d e c r e t o nº 31.184, de 07/10/2010. anexo Único · a) lei municipal n.º 2.073, de 21 de...

D E C R E T O Nº 31.184, DE 07/10/2010. ANEXO ÚNICO

ÍNDICE

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO............................................. 1

DISPOSIÇÕES INICIAIS .......................................................................................................................1

TERMOS E DEFINIÇÕES .....................................................................................................................1

DOS OBJETIVOS DE SEGURANÇA ...................................................................................................4

DAS RESPONSABILIDADES QUANTO À SEGURANÇA................................................................7

DAS DISPOSIÇÕES FINAIS .................................................................................................................8

NORMA PARA USO DA INTERNET................................................................. 9

DISPOSIÇÕES INICIAIS .......................................................................................................................9

TERMOS E DEFINIÇÕES .....................................................................................................................9

CONDIÇÕES DE USO .........................................................................................................................11

DAS RESPONSABILIDADES.............................................................................................................13

NORMA PARA USO DO CORREIO ELETRÔNICO CORPORATIVO............ 15

DISPOSIÇÕES INICIAIS .....................................................................................................................15

TERMOS E DEFINIÇÕES ...................................................................................................................15

CONDIÇÕES DE USO .........................................................................................................................17

DO CORREIO ELETRÔNICO CORPORATIVO................................................................................20

NORMA PARA SEGURANÇA FÍSICA DOS AMBIENTES DE

PROCESSAMENTO DA INFORMAÇÃO......................................................... 21



DA SEGURANÇA FÍSICA E DO AMBIENTE...................................................................................23


NORMA PARA SEGURANÇA DE EQUIPAMENTOS DE TECNOLOGIA DA

INFORMAÇÃO E COMUNICAÇÃO................................................................. 26



SEGURANÇA DE EQUIPAMENTOS.................................................................................................27


Estado de Goiás

PREFEITURA MUNICIPAL DE ANÁPOLIS

1

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Considerando ser imprescindível a realização de ações estratégicas que visem à redução dos riscos à segurança das informações da PMA, ou seja, do possível comprometimento da confidencialidade, integridade e disponibilidade das informações disponíveis nos diferentes órgãos municipais, dá-se publicação às presentes Normas, a serem observadas no âmbito da Prefeitura de Anápolis. CAPÍTULO I

DISPOSIÇÕES INICIAIS

A Política de Segurança da Informação visa à redução dos riscos de ocorrência de perdas, alterações e acessos indevidos aos dados, preservando a confidencialidade, a integridade e a disponibilidade das informações disponíveis nos diferentes órgãos municipais e aplica-se a todos os órgãos integrantes deste município.

Caberá a Diretoria de Gestão Tecnologia e Comunicação – DGTC a revisão e atualização, quando necessárias, do presente conjunto de normas e procedimentos necessários à operacionalização das diretrizes descritas nesta política.

A DGTC – promoverá programas periódicos de análise e avaliação de riscos de segurança da informação em todos os órgãos da PMA.

Estão submetidos às diretrizes dispostas nesta política os órgãos e entidades da Administração Pública Municipal direta e indireta, as fundações e autarquias, as organizações sob controle direto ou indireto do Município. CAPÍTULO II

TERMOS E DEFINIÇÕES I. Ambiente Informatizado: Ambiente físico onde se localizam estações de trabalho, servidores de rede e equipamentos de apoio que provêem o processamento e o armazenamento das informações; II. Ambiente Operacional: Ambiente onde são executados os aplicativos e sistemas da PMA;

Estado de Goiás


2

III. Aplicativo (ou Aplicação): Programa ou grupo de programas adquiridos ou desenvolvidos para determinado fim, tais como processador de textos, sistema de banco de dados, planilha eletrônica e sistemas específicos; IV. Chave de Acesso: Identificação do usuário (user-id) do ambiente computacional; V. Ciclo de Operação do Sistema: Corresponde ao ciclo de testes, homologação e passagem para ambiente de produção do sistema de informação; VI. Classificação da Informação: É o grau de sensibilidade de uma informação a uma possível quebra de segurança, ou seja, do comprometimento dos princípios básicos de segurança da informação: confidencialidade, integridade e disponibilidade. É a partir da classificação da informação que definimos a que tipo de tratamento ela está sujeita (identificação, acesso, distribuição, uso em correios e fax, reprodução, estocagem, descarte e transporte); VII. Dados: São quaisquer registros ou indícios relacionáveis a alguma entidade ou evento. Informação não processada ou unidade de registro de conjunto, por exemplo, como ocorre no termo “banco de dados”; VIII. Área de Informática: Área responsável pelo processamento e armazenamento da informação. Cumpre regras especificadas pelo Gestor da Informação; IX. Gestores da Informação: Usuário proprietário da informação, sendo responsável pela sua criação e classificação, pelos recursos sob sua responsabilidade, pela validação, liberação e cancelamento do acesso aos recursos e aos locais restritos da sua Unidade, bem como por definir os perfis de acesso dos usuários; X. Homologação: Análise da funcionalidade, testes e aprovações necessárias para a implantação de recursos informatizados; XI. Informação: É o resultado do processamento, manipulação e organização de dados de tal forma que represente um acréscimo ao conhecimento da pessoa que a recebe. Ela pode se apresentar de diversas formas: textual, imagem, sonora, etc.; XII. Integridade: Capacidade efetiva da informação de estar intacta e garantida contra perda, dano ou modificação não autorizada (indevida), realizada maliciosa ou acidentalmente; XIII. Manutenção Preventiva: Conjunto de operações para revisão, inspeção e limpeza dos recursos informatizados, objetivando corrigir, reparar pequenas falhas e manter a sua conservação;

Estado de Goiás


3

XIV. Mau Uso da Identificação Pessoal: O “mau uso da identificação pessoal” diz respeito a qualquer utilização, de essência dolosa, de privilégios de acesso vinculados à identificação pessoal que comprometa os princípios da integridade, confidencialidade ou disponibilidade da informação, por exemplo, inserir informações falsas, alterar ou excluir indevidamente informações com o fim de obter vantagem para si ou para outrem; XV. Mau Uso da Informação: O “mau uso da informação” diz respeito a qualquer utilização da informação, de essência dolosa, que comprometa os princípios da integridade, confidencialidade ou disponibilidade desta informação, por exemplo, prover acesso a informações confidenciais a fim de obter vantagem indevida para si ou para outrem; XVI. Recursos ou Recurso de Informática: São os recursos que transformam, transportam, guardam e descartam informações, os dados e as próprias informações. Podendo ser equipamentos computacionais, conexões para redes de computadores, serviços de Internet, banco de dados, sistemas operacionais, sistemas e aplicativos que manipulam direta ou indiretamente informações da PMA; XVII. Rede: Um grupo de dois ou mais sistemas de computador interligados. Quanto à disposição dos computadores, as redes podem ser classificadas como: local area network (LAN) – os computadores estão geograficamente próximos (geralmente, no mesmo prédio); wide-area network (WAN) – os computadores estão mais distantes, uns dos outros, e são conectados através de linhas telefônicas, ondas de rádio ou via satélite; XVIII. Sistema: Um conjunto de várias funções interligadas que automatiza um processo; XIX. Sistema de Informação em Produção: Entende-se por sistema em produção todo e qualquer sistema de informação que esteja em funcionamento e disponível para ser utilizado nos processos de negócio de órgão ou entidade da PMA; XX. Usuário: Qualquer pessoa que foi autorizada pelo Gestor, a ler, inserir ou atualizar informações; e XXI. Vírus: Classe de programas maliciosos que tem a habilidade de se auto-replicar sem autorização e provocar danos às propriedades da segurança da informação.

Estado de Goiás


4

CAPÍTULO III

DOS OBJETIVOS DE SEGURANÇA I. Com relação ao tratamento de informações: a) As informações são de propriedade do Município, devendo ser tomadas por todos os órgãos municipais as medidas necessárias para protegê-las de alteração, destruição ou divulgação não autorizadas, quer seja acidental ou intencional; b) As informações devem ser classificadas, quanto a confidencialidade, integridade e disponibilidade, e identificadas de forma a serem adequadamente acessadas, manipuladas, armazenadas, transportadas e descartadas; c) Os controles de segurança da informação devem ser proporcionais à classificação e ao nível de risco destas informações; d) Os riscos às informações do Município devem ser identificados e tratados periodicamente; e) Todos os papéis e responsabilidades relacionados à segurança da informação devem ser claramente definidos e comunicados; f) Servidores públicos e prestadores de serviço devem garantir o sigilo das informações a que tiverem acesso, tomando o cuidado necessário quanto a sua divulgação interna e externa, avaliando-se seu respectivo nível estratégico e sua classificação; e g) Todos os processamentos executados nos Sistemas de Informação da PMA deverão ter suas responsabilidades conhecidas e distribuídas de forma a não serem concentrados em um mesmo grupo ou pessoas. II. No que diz respeito ao controle de acesso: a) Todo servidor público ou pessoa autorizada deve ter uma identificação única, pessoal e intransferível, qualificando-o como responsável por qualquer atividade desenvolvida através dela; b) A concessão de autorização de acessos deverá ser restrita aos recursos mínimos necessários para que os usuários desenvolvam suas atividades; e c) Prestadores de Serviço devem possuir acesso com prazo limitado à execução de suas atividades. III. Quanto à estabilidade do ambiente operacional:

Estado de Goiás


5

a) Todos os recursos de TIC (Tecnologia da Informação e Comunicação) devem ser identificados de forma individual, controlados, preservados, protegidos contra acessos indevidos, submetidos à manutenção preventiva periódica e estar com a documentação atualizada e aprovada pelos setores responsáveis; b) A disponibilização de recursos de TIC somente será permitida após atendimento às determinações desta Política e das respectivas normas de segurança, homologação pela área de Informática e a autorização dos respectivos responsáveis; c) Os recursos de TIC compartilhados devem ser dimensionados de forma a garantir o atendimento eficiente e eficaz de todos os clientes que os compartilhem; d) Considerando o elevado potencial de risco vinculado à utilização dos recursos de TIC portáteis, estes devem ser configurados, acondicionados e transportados atendendo a regras de segurança específicas; e) Todos os ambientes operacionais devem possuir procedimentos formais de backup e recuperação, gerenciamento de incidentes, gerenciamento de problemas e gerenciamento de segurança de seus recursos de TIC; f) Os ambientes de desenvolvimento, validação e produção de sistemas/aplicações devem ser segregados, e a transferência de objetos entre estes ambientes deve seguir processo formal; e g) Deve haver rodízio periódico de pessoas, ou equipes, no desempenho de atividades críticas. IV. Quanto à capacitação: a) Os servidores públicos e prestadores de serviço devem possuir conhecimento mínimo para a execução eficiente, eficaz e segura de suas tarefas, assim como conhecer as políticas e normas de segurança da PMA; e b) Os servidores públicos devem receber treinamento em segurança da informação visando garantir a compreensão precisa das políticas, normas e melhores práticas em segurança da informação, assim como o cumprimento de seus papéis e responsabilidades com relação à proteção das informações da PMA. V. Quanto à apuração de responsabilidades e sanções:

Estado de Goiás


6

a) Uma vez comprovado o mau uso das informações pertencentes ao Município e de seus recursos de processamento; o não cumprimento das políticas e normas que visem protegê-los, ou, ainda, se atestado o mau uso de identificação pessoal fornecida pelo Município, ficarão os infratores sujeitos à apuração de responsabilidades, nos termos das Seções II, III e IV do Cap. XII do Estatuto dos Servidores Públicos do Município; e b) Confirmado o ato ilícito, aos infratores serão aplicadas as penalidades previstas na Seção V do citado Cap. XII, se assim definir o competente Processo Administrativo, nos termos das Seções I e III do Cap. XIII do mesmo Estatuto dos Servidores Públicos do Município. As penalidades poderão incluir sanções administrativas, criminais ou cíveis, observada a legislação pertinente. VI. Legislação: a) Lei Municipal n.º 2.073, de 21 de dezembro de 1992 (Estatuto dos Servidores Públicos do Município); b) Código Penal (Decreto-Lei n.º 2.848/1940, com as alterações da Lei N.º 9.983/2000); c) Lei Federal n.º 8.159, de 08 de janeiro de 1991 (Dispõe sobre a Política Nacional de Arquivos Públicos e Privados); d) Lei Federal n.º 9.610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral); e) Lei Federal n.º 9.279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes); f) Lei Federal n.º 3.129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aos autores de invenção ou descoberta industrial); g) Lei Federal n.º 10.406, de 10 de janeiro de 2002 (Institui o Código Civil); h) Decreto-Lei n.º 2.848, de 7 de dezembro de 1940 (Institui o Código Penal); i) Lei Federal n.º 9.983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembro de 1940 -Código Penal e dá outras providencias). Observação: Na medida de suas competências, outras legislações poderão ser aplicadas ao documento, de acordo com o caso concreto.

Estado de Goiás


7

CAPÍTULO IV

DAS RESPONSABILIDADES QUANTO À SEGURANÇA I. Caberá a todo servidor público e prestador de serviço: a) Observar desvios das políticas, normas e procedimentos estabelecidos e informá-los ao responsável imediato; e b) Realizar suas competências funcionais em aderência a todas as políticas, normas e procedimentos a elas relacionados. II. Caberá às Chefias Imediatas: a) Informar as necessidades de acesso a sistemas de informação ou serviços aos respectivos gestores ou administradores, bem como a autorização de atualização ou exclusão de acessos dos usuários de sua área; e b) Atuar junto aos seus funcionários na construção e implantação de processos de trabalho e ambiente comportamental que promovam a segurança da informação com base nas políticas e normas de segurança da PMA. III. Caberá ao Gestor da Informação: a) Administrar os acessos dos usuários às informações: definir perfis de acesso, prover ou solicitar formalmente estes acessos, revisá-los periodicamente e promover, a tempo, o cancelamento dos mesmos; b) Classificar as informações sob sua gestão em níveis de sensibilidade diante de uma possível quebra de segurança, ou seja, de sua confidencialidade, integridade e disponibilidade; e c) Homologar, testar e autorizar a passagem para a produção de sistemas e aplicações. IV. Caberá à DGTC: a) Propor as políticas e normas relacionadas à segurança da informação; e -as ações de curto, médio e longo prazos relacionadas à segurança da informação. b) Promover a divulgação das políticas, normas e melhores práticas de segurança da informação para todos os órgãos da PMA;

Estado de Goiás


8

c) Definir e prover, direta ou indiretamente, a todas as competências funcionais da PMA, os conhecimentos que possibilitem o cumprimento eficiente e eficaz de suas responsabilidades com relação à segurança da informação; d) Definir, prover e administrar, direta ou indiretamente, modelos e métodos de gerenciamento que promovam uma eficiente, eficaz e segura prestação de serviços de TIC à administração municipal, assim como aos cidadãos; e) Garantir os níveis de alinhamento das atividades de TIC a todas as políticas, normas e procedimentos estabelecidos; e f) Realizar a revisão periódica da Política de Segurança da Informação e das normas de segurança da informação. CAPÍTULO V

DAS DISPOSIÇÕES FINAIS

Estas diretrizes devem ser revisadas e atualizadas pela Diretoria de Gestão Tecnologia e Comunicação à medida que se agreguem novos valores às atividades da PMA.

Complementam a Política de Segurança da Informação as Normas de

Segurança da Informação, a serem editadas em portarias específicas.

Estado de Goiás


9

NORMA PARA USO DA INTERNET

Considerando que o acesso à Internet estabeleceu-se como ferramenta de trabalho cada vez mais necessária para agregar valor aos processos de negócio e a crescente demanda no uso da Internet no âmbito da Prefeitura de Anápolis, torna-se imprescindível a criação de diretrizes de utilização que minimizem os riscos aos processos de negócio que sustentam a missão municipal, riscos estes provenientes de possível utilização inadequada da Internet. CAPÍTULO I


A norma para uso da Internet tem como objetivo definir as diretrizes e regras a serem observadas no acesso à Internet pelos usuários da rede corporativa de dados da Prefeitura de Anápolis, visando minimizar os riscos aos processos de negócio que sustentam a missão municipal, contribuindo, desta forma, para a preservação da disponibilidade, eficiência e eficácia dos serviços prestados aos cidadãos de Anápolis.

Esta norma aplica-se a todos os agentes municipais

independentemente de sua função, cargo, ou vínculo empregatício, aos empregados terceirizados, estagiários, ou quaisquer pessoas e/ou instituições que estejam autorizadas a acessar o serviço de Internet da PMA. CAPÍTULO II

TERMOS E DEFINIÇÕES I. AdWare – Um tipo de spyware, que é instalado no computador do usuário, com ou sem sua autorização, com o objetivo de lhe mostrar propagandas; II. Cavalo de Tróia (“Trojans”) - Programas normalmente disfarçados de jogos de forma a estimular o usuário a instalá-lo em seu computador. Uma vez instalados, podem criar ou explorar algumas vulnerabilidades na máquina e na rede na qual esta se encontra conectada; III. Código Malicioso - qualquer software que coloque em risco a segurança das informações ou dos sistemas/aplicações e serviços da PMA, por exemplo, vírus, vermes e cavalos de tróia, etc.; IV. Download – Transferência de arquivo(s) residente(s) em equipamentos remotos para o equipamento local através da Internet;

Estado de Goiás


10

V. Firewall – hardware ou software de segurança que aplica um conjunto de regras (de permissão ou negação de tráfego) a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir ou permitir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra; VI. Integridade – salvaguarda da exatidão e completeza da informação e dos métodos de processamento, ou seja, a integridade é capacidade efetiva da informação de estar intacta e garantida contra perda, dano ou modificação não autorizada (indevida), realizada maliciosa ou acidentalmente; VII. Peer-to-Peer (P2P) – É uma tecnologia para estabelecer uma espécie de rede de computadores virtual, onde cada estação possui capacidades e responsabilidades equivalentes; VIII. Recursos da Informação – todos os meios usados para aquisição, geração, armazenamento e transporte de informação, incluindo recursos do ambiente tecnológico e meios convencionais como telefone, papel, microfone, vídeo, etc.; IX. Recursos Tecnológicos (ou recursos de Tecnologia da Informação e Comunicação - TIC) – São os recursos de informática (aplicativos, softwares, hardware, redes, canais de dados, etc.), que compõem o ambiente de tecnologia da organização; X. Spam – mensagens de correio eletrônico/e-mail que são enviadas sem que sejam solicitadas pelo usuário, que não sejam do interesse do destinatário ou não tenham relação com suas atividades profissionais (ex.: propagandas, correntes, piadas, etc.); XI. Spyware - Consiste num programa que recolhe informações sobre o perfil de utilização da Internet do usuário e as transmite a uma entidade externa, sem o conhecimento ou consentimento deste usuário; XII. Usuário – agente público, prestador de serviço, estagiário ou qualquer pessoa autorizada a usar os serviços de TIC da PMA; XIII. Upload – Transferência de arquivo(s) residente(s) no equipamento local para equipamentos remotos através da Internet; XIV. Verme (“Worm”) - Um verme é um programa auto-replicante, semelhante a um vírus. Entretanto, um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, já o verme não precisa de outro programa para se propagar. O “worm” pode provocar danos apenas com o tráfego de rede gerado pela sua reprodução; e

Estado de Goiás


11

XV. Vírus - Classe de programas maliciosos que tem a habilidade de se auto-replicar sem autorização e provocar danos às propriedades da segurança da informação. CAPÍTULO III

CONDIÇÕES DE USO - Devem ser observadas as seguintes condições para uso da Internet no ambiente de trabalho: I. A Prefeitura Municipal de Anápolis reconhece a importância do uso da Internet como recurso fundamental enquanto repositório de conhecimentos cruciais no processo de melhoria contínua de seus processos de negócio e, por conseqüência, dos serviços prestados aos cidadãos, desde que tal utilização esteja alinhada aos interesses da PMA e seja realizada dentro de um comportamento profissional, ético, legal e de respeito; II. Para os equipamentos ligados diretamente à rede corporativa de dados da Prefeitura Municipal de Anápolis, a Internet só poderá ser disponibilizada através de firewall administrado pela Diretoria de Gestão Tecnológica e Comunicação; III. O acesso às páginas da Internet pelos usuários da PMA deve ser realizado como fonte de pesquisa lícita e consulta de informações relativas as atividades de trabalho, ou seja, destinada principalmente à otimização do desempenho funcional dos órgãos da PMA; IV. Prestadores de serviços, terceirizados e estagiários podem, durante o período de prestação dos serviços ou realização do estágio, a critério do responsável pela área onde está sendo prestado o serviço ou realizado o estágio e, no interesse desta, ter acesso à Internet, observando as diretrizes enumeradas nesta norma; e V. Todos os tipos de uso da Internet (acesso a sites, downloads, uploads, etc.) devem preservar as características de disponibilidade e eficiência dos demais serviços residentes na rede corporativa de dados da PMA, ou seja, é vedada toda e qualquer utilização de serviços de Internet cujas características de consumo de recursos possam comprometer a eficiência e a disponibilidade dos demais serviços disponíveis nesta rede. - São considerados acessos de uso indevido, abusivo ou excessivo da internet e por isso são proibidos: I. Acessos a portais ou páginas de conteúdo pornográfico, de apologia à violência, erótico, racista, neonazista, anti-semita, ilegal e qualquer outro que

Estado de Goiás


12

venha a incitar a discriminação ou atentar contra a integridade moral de terceiros ou grupos da sociedade; II. Acessos a sites de Invasão, de Pirataria, de Propaganda ou quaisquer outros que possam conter códigos maliciosos, ativos ou para “download”, tais como vírus, “trojans”, “worms”, “AdWare”, “Spyware”, etc.; III. Tentativa de ataque ou intrusão a outros computadores da rede interna ou externa; IV. Para realizar qualquer tipo de fraude ou atividade de pirataria, como cópia, uso e distribuição de material ou software protegido por leis de direito autoral; V. Uso para atividades político-partidárias, pregação religiosa, ou de natureza similar; VI. Participação em “correntes” ou quaisquer outras operações que acarretem alto volume de transmissão; VII. Obtenção e propagação intencional de vírus, cavalos de tróia ou qualquer outro tipo de código malicioso; VIII. Acesso a páginas de jogos on line, bate-papos (chats), serviços abertos de mensagens instantâneas, sites de relacionamento como Fotolog, Bloggers, Facebook, Twitter e Orkut, fóruns não profissionais, gincanas e concursos on line; IX. Uso de navegadores ou aplicativos com tecnologia P2P, tais como Kazaa, Morpheus e afins, assim como softwares de massificação de “downloads” de arquivos da Internet, como Flashget, Getright e similares, mesmo que fora do expediente; X. Realizar “downloads” ou “uploads” de conteúdos não alinhados aos interesses da PMA; XI. Baixar arquivo da Internet de softwares comerciais ou qualquer material proprietário, a menos que esta operação já esteja prevista ou permitida devido a um contrato comercial ou outra forma de aquisição de licença; XII. Uso do serviço de Internet para recepção e envio de mensagens ofensivas ou constrangedoras; XIII. Uso da Internet para criar ou transmitir material difamatório; XIV. Uso de quaisquer serviços, recursos ou servidores que propiciem o anonimato para envio de mensagens;

Estado de Goiás


13

XV. Envio, transmissão, distribuição ou armazenamento na Internet de informações não públicas de propriedade da PMA, a não ser que expressamente autorizada pelo gestor da informação; e XVI. Uso de ferramentas de monitoração e programas para obtenção de senhas. - Em casos que, por motivos de serviço, exista a necessidade de acesso a sites ou utilização de aplicativos enquadrados nas categorias referidas nos itens anteriores, deverá ser solicitada permissão de acesso ao DGTC com a respectiva justificativa, através de requerimento assinado pelo superior hierárquico. - É admissível o uso do serviço de Internet provido pela PMA, em caráter particular, desde que: I. Não interfira no desempenho do próprio funcionário ou de qualquer outro usuário; II. Não seja predominante no perfil de acesso do usuário; III. Não prejudique o desempenho dos recursos tecnológicos disponíveis; IV. Não comprometa a imagem da PMA; e V. Haja conformidade com as diretrizes da Política de Segurança de Informações da PMA e com a presente Norma. - A utilização de serviços que impliquem em grandes volumes de transmissão de informações, ainda que para fins profissionais, deve ser evitada. Quando esta utilização se mostrar imprescindível à realização de competência funcional, deve ser deslocada para horários fora do expediente administrativo. CAPÍTULO IV

DAS RESPONSABILIDADES - Quanto às responsabilidades pelo serviço e uso da internet na PMA: I. Da Diretoria de Gestão Tecnologia e Comunicação: 1. Prover os serviços de administração da Internet objetivando a manutenção dos níveis de funcionalidade e segurança adequados às necessidades da PMA;

Estado de Goiás


14

2. Possibilitar o acesso à Internet, a partir da rede municipal, somente de forma identificada através de código de identificação (nome de usuário) e senha, além do controle e monitoramento dos acessos individuais através de firewall; 3. Identificar e avaliar, a qualquer tempo, o uso do serviço de Internