DIRETORIA DE TECNOLOGIA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Maio 2008
 ATENÇÃO

As informações existentes neste documento e em seus anexos são

para uso restrito aos destinatários do documento, conforme
descrito no cabeçalho, sendo seu sigilo protegido por lei. A leitura e
publicação indevidas poderão causar perdas materiais, financeiras e
de vantagem competitiva. É proibida a sua divulgação, reprodução
e cópia parcial ou total. O uso impróprio será tratado pela
legislação em vigor, por acordos de sigilo e pelas normas internas
da DTI.
 MENSAGEM DO CIO

Em cumprimento as orientações da Diretoria executiva da empresa, com

acessória do Diretor de Tecnologia da Informação está implantando, a partir
desta data, sua POLÍTICA DE SEGURANÇA DA INFORMAÇÃO.

Este documento contém uma série de normas que definem o uso adequado da
informação e de equipamentos de informática. Apresenta a conduta adequada
para todos os usuários informando seus direitos e deveres.

Estamos certos de que, de forma disciplinada, com orientação da Diretoria de

Tecnologia da Informação, estaremos possibilitando a utilização de todos os
recursos que a Tecnologia da Informação pode nos proporcionar para
realizarmos nossas tarefas diárias com sucesso e segurança.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Este documento denominado Política de Segurança da Informação, foi
produzido pela Diretoria de Tecnologia da Informação e normatiza as diretrizes
básicas de segurança para a conduta adequada de todos os usuários
(funcionários, prestadores de serviço, clientes, fornecedores, bolsistas e
estagiários) que utilizam os recursos de Tecnologia da Informação de
propriedade ou controlados pelo DTI.

SEGURANÇA DA INFORMAÇÃO

1. Esta Política define as diretrizes de uso da Tecnologia da Informação e da

 Segurança da Informação, visando preservar a integridade,
confidencialidade e disponibilidade das informações sob gestão da DTI –
EMPRESA. Descreve a conduta considerada adequada para o manuseio,
controle e proteção das informações contra destruição, modificação, seja
acidentalmente ou intencionalmente. Visa assegurar o nível de acesso às
informações que cada usuário tem direito.

2. A informação deve ser tratada como um patrimônio, devendo ser protegida

no acesso, tráfego, uso e armazenamento, de acordo com sua classificação
em graus de confidencialidade e criticidade. O valor atribuído às
informações permite estabelecer o nível de segurança adequado a cada
uma. Isto permite que a melhor decisão dos controles e procedimentos
necessários para a seleção, tratamento, transmissão, armazenamento e
descarte dessas informações.

3. As informações da EMPRESA são classificadas da seguinte forma:

3.1 - Informação Confidencial: aquelas cujo conhecimento e divulgação
possam ser prejudiciais aos interesses da EMPRESA;
3.2 - Informação Restrita: aquelas que não devam, imediatamente, ser do
conhecimento do público em geral, ou seja, deve somente ser divulgada aos
funcionários da EMPRESA;
3.3 - Informação Pública: aquelas cujo acesso é irrestrito, disponível para
divulgação pública através de canais autorizados pela EMPRESA, como
exemplo: Assessoria de Comunicação, Internet, mídias internas, etc.

4. A Política de Segurança da Informação é aplicável aos sistemas no ambiente

de computação quanto aos meios de processamento, comunicação e
armazenamento de dados, devendo ser obedecida por todos os usuários
(funcionários, prestadores de serviços, clientes, fornecedores, bolsistas e
 estagiários) que utilizam os recursos de Tecnologia da Informação de
propriedade ou controlados pela DTI, sendo de responsabilidade de cada um
o seu cumprimento.

5. Esta Política de Segurança da Informação da EMPRESA se aplica a também a

todas as unidades escolares conectadas através da Rede Corporativa da
EMPRESA.

6. As Gerencias que compõe a DTI são responsáveis pelos recursos de

Tecnologia da Informação disponibilizados para o uso da EMPRESA.
Conforme apresentado no item 11 desta política.

7. Cada usuário será identificado através de senha, pessoal e intransferível,

qualificando-o como responsável por todas as atividades desenvolvidas
através dela, sendo pré-requisito para a liberação de acesso, o
preenchimento de um termo de responsabilidade que ficará sob guarda da
Diretoria de Tecnologia da Informação.

