Você está na página 1de 62

PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO


DO MUNICÍPIO DE
SÃO JOSÉ DO RIO PRETO

São José do Rio Preto


2009

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 1/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

Sumário
 1 INTRODUÇÃO................................................................................................................................4
 1.1 DECLARAÇÃO DE COMPROMETIMENTO DA DIREÇÃO..............................................4
 1.2 TERMOS E DEFINIÇÕES.......................................................................................................5
 1.3  VISÃO GERAL DOS CONTROLES E SEUS OBJETIVOS.................................................9
 1.4 LEGISLAÇÃO........................................................................................................................10
 1.5 DISPOSIÇÃO DE ATRIBUIÇÕES........................................................................................11
 2 CONDUTA DE ACESSO A REDE...............................................................................................12
 2.1 Abrangência............................................................................................................................12
 2.2 Acesso e Identificação do Usuário .........................................................................................12
 2.3 Regras de Uso de Rede...........................................................................................................13
 2.4 Regras Administrativas de Redes e de Serviços de Rede........................................................16
 2.5 Redes e Serviços Disponíveis no Município...........................................................................18
 2.6 Meios de Acesso a Rede no Município...................................................................................19
 2.7 ­ Processo de Autorização e ou Remoção de Acesso a Redes................................................19
 3 CONDUTA DE ACESSO A INTERNET......................................................................................20
 3.1 Abrangência............................................................................................................................20
 3.2 Acesso e Identificação do Usuário..........................................................................................20
 3.3 Regras de Uso de Internet.......................................................................................................21
 3.4 Regras Administrativas de Internet.........................................................................................24
 3.5 Processo de Autorização ou Remoção de Acesso a Internet..................................................25
 3.6 Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a Internet.26
 4 CONDUTA DE ACESSO REMOTO.............................................................................................27
 4.1 Abrangência............................................................................................................................27
 4.2 Acesso e Identificação do Usuário..........................................................................................27
 4.3 Regras de Uso de Acesso Remoto..........................................................................................28
 4.4 Regras Administrativas de Acesso Remoto.............................................................................31
 4.5 Processo de Autorização ou Remoção de Acesso a Redes Remotas......................................33
 5 CONDUTA DE USO DE MENSAGENS ELETRÔNICAS..........................................................34
 5.1 Abrangência............................................................................................................................34
 5.2 Acesso e Identificação do Usuário..........................................................................................34
 5.3 Regras de Uso de Mensagens Eletrônicas...............................................................................35
 5.4 Regras Administrativas de Mensagens Eletrônicas.................................................................37
 5.5 Processo de Autorização ou Remoção....................................................................................38
 6 CONDUTA DE UTILIZAÇÃO DE CONTAS E SENHAS..........................................................39
 6.1 Abrangência............................................................................................................................39
 6.2 Acesso e Identificação do Usuário..........................................................................................39
 6.3 Regras de Contas e Senhas para Usuários..............................................................................40
 6.4 Regras Administrativas de Contas e Senhas...........................................................................41
 6.5 Processo Para Criação ou Remoção de Contas de Usuários...................................................43
 7 CONDUTA DE INSTALAÇÃO E REMOÇÃO DE SOFTWARES.............................................44
 7.1 Abrangência.............................................................................................................................44
 7.2 Acesso e Identificação do Usuário..........................................................................................44
 7.3 Regras de Instalação e Remoção de Programas......................................................................45
 7.4 Regras Administrativas e Técnicas de Instalação e Remoção de Programas..........................46

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 2/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 7.5 Processo de Requisição de Instalação e ou Remoção de Programas......................................48
 8 CONDUTA DE CÓPIAS DE SEGURANÇA...............................................................................49
 8.1 Abrangência............................................................................................................................49
 8.2 Requisição de Geração, Recuperação e ou Armazenamento de cópia de Segurança.............50
 8.3 Regras do Usuário...................................................................................................................50
 8.4 Regras Administrativas...........................................................................................................51
 9 CONDUTA DE ALIENAÇÃO, REMOÇÃO, REUTILIZAÇÃO E OU DESCARTE DE MÍDIAS 
E EQUIPAMENTOS..........................................................................................................................53
 9.1 Abrangência............................................................................................................................53
 9.2 Remoção de propriedade........................................................................................................53
 9.3 Inspeções Aleatórias...............................................................................................................55
 9.4 Regra do Usuário....................................................................................................................55
 9.5 Regras de Usuários Nomeados...............................................................................................55
 9.6 Regras Administrativas...........................................................................................................56
 10 CONFIDÊNCIALIDADE.............................................................................................................58
 10.1 Abrangência...........................................................................................................................58
 10.2 Acordo de Confidencialidade................................................................................................58
 11 PENALIDADES............................................................................................................................61
 12 REFERÊNCIAS BIBLIOGRÁFICAS.........................................................................................62

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 3/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 1  INTRODUÇÃO

A prefeitura de São José do Rio Preto em conjunto com a Empresa Municipal de


Processamento de Dados (EMPRO), disponibiliza uma Política de Segurança contendo um conjunto
diversificado de informações, tais como diretrizes e recomendações, regras, infrações, penalidades,
responsabilidade do usuário, abrangência da política de segurança, entre outros, aplicados a todas as
pessoas que utilizam os informações, sistemas, infraestruturas e dependências de propriedade ou
responsabilidade municipal. Tal pessoa será definida em questão como usuário.

A Política de Segurança é parte do Sistema Gestão da Segurança da Informação (SGSI) do


município. O objetivo de um SGSI é a análise, operação, monitoramento, implementação,
manutenção e melhoramento do gerenciamento da segurança de informação.

A segurança da informação é o conjunto de propriedades que proporcionam


disponibilidade, integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e
não repúdio aplicados sobre os sistemas de informação. Para alcançar tais objetivos, é necessária a
criação de controles que abordem acordos de confidencialidade, uso de contas e senhas, uso de rede,
acesso a Internet, mensagens eletrônicas, acesso remoto, instalação e remoção de software, cópias
de segurança e alienação do equipamento.

 1.1  DECLARAÇÃO DE COMPROMETIMENTO DA DIREÇÃO

A administração municipal no exercício 2009 – 2012, representada pelo atual prefeito, Sr.
Dr. Valdomiro Lopes e pelos secretários e diretores presidentes desta gestão, declara seu
comprometimento e apoio a aplicação desta política de segurança, reconhecendo o valor de seus
princípios, metas e objetivos condizentes com os negócios do município. Entende-se, assim, a
importância das partes abrangidas pela política de segurança, tais como: acordos de
confidencialidade, uso de contas e senhas, uso de rede, acesso à Internet, mensagens eletrônicas,
acesso remoto, instalação e remoção de software, cópias de segurança e alienação do equipamento.
Sra. Lúcia Hirata, diretora presidente da Empresa Municipal de Processamento de Dados
(EMPRO), apóia a política de segurança e declara seu comprometimento com a sua implantação,
em conformidade com as intenções do prefeito Valdomiro Lopes.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 4/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 1.2  TERMOS E DEFINIÇÕES

Acesso Remoto: Comunicação à distância dada entre um computador e um dispositivo;


Alienação de equipamento e ou mídia: Transferência de domínio de um equipamento ou
mídia;
Anti Spam: Programa com o objetivo de impedir o recebimento de mensagens não autorizadas no
correio eletrônico;
Anti Vírus: Programa com o objetivo de detectar e eliminar vírus do computador;
Aplicação: O mesmo que programa de computador, tem como objetivo executar uma
determinada tarefa ou atividade.;Armazenamento da Informação: Arquivamento de um ou
mais dados em unidades de mídia;
Armazenamento completo: Arquivamento de todos os dados de um sítio em uma mídia;
Armazenamento diferencial: Arquivamento de todos os dados alterados e adicionados de
um sítio em uma mídia;
Banco de dados: Aplicação destinada ao armazenamento de um conjunto de informações;
Blog: Registro cronológico inverso de mensagens postadas na WEB;
Código fonte Representação comumente textual de um conjunto de instruções utilizados para
geração de um programa;
Compartilhamento de Arquivos: Técnica utilizada para disponibilização de um ou mais
arquivos a outros usuários;
Compilador: Aplicação destinada a gerar novas aplicações utilizando-se de códigos fontes;
Conta de Usuário: Composto normalmente por nome de usuário e senha, permite acesso a um
determinado sistema ou aplicação;
Cópias de Segurança: Arquivamento de cópias de um ou mais dados em unidades de mídia
com o intuito de prevenir a perda da informação;
Correio eletrônico: Aplicação destinada ao envio e recebimento de mensagens eletrônicas;
Descarte de equipamentos e mídias: O mesmo que jogar fora um equipamento ou mídia;
Desktop: Computador de uso pessoal;
DHCP : Permite a atribuição dinâmica de números IPs a um ou mais equipamentos;
DNS: Permite a resolução de nomes de um domínio devolvendo suas localizações;
Downgrade: Desfazer alguma atualização, normalmente empregado no uso de aplicações e
sistemas;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 5/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

Download: Transferência de dados de um equipamento externo para o computador local;


Encriptação: Termo utilizado para tornar uma informação sigilosa;
Equipamento: Termo utilizado para descrever uma ferramenta que permite a realização de
uma tarefa. Exemplo: computador;
Estação de trabalho:Computador de uso pessoal destinados a execução de tarefas específicas;
Ethernet – Meio de acesso a Rede: Tecnologia elétrica que permite a interconexão de
computadores por meio de uma rede cabeada;
Fibra Ótica – Meio de acesso a Rede: Tecnologia ótica que permite a interconexão de
computadores por meio de uma rede cabeada;
Firewall: Aplicação destinada ao gerenciamento de segurança no tráfego de informações;
Fishing: Técnica utilizada para atrair usuários para situações potencialmente perigosas
utilizando-se de mensagens eletrônicas;
Flame Wars: Propagação de mensagens hostis e ou insultos entre usuários de uma rede;
Flogs: Registro cronológico inverso de fotos postadas na WEB;
Formatação de dados: Remoção completa dos dados de uma mídia, preparando-a para nove
escrita;
FTP: Protocolo utilizado na transferência de arquivos;
Hardware: Todo e qualquer componente físico encontrado em um computador;
HTTP: Protocolo utilizado para visualização de páginas na WEB;
IP: Protocolo de Internet utilizado para identificar singularmente um equipamento em uma rede;
Impressão: Serviço destinado a gravação de dados em papel, normalmente realizado por uma
impressora;
Informação: Agrupamento de dados que contenham algum significado;
Informação Sensível: Informação de caráter privativo normalmente associada com o
negócio de um setor, departamento ou empresa;
informação Sigilosa: Informação de acesso privativo e restrito destinados a pessoas autorizadas;
Integridade da Informação: Qualidade associada a precisão da informação;
Interface de Desenvolvimento: Aplicação utilizada por um desenvolvedor destinada a
construção de uma nova aplicação;
Internet: Interligação de computadores em rede distribuídos mundialmente;
Interpretadores: Aplicação destinada a interpretação e execução de códigos fontes;
Intranet: Interligação de computadores em uma rede privada;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 6/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

Login: Processo de identificação de um usuário em um sistema;


