Escolar Documentos
Profissional Documentos
Cultura Documentos
Sistema FIEB
1 de 28
Sumrio
1.
Introduo............................................................................................................................. 3
2.
Objetivos ............................................................................................................................... 3
3.
Definies ............................................................................................................................. 4
4.
Escopo ................................................................................................................................... 7
5.
6.
Pessoal ................................................................................................................................ 11
7.
8.
9.
10.
11.
Disposies finais............................................................................................................ 28
2 de 28
1. Introduo
A Poltica de Segurana da Informao uma declarao formal do Sistema FIEB a
respeito do seu compromisso com a proteo dos ativos de informao de sua
propriedade ou sob sua guarda. Deve, portanto, ser cumprida pela Diretoria da FIEB e
a do CIEB, sindicatos, Conselhos das entidades (SESI, SENAI e IEL), fora de trabalho,
fornecedores, parceiros ou indivduos que tenham acesso a dados ou informaes do
Sistema FIEB ou de qualquer pessoa fsica ou jurdica vinculada ao Sistema FIEB, de
alguma forma.
Esta Poltica de Segurana da Informao foi elaborada pelo Comit de Segurana da
Informao do Sistema FIEB, com base na norma tcnica ABNT NBR ISO/IEC 27002 Tecnologia da Informao Tcnicas de Segurana Cdigo de prtica para a gesto
da segurana da informao, de acordo com a legislao vigente, realidade e
requisitos de negcio das entidades.
2. Objetivos
O propsito desta Poltica de Segurana da Informao estabelecer as diretrizes
aplicveis ao uso, tratamento, controle e proteo das informaes do Sistema FIEB,
contemplando os seguintes objetivos especficos:
3. Definies
Os termos e definies a seguir so importantes para a compreenso desta Poltica de
Segurana da Informao:
b) Confidencialidade:
a garantia de sigilo, ou seja, a informao acessvel somente a pessoas
autorizadas a terem acesso.
c) Integridade:
a garantia da criao legtima e da consistncia da informao ao longo do
seu ciclo de vida.
d) Disponibilidade:
a garantia de que a informao e os ativos associados estejam disponveis
para os usurios legtimos, sempre que necessrio.
f) Sistema FIEB:
Grupo de entidades composto pela FIEB, CIEB, SESI, SENAI e IEL.
g) Colaborador:
5 de 28
i) Lderes:
Grupo formado por coordenadores, gerentes, superintendentes e diretores.
j) Recursos de Tecnologia da Informao (TI):
Referem-se a qualquer sistema de armazenamento ou processamento da
informao, servio ou infraestrutura, ou s instalaes fsicas que os
abriguem, tais como:
aes nocivas aos sistemas, como vrus, cavalo de Tria, verme (worm) e afins.
l) Ameaa:
6 de 28
n) Vulnerabilidade:
Fragilidade de um ativo ou grupo de ativos pode ser explorada por uma ou mais
ameaas.
4. Escopo
Esta Poltica de Segurana da Informao aplica-se Diretoria da FIEB e a do CIEB,
sindicatos, Conselhos das entidades (SESI, SENAI e IEL), fora de trabalho, fornecedores
e parceiros.
5. Papis e responsabilidades
A segurana da informao responsabilidade de todo o Sistema FIEB. A Diretoria da
FIEB e a do CIEB, sindicatos, Conselhos das entidades (SESI, SENAI e IEL), fora de
trabalho, fornecedores e parceiros tm responsabilidade sobre a informao que
7 de 28
acessam e manipulam.
A responsabilidade pelo cumprimento de cada regra desta Poltica de Segurana da
Informao independe da existncia de controles que, de forma total ou parcial,
obriguem este cumprimento.
5.1. Comit de Segurana da Informao
O Comit de Segurana da Informao, formado por representantes das diversas reas
do Sistema FIEB, assume como responsabilidades:
As responsabilidades do
Coordenador so:
10 de 28
6. Pessoal
As pessoas, seu conhecimento, competncias e habilidades possuem valor como ativos
organizacionais. As medidas a seguir so necessrias para proteger este valor e
disseminar a cultura de Segurana da Informao pelo Sistema FIEB:
b) Acordo de Confidencialidade:
Toda a fora de trabalho deve assinar o Acordo de Confidencialidade, conforme
modelo constante do Anexo I desta Poltica de Segurana da Informao.
O Acordo de Confidencialidade valer durante todo o perodo do vnculo da
fora de trabalho com o Sistema FIEB e adicionalmente ter durao de 5
(cinco) anos aps o trmino deste vnculo. Em casos especficos, o prazo de
validade do Acordo de Confidencialidade obedecer a regulamentao que
orienta a atividade especfica, como: sade, educao, propriedade intelectual,
dentre outras.
O Acordo de Confidencialidade deve constar como clusula obrigatria nos
instrumentos celebrados com fornecedores e parceiros (tais como contratos,
convnios, termos de cooperao, parcerias e de compromisso) pelas
entidades do Sistema FIEB, observando-se que:
O Acordo de Confidencialidade valer durante todo o perodo de
vigncia do contrato e adicionalmente ter durao de 10 (dez) anos
aps o trmino da vigncia ou obedecer ao prazo que tiver sido
especificamente definido no contrato;
Em quaisquer outros casos, o prazo de validade do Acordo de
Confidencialidade obedecer a regulamentao que orienta a atividade
especfica, como: sade, educao, propriedade intelectual, dentre
outras.
12 de 28
d) Processos disciplinares:
Violaes a esta Poltica de Segurana da Informao sero analisadas pelo
Coordenador de Segurana da Informao, conforme a natureza, gravidade e
impacto causado. Se necessrio, o superior imediato da rea onde o fato
ocorreu ou o Comit de Segurana da Informao devero ser envolvidos no
processo de anlise.
Uma violao pode sujeitar a fora de trabalho do Sistema FIEB s penalidades
Abaixo. A penalidade a ser aplicada ser definida pelo superior imediato da
rea onde o fato ocorreu.
Advertncia formal;
Suspenso por perodo a ser definido;
Desligamento.
13 de 28
A Diretoria da FIEB e a do CIEB, sindicatos, Conselhos das entidades (SESI, SENAI e IEL),
fornecedores e parceiros podero ser responsabilizados por perdas e danos
decorrentes do descumprimento desta Poltica de Segurana da Informao.
Os instrumentos celebrados (tais como contratos, convnios, termos de cooperao,
parcerias e de compromisso) pelas entidades do Sistema FIEB obedecero s
penalidades previstas em caso de descumprimento das clusulas contratuais.
7. Segurana fsica
A segurana fsica essencial para a proteo dos ativos de informao. As diretrizes a
seguir devem ser observadas e respeitadas:
a) Proteo de equipamentos:
Todos os equipamentos de processamento de informao (servidores, estaes
de trabalho, notebooks, netbooks, tablets, smartphones, impressoras,
switches, dentre outros) devero ser:
Instalados, operados e mantidos atendendo s normas e padres
aplicveis, conforme as recomendaes dos respectivos fabricantes;
Protegidos de fogo, gua, fumaa, poeira e vibrao;
Mantidos em temperatura adequada ao seu funcionamento, conforme
as especificaes dos respectivos fabricantes.
14 de 28
nestes dispositivos.
Informaes sensveis no podem ser armazenadas em local no controlado pelo
Sistema FIEB, como armazenamento em nuvem, ou seja, na Internet (Amazon Cloud
Drive, Apple iCloud, Dropbox, Google Docs, Microsoft Sky Drive, dentre outros).
a) Autorizao de recursos:
A aquisio de novos recursos de processamento, armazenamento ou
transmisso de informaes deve ser pleiteada pelo gerente da rea
demandante ou seu superior, conforme a alada.
O processo de compra do Sistema FIEB pressupe que haja parecer tcnico
contemplando aspectos de segurana, compatibilidade e adequao
necessidade dos usurios. O Coordenador de Segurana da Informao deve
ser envolvido no processo, sempre que necessrio.