8. Cada estação de trabalho (microcomputador) tem códigos internos que

permitem sua identificação na rede, e cada usuário possui um login e
senha. Todas as atividades que estejam sendo executadas na estação de
trabalho, serão de responsabilidade do usuário que estiver “logado”. A DTI
recomenda que, todo o usuário ao se afastar de sua estação de trabalho,
utilize o comando de logoff.

9. O microcomputador disponibilizado pela EMPRESA é sua ferramenta de

trabalho e para usá-lo corretamente, alguns itens deverão ser observados:
9.1 - Não instalar nenhum tipo de software / hardware sem autorização da
equipe técnica da Diretoria de Tecnologia da Informação;
9.2 - Não manter em seu equipamento, arquivos do tipo MP3, filmes, fotos
 e softwares com direitos autorais ou qualquer outro tipo de software não
licenciado;.................................................................
9.3 - Todas as informações relativas à EMPRESA devem ser mantidas no
microcomputador específico para cópias de segurança, denominado servidor
de dados, onde existe um sistema de backup diário e confiável que está
instalado nas dependências da DTI. Caso não saiba como proceder, será
necessário entrar em contato com a equipe técnica da DTI.
9.4 - Desligar o microcomputador e estabilizador, ao final do expediente;

10. O uso da tecnologia Internet e Intranet é uma concessão da Rede

Corporativa da EMPRESA aos funcionários, por este motivo o uso recreativo
da Internet, Intranet e Rede Local não deverá ocorrer no horário de
expediente.

11. Para uso e acesso da Internet será necessário observar os seguintes

tópicos:
11.1 - Somente navegação de sites é permitida. Casos específicos que
exijam outros protocolos deverão ser solicitados diretamente à Diretoria de
Tecnologia da Informação, com justificativa da chefia imediata;
11.2 - É proibido o acesso a sites com conteúdo pornográfico, jogos, bate-
papo, apostas e assemelhados, sendo este acesso bloqueado e monitorado
 constantemente pela equipe da DTI;.....................
11.3 - É proibido o uso de ferramentas P2P (Kazaa, E-Mule, Morpheus,etc.)
11.4 - É proibido o uso de qualquer tipo de IM (Instant Messenger) não
homologados/autorizados pela equipe de segurança da DTI.
11.5 – É expressamente proibido o compartilhamento do link fornecido pela
DTI, que é de uso exclusivo da área administrativa de cada unidade escolar.
É vedado o uso de PROXY/VLAN´S ou qualquer software/hardware similares
para o link acima citado.
O descumprimento deste item acarretará com o desligamento imediato do
link, até que a Presidência da EMPRESA seja comunicada e determine a DTI
qual providência a ser tomada.

12. Caso qualquer usuário seja detectado pelo monitoramento de rede

acessando um site ou programa indevido, conforme descrito no item 11
serão adotados os seguintes procedimentos:
12.1 – Na primeira ocorrência, o usuário será notificado por escrito com
endereçamento ao seu superior imediato;
12.2 – Na segunda ocorrência, o funcionário terá suspensa a sua concessão
de uso da internet por um período de 15 (quinze) dias;
12.3 - Os casos de reincidências serão penalizados com a suspensão por 60
(sessenta) dias da concessão do uso da internet;
12.4 – A normalização da concessão de uso da internet, após o período
mencionado nos itens 12.2 e 12.3, dar-se-á através de encaminhamento de
CI, da chefia imediata do funcionário, ao Diretor da DTI.
13. A DTI somente atuará junto aos usuários de equipamentos de informática,
para atendimento de qualquer tipo de solicitação, mediante a abertura de
uma OS - Ordem de Serviço. As solicitações deverão ser feitas através da
Central de Atendimentos da EMPRESA, fornecendo informações sobre o
equipamento, servidor responsável pelo setor, e tipo do serviço solicitado ou
descrição do defeito.

