibilizado pela EMPRO) do diretor e ou presidente do setor envolvido. Esta deve contemplar os itens descritos abaixo: I. Nomedosolicitante(responsvelpelosetor); II. Pessoaparacontato; III. Nomedousurio; IV. Informar:gerao/armazenamento ou recuperao; V. Descriodetalhada; VI. Justificativa para a gerao/armazenamento ou recuperao das cpias de segurana, bem como o intervalo de armazenamento, extenso, a frequncia e a criticidade deste processo.
8.3 RegrasdoUsurio
O usurio responsvel direto pelo cumprimento da regra referentes a cpias de segurana, estando passvel de punio em caso de no cumprimento. Esta regra est descrita abaixo:
I.
necessidade da gerao/armazenamento ou recuperao de uma cpia de segurana bem como seus parmetros a serem aplicados;
II.
operacionais a serem copiados. A necessidade de cpias de segurana de programas e sistemas operacionais est sujeita a recusa da EMPRO caso este no cumpra os termos legais e de licenciamento do produto;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
50/62
cpias de segurana. Entenda-se como extenso o armazenamento completo ou diferencial da informao contidas nas cpias de segurana. A extenso e a freqncia das cpias de segurana podem ser discutidas e alteradas pela EMPRO;
IV.
a qual pertence;
V.
O usurio pode requerer a encriptao dos dados para garantir, caso necessrio, a
confidencialidade da informao. Neste caso, a senha de recuperao, bem como a possibilidade de recuperao da informao atrelada a esta cpia de segurana, de total responsabilidade do usurio;
VI.
8.4 RegrasAdministrativas
Os usurios que possuem contas com privilgios de administrador so responsveis pelo cumprimento destas regras, sendo estes responsveis (funcionrios ou terceiros) gerenciados pela EMPRO.
I.O usurio administrador deve realizar as cpias de segurana sempre no perodo solicitado pelo usurio, conforme descrito na solicitao de servio;
II.O usurio administrador deve realizar testes peridicos sobre as cpias de segurana para verificar a integridade das mesmas. O perodo em que deve ser realizado os testes semestral, com possibilidade de reduo ou ampliao deste intervalo e deve estar de acordo com requisitos de negcio do usurio requerente;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
51/62
III.O usurio administrador responsvel pela integridade, completude e exatido das cpias de segurana efetuadas;
IV.O usurio administrador deve armazenar as cpias de segurana em locais remotos ao local principal;
V.O usurio administrador deve garantir que o nvel de proteo esteja em conformidade fsica e ambiental com as informaes contidas nas cpias de segurana;
VI.O usurio administrador responsvel pela elaborao, implantao e documentao do processo de gerao/armazenamento e restaurao de cpias de segurana em conformidade com as necessidades do usurio e dos requisitos de negcio. Sempre que possvel e aplicvel o usurio administrativo deve automatizar estes processos;
VII.O usurio administrador responsvel por testes peridicos dos processos de gerao/armazenamento e restaurao de cpias de segurana. A periodicidade destes testes deve ser definida em conformidade com a freqncia de falhas e a criticidade dos requisitos de negcio envolvidos;
VIII.O usurio administrador responsvel pela restaurao em at 7 dias teis das cpias de segurana quando requeridas. Este prazo somente ser aplicado desde que os equipamentos utilizados pelos usurios estejam plenamente funcionais para a restaurao das cpias de segurana;
IX.O usurio administrador responsvel pelo descarte das cpias de segurana quando o prazo de validade definida se esgotar;
X.O usurio administrador deve disponibilizar, quando solicitado, a encriptao dos dados para garantir, caso necessrio, a confidencialidade da informao. Neste caso, a senha de recuperao, bem como a possibilidade de recuperao da informao atrelada a esta cpia de segurana, de total responsabilidade do usurio requerente.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
52/62
9.1 Abrangncia
Esta norma abrange todos os usurios do municpio de So Jos do Rio Preto, sendo estes estatutrios, funcionrios, estagirios ou terceiros que utilizam o parque de tecnologia da informao do municpio.