Malware: Nome atribuído a qualquer aplicação que execute atividades maliciosas;
Máquina Virtual: Aplicação destinada a executar um programa aplicativo ou um programa de
sistema;
Mensageiro Instantâneo: Aplicação destinada ao envio e recebimento de mensagens
instantâneas;
Mídia:Unidade destinada ao armazenamento de dados, sendo normalmente portável. Exemplo: CD;
Negócio: Conjunto de atividades que define a existência de uma empresa;
Pacthes: Pacotes de atualização de programas com o intuito de eliminação de erros ou falhas;
Programa: Ferramenta computacional aplicada a uma atividade;
Proxy:Aplicação intermediária que permite a conexão entre uma máquina na intranet a Internet;
Rádio– Meio de acesso a Rede: Tecnologia que utiliza ondas de rádio que permite a
interconexão de computadores por meio de uma rede sem cabos;
Rede: Meio que proporciona a interconexão entre os computadores;
Rede cabeada: Rede que utiliza de cabeamento;
Rede Externa: Rede externa a um sítio;
Rede Interna: Rede pertencente a um sítio;
Rede privada: O mesmo que intranet;
Rede pública: Rede de livre acesso;
Rede sem fio: Rede que propaga por outros meios, dispensando o uso de cabos;
Rede social: Interconexão de relacionamento entre várias pessoas. Pode ser realizado por meio de
uma aplicação;
Router: Equipamento utilizado para buscar um endereço e enviar pacotes a um destino;
Segurança da Informação: É o conjunto de propriedades que proporcionam disponibilidade,
integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e não repúdio
aplicados sobre os sistemas de informação;
Servidor: Equipamento destinado a prover um determinado serviço;
SGSI: Sistema Gestão da Segurança da Informação focado em: análise, operação, monitoramento,
implementação, manutenção e melhoramento do gerenciamento da segurança de informação;
Sistema: Um conjunto de elementos interconectados;
Sistema Eletrônico: Um conjunto de equipamentos eletrônicos interconectados;
Sistema Impresso: Um conjunto de arquivos impressos;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 7/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

Sistema Operacional: Programa destinado a controlar o computador e seus periféricos;


Software: O mesmo que Programa;
Software Aplicativo: Programa destinado a um objetivo fim. Exemplo: editor de textos;
Software de Sistema: Programa intermediário a um objetivo fim. Exemplo: Sistema
Operacional;
Spam: O mesmo que mensagem não autorizada;
Spyware: Aplicação destinada a roubo de informações;
Trojan: Aplicação destinada a abertura de brechas de segurança;
Upload: Transferência de dados de um equipamento local para o computador externo;
Usuário: Toda e qualquer pessoa que se utiliza de um determinado serviço;
VPN: Integração de equipamentos a uma rede privada utilizando uma rede pública;
WEB: Rede pública disponibilizada mundialmente.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 8/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 1.3  VISÃO GERAL DOS CONTROLES E SEUS OBJETIVOS

A visão geral dos controles e seus objetivos são tabelados em quatro colunas: “controle”,
“objetivo” e “ABNT”. A coluna “controle” representa os nomes do capítulos a serem abordados. O
“objetivo” representa as metas do controle. “ABNT” representa a referencia dos controles na norma
ABNT 17799:2005.

Controle Objetivo ABNT


Acordos de Não disseminação da informação com o dever de protege- 6.1.5
la. As informações a serem protegidas deve atender as
Confidencialidade
necessidades da instituição e as informações tem de ser
analisadas criticamente.
Contas e senhas Estabelecer boas práticas na utilização de senhas. 11.3.1
Rede Especificar quais usuários estão autorizados a utilizar um 11.4
determinado serviço de rede afim de prevenir acesso não
autorizado nas redes.
Acesso a Internet Proteger as trocas de informações com enfoque na Internet. -
Massagens Eletrônicas Proteger as mensagens eletrônicas trafegadas pela rede. 10.8.4

Acesso Remoto Especificar quais usuários estão autorizados a utilizar um 11.7.2


determinado acesso remoto e implementar procedimentos
que satisfaçam a necessidade do acesso remoto.
Instalação e Remoção de Delimitar regras de restrição e permissão de acesso 12.4.1
Software instalação de programas.
Cópias de Segurança Garantir a recuperabilidade da informação após um 10.5.1
incidente catastrófico ou falha na integridade da
informação.
Alienação, Remoção, Garantir o correto controle das informações contidas em 9.2.6
Reutilização e ou mídias e equipamentos para evitar fuga de informação 9.2.7
Descarte de Mídias e sensível dos domínios organizacionais. 10.7.2
Equipamentos
Tabela 1 – Diagramação de seus Controles e Objetivos.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 9/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 1.4  LEGISLAÇÃO

Códigos e leis relacionados com as conformidades das políticas de segurança:

a) Código Penal ( Decreto-Lei n.º2.848/1940 , com as alterações da Lei N.º


9.983/2000 ).;
b) Lei Federal n.º 8.159 , de 08 de janeiro de 1991 (Dispõe sobre a Política Nacional
de Arquivos Públicos e Privados).;
c) Decreto Federal n.º 4.553 , de 27 de dezembro de 2002 (Dispõe sobre a salvaguarda
de dados, informações, documentos e materiais sigilosos de interesse da segurança da
sociedade e do Estado no âmbito da Administração Pública Federal);
d) Lei Federal n.º 9.610 , de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral);
e) Lei Federal n.º 9.279 , de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes);
f) Lei Federal n.º 3.129, de 14 de outubro de 1982 (Regula a Concessão de Patentes
aos autores de invenção ou descoberta industrial);
g) Lei Federal n.º 10.406 , de 10 de janeiro de 2002 (Institui o Código Civil);
h) Decreto-Lei n.º 2.848 , de 7 de dezembro de 1940 (Institui o Código Penal);
i) Lei Federal n.º 9.983 , de 14 de julho de 2000 (Altera o Decreto-Lei 2.848 , de 7 de
dezembro de 1940 -Código Penal e dá outras providencias);
j) Decreto n.º 3.505 , de 13 de junho de 2000 (institui a Política de Segurança da
Informação nos Órgãos e Entidades da Administração Pública Federal);
k) Decreto n.º 26.209 , de 19 de abril de 2000 (Cria a Delegacia de Repressão aos
Crimes de Informática - DRCI e dá outras providências);
Observação: Na medida de suas competências, outras legislações poderão ser aplicadas ao
documento, de acordo com o caso concreto.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 10/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 1.5  DISPOSIÇÃO DE ATRIBUIÇÕES

Contemplando a política de segurança da informação municipal, tem-se a necessidade de


três atribuições de funções: Gestor de Segurança da Informação, Gestor de Usuários e o
Responsável (o mesmo que Nomeado).

O Gestor de Segurança da Informação, designado pela EMPRO, tem como atribuição a


responsabilidade global pela identificação dos controles, desenvolvimento e implementação
necessárias para a segurança da informação.

O Gestor de Usuários, designado pela EMPRO, tem como atribuição a responsabilidade


global de gerenciar o acesso dos usuários e deve impedir o acesso não autorizado aos sistemas de
informação.

O Responsável ou Nomeado tem como atribuição representar um determinado setor,


autarquia ou empresa pública nas tomadas de decisões que são expressas na política de segurança
da informação do município. Cada setor, quando achar necessário, deve nomear o responsável e
comunicar ao Gestor da Segurança da Informação.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 11/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 2  CONDUTA DE ACESSO A REDE

O acesso a rede permite aos usuários trafegar informações de internet, correio eletrônico, 
sistemas disponibilizados pelo município e por terceiros. Uma rede é definida como um conjunto de 
computadores interligados com o objetivo de permitir a transmissão das informações. Quanto à 
acessibilidade,   as   de   redes   podem   ser   públicas   ou   privadas.   As   redes   privadas   possibilitam   a 
transmissão restrita de informações dentro do domínio de uma instituição pública ou privada; esta 
rede privada denomina­se  intranet. As redes públicas permitem ao usuário a interconexão entre 
redes privadas. Quanto aos meios de transmissão, a informação pode ser enviada por conexões sem 
fio (Ex: rádio, microondas e infravermelho) ou por conexões que utilizem cabeamento (Ex: fibra 
ótica, cabo coaxial e par trançado).

No   município   de   São   José   do   Rio   Preto,   são   utilizadas   redes   públicas   e   privadas 
transmitindo as informações tanto por redes cabeadas quanto por redes sem fio. Este capítulo tem 
como   objetivo   a   proteção   e   integridade   da   informação   trafegada   nestas   redes   estipulando   um 
conjunto   de   diretrizes   e recomendações   aos  diferentes  usuários   do município.  A   boa utilização 
destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembre­se 
que  estes  serviços estão disponibilizados para o uso estritamente profissional e de interesse do 
município.

 2.1  Abrangência

Esta norma abrange todos os usuários do município de São José do Rio Preto. Sendo estes 
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de rede.

 2.2  Acesso e Identificação do Usuário

Todo usuário do município tem seus identificadores providos pela EMPRO e seu acesso à 
Internet está restrito aos privilégios do usuário. Os privilégios são definidos pelo diretor presidente, 
responsável e ou secretário de cada setor público envolvido.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 12/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 2.3  Regras de Uso de Rede

O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas 
nas redes privadas do município e redes públicas oriundas da máquina pelo qual é responsável, em 
caso de não cumprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:

I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes 
disponibilizados pela EMPRO, não podendo fornecer e ou compartilhar seu usuário, senha e 
ou acesso a rede com outros usuários;

II. O usuário está proibido de utilizar contas de acesso às redes pertencentes a outros 
usuários;

III. É proibido ao usuário trafegar informações sigilosas em redes públicas. No caso de 
dúvida  sobre  o sigilo  destas  informações,  contate  e  aguarde  a  aprovação  por  escrito   do 
presidente, responsável e ou diretor do setor competente. Caso seja estritamente necessário o 
envio da informação para uma rede externa, contate o gestor de segurança da informação do 
município;

IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas 
licenciados e ou dados pertencentes a EMPRO, município e ou quaisquer outros setores do 
município;

V. O usuário somente poderá  trafegar  informações  oriundas de redes públicas desde 


que não fira toda e qualquer conformidade legal prevista em lei. Deve­se respeitar os direitos 
autorais, proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é 
permitida   a   instalação   de     programas   sem   a   prévia   autorização   do   diretor   presidente, 
responsável e ou do secretário do setor solicitante, e também sem a prévia autorização do 
gestor de usuários do município e do gestor de segurança da informação;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 13/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

VI. O   usuário   está   comprometido   a   utilizar   as   redes   públicas   e   ou   privadas   do 


município para uso exclusivo de atividades relacionadas ao setor no qual o usuário pertence;

VII. Por ser um serviço de concessão cedido pela EMPRO ao município, o usuário fica 
ciente sobre possível auditoria interna relacionada aos acessos de rede. Este processo deve 
conter autorização do diretor presidente, responsável e ou do secretário do setor cabível, bem 
como   a   autorização   do   gestor   de   usuários   do   município   e   do   gestor   de   segurança   da 
informação do município;

VIII.  O   usuário   se   compromete   a   respeitar   toda   a   CONDUTA   DE   USO   DE 


MENSAGENS ELETRÔNICAS;

IX.  O usuário se compromete a respeitar toda a CONDUTA DE USO DE ACESSO A 
INTERNET;

X.   É proibido  a utilização de  proxies  não  autorizados  que permitam o tráfego   de 


informações a redes privadas externas;

XI.  É proibido o acesso a redes que disponibilizem conteúdos obscenos, pornográficos, 
eróticos, racistas, nazistas e de qualquer outro conteúdo que violem a lei;

XII.  O   usuário   é   responsável   por   informar   a   EMPRO,   por   meio   de   solicitação   de 
serviço   todo   e   qualquer   conteúdo   inapropriado   contendo   informações   pornográficas, 
eróticas, racistas, nazistas, discriminatórias e de qualquer outro conteúdo que violem a lei;

XIII. O usuário não deve utilizar o acesso a rede, tanto a intranet quanto a Internet, para 
molestar,   caluniar,   constranger,   intimidar,   extorquir,   assediar   ou   difamar   outras   pessoas, 
instituições   públicas   e   ou   instituições   privadas.   Este   item   também   compreende   todo   e 
qualquer ato ilícito proibidos por lei; 

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 14/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

XIV.  O   usuário   não   deve   utilizar   o   acesso   a   rede   para   disseminar   informações   de 
conteúdos obscenos, pornográficos, racistas e de qualquer caráter discriminatório;

XV. O usuário não deve utilizar acesso a rede para tráfego de conteúdos que ferem a 
legislação vigente, a moral e os bons costumes; 

XVI.  O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a 
outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa; 

XVII. É proibido ao usuário a divulgação parcial e ou total de materiais que violem os 
direitos autorais e ou intelectuais; 

XVIII.  É   proibido   ao   usuário   a   transmissão   proposital   de   arquivos   que   contenham 


vírus, malware, spyware, fishing, trojan e qualquer outro arquivo potencialmente danoso ou 
código executável.;

XIX.  O   usuário   deve   reportar   toda   e   qualquer   indisponibilidade   aos   endereços   e 


conteúdos relativos a realização de suas atividades. Esta solicitação deve ser realizada pelo 
“Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a Internet”;

XX.  O usuário declara­se ciente de que o equipamento utilizado no município está 
devidamente   identificado.   Todas   e   quaisquer   tentativas   de   alteração   na   identificação   do 
equipamento por parte do usuário caracteriza uma infração do usuário;

XXI. O usuário somente pode acessar aplicações pela rede que estejam de acordo com 
as   atividades  profissionais  relacionadas  a  função   exercida   e  autorizadas   pelo  presidente, 
responsável e ou diretor do setor competente;
XXII.  O usuário somente pode realizar acesso interativo pela rede onde a permissão 
esteja autorizada. A autorização depende das atividades profissionais relacionadas à função 
exercida   e   autorizadas   pelo   diretor   presidente,   responsável   e   ou   secretário   do   setor 
competente;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 15/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

A EMPRO, o gestor de usuários do município e o gestor de segurança da informação  não 
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização do 
acesso à Internet. 

 2.4  Regras Administrativas de Redes e de Serviços de Rede

O   administrador   é   responsável   direto   pelo   cumprimento   destas   regras,   sendo   o 


administrador (celetista, estatutário e ou terceiro) gerenciado pela EMPRO. 

I. O administrador é responsável direto pela manutenção, integridade, segurança e 
disponibilidade   destes   sistemas.   Em   caso   de   eventuais   problemas,   o   administrador   do 
respectivo sistema deve informar o superior imediato do setor correspondente;

II. O administrador  é proibido de alterar  quaisquer  informações  trafegadas  na  rede 


oriundas dos equipamentos dos usuário do município;

III. A cada 30 dias o administrador deve verificar a existência de contas inválidas e 
informar por meio de um relatório ao gestor de segurança da informação. A remoção de 
contas inválidas deve ser previamente aprovadas pelo gestor de segurança da informação e 
enviado por uma solicitação de serviço;

IV. Os servidores de acesso à Internet devem ser gerenciados para coibir, sempre que 
possível,   o   tráfego   de   informações   com   conteúdos   de   entretenimento,  pornográficos, 
discriminatórios, racistas, obscenos, nazistas, vírus, programas (não autorizados) e quaisquer 
outros conteúdos que violem a lei, ou a propriedade intelectual, ou a propriedade autoral;

V. O   administrador   pode   analisar,   visualizar   e   ou   bloquear   quaisquer   informações 


trafegadas pela rede independentemente de sua origem e conteúdo. Ou seja o administrador 
tem o direito de analisar e visualizar as informações trafegadas em rede mesmo que estas 
contenham informações pessoais;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 16/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

VI. O   administrador   tem   total   liberdade   de   bloquear   e   ou   liberar   acesso   a   rede   e 


serviços de rede por meio de mecanismos automáticos e ou manuais;

VII. O administrador é responsável pela proteção da informação durante o trafego pela 
rede de domínio municipal. Então, cabe ao administrador o gerenciamento de controles e 
procedimentos no acesso de conexões e serviços de rede;

VIII.  O administrador é responsável pelo desenvolvimento de procedimentos seguros, 
no   trafego   de   informações   entre   redes   privadas,   que   permitam   um   usuário   devidamente 
autorizado a conectar­se em redes externas. Neste caso, o administrador deve prover uma 
rede privada virtual (VPN);

IX. O   administrador   é   responsável   pela   devida   identificação   dos   equipamentos 


conectados a intranet pertencentes ao município. Para tanto, o administrador pode­se utilizar 
de máscara de rede e endereços IP;

X.   O administrador é responsável pela segregação das redes. Cada domínio lógico 
segregado deve conter apenas  os usuários  que realizem atividades para um determinado 
setor.   Também   é   de   responsabilidade   do   administrador   a   definição   do   perímetro   de 
segurança destas segregação da rede;

XI.   O   administrador   é   responsável   pela   utilização   de   filtros   de   tráfego   utilizando 


tabelas de restrições e ou regras predefinidas que restrinjam o acesso dos usuários a serviços 
de rede não autorizados;

XII.  O   administrador   é   responsável   pelo   controle   de   roteamento   de   redes,   com   o 


objetivo de assegurar a integridade dos privilégios dos usuários nos acessos às redes.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 17/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 2.5  Redes e Serviços Disponíveis no Município

Os serviços e redes disponibilizados pelo município de São José do Rio Preto a diferentes 
usuários até a  presente data de publicação deste documento são: 

Rede e Serviço de Rede Responsável
Intranet EMPRO
Contas de Usuário EMPRO
DNS EMPRO
DHCP EMPRO
Identificação dos Equipamentos na rede por IP EMPRO
Compartilhamento de Arquivos EMPRO
Correio eletrônico EMPRO
Internet EMPRO
Impressão EMPRO
Acesso Remoto EMPRO
Anti Vírus EMPRO
Anti Spam EMPRO
Proxy EMPRO
Firewall EMPRO
HTTP EMPRO
FTP EMPRO
Mensageiro Instantâneo EMPRO

Observação:   Embora   estes   sejam   as   redes   e   serviços   de   redes   disponibilizados   pelo 


município, o acesso do usuário a cada um destes serviços e redes está restrito ao próprio privilégio 
de acesso do usuário definido individualmente ou em grupo.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 18/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 2.6  Meios de Acesso a Rede no Município

Os meios de acesso a rede disponibilizados pelo município de São José do Rio Preto a 
diferentes usuários até a  presente data de publicação deste documento são: 

Meio Responsável
Cabo (Ethernet) EMPRO
Cabo (Fibra Óptica) EMPRO
Rádio (Sem Fio) EMPRO

Observação:   Embora   estes   sejam   os   meios   de   acesso   a   redes   disponibilizados   pelo 


município, o acesso do usuário a cada um destes serviços e redes está restrito ao próprio privilégio 
de acesso do usuário definido individualmente por um presidente, diretor e ou responsável.

 2.7  ­ Processo de Autorização e ou Remoção de Acesso a Redes

A solicitação para a liberação ou negação de acesso a redes é requisitada somente pelo, 
diretor   presidentes,   responsáveis   e   ou   diretores   do   setor   público   solicitante   no   município.   Esta 
solicitação   deve   ser   realizada   por   intermédio   de   uma   solicitação   de   serviço   a   EMPRO, 
contemplando os requisitos descritos abaixo:

I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III.  Nome do usuário que utilizará os serviços de rede;
IV. Informar: “requisição de acesso ou remoção à rede”;
V. Descrição detalhada;
VI. Justificativa   para   a   liberação   ou   remoção   de   acesso   contendo   tipo   de   acesso   e 
privilégios esperados.
Cabe   ao   gestor   de   usuários   do   município   a   aprovação,   reprovação,   questionamento   e 
análise das solicitações de serviço. No caso de aprovação, o gestor de usuários do município deve 
liberar a solicitação de serviço para execução.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 19/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 3  CONDUTA DE ACESSO A INTERNET

A utilização de serviços de acesso de Internet permite ao usuário navegar dentro de um 
conglomerado de redes distribuídas pelo mundo. Os serviços disponibilizados na WEB permitem ao 
usuário acessar aplicações online, páginas de conteúdo dinâmico e ou estático, trafegar arquivos 
tanto por  download  quanto por  upload. Estes serviços podem estar relacionados a determinadas 
atividades tais como páginas de busca,  webmails, relacionamentos, mensagens eletrônicas,  blogs, 
flogs, notícias, redes sociais, repositórios de arquivos, editores de texto e planinhas eletrônicas. 

Por se tratar de uma rede pública, a proteção e integridade da informação trafegada nestas 
redes são classificadas como alto risco. Logo, este tópico tem como objetivo  estipular um conjunto 
de   diretrizes   e   recomendações   aos   diferentes   usuários   do   município.   A   boa   utilização   destes 
serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembre­se, estes 
serviços estão disponibilizados para o uso estritamente profissional e de interesse do município.

 3.1  Abrangência

Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes 
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de acesso a Internet.

 3.2  Acesso e Identificação do Usuário

Todo usuário do município tem seus identificadores providos pela EMPRO e seu acesso à 
Internet está restrita aos privilégios do usuário. Os privilégios são definidos pelo diretor presidente, 
responsável e ou secretário de cada setor público envolvido.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 20/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 3.3  Regras de Uso de Internet

O usuário é responsável direto pelo cumprimento das regras e pelos serviços de Internet 
acessados, em caso de não cumprimento o usuário estará passível de punição. Estas regras estão 
descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação no sistema, não podendo 
fornecer e ou compartilhar seu usuário, senha e ou acesso de Internet com outros usuários;

II. O usuário está proibido de utilizar contas de acesso a Internet pertencentes a outros 
usuários;

III. É proibido ao usuário divulgar, publicar, compartilhar e ou modificar informações 
sigilosas em listas de discussão, bate­papo, páginas de relacionamento,  blogs,  webmails  e 
quaisquer outros serviços disponibilizados na Internet para divulgação deste conteúdo. No 
caso de dúvida sobre o sigilo destas informações, contate e aguarde a aprovação por escrito 
do presidente diretor, responsável e ou secretário do setor competente;

IV. O usuário com acesso à Internet não pode utilizar serviços de  upload  para envio 


programas licenciados e ou dados pertencentes a EMPRO, município e ou quaisquer outros 
setores do município;

V. O usuário somente poderá realizar download  de arquivos oriundos da Internet que 
não   fira   toda   e   qualquer   conformidade   legal.   Deve­se   respeitar   os   direitos   autorais, 
proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é permitido a 
instalação de  programas sem a prévia autorização do diretor presidente, responsável e ou do 
secretário do setor solicitante, e também sem a prévia autorização do gestor de usuários do 
município e do gestor de segurança da informação;

VI. O usuário está comprometido a utilizar o acesso a Internet para uso exclusivo de 
atividades relacionadas ao setor ao qual o usuário pertence;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 21/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

VII. Por ser um serviço de concessão cedido pela EMPRO ao município, fica ciente o 
usuário sobre possível auditoria interna relacionados aos acessos do usuário a Internet. Este 
processo deve conter autorização do presidente, responsável e ou do diretor do setor cabível, 
bem como a autorização do gestor de usuários do município e do gestor de segurança da 
informação do município;

VIII.O usuário não deve utilizar programas de compartilhamento de arquivos tanto via 
WEB quanto instalados localmente ou de qualquer outra natureza, salvo os programas que 
contenham prévia autorização do diretor presidente, responsável e ou secretário do setor 
competente,   e   também   a   aprovação   do   gestor   de   usuários   do   município   e   do   gestor   de 
segurança da informação do município;

IX. É proibido ao usuário todo e qualquer acesso a páginas de relacionamento, blogs, 
mensageiros instantâneos, jogos, redes sociais ou qualquer outra página relacionada com 
conteúdos   de   entretenimento,   salvo   os   endereços   que   contenham   prévia   autorização   do 
diretor diretor, responsável e ou secretário do setor competente, e também a aprovação do 
gestor de usuários do município e do gestor de segurança da informação do município;

X.   É   proibido   a   utilização   de   páginas   e   programas   que   permitam   acesso   não 


autorizado a páginas devidamente bloqueadas pelo administrador do sistema de internet ou 
de conteúdo não cabível as atividades realizadas pelo usuário;