14. Acesso ao correio eletrônico

A EMPRESA, através do DTI que controla e orienta o uso de e-mails na
administração pública estadual, disponibilizará contas de correio eletrônico
corporativas observando as normas de boas práticas.
14.1 - Todas as contas de correio eletrônico deverão ter uma titularidade,
determinando a responsabilidade sobre a sua utilização;
14.2 - Os setores da EMPRESA poderão utilizar caixas postais corporativas
no Servidor de Correio Eletrônico da EMPRESA, em nome das respectivas
unidades administrativas ou setores (ex:tecnologia@easypackti.br),
ficando a responsabilidade sobre o uso dessas caixas, atribuída ao titular
do setor;
14.3 - Contas com inatividade por um período igual ou superior a 60
(sessenta) dias serão bloqueadas. Esta regra não se aplica as contas
vinculadas aos cargos/funções, por serem inerentes as atribuições desses
cargos/funções;
14.4 - O tamanho das caixas postais dos usuários da EMPRESA é definido
pelo DTI, que é o administrador do servidor de correio eletrônico Empresa.
Atualmente, o espaço disponibilizado para cada usuário é de 30 (trinta )
Mb;

14.5 - As mensagens que contenham arquivos anexados serão

transmitidas conforme os critérios estabelecidos pela Empresa, que são:
TAMANHO DO ANEXO HORÁRIO DE ENVIO E RECEBIMENTO
ATÉ 2,4 Mb De 06:00 às 00:00 horas
De 2,5 a 8,0 Mb De 00:01 às 05:59 horas
Utilizar outro meio de transmissão
Acima de 8,0 Mb
(ex.: FTP)

14.6 - As normas e procedimentos para utilização do correio eletrônico

estão disponibilizados na Intranet da EMPRESA;
14.7 - A Diretoria de Tecnologia da Informação possui um responsável em
atuar junto ao ISP para esclarecimentos ou resolução de problemas das
contas de e-mail dos endereços de @easypackti.com.br. Qualquer
necessidade deverá ser encaminhada ao endereço eletrônico:
gersap@@easypackti.com.br .
14.8 – O monitoramento e gestão de e-mails serão permanentemente
auditados pelas equipes de segurança da EMPRESA.
15. Regras para utilização do correio eletrônico (e-mail)
15.1 - O usuário é o responsável direto pelas mensagens enviadas por
intermédio do seu endereço de correio eletrônico;
15.2 - É vedada a utilização do Correio Eletrônico, nas situações abaixo:
15.2.1 - Envio de mensagens não autorizadas divulgando informações
sigilosas e/ou de propriedade da EMPRESA;
15.2.2 - Acesso não autorizado à caixa postal de outro usuário;
15.2.3 - Acesso não autorizado ao Banco de Dados do Correio
Eletrônico de qualquer Órgão;
15.2.4 - Envio de material que contrarie o disposto na legislação
vigente, a moral e os bons costumes;
15.2.5 - Envio de mensagens do tipo corrente e “spam”;
15.2.6 - Envio intencional de mensagens que contenham vírus
eletrônico ou qualquer forma de rotinas de programação de computador,
prejudiciais ou danosas;
15.2.7 - Envio de mensagens que contenham arquivos com código
executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf
e etc.) ou que representem um risco de segurança devido à descoberta
de uma nova vulnerabilidade.
15.2.8 - Utilização de listas e/ou caderno de endereços de qualquer
Órgão, para a distribuição de mensagens que não sejam de estrito
interesse funcional e sem a devida permissão do responsável pelas listas
e/ou caderno de endereços em questão;
15.2.9 - Todo e qualquer procedimento de uso do Correio Eletrônico
não previsto nesta Política, que possa afetar de forma negativa a
EMPRESA;

16. O cumprimento da Política de Segurança será permanentemente verificado

pela DTI.

17. A implantação de novos recursos de Tecnologia da Informação solicitados

 pelos usuários serão aqueles obrigatoriamente indispensáveis ao exercício
de suas atividades. Cabe ao seu superior imediato comunicar, em
documento oficial a DTI, a necessidade de determinado recurso ou o seu
término.

18. Os recursos de Tecnologia da Informação a serem colocados em produção

devem ser testados anteriormente em ambiente de homologação pela DTI,
para verificação dos impactos causados com sua implantação e utilização.

19. Caso seja preciso utilizar qualquer informação relativa à DTI, fora do
ambiente desta Fundação, será necessária autorização da Presidência da
EMPRESA, e sua utilização deverá observar as condições mínimas de
segurança.

20. Os usuários não podem, em qualquer tempo ou sob qualquer situação,

apropriar-se de informações vitais da EMPRESA.