9.2 Remoodepropriedade
Toda e qualquer remoo de equipamentos, informaes ou mdias requerem autorizao prvia por solicitao de servio (sistema eletrnico disponibilizado pela EMPRO) do diretor e ou
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
53/62
Quando devolvidos, os presidentes e diretores, responsveis devem se utilizar dos termos de remoo e devoluo disponibilizados pela EMPRO. Todos os registros de remoo e devoluo de equipamentos e mdias so devidamente registrados pela EMPRO.
Quando endereadas EMPRO, as solicitaes para alienao, remoo, reutilizao e ou descarte de mdias e equipamentos devero ser realizadas atravs de solicitao de servio, contemplando os itens descritos abaixo:
a) Nome do solicitante (responsvel pelo setor); b) Pessoa para contato; c) Nome do usurio; d) Informar: alienao, remoo, reutilizao e ou descarte de mdias e equipamentos relacionados; e) Descrio detalhada; f) Justificativa para a alienao, remoo, reutilizao e ou descarte de mdias e equipamentos relacionados.
A EMPRO responsvel somente pelo processamento destas solicitaes. Quando aplicado o processo de reutilizao e ou remoo dos equipamentos e mdias realizados pela EMPRO, os itens processados sero devolvidos ao setor solicitante.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
54/62
9.3 InspeesAleatrias
Todas as secretarias, autarquias e empresas pblicas pertencentes ao municpio esto passveis de inspees realizadas pela EMPRO para a deteco de retirada no autorizada de bens relacionados informtica, bem como a instalao no autorizada de dispositivos de gravao. A EMPRO deve comunicar a realizao destas inspees com, no mnimo, 24 horas de antecedncia. Estas inspees requerem a autorizao do presidente ou diretor do setor envolvido ou somente a autorizao do prefeito.
9.4 RegradoUsurio
O usurio responsvel direto pelo cumprimento da regra referentes a remoo, alienao, reutilizao e ou descarte de um equipamento e ou mdia, estando passvel de punio em caso de no cumprimento. Esta regra est descrita abaixo:
I. O usurio deve, sempre comunicar e aguardar autorizao ao diretor e ou presidente a necessidade da remoo, alienao, reutilizao e ou descarte de um equipamento e ou mdia.
9.5 RegrasdeUsuriosNomeados.
Os diretores e presidentes devem nomear um responsvel (referenciado como usurio nomeado). O usurio nomeado deve zelar pelo cumprimento destas regras, sendo estas listadas abaixo:
I. O usurio nomeado deve examinar todas as mdias de armazenamento, tanto contidas no equipamento quanto removveis, antes do descarte, para classificar e rotular a
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
55/62
II. O usurio nomeado responsvel pela anlise e avaliao de riscos sobre as informaes contidas. Logo o responsvel, diretor e ou presidente responsvel pela escolha de destruio fsica ou formatao dos dados contidos no equipamento ou na mdia. No caso de conserto de equipamentos e mdias, estes riscos devem ser avaliados para evitar a divulgao da informao sensvel;
III. O usurio nomeado deve recolher os equipamentos e mdias do setor a qual responsvel, e solicitar o recolhimento deste material pela EMPRO;
IV. O responsvel deve recolher todos os papis impressos destinados ao descarte e que contenham informaes sensveis, e solicitar a EMPRO o recolhimento do material;
V. O usurio nomeado responsvel pelo registro dos controles sobre os materiais alienados, reutilizados, removidos e ou descartados do seu setor;
VI. O usurio nomeado unicamente responsvel pela autorizao para alienao, reutilizao, remoo e ou descarte de mdias e equipamentos;
VII.O usurio nomeado, diretor e ou presidente so responsveis pelo devido armazenamento das mdias em ambiente seguro e de acordo com as especificaes do fabricante.