XI.  É proibido o acesso de páginas que contenham conteúdos obscenos, pornográficos, 
eróticos, racistas, nazistas e de qualquer outro conteúdo que violem a lei;

XII.  O   usuário   é   responsável   por   informar   a   EMPRO,   por   meio   de   solicitação   de 
serviço,   todo   e   qualquer   conteúdo   inapropriado   contendo   informações   pornográficas, 
eróticas, racistas, nazistas, discriminatórios e de qualquer outro conteúdo que violem a lei;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 22/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

XIII.  O   usuário   não   deve   utilizar   o   acesso   a   Internet   para   molestar,   caluniar, 
constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituições públicas e 
ou instituições privadas. Este item também compreende todo e qualquer ato ilícito proibidos 
por lei; 

XIV.  O   usuário   não  deve   utilizar   o   acesso  à   Internet  para   envio   e   recebimento   de 
conteúdos obscenos, pornográficos, racistas e de qualquer caráter discriminatório;

XV. O usuário não deve utilizar acesso a Internet para envio, edição e armazenamento 
de conteúdos que ferem a legislação vigente, a moral e os bons costumes; 

XVI. O usuário deve garantir que as senha de acesso a Internet não sejam enviadas a 
outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;

XVII.  É   vedado   ao   usuário   o   acesso   a   Internet   utilizando­se   de   contas   de   outros 


usuários;

XVIII. É proibido ao usuário a divulgação parcial e ou total de materiais que violem os 
direitos autorais; 

XIX.  É   proibido   ao   usuário   o   envio   proposital   de   arquivos   que   contenham   vírus, 


malware, spyware, fishing, trojan e qualquer outro arquivo ou código executável; 

XX.  O   usuário   deve   reportar   toda   e   qualquer   indisponibilidade   aos   endereços   e 


conteúdos relativos a realização de suas atividades. Esta solicitação deve ser realizada pelo 
processo   de     “Processo   de   Notificação   para   Bloqueio   ou   Liberação   de   Endereços   e 
Conteúdos a Internet”.

A EMPRO, o gestor de usuários do município e o gestor de segurança da informação  não 
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização do 
acesso à Internet. 

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 23/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 3.4  Regras Administrativas de Internet

O   administrador   é   responsável   direto   pelo   cumprimento   destas   regras,   sendo   estes 


responsáveis (celetistas, estatutários e ou terceiros) gerenciados pela EMPRO. 

I. O administrador é responsável direto pela manutenção, integridade, segurança e 
disponibilidade   destes   sistemas.   Em   caso   de   eventuais   problemas,   o   administrador   do 
respectivo sistema deve informar o superior imediato do setor correspondente;

II. O administrador é proibido de modificar e ou remover todo e quaisquer conteúdos 
de   páginas   e   arquivos   enviados   ou   acessados   pelo   usuário.   Para   auditoria   deve­se 
encaminhar uma solicitação de serviço a EMPRO para a execução de cópia, leitura e ou 
remoção destas informações. Esta solicitação de serviço deve ser aprovada pelo gestor de 
segurança da informação do município;

III. A cada 30 dias o administrador deve verificar a existência de contas e endereços 
eletrônicos   inválidos   e   informar   por   meio   de   um   relatório   ao   gestor   de   segurança   da 
informação. A remoção dos endereços eletrônicos e contas inválidas devem ser previamente 
aprovados pelo gestor de segurança da informação e enviado por uma solicitação de serviço;

IV. Os servidores de acesso à Internet devem ser gerenciados para coibir sempre que 
possível   o   envio   e   o   acesso   a   páginas,   programas   e   arquivos   com   conteúdos   de 
entretenimento,  pornográficos,   discriminatórios,   racistas,   obscenos,   nazistas,   vírus, 
programas   (não   autorizados)   e   quaisquer   outros   conteúdos   que   violem   a   lei   e   ou   a 
propriedade   intelectual.   A   autorização   para   a   instalação   e   utilização   de   programas   é   de 
competência   dos   diretores   presidentes,   responsáveis   e   secretários   do   setor   envolvido 
juntamente com o gestor de segurança do município e ou gestor de usuários do município;
V. Independentemente   das   páginas   acessadas   por   outros   usuários   terem   conteúdos 
públicos e ou privados, o administrador tem a liberdade total para realizar tentativas de 
acesso a essas;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 24/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

VI. O administrador tem total liberdade de bloquear e ou liberar acesso a endereços e 
conteúdos de Internet por meio de mecanismos  automáticos e ou manuais nos casos de 
suspeita e ou comprovação. 

 3.5  Processo de Autorização ou Remoção de Acesso a Internet

A solicitação para a liberação ou negação de acesso a Internet é requisitada somente pelos 
diretores presidentes, responsáveis e ou secretários do setor público solicitante no município. Esta 
solicitação   deve   ser   realizada   por   intermédio   de   uma   solicitação   de   serviço   a   EMPRO, 
contemplando os requisitos descritos abaixo:

I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III.  Nome do usuário que utilizará os serviços de rede;
IV. Informar: “requisição de acesso ou remoção à Internet”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso à Internet.

Cabe   ao   gestor   de   usuários   do   município   a   aprovação,   reprovação,   questionamento   e 


análise das solicitações de serviço. No caso de aprovação, o gestor de usuários do município deve 
liberar a solicitação de serviço para a execução.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 25/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 3.6  Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a 
Internet

A solicitação para a liberação ou bloqueio de acessos a conteúdos e endereços de Internet 
pode ser realizada somente pelo, diretor presidente, responsável e ou secretário. Esta solicitação 
deve ser realizada por intermédio de uma solicitação de serviço sendo este disponibilizado pela 
EMPRO, contemplando os requisitos descritos abaixo:

I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário;
IV. Informar: “requisição de liberação ou bloqueio de endereços”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou bloqueio do endereço.

Cabe ao administrador de acesso à Internet a conferência, aprovação e ou reprovação do


uso e ou visualização de endereços e ou conteúdos. Porém o administrador do sistema de Internet
pode entrar em contato com os diretores presidentes, responsáveis e ou secretários do setor
relacionado para sanar dúvidas quanto ao conteúdo da solicitação de serviço.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 26/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 4  CONDUTA DE ACESSO REMOTO

A   interconexão  entre  redes   privadas   a  distância   permite   ao  usuário   utilizar  de   redes   e 
serviços  de  redes  disponibilizados  por terceiros. O acesso a redes  remotas disponibilizados  por 
redes privadas externas permitem ao usuário acessar e utilizar e executar aplicações e sistemas 
operacionais disponibilizados naquele ambiente, desde que tenham acesso autorizado para isto.

Por se tratar de um acesso entre redes privadas, a segurança e integridade da informação 
trafegada depende das configurações da rede. Logo, este tópico tem como objetivo estipular um 
conjunto   de   diretrizes   e recomendações   aos  diferentes  usuários   do município.  A   boa utilização 
destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembre­se 
que  estes  serviços estão disponibilizados para o uso estritamente profissional e de interesse do 
município.

 4.1  Abrangência

Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes 
estatutários, funcionários, estagiários e ou terceiros que utilizam serviços de acesso remoto.

 4.2  Acesso e Identificação do Usuário

Todo usuário do município tem seus identificadores providos pela EMPRO e seu o acesso 
remoto está restrito aos privilégios do usuário. Os privilégios são definidos pelo diretor responsável, 
e ou presidente de cada setor público envolvido.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 27/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 4.3  Regras de Uso de Acesso Remoto

O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas 
entre redes privadas. Em caso de não cumprimento o usuário estará passível de punição. Estas 
regras estão descritas abaixo:

I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes 
disponibilizadas pela EMPRO em conjunto com outras instituições privadas ou públicas; 
Não podendo fornecer e ou compartilhar seu usuário, senha e ou acesso a rede com outros 
usuários;

II. O usuário esta proibido de utilizar contas de acesso a redes pertencentes a outros 
usuários;

III. É proibido ao usuário trafegar informações sigilosas e de propriedade do município 
em redes privadas externas, salvo o caso destas informações sigilosas serem previamente 
autorizadas por escrito pelo presidente, diretor ou responsável do setor competente e somado 
com a autorização do gestor de segurança da informação do município.  No caso de dúvida 
sobre o sigilo destas informações, contate e aguarde a aprovação por escrito do presidente, 
responsável e ou diretor do setor competente;

IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas 
licenciados e ou dados pertencentes a EMPRO, município e ou quaisquer outros setores do 
município;

V. O usuário somente poderá  trafegar  informações  oriundas de redes externas desde 


que  não   fira   toda   e   qualquer  conformidade   legal.   Deve­se  respeitar   os   direitos   autorais, 
proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é permitido a 
instalação de  programas sem a prévia autorização do presidente, responsável e ou do diretor 

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 28/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

do setor responsável, e também sem a prévia autorização do gestor de usuários do município 
e do gestor de segurança da informação e do administrador da rede externa envolvida;

VI. O usuário está comprometido a utilizar o acesso a redes remotas para uso exclusivo 
de atividades relacionadas ao setor no qual o usuário pertence;

VII.  Por ser um serviço de  concessão cedido  pela  EMPRO  em conjunto com   uma 


instituição privada ou pública ao município, fica ciente ao usuário sobre possível auditoria 
interna   relacionados   aos   acessos   de   rede.   Este   processo   deve   conter   autorização   do 
presidente, responsável e ou do diretor do setor cabível, bem como a autorização do gestor 
de usuários do município e do gestor de segurança da informação do município;

VIII.  É proibido a utilização de  proxies  não autorizados que permitam o trafego de 


informações a redes privadas externas;
IX.  O usuário não deve utilizar acesso a rede para trafego de informações que violem o 
acordos de trocas de informação;

X.  O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a outras 
pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;

XI.  O usuário somente pode acessar aplicações entre redes que estejam autorizados por 
meio de acordos de troca de informações entre terceiros e município;

XII.  O usuário somente pode realizar acesso interativo entre redes onde a permissão 
esteja autorizada. A autorização depende das atividades profissionais relacionadas a função 
exercida e autorizadas pelo presidente, responsável e ou diretor do setor competente;

XIII.  O   usuário   deve   utilizar   somente   o   local   e   o   ambiente   físico   aprovados   pelo 
administrador de acesso remoto;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 29/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

XIV. O usuário externo deve configurar de forma adequada o firewall e a proteção anti 
vírus na rede externa a rede rede municipal;

XV.  O usuário externo deve garantir a manutenção do equipamento tanto  hardware 


quanto software utilizados remotamente. E caso necessário será solicitado a provisão de um 
seguro, esta solicitação é realizada pelo gestor de segurança da informação do município;

XVI.  O   usuário   não   deve   permitir   que   familiares   e   ou   visitantes   acessem   estes 
equipamentos;

XVII. O usuário externo é responsável pela devida cópia de segurança da informações 
presentes em equipamentos externos a rede do município. E caso requerido também deverá 
ser implementados procedimentos de continuidade do negócio. Esta requisição é realizada 
pelo gestor de segurança da informação do município;

XVIII.  O   usuário   fica   ciente   da   obrigatoriedade   de   devolução   de   equipamentos   de 


propriedade do município;

XIX. O usuário externo, no que tange a utilização de equipamentos de propiedade do 
município, abre mão da propriedade intelectual sobre estas informações;

XX. O usuário externo deve utilizar somente softwares devidamente licenciado em seu 
equipamento;

XXI. O usuário deve utilizar equipamentos de comunicação apropriados exigidos pelo 
administrador do acesso remoto;

XXII.  O   usuário   somente  poderá   realizar   as   atividades  em   período  estipulado   pelo 
gestor de segurança da informação do município;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 30/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

XXIII.  O usuário externo é responsável, quando não for fornecidos pelo município, 
pela   aquisição   de   equipamentos   e   mobília   apropriadas   para   a   realização   das   atividades 
profissionais;

A EMPRO, o gestor de usuários do município e o gestor de segurança da informação e 
instituições públicas e ou privadas se responsabilizam por possíveis perdas e ou danos no acordo 
firmado entre as partes. 

 4.4  Regras Administrativas de Acesso Remoto

O   administrador   é   responsável   direto   pelo   cumprimento   destas   regras,   sendo   os 


administradores (funcionários, estatutários e ou terceiros) gerenciados pela EMPRO. 

I. O administrador é responsável direto pela manutenção, integridade, segurança e 
disponibilidade   destes   sistemas.   Em   caso   de   eventuais   problemas,   o   administrador   do 
respectivo sistema deve informar o superior imediato do setor correspondente;

II. O administrador  é proibido de alterar  quaisquer  informações  trafegadas  na  rede 


oriundas dos equipamentos dos usuário do município;

III. O   administrador   pode   analisar,   visualizar   e   ou   bloquear   quaisquer   informações 


trafegadas pelo acesso remoto. Ou seja o administrador tem o direito de analisar e visualizar 
as informações trafegadas em rede mesmo que estas contenham informações pessoais;

IV. O   administrador   tem   total   liberdade   de   bloquear   e   ou   liberar   acesso   a   redes   e 


serviços de rede que não estejam acordados.;

V.  O administrador é responsável pela proteção da informação durante o tráfego pela 
rede. Então, cabe ao administrador o gerenciamento de controles e procedimentos no acesso 
de conexões e serviços de rede;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 31/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

VI.  O administrador é responsável pelo desenvolvimento de procedimentos seguros, no 
tráfego   de   informações   entre   redes   privadas   que   permitam   um   usuário   devidamente 
autorizado a conectar­se em redes externas. Neste caso, o administrador deve prover uma 
rede privada virtual (VPN);

VII.O administrador é responsável pelo gerenciamento de acessos físicos e lógicos em 
determinadas portas destinadas para diagnóstico  e configuração;

VIII.  A   troca   de  informações  entre  redes   privadas   só  poderão  ser  iniciadas  após   a 
identificação do equipamento e a autenticação do usuário;

IX. O administrador deve aprovar ou reprovar a segurança e o ambiente físico utilizada 
no local do acesso remoto;

X. O administrador deve especificar, aprovar ou reprovar o meio de acesso entre as 
redes envolvidas, sendo estas cabeadas ou sem fios;

XI. O administrador deve configurar de forma adequada o  firewall  e a proteção anti 


vírus na rede do município;

XII. O administrador deve remover os direitos de acesso remoto de usuários externos ao 
término do trabalho remoto.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 32/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 4.5  Processo de Autorização ou Remoção de Acesso a Redes Remotas

A solicitação para a liberação ou negação de acesso a redes é requisitada somente pelos 
presidentes, responsáveis e ou diretores do setor público solicitante no município. Esta requisição 
deve ser realizada por intermédio de uma “solicitação de serviço” a EMPRO, contemplando os 
requisitos descritos abaixo:

I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III.  Nome do usuário que utilizará os serviços de rede;
IV. Informar: “requisição de acesso ou remoção à rede remoto”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso remoto.

Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e


análise das solicitações de serviço. No caso de aprovação, o gestor de usuários do município deve
liberar a solicitação de serviço para a execução.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 33/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 5  CONDUTA DE USO DE MENSAGENS ELETRÔNICAS

A   utilização   de   serviços   no   domínio   das   mensagens   eletrônicas   tais   como   correio 


eletrônico,   mensagens   instantâneas   e   voz   sobre   IP   tem   como   principal   papel   a   integração   e   a 
comunicação de todos os diversos setores do município. A utilização destes serviços tem caráter de 
concessão cedido pelo gestor de usuários do município em conjunto com a EMPRO e requerida por 
meio de uma solicitação de serviço enviada por um diretor presidente e ou diretor e ou responsável 
por um setor, neste caso anteriormente indicado, de um setor do município. 

Este tópico tem como objetivo estipular um conjunto de diretrizes e recomendações aos 
diferentes usuários do município. A boa utilização destes serviços é de responsabilidade de cada 
usuário com seus respectivos privilégios. Lembre­se que estes serviços estão disponibilizados para o 
uso estritamente profissional e de interesse do município.

 5.1  Abrangência

Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes 
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de mensagens eletrônicas.

 5.2  Acesso e Identificação do Usuário

Todo usuário do município tem um identificador único provido pela EMPRO e seu acesso 
a estes serviços está restrito aos privilégios do usuário a cada sistema ou programa instalado ou 
acessado via WEB. Os privilégios são definidos pelo diretor presidente e ou responsável ou ainda 
secretários de cada setor público envolvido.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 34/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 5.3  Regras de Uso de Mensagens Eletrônicas

O   usuário   é   responsável   direto   pelo   cumprimento   das   regras   e   pelo   conteúdo   das 
mensagens   enviadas,  em  caso de  não  cumprimento  o usuário  estará  passível  de punição.  Estas 
regras estão descritas abaixo:

I. O usuário não deve utilizar os sistemas de mensagens eletrônicas para propagação 
ou geração de   spam , “correntes”, propagandas, “pirâmides” e boatos. Somente devem ser 
enviadas  as  mensagens  correlatas  ao  interesse   profissional  do  setor  que  representa   e   do 
município;

II. O   usuário   deve   configurar   o   software   de   correio   eletrônico   e   de   mensagens 


instantâneas presentes na máquina, pelo qual é responsável, para enviar mensagens. Para 
prevenir perda de informações por falhas de envio o usuário deve configurar programas de 
correio eletrônico e de mensagens instantâneas para receber o retorno das mensagens   que 
não obtiveram sucesso no envio;

III. O usuário não deve utilizar os sistemas de mensagens eletrônicas para molestar, 
caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituições 
públicas e instituições privadas. Este item também compreende todo e qualquer ato ilícito 
proibidos por lei; 

IV. O usuário não deve utilizar os sistemas de mensagens eletrônicas para envio e ou 
armazenamento   de   conteúdos   obscenos,   pornográficos,   racistas   e   de   qualquer   caráter 
discriminatório. Adicionalmente não se deve  editar ou armazenar mensagens cujo conteúdo 
fere a legislação vigente, a moral e os bons costumes; 

V. O usuário não deve alimentar os sistemas de mensagens eletrônicas com mensagens 
de discussão ou polêmica que caracterizem flame wars. O flame war é caracterizado como o 

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 35/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

envio de mensagens hostis e de caráter ofensivo dentro do contexto do assunto;

VI. O   usuário   é   responsável   pela   cópia   de   segurança   das   mensagens   eletrônicas 


armazenadas na estação de trabalho da qual utiliza­se;

VII.Cabe ao usuário o bom gerenciamento do correio eletrônico afim de respeitar os 
limites de armazenamento impostos pela EMPRO;

VIII.O usuário que utiliza sistemas de correio eletrônico deve utilizar­se de assinatura 
digital fornecida pela EMPRO;

IX. O usuário deve garantir que as senhas de acesso a sistemas de envio e recebimento 
de   mensagens   eletrônicas   não   sejam   enviadas   a   outras   pessoas,   pois   a   senha   é   de   uso 
pessoal, intransferível e sigilosa;

X. É   vedado   ao   usuário   o   envio   de   mensagens   eletrônicas   não   autorizadas   que 


contenham informações sigilosas do município e ou do setor envolvido. As autorizações 
devem ser redigidas pelos diretores presidentes, secretários  e ou responsáveis de cada setor 
envolvido;

XI. É vedado ao usuário o acesso não autorizado as mensagens do correio eletrônico de 
outros   usuários.   As   autorizações   devem   ser   redigidas,   impressas   e   assinadas   pelo 
proprietário da conta do correio eletrônico;

XII.É proibido ao usuário a divulgação parcial e ou total de materiais que violem os 
direitos autorais; 

XIII.É   proibido   ao   usuário   o   envio   proposital   de   arquivos   que   contenham   vírus, 


malware,  spyware,  fishing,  trojan  e   qualquer   outro   arquivo   ou   código   executável.   Os 
arquivos de código executável são normalmente scripts e macros;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 36/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

XIV.É   proibido   ao   usuário   destinar   o   uso   de   contas   pessoais   nos   programas   de 
gerenciamento de mensagens eletrônicas instaladas na estação de trabalho; 
A EMPRO, o gestor de usuários do município e o gestor de segurança da informação  não 
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização destes 
serviços. 

 5.4  Regras Administrativas de Mensagens Eletrônicas

O   administrador   é   responsável   direto   pelo   cumprimento   destas   regras,   Sendo   estes 


responsáveis (celetistas, estatutários, estagiários e ou terceiros) gerenciados pela EMPRO. 

I. Os   respectivos   administradores   de   correio   eletrônico,   mensagens   instantâneas   e 


mensagens de voz sobre IP são responsáveis diretos pela manutenção, integridade, segurança 
e   disponibilidade   destes   sistemas.   Em   caso   de   eventuais   problemas   o   administrador   do 
respectivo sistema deve informar o superior imediato do setor correspondente;

II. O   administrador   não   pode   acessar,   ler,   copiar,   modificar   e   ou   remover   toda   e 
quaisquer mensagens eletrônicas enviadas por um usuário. Salvo o caso de recebimento de 
uma   solicitação   de   serviço   para   a   execução   de   cópia,   leitura   e   ou   remoção   destas 
informações. Esta solicitação de serviço deve ser enviada a EMPRO e aprovada pelo gestor 
de segurança da informação do município;

III. A   cada   30   dias   os   administradores   devem   verificar   a   existência   de   contas   e 


endereços eletrônicos inválidos e informar por meio de um relatório ao gestor de segurança 
da   informação.   A   remoção   dos   endereços   eletrônicos   e   contas   inválidas   devem   ser 
previamente   aprovados   pelo   gestor   de   segurança   da   informação   e   enviado   por   uma 
solicitação de serviço. A obrigatoriedade de informar os administradores sobre a admissão, 
demissão e férias de funcionários é de responsabilidade do setor de recursos humanos do 
município;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 37/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

IV. Os servidores devem ser gerenciados para coibir, sempre que possível, o envio e o 
recebimento   de  spam,   mensagens   pornográficas,   mensagens   de   caráter   discriminatório, 
programas, códigos executáveis e envio de conteúdo que violem a propriedade intelectual; 

V. Os respectivos administradores dos diferentes sistemas de mensagens eletrônicas 
são   responsáveis   diretos   pela   segurança   no   acesso   dos   usuários   em   ambiente   de   redes 
públicas. O administrador deve­se utilizar de mecanismos técnicos para garantir o sigilo da 
mensagem e mais níveis de segurança na autenticação do usuário.

 5.5  Processo de Autorização ou Remoção

A solicitação para a instalação ou remoção de programas e liberação ou negação de acesso 
a sistemas de mensagens eletrônicas é requisitada somente pelos diretores presidentes, responsáveis 
e ou secretários do setor público solicitante no município. Esta requisição deve ser realizada por 
intermédio de uma “solicitação de serviço” a EMPRO, contemplando os requisitos descritos abaixo:

I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III.  Nome do usuário que utilizará os serviços de mensagens eletrônicas;
IV. Informar:   “requisição   de   acesso   ou   remoção   aos   serviços   de   mensagens 
eletrônicas”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso.

Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e


análise das solicitações de serviço. No caso de aprovação o gestor de usuários do município deve
liberar a solicitação de serviço para a execução.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 38/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 6  CONDUTA DE UTILIZAÇÃO DE CONTAS E SENHAS

As senhas são um meio comum de verificar a identidade de um usuário antes que acessos
sejam concedidos a um sistema de informação ou serviço de acordo com a autorização do usuário.
As senhas são utilizadas pela grande maioria dos sistemas de autenticação e são consideradas
necessárias como meio de autenticação. Porém, elas são consideradas perigosas, pois dependem do
usuário, que podem, por exemplo escolher senhas óbvias e fáceis de serem descobertas, ou ainda
compartilha-las com seus amigos. Assim a cooperação de usuários autorizados é essencial para uma
efetiva segurança, a fim de prevenir o acesso não autorizado dos usuários e evitar o
comprometimento ou roubo da informação e dos recursos de processamento da informação. O
objetivo deste tópico estipular um conjunto de diretrizes e recomendações aos diferentes usuários do
município. A boa utilização destes serviços é de responsabilidade de cada usuário com seus
respectivos privilégios.

 6.1  Abrangência

Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estagiários ou terceiros que utilizam os recursos computacionais que
requerem autenticação por senhas.

 6.2  Acesso e Identificação do Usuário

Todo o usuário do município possui para cada recurso computacional (estações de


trabalho, sistemas, etc) um identificador único provido pela EMPRO, sendo que para cada
identificador é associado uma senha que permite o acesso ao recurso com seus devidos privilégios.
Os privilégios são definidos pelo diretor e ou presidente de cada setor público envolvido.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 39/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 6.3  Regras de Contas e Senhas para Usuários

O usuário é responsável direto pelo cumprimento das regras e pelos recursos acessados
com seus usuários e senhas, estando passível de punição em caso de não cumprimento. Estas regras
estão descritas abaixo:

I. O usuário deve, assim que receber as informações da conta com a senha inicial
temporária, providenciar a sua alteração para uma senha que seja de seu conhecimento
exclusivo;

II. O usuário não deve armazenar as senhas anotadas em papel ou em arquivos, seja no
computador ou em dispositivos móveis, de forma desprotegida, ou seja, sem se utilizar de
um meio de proteção, como, por exemplo, criptografia;

III. As senhas de acesso tem caráter pessoal, e é intransferível, cabendo ao seu titular
total responsabilidade quanto ao seu sigilo;

IV. A prática de compartilhamento de contas e senhas de acesso é proibida e o titular


que fornecer suas contas e senhas a outrem responderá pelas infrações por este cometidas,
estando passível das penalidades previstas;

V. O usuário está proibido de utilizar contas e senhas de acesso pertencentes a outros


usuários;

VI. Caso o usuário desconfie que sua senha não é mais segura, ou de seu domínio
exclusivo, deverá solicitar imediatamente a alteração desta;

VII.As senhas para usuários finais deverão conter no mínimo 6 (seis) caracteres, sendo
recomendável o uso de letras e números. Sugere-se a utilização de letras maiúsculas,
minúsculas e caracteres especiais (“$”, “%”, “&”,...);

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 40/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

VIII. Deverá ser evitada a composição de senhas com sequências numéricas (123...)
e/ou alfabéticas (abc...), além de senhas de fácil dedução (nome do usuário, data de
nascimento, nome de entes queridos...);

IX. A reinicialização das senhas das contas só poderão ser solicitadas através de
solicitação formal do seu detentor, à área responsável pela administração das contas;

X. Em casos de necessidade extrema de reinicializar uma senha em sistemas críticos


será solicitado ao usuário a confirmação de algumas informações de caráter pessoal, a fim
de confirmar a identificação do solicitante;

XI. O usuário não deve incluir suas senhas em nenhum processo automático de
autenticação, como por exemplo em uma macro ou funções-chave;

XII. O usuário não deve utilizar as mesmas senhas com finalidades pessoais e
profissionais;

XIII. Não será permitido aos usuários finais possuírem contas com perfil de
administrador local das estações, salvo solicitação expressa do diretor presidente ,
responsável ou secretário do setor.

 6.4  Regras Administrativas de Contas e Senhas

Os usuários que possuem contas com privilégios de administrador são responsáveis pelo
cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pela
EMPRO.
I. O usuário administrador assim que receber as informações da sua conta com sua
respectiva senha inicial temporária deverá imediatamente providenciar a sua alteração para
uma senha que seja de seu conhecimento exclusivo;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 41/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

II. As senhas para os usuários com privilégios de administrador são pessoais e


intransferíveis, devendo estas permanecer em absoluto sigilo, sendo o proprietário da senha
responsável pela sua utilização;

III. É proibida a utilização de contas e senhas com privilégios de administrador


pertencentes a outros usuários;

IV. Não será permitida a composição de senhas com sequências numéricas (123...) e/ou
alfabéticas (abc...), além de senhas de fácil dedução (nome do usuário, data de nascimento,
nome de entes queridos...);

V. As senhas para usuários com privilégios de administrador deverão obrigatoriamente


conter no mínimo 8 (oito) caracteres, sendo obrigatório o uso de letras maiúsculas,
minúsculas e caracteres numéricos e especiais (“$”, “%”, “&”,...). Para aqueles ambientes
que não suportarem o mínimo de oito caracteres, deverão ser utilizados o limite máximo que
o ambiente permitir;

VI. Os sistemas e aplicações deverão prover algum mecanismo ou instrução que garanta
que só sejam aceitas senhas com a formação acima citada;

VII. Os sistemas e aplicações deverão prover algum mecanismo ou instrução para


bloquear as contas dos usuários após 3 (três) tentativas de acesso (login) sem sucesso;

VIII. As contas com privilégios de administrador não poderão conter em sua formação
nomes que possam identificá-las como sendo uma conta de administrador (Exemplo:
“administrador”, “adm”, “admin”, etc);

IX. Deverão ser criadas, nos servidores, uma ou mais contas, sem nenhum privilégio,
com a formação que possa identificá-la como sendo uma conta de administrador. Essas
contas deverão ser constantemente submetidas à auditoria, com o propósito de se verificar as
tentativas de utilização das mesmas.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 42/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 6.5  Processo Para Criação ou Remoção de Contas de Usuários

As solicitações para criação de contas de usuários para acesso a rede ou sistemas deverão ser
feitas pelos diretores presidentes, responsáveis e ou diretores do setor público solicitante.
Estas solicitações deverão ser realizadas através de uma solicitação de serviço à EMPRO,
contemplando os itens descritos abaixo:

I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III.  Nome do usuário;
IV. Informar: “requisição de criação ou remoção de conta de usuário”;
V. Descrição detalhada;
VI. Justificativa para a criação ou remoção de conta de usuário.

Nos casos de remanejamento de usuários, o presidente e ou diretor do setor público em que


o usuário está ingressando deve realizar uma solicitação de serviço à EMPRO contendo os
mesmos itens acima, a fim de manter atualizado os dados cadastrais do usuário e,
principalmente, a lista de privilégios do mesmo.

Nos casos de desligamento do usuário, o presidente e ou diretor do setor público deve


solicitar o bloqueio das contas do usuário através de solicitação de serviço à EMPRO.
Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e análise
das solicitações de serviço. No caso de aprovação o gestor de usuários do município deve
liberar a solicitação de serviço para a execução.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 43/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 7  CONDUTA DE INSTALAÇÃO E REMOÇÃO DE SOFTWARES

Todo e qualquer programa (software) são ferramentas e ou instrumentos que auxiliam civis, 
empresas, governos, instituições de pesquisa, instituições de ensino, entre outros a realizar suas 
respectivas   atividades.   Os  softwares  podem   ser   executados   em  desktops,   estações   de   trabalho, 
servidores,   mainframes,   roteadores,   celulares,   e   em   qualquer   outro   dispositivo   computacional. 
Quanto   aos   tipo   de   programas   eles   podem   ser:  software  de   sistema   e  software  aplicativo.   Os 
softwares  de  sistema são responsáveis  pela integração entre máquina, periféricos  e software  de 
aplicativos. Enquanto o softwares de aplicativo são responsáveis pela a interação entre o usuário e 
suas   atividades.   Alguns   exemplos   de   software  são:   sistemas   operacionais,   planilhas   eletrônicas, 
editores de texto, editores de imagens, visualizadores de arquivos, mensageiros instantâneos, correio 
eletrônico,   dentre   outros.   O   acesso   de   um   aplicativo   pode   ser   realizado   localmente   (quando 
acessados fisicamente na máquina utilizada) e ou remotamente (quando os aplicativos são providos 
por outros equipamentos diferentes da máquina utilizada fisicamente).

Este tópico tem como objetivo  estipular um conjunto de diretrizes e recomendações aos 
diferentes   usuários       sobre   procedimentos   de   instalação   e   ou   remoção   de   programas   nos 
equipamentos do município.

 7.1  Abrangência

Esta norma abrange todos os usuários do município de São José do Rio Preto. Sendo estes 
estatutários,   celetistas,   estagiários   e   ou   terceiros   que   utilizam   da   necessidade   de   instalar   e   ou 
remover programas.

 7.2  Acesso e Identificação do Usuário

O usuário do município é devidamente identificado na utilização de programas fornecidos 
e ou mantidos pela EMPRO que requeiram algum tipo de identificação. Os privilégios de acesso do 
usuário aos programas são definidos pelo diretor presidente, responsável e ou secretário de cada 
setor público envolvido.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 44/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 7.3  Regras de Instalação e Remoção de Programas

O usuário é responsável direto pelo cumprimento das regras e pela instalação e remoção de 
todo   e   qualquer   programa   não   previamente   autorizado   pela   EMPRO,   gestor   de   usuários   do 
município e pelos diretor presidente e  secretários e ou responsáveis do setor competente. Em caso 
de não comprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:

I. O usuário é proibido instalar todo e qualquer programa não autorizado no computador e 
qualquer outro dispositivo computacional pertencente ao município, salvo as instalações de 
programas que contenham prévia autorização do diretor e ou presidente do setor 
responsável, e também com a aprovação do gestor de usuários do município e do gestor de 
segurança da informação do município. Este item também é aplicado a programas com 
conteúdos de atualização conhecidos como pacthes;

II. Ao usuário é permitido instalar todo e qualquer programa previamente autorizado pela 
EMPRO. A relação de programas previamente autorizados são disponibilizados na página da 
EMPRO;

III. O usuário é proibido de instalar e ou remover todo e qualquer programa voltado para 
desenvolvimento de aplicações, tais como compiladores, interpretadores, máquinas virtuais, 
interfaces de desenvolvimento(IDEs), banco de dados, código­fontes e qualquer outra 
ferramenta  voltada a desenvolvimento de software. Salvo os usuários que necessitem destes 
programas para realizar estas atividades. Estes usuários devem requerer prévia autorização 
do diretor e ou presidente do setor responsável, e também a aprovação do gestor de usuários 
do município e do gestor de segurança da informação do município;

IV. O usuário é proibido de remover toda e qualquer versão de software obsoleto, mesmo em 
casos onde exista uma versão atualizada da aplicação utilizada;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 45/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

V. Caso o usuário necessite remover qualquer software instalado, entre em contato com seus 
superiores para que estes entrem em contato com o gestor de usuários do município e a 
EMPRO;

VI. O usuário fica ciente de possível auditoria nos equipamentos de propriedade do município.

 7.4  Regras Administrativas e Técnicas de Instalação e Remoção de Programas

Os administradores e técnicos são responsáveis diretos pelo cumprimento destas regras, 
Sendo estes responsáveis (funcionários, estatutários e ou terceiros) gerenciados pela EMPRO. 