21. É de responsabilidade do usuário, manter em segurança as informações

pertinentes ao desenvolvimento e manutenção de suas atividades na
EMPRESA através de rotina de backup disponibilizada pela DTI.
22. Aplicativo para criação de cópias de segurança (backup)
22.1 - A DTI disponibilizará a todos os usuários conectados a Rede
Corporativa EMPRESA um aplicativo (programa), para que sejam
realizadas cópias de segurança das informações contidas em seus
equipamentos. Este aplicativo permitirá ao usuário(s) do equipamento, a
realização de cópia de arquivos para um microcomputador “servidor de
dados”, onde ficarão armazenadas as informações da EMPRESA. Este
equipamento fica instalado nas dependências da DTI, não sendo permitido
o acesso por pessoas não autorizadas;
22.2 - A rotina que executará as cópias de segurança tratará apenas de
arquivos dos tipos:
- Documentos de texto do Word – com a extensão doc;
- Planilhas do Excel - com a extensão xls;
- Banco de dados do Access - com a extensão mdb e mde;
- Documentos de texto - com a extensão txt;
- Apresentações de Power Point - com a extensão pps e ppt.
22.3 - Caberá a DTI verificar periodicamente a necessidade de inclusão de
novos tipos de arquivos na rotina de backup;
22.4 - Será adotado o sistema de armazenamento de 3 (três) cópias,
sendo sobreposta sempre àquela que tiver a data mais antiga e
preservando-se as 2 (duas) mais recentes.
22.5 - A DTI será responsável pela guarda e custódia das informações
gravadas no servidor de dados, através do aplicativo de backup, podendo
ou não armazená-los em outros tipos de mídia (CD-R, DVD-R ou FITA
DAT) visando à segurança das mesmas.
22.6 - O usuário através de seu superior imediato, por meio de
documentação oficial, poderá solicitar a disponibilização parcial ou total de
suas informações copiadas pelo aplicativo da EMPRESA e que estejam
armazenadas no equipamento “servidor de dados”.

22.7 - A responsabilidade de realizar cópias de segurança dos arquivos

 não mencionados no item 22.2, é exclusiva do usuário(s) de cada
microcomputador, não cabendo a DTI qualquer responsabilidade sobre a
realização de cópias destes arquivos ou sobre o procedimento de backup
realizado.

23. - Os usuários de cada microcomputador são os responsáveis em apagar os

arquivos que influenciam o desempenho de sua utilização (ex: arquivos com
extensão “temp” ou “bak”), caso não saiba como fazê-lo, deverá solicitar a
DTI, através da abertura de uma OS (Ordem de Serviço).

24. Todos os usuários, tomando conhecimento de qualquer incidente ou falha

no esquema de segurança de acesso, devem notificar exclusivamente, à DTI.

25. Caberá a chefia de cada setor, apresentar a Política de Segurança da

Informação a todos os servidores em atividade e também para aqueles que
ingressarem no quadro de servidores da EMPRESA;

26. Não é permitido o acesso ou o compartilhamento entre microcomputadores

sem a concordância das partes ou por orientação da chefia do setor. Caso o
usuário do microcomputador não saiba se os recursos de seu computador
estão sendo utilizados por outro usuário, deverá solicitar a DTI que proceda a
uma verificação;

27. Todo remanejamento (troca de sala, andar, setor) de equipamentos de

informática deverá ser comunicado a DTI para que o cadastro de equipamentos
alugados e patrimoniados seja atualizado;

28. Caberá a chefia de cada setor, informar a DTI, o desligamento e

transferência de servidores para fins de atualização dos cadastros de usuários
junto a EMPRESA.

29. Todos os usuários deverão conhecer a Política de Segurança da

Informação, assinando documento oficial da EMPRESA, denominado “Termo
Individual de Responsabilidade”, comprovando ter realizado a leitura e
estar de pleno conhecimento das orientações ali descritas. Deverá seguir
rigorosamente o explicitado no documento denominado Política de Segurança
da Informação. O descumprimento das orientações contidas neste documento
implicará na aplicação de sanções administrativas previstas no Decreto Lei nº.
2.848/40, com as alterações da Lei nº. 9.983/00 e no Decreto nº. 2.910/98 ou
qualquer outra legislação que regule ou venha regular a matéria.

30. Esta política foi elaborada dentro das normas NBR ISO/IEC 17799 (ABNT)
e BS 7799 em cumprimento Decreto Estadual Nº 32716 de 30 de Janeiro de
2003.