9.6 RegrasAdministrativas
Os usurios que possuem contas com privilgios de administrador so responsveis pelo cumprimento destas regras, sendo estes responsveis (funcionrios ou terceiros) gerenciados pela EMPRO.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
56/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
57/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
58/62
I. Ousuriotmplenacinciadequeosdadoseinformaes depropriedade do municpiodeSoJosdoRioPretosoconfidenciais; II. OusuriotmplenacinciaqueNOdevemdivulgar,revelareoupublicartodase quaisquerinformaesoudadosconfidenciaisdomunicpioqueenglobemqualquertipode negcio,comrcio,propriedadedainformao,propriedadeintelectual,knowhowoudados tcnicos.Aviolaodesteacordopassveldepunio; III. Ousurioaqualquermomentopoderoserauditadopelogestordeseguranada informaodomunicpioouporumaequipeescolhidapeloprpriogestordeseguranada informao. Esta auditoria tem como objetivo garantir que o sigilo e propriedade das informaesdomunicpiofoimantido; IV. O usurio tm plena cincia de que no caso de divulgao, revelao e ou publicaodeinformaesNOautorizadasestarosujeitosaspenalidadesprevistasemlei e,nocasodedivulgaodeinformaoporterceiros,dever ocorreropagamentosobreo valordainformaoliberada.Salvonoscasosdeexignciaprevistosemleisequaisquer outras instituies e ou setores governamentais que realizam alguma auditoria. As informaes consideradas autorizadas para a divulgao, revelao, publicao e ou distribuio so aquelas previamente autorizadas por escrito e assinadas pelo diretor presidenteousecretriodosetorenvolvido; V. Ousuriopodedivulgartodaequalquerinformaoquesejadedomniopblico, desdequenofiraesteacordo. Tambm passveldepublicaotodaequalqueroutra informaodepropriedadedomunicpiodecarterpblicoeautorizadaporescritocoma assinaturadopresidenteresponsveldosetorcomenviodecpiaparaogestordesegurana dainformaodomunicpio; VI. OgestordeseguranadainformaodomunicpiodeSoJos doRioPretotem como obrigao verificar que o usurio que tenha acesso s informaes e dados do
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
59/62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurana_unificadav2.odt
60/62
11 PENALIDADES
As penalidades aplicadas pelo no cumprimento da poltica de segurana do municpio por parte dos usurios e administradores so divididas em cinco categorias: comunicado, advertncia, suspenso, demisso por justa causa e indenizao monetria. Conforme descrito abaixo:
COMUNICADO O usurio ser notificado por correio eletrnico ou por ofcio contendo, de forma direta e clara, a violao praticada. Em caso de reincidncia, ser enviada uma cpia para o presidente, diretor ou responsvel do setor.
ADVERTNCIA O usurio ser advertido por ofcio, contendo de forma direta e clara a violao praticada com cpia para o presidente, diretor ou responsvel do setor. Este item s ser aplicado a funcionrios, estudantes e estatutrios, respeitando as conformidades legais e um processo de auditoria. SUSPENSO O usurio ser suspenso por ofcio, contendo de forma direta e clara a violao praticada com cpia para o presidente, diretor ou responsvel do setor. Este item s ser aplicado em funcionrios, estudantes e estatutrios, respeitando as conformidades legais e um processo de auditoria.
DEMISSO POR JUSTA CAUSA O usurio ser demitido por justa causa somente aps um processo de auditoria e dentro das conformidades legais. No caso dos funcionrios enquadrados no regime CLT ser aplicado o artigo 482 e paragrafo nico da Consolidao das Leis do Trabalho (DECRETO-LEI N. 5.452, DE 1 DE MAIO DE 1943). No caso de funcionrios enquadrados no regime ESTATUTRIO ser aplicado o estatuto que regulamenta a categoria. ANULAO CONTRATUAL O usurio terceirizado poder ter o contrato rescindido no caso de violao da poltica de segurana do municpio. INDENIZAO MONETRIA O usurio terceirizado ou a empresa representante legal do usurio ter que indenizar monetariamente o municpio no caso de violao da poltica de segurana do municpio. Este processo requer uma auditoria para analisar a ocorrncia e, caso necessrio, estabelecer o valor a ser indenizado, baseando-se em um acordo sobre valores da informao previamente estabelecido e assinado entre as partes.
12 REFERNCIASBIBLIOGRFICAS
ABNT 17799:2005 ABNT27001:2006