A utilizao de recursos de processamento de informao (estaes de
trabalho, notebooks, netbooks, tablets, smartphones, dentre outros)
particulares ou de terceiros na rede do Sistema FIEB deve observar os seguintes
16 de 28
pontos:
Para acesso restrito Internet: permitido, respeitando-se as regras
definidas nesta Poltica de Segurana da Informao;
Para acesso a dados: proibido. Se necessrio, excees devem ser
autorizadas pelo gerente da rea demandante, desde que sejam
adotados os mecanismos de segurana homologados pelo Sistema FIEB.
b) Trabalho remoto:
O acesso remoto da fora de trabalho do Sistema FIEB aos recursos e
informaes corporativas a partir da Internet, deve observar os seguintes
pontos:
Deve ser realizado em horrio de expediente. Se necessrio, excees
devem ser autorizadas pelo gerente da rea demandante;
No perodo de frias, licena ou afastamento proibido, sem exceo;
Acesso ao correio eletrnico permitido e automaticamente
criptografado;
Acesso a dados permitido, desde que seja autorizado pelo gerente da
17 de 28
O acesso remoto da fora de trabalho pode ser monitorado ou auditado para apurao
de um ato administrativo ou evento de segurana da informao, mediante
justificativa e aprovao do Diretor Executivo.
O acesso remoto deve ser imediatamente revogado ao trmino do vnculo de trabalho
com o Sistema FIEB. Neste caso, os equipamentos de propriedade do Sistema FIEB
devero ser devolvidos antes da homologao do desligamento.
outro endereo fornecido pela empresa), deve ser tratado pela fora de
trabalho como correspondncia oficial da organizao e ser utilizado
exclusivamente para trabalho. Adicionalmente, devem ser observados os
seguintes pontos:
Pode ser monitorado ou auditado para apurao de um ato
administrativo, evento de segurana da informao ou por necessidade
de cobertura de ausncia do proprietrio da caixa postal, mediante
justificativa e aprovao do Diretor Executivo;
Deve incluir obrigatoriamente Disclaimer (aviso, normalmente
colocado no rodap das mensagens) produzido pela assessoria de
comunicao e aprovado pelo Diretor Executivo;
Recomenda-se o uso de criptografia e assinatura digital em e-mails que
contenham informaes sensveis.
O acesso a e-mails no corporativos permitido. A fora de trabalho
responsvel pelo uso e deve, portanto, adotar bom senso, atentar para
as questes relacionadas segurana das informaes, minimizando
riscos e evitando perda de produtividade.
E-mails no corporativos no podem ser usados para envio ou
recebimento de mensagens relacionadas ao trabalho, exceto em caso
de indisponibilidade do e-mail corporativo, formalmente notificada pela
Gerncia de TI, e para mensagens urgentes.
19 de 28
e) Acesso Internet:
O acesso Internet deve ser utilizado exclusivamente para trabalho.
Adicionalmente, devem ser observados os seguintes pontos:
Pode ser monitorado ou auditado para apurao de um ato
administrativo ou evento de segurana da informao, mediante
justificativa e aprovao do Diretor Executivo;
20 de 28
Descrio
Ilegal ou antitico
Racismo e dio
Descrio
Hacking
Descrio
Multimdia
foram
9. Controles operacionais
Os controles de segurana apresentados a seguir so bsicos e essenciais para a
proteo das informaes do Sistema FIEB. Estas diretrizes devem, portanto, ser
observadas e respeitadas:
23 de 28
a) Antivrus:
O Sistema FIEB deve possuir software antivrus apropriado, para proteo
contra vrus e software malicioso. O software antivrus deve estar instalado e
mantido devidamente atualizado em todas as estaes de trabalho dos
usurios, servidores, notebooks e netbooks. Todo e-mail recebido ou enviado
deve ser verificado pelo software antivrus, assim como todo o acesso
Internet.
b) Mdias removveis:
O uso de mdias removveis (mdias regravveis, gravadores pticos, discos
rgidos externos, pen drives, cartes de memria ou similares) permitido. Os
usurios devem atentar para as responsabilidades que assumem quanto
segurana das informaes armazenadas nestes dispositivos.
Toda transferncia de
e) Uso de senhas:
O acesso a recursos de processamento de informao do Sistema FIEB,
especificamente estaes de trabalho e sistemas, exige autenticao dos
usurios atravs de senha. A senha pessoal e intransfervel. Cada membro da
fora de trabalho do Sistema FIEB responsvel pela confidencialidade de sua
25 de 28
g) Segmentao de rede:
Por questes de segurana e preservao de desempenho, a infraestrutura de
rede do Sistema FIEB est segmentada. Cabe ao Comit de Segurana da
Informao avaliar e propor segmentao da rede corporativa, de acordo com
o perfil e necessidade dos usurios.
27 de 28
28 de 28