I. O administrador é responsável direto pela atualização dos programas nos equipamentos. 
Antes de realizar toda e qualquer atualização de software, o administrador deve enviar uma 
solicitação ao seu superior descrevendo o nome do programa, número da versão, descrição, 
justificativa, as notas da versão, fabricante, página do fabricante e do produto;

II. O administrador não deve liberar softwares em desenvolvimento, testes, previews, betas e 
candidatos a liberação para instalação em computadores do município. Somente devem ser 
utilizados programas homologados e liberados para utilização em produção;

III.  O administrador é proibido de instalar todo e qualquer programa voltado para 
desenvolvimento de aplicações, tais como compiladores, interpretadores, máquinas virtuais, 
interfaces de desenvolvimento(IDEs), banco de dados, código­fontes e qualquer outra 
ferramenta  voltada a desenvolvimento de software, salvo os usuários que necessitem destes 
programas para realizar estas atividades. Estes usuários devem requerer prévia autorização 
do diretor e ou presidente do setor responsável, e também com a aprovação do gestor de 
usuários do município e do gestor de segurança da informação do município;

IV.  O administrador é responsável pela delegação e ou realização de testes nos softwares. Os 
testes devem conter análises de usabilidade, amigabilidade, segurança e efeitos no sistema. 

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 46/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

Estes testes devem ser transformados em um relatório e entregues ao diretor do setor de 
tecnologia. O ambiente de teste deve ser isolado dos ambientes de produção utilizados;

V. O administrador deve especificar, por escrito, o processo de downgrade de um software 
autorizado para que possibilite o retorno do sistema no caso de aparecimento de erros. 
Sempre que for necessário e possível, o administrador deve prover ferramentas de apoio tais 
como mídias e softwares para realizar o downgrade;

VI.  O administrador deve prover um repositório da última versão anterior de softwares 
autorizados, desde que não fira as respectivas licenças e conformidades legais;

VII.O administrador deve utilizar ferramentas de controle de versão para gerenciar documentos 
de instalação, processos, procedimentos, requisitos, configurações, software e quaisquer 
outros materiais que sejam necessários para instalação, remoção, atualização e ou 
downgrade de uma aplicação;

VIII.O administrador é responsável pela publicação de uma lista com programas previamente 
autorizados para instalação. A licença destes programas devem ser do tipo livre, gratuita e 
ou pública. Deve­se respeitar todas as conformidades legais e de propriedade de 
licenciamento destes programas;

IX. O administrador é responsável por manter, quando adquirido e no prazo de validade de 
suporte do programa, uma lista com nomes de fornecedores e meios de contato para acionar 
a manutenção e a resolução de erros;

X. O administrador deve requirir por escrito todo e qualquer a autorização de seus superiores 
para liberar os privilégios de acesso necessários a terceiros, tanto físico quanto lógico. Estes 
acessos devem ser monitorados pelo administrador.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 47/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 7.5  Processo de Requisição de Instalação e ou Remoção de Programas

A solicitação para a instalação, remoção e ou   atualizações de programas é requisitada 
somente pelos presidentes, responsáveis e ou diretores do setor público solicitante no município. 
Esta   solicitação   deve   ser   realizada   por   intermédio   de   uma   solicitação   de   serviço   a   EMPRO, 
contemplando os requisitos descritos abaixo:

I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III.  Nome do usuário;
IV. Informar: “requisição de instalação ou remoção de software”;
V. Descrição detalhada;
VI. Justificativa para instalação ou remoção de software.

Cabe   ao   gestor   de   usuários   do   município   a   aprovação,   reprovação,   questionamento   e 


análise das solicitações de serviço. No caso de aprovação, o gestor de usuários do município deve 
liberar a solicitação de serviço para a execução pela EMPRO.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 48/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 8  CONDUTA DE CÓPIAS DE SEGURANÇA

Com a finalidade de manter a integridade e disponibilidade da informação, devem ser


realizadas cópias de segurança de base de dados, arquivos textos, planilhas eletrônicas e de
quaisquer outros arquivos e pastas que contenham informações sensíveis. O objetivo das cópias de
segurança é garantir a recuperação sob demanda da informação quando necessária. Programas e
sistemas operacionais, também devem ter cópias de segurança, pois estes são responsáveis por
permitir o processamento da informação.

Alguns dos agentes que podem acarretar perdas de informação são desastres naturais,
acidentes, falhas de equipamentos e ações intencionais. Por isso, as cópias de segurança também
devem ser efetuadas com periodicidade, bem como o teste de integridade das informações contidas
e o armazenamento das cópias devem ser realizados em locais distintos do local principal. No caso
de perda de informação as cópias de segurança ajudarão a restauração do conteúdo perdido
permitindo a continuação do negócio. No caso de sistemas críticos devem ser realizadas cópias de
segurança que abranjam todos os sistemas de informação, aplicações e dados.

O objetivo deste tópico é estipular um conjunto de diretrizes e recomendações diferentes


usuários do município. A boa utilização destes serviços é de responsabilidade de cada usuário com
seus respectivos privilégios.

 8.1  Abrangência

Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estagiários ou terceiros que utilizam o parque de tecnologia da
informação do município.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 49/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 8.2  Requisição de Geração, Recuperação e ou Armazenamento de cópia de Segurança

Toda e qualquer cópia de segurança deve ser armazenada, gerada ou recuperada pela
EMPRO. Para realizar a requisição é necessária a autorização prévia por solicitação de serviço
(sistema eletrônico disponibilizado pela EMPRO) do diretor e ou presidente do setor envolvido. Esta
deve contemplar os itens descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III.  Nome do usuário;
IV. Informar: “geração/armazenamento ou recuperação”;
V. Descrição detalhada;
VI. Justificativa para a geração/armazenamento ou recuperação das cópias de
segurança, bem como o intervalo de armazenamento, extensão, a frequência e a criticidade
deste processo.

 8.3  Regras do Usuário

O usuário é responsável direto pelo cumprimento da regra referentes a cópias de segurança,


estando passível de punição em caso de não cumprimento. Esta regra está descrita abaixo:

I. O usuário deve sempre comunicar e aguardar autorização ao diretor e ou presidente a


necessidade da geração/armazenamento ou recuperação de uma cópia de segurança bem como
seus parâmetros a serem aplicados;

II. O usuário deve definir a abrangência dos arquivos, pastas, programas e sistemas
operacionais a serem copiados. A necessidade de cópias de segurança de programas e sistemas
operacionais está sujeita a recusa da EMPRO caso este não cumpra os termos legais e de
licenciamento do produto;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 50/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

III. O usuário deve definir qual a extensão, a freqüência e a criticidade da geração das
cópias de segurança. Entenda-se como extensão o armazenamento completo ou diferencial da
informação contidas nas cópias de segurança. A extensão e a freqüência das cópias de segurança
podem ser discutidas e alteradas pela EMPRO;

IV. O usuário deve respeitar os requisitos de negócio do setor, autarquia ou empresa pública
a qual pertence;

V. O usuário pode requerer a encriptação dos dados para garantir, caso necessário, a
confidencialidade da informação. Neste caso, a senha de recuperação, bem como a possibilidade
de recuperação da informação atrelada a esta cópia de segurança, é de total responsabilidade do
usuário;

VI. O usuário deve determinar qual o tempo de validade da cópia de segurança da


informação. A validade da cópia está sujeita a alteração e ou negociação a pela EMPRO.

 8.4  Regras Administrativas

Os usuários que possuem contas com privilégios de administrador são responsáveis pelo
cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pela
EMPRO.

I.O usuário administrador deve realizar as cópias de segurança sempre no período


solicitado pelo usuário, conforme descrito na solicitação de serviço;

II.O usuário administrador deve realizar testes periódicos sobre as cópias de segurança
para verificar a integridade das mesmas. O período em que deve ser realizado os testes é semestral,
com possibilidade de redução ou ampliação deste intervalo e deve estar de acordo com requisitos de
negócio do usuário requerente;

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 51/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

III.O usuário administrador é responsável pela integridade, completude e exatidão das


cópias de segurança efetuadas;

IV.O usuário administrador deve armazenar as cópias de segurança em locais remotos ao


local principal;

V.O usuário administrador deve garantir que o nível de proteção esteja em conformidade
física e ambiental com as informações contidas nas cópias de segurança;

VI.O usuário administrador é responsável pela elaboração, implantação e documentação do


processo de geração/armazenamento e restauração de cópias de segurança em conformidade com as
necessidades do usuário e dos requisitos de negócio. Sempre que possível e aplicável o usuário
administrativo deve automatizar estes processos;

VII.O usuário administrador é responsável por testes periódicos dos processos de


geração/armazenamento e restauração de cópias de segurança. A periodicidade destes testes deve
ser definida em conformidade com a freqüência de falhas e a criticidade dos requisitos de negócio
envolvidos;

VIII.O usuário administrador é responsável pela restauração em até 7 dias úteis das cópias
de segurança quando requeridas. Este prazo somente será aplicado desde que os equipamentos
utilizados pelos usuários estejam plenamente funcionais para a restauração das cópias de segurança;

IX.O usuário administrador é responsável pelo descarte das cópias de segurança quando o
prazo de validade definida se esgotar;

X.O usuário administrador deve disponibilizar, quando solicitado, a encriptação dos dados
para garantir, caso necessário, a confidencialidade da informação. Neste caso, a senha de
recuperação, bem como a possibilidade de recuperação da informação atrelada a esta cópia de
segurança, é de total responsabilidade do usuário requerente.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 52/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 9  CONDUTA DE ALIENAÇÃO, REMOÇÃO, REUTILIZAÇÃO E OU 
DESCARTE DE MÍDIAS E EQUIPAMENTOS

Quando um equipamento e ou mídia tornam-se obsoletos, seja por danos materiais,


depreciação da tecnologia ou da informação, torna-se necessário a alienação, remoção, reutilização
ou descarte das unidades de mídia e equipamentos. Porém, dados e informações contidos podem ser
sigilosos e restritos ao município. Um exemplo onde poderia ocorrer este problema é no envio de
equipamentos da prefeitura para terceiros, seja para doação ou manutenção, que caso não tivessem
os devidos cuidados poderiam revelar informações sensíveis, tais informações restritas e privadas de
uma secretaria, empresa e orgão público. Isto também se aplica no descarte inadequado de mídias,
sendo elas impressas, magnéticas ou de qualquer outra natureza, pois tornaria acessível à unidade e
seu conteúdo a agentes externos. Em ambos os casos é necessário a eliminação segura desta
informação sensível por meio de sua destruição ou eliminação completa dos dados contidos na
unidade de armazenamento, afim de torná-las irrecuperáveis (caso exista a necessidade de cópia de
segurança, ver “conduta de cópias de segurança”). O objetivo deste tópico é estipular um conjunto
de diretrizes e recomendações aos diferentes usuários do município. A boa utilização destes
serviços é de responsabilidade de cada usuário com seus respectivos privilégios.

 9.1  Abrangência

Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estagiários ou terceiros que utilizam o parque de tecnologia da
informação do município.

 9.2  Remoção de propriedade

Toda e qualquer remoção de equipamentos, informações ou mídias requerem autorização


prévia por solicitação de serviço (sistema eletrônico disponibilizado pela EMPRO) do diretor e ou

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 53/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

presidente do setor envolvido. Caso a remoção da máquina seja realizada por terceiros extra
EMPRO, no campo de detalhe da solicitação de serviço deve-se conter informações municipais (São
José do Rio Preto), estaduais (São Paulo) e ou federais (Brasil) que identifiquem em plenitude os
terceiros envolvidos no processo de remoção do equipamento. Algumas destas identificações são
informações contidas em RGs, CPFs e ou CNPJs. Também deve ser informado o intervalo de tempo
dedicado para a retirada do equipamento do local.

Quando devolvidos, os presidentes e diretores, responsáveis devem se utilizar dos termos


de remoção e devolução disponibilizados pela EMPRO. Todos os registros de remoção e devolução
de equipamentos e mídias são devidamente registrados pela EMPRO.

Quando endereçadas à EMPRO, as solicitações para alienação, remoção, reutilização e ou


descarte de mídias e equipamentos deverão ser realizadas através de solicitação de serviço,
contemplando os itens descritos abaixo:

a) Nome do solicitante (responsável pelo setor);


b) Pessoa para contato;
c) Nome do usuário;
d) Informar: “alienação, remoção, reutilização e ou descarte de mídias e equipamentos
relacionados”;
e) Descrição detalhada;
f) Justificativa para a alienação, remoção, reutilização e ou descarte de mídias e
equipamentos relacionados.

A EMPRO é responsável somente pelo processamento destas solicitações. Quando


aplicado o processo de reutilização e ou remoção dos equipamentos e mídias realizados pela
EMPRO, os itens processados serão devolvidos ao setor solicitante.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 54/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 9.3  Inspeções Aleatórias

Todas as secretarias, autarquias e empresas públicas pertencentes ao município estão


passíveis de inspeções realizadas pela EMPRO para a detecção de retirada não autorizada de bens
relacionados à informática, bem como a instalação não autorizada de dispositivos de gravação. A
EMPRO deve comunicar a realização destas inspeções com, no mínimo, 24 horas de antecedência.
Estas inspeções requerem a autorização do presidente ou diretor do setor envolvido ou somente a
autorização do prefeito.

 9.4  Regra do Usuário

O usuário é responsável direto pelo cumprimento da regra referentes a remoção, alienação,


reutilização e ou descarte de um equipamento e ou mídia, estando passível de punição em caso de
não cumprimento. Esta regra está descrita abaixo:

I. O usuário deve, sempre comunicar e aguardar autorização ao diretor e ou


presidente a necessidade da remoção, alienação, reutilização e ou descarte de um
equipamento e ou mídia.

 9.5  Regras de Usuários Nomeados.

Os diretores e presidentes devem nomear um responsável (referenciado como usuário


nomeado). O usuário nomeado deve zelar pelo cumprimento destas regras, sendo estas listadas
abaixo:

I. O usuário nomeado deve examinar todas as mídias de armazenamento, tanto


contidas no equipamento quanto removíveis, antes do descarte, para classificar e rotular a

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 55/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

sensibilidade da informação contida, este processo é usado para determinar a necessidade do


descarte seguro;

II. O usuário nomeado é responsável pela análise e avaliação de riscos sobre as


informações contidas. Logo o responsável, diretor e ou presidente é responsável pela escolha
de destruição física ou formatação dos dados contidos no equipamento ou na mídia. No caso
de conserto de equipamentos e mídias, estes riscos devem ser avaliados para evitar a
divulgação da informação sensível;

III. O usuário nomeado deve recolher os equipamentos e mídias do setor a qual é


responsável, e solicitar o recolhimento deste material pela EMPRO;

IV. O responsável deve recolher todos os papéis impressos destinados ao descarte e que
contenham informações sensíveis, e solicitar a EMPRO o recolhimento do material;

V. O usuário nomeado é responsável pelo registro dos controles sobre os materiais


alienados, reutilizados, removidos e ou descartados do seu setor;

VI. O usuário nomeado é unicamente responsável pela autorização para alienação,


reutilização, remoção e ou descarte de mídias e equipamentos;

VII.O usuário nomeado, diretor e ou presidente são responsáveis pelo devido


armazenamento das mídias em ambiente seguro e de acordo com as especificações do
fabricante.

 9.6  Regras Administrativas

Os usuários que possuem contas com privilégios de administrador são responsáveis pelo
cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pela
EMPRO.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 56/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

I. O usuário administrador deve examinar todas as mídias de armazenamento antes do


descarte, para garantir a eliminação ou sobrescrita completa dos dados sensíveis e ou
softwares instalados nela;
II. O usuário administrador deve garantir a irrecuperabilidade completa e total de
todas as informações contidas nas mídias de armazenamento, sendo aplicável a destruição
física e ou técnica de formatação apropriada;
III. O usuário administrador deve recolher os equipamentos e mídias dos setores e
empresas públicas do município e encaminhá-los à EMPRO;
IV. O usuário administrador é responsável pelo devido armazenamento e posterior
destruição para as mídias de descarte. Este processo pode ser realizado através de trituração,
incineração e ou remoção dos dados;
V. O usuário administrador deve recolher todos os papéis impressos solicitados para
descarte, que contenham informações sensíveis, para armazenamento e posterior destruição;
VI. O usuário administrador é responsável pelo registro dos controles sobre os
materiais alienados, reutilizados, removidos e ou descartados;
VII.O usuário administrador é responsável por evitar grande acúmulo de materiais,
sendo o procedimento de alienação e descarte realizados mensalmente;
VIII.O usuário administrador é responsável pelo devido armazenamento das mídias em
ambiente seguro e de acordo com as especificações do fabricante. Entenda-se como
ambiente seguro a proteção física contra incêndios, enchentes, terremotos, explosões,
perturbações da ordem pública e outras formas de desastres naturais ou causados pelo
homem.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 57/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

 10  CONFIDÊNCIALIDADE

Toda   e   qualquer   informação   deve   estar   disponível   somente   aos   indivíduos   e   entidades 
autorizados. O acesso e a divulgação da informação é tida como sigilosa sempre quando o valor do 
conteúdo  informado representa riscos ou comprometimento financeiro, moral, intelectual, ou da 
imagem do município, de empresas ou de setores envolvidos. Para restringir e controlar o acesso a 
informação   e   divulgação   destes   conteúdos,   são   redigidos   acordos   de   confidencialidade   e   não 
divulgação. Estes acordos devem refletir as necessidades de cada setor do município contemplando 
uma identificação e uma análise crítica periódica  das informações a serem protegidas. Os acordos 
de   confidencialidade   do   município   respeitam   a   todos   os   requisitos   legais,   tais   como   leis   e 
regulamentações aplicáveis.

O   objetivo   deste   capítulo   é   determinar   quais   são   e   informações   confidenciais   a   serem 


protegidas,   bem   como:   acordo,   o   tempo   de   duração,   ações   de   encerramento   de   acordos, 
proprietário   ,   segredos   comerciais,   propriedade   intelectual,   usos   permitidos,   auditoria, 
monitoramento, notificação, violação, retorno, destruição, punição, decretos e leis. 

 10.1  Abrangência

Este capítulo abrange todos os usuários do município de São José do Rio Preto, sendo estes 
estatutários, funcionários, estudantes e ou terceiros que utilizam as informações confidenciais de 
propriedade do município.

 10.2  Acordo de Confidencialidade

Os usuários sendo estes estudantes, estatutários, celetistas e terceiros que acessam a dados 
e informações do município de São José do Rio Preto,  declaram que:

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 58/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

I. O usuário têm plena ciência de que os dados e informações  de propriedade  do 


município de São José do Rio Preto são confidenciais;

II. O usuário têm plena ciência que NÃO devem divulgar, revelar e ou publicar todas e 
quaisquer informações ou dados confidenciais do município que englobem qualquer tipo de 
negócio, comércio, propriedade da informação, propriedade intelectual, know­how ou dados 
técnicos. A violação deste acordo é passível de punição;

III. O usuário a qualquer momento poderão ser auditado pelo gestor de segurança da 
informação do município ou por uma equipe escolhida pelo próprio gestor de segurança da 
informação.   Esta   auditoria   tem   como   objetivo   garantir   que   o   sigilo   e   propriedade   das 
informações do município foi mantido;

IV. O   usuário   têm   plena   ciência   de   que   no   caso   de   divulgação,   revelação   e   ou 
publicação de informações NÃO autorizadas estarão sujeitos as penalidades previstas em lei 
e, no caso de divulgação de informação por terceiros, deverá ocorrer o pagamento sobre o 
valor da informação liberada. Salvo nos casos de exigência previstos em leis e quaisquer 
outras   instituições   e   ou   setores   governamentais   que   realizam   alguma   auditoria.   As 
informações   consideradas   autorizadas   para   a   divulgação,   revelação,   publicação   e   ou 
distribuição   são   aquelas   previamente   autorizadas   por   escrito   e   assinadas   pelo   diretor 
presidente ou secretário do setor envolvido;

V. O usuário pode divulgar toda e qualquer informação que seja de domínio público, 
desde que não fira este acordo.   Também é passível de publicação toda e qualquer outra 
informação de propriedade do município de caráter público e autorizada por escrito com a 
assinatura do presidente responsável do setor com envio de cópia para o gestor de segurança 
da informação do município;

VI. O gestor de segurança da informação do município de São José do Rio Preto tem 
como   obrigação   verificar   que   o   usuário   que   tenha   acesso   às   informações   e   dados   do 

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 59/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

município esteja cumprindo as determinações deste acordo;

VII.Desde o momento da assinatura desde acordo o usuário passa a ter acesso  aos 
informações cabíveis ao cargo, atividade, serviço ou função competente;

VIII.No caso de controvérsias deste documento é de responsabilidade da comarca de 
São José do Rio Preto o julgamento deste acordo;

IX. O   acordo   de   confidencialidade   tem   duração   indeterminada   a   partir   da   data   de 


assinatura deste acordo. No caso em que a informação acessada tiver que ser mantida por um 
tempo determinado sobre sigilo, o presidente do setor concedente da informação deverá 
redigir um novo acordo, que NÃO viole este acordo,  estipulando o domínio da informação e 
o tempo de sigilo destas informações que o  usuário deve respeitar; 

X. Caso exista a divulgação NÃO autorizada da informação ou dados de propriedade 
do município, o usuário deve entrar em contato imediato com o presidente do setor e com o 
gestor de segurança da informação do município;

XI. O   usuário   está   plenamente   ciente   do   dever   de   destruição   e   retorno   de   toda   e 


qualquer informação e dados de propriedade do município ao término e ou suspensão do 
contrato.   O   retorno   das   informações   de   propriedade   do   município   devem   ser   realizadas 
diretamente ao setor onde o usuário executou suas atividades.

/home/wgpedroso/Documentos/documentos/empro/seguranca/politica­atual/politicaDeSegurança_unificadav2.odt 60/62
 11  PENALIDADES

As penalidades aplicadas pelo não cumprimento da política de segurança do


município por parte dos usuários e administradores são divididas em cinco categorias:
comunicado, advertência, suspensão, demissão por justa causa e indenização monetária.
Conforme descrito abaixo:

COMUNICADO

O usuário será notificado por correio eletrônico ou por ofício contendo, de forma
direta e clara, a violação praticada. Em caso de reincidência, será enviada uma cópia para o
presidente, diretor ou responsável do setor.

ADVERTÊNCIA

O usuário será advertido por ofício, contendo de forma direta e clara a violação
praticada com cópia para o presidente, diretor ou responsável do setor. Este item só será
aplicado a funcionários, estudantes e estatutários, respeitando as conformidades legais e um
processo de auditoria.

SUSPENSÃO

O usuário será suspenso por ofício, contendo de forma direta e clara a violação
praticada com cópia para o presidente, diretor ou responsável do setor. Este item só será
aplicado em funcionários, estudantes e estatutários, respeitando as conformidades legais e um
processo de auditoria.
DEMISSÃO POR JUSTA CAUSA

O usuário será demitido por justa causa somente após um processo de auditoria e
dentro das conformidades legais.

No caso dos funcionários enquadrados no regime CLT será aplicado o artigo 482 e
paragrafo único da Consolidação das Leis do Trabalho (DECRETO-LEI N.º 5.452, DE 1º DE
MAIO DE 1943).

No caso de funcionários enquadrados no regime ESTATUTÁRIO será aplicado o


estatuto que regulamenta a categoria.

ANULAÇÃO CONTRATUAL

O usuário terceirizado poderá ter o contrato rescindido no caso de violação da


política de segurança do município.

INDENIZAÇÃO MONETÁRIA

O usuário terceirizado ou a empresa representante legal do usuário terá que indenizar


monetariamente o município no caso de violação da política de segurança do município. Este
processo requer uma auditoria para analisar a ocorrência e, caso necessário, estabelecer o
valor a ser indenizado, baseando-se em um acordo sobre valores da informação previamente
estabelecido e assinado entre as partes.

 12  REFERÊNCIAS BIBLIOGRÁFICAS

ABNT 17799:2005
ABNT 27001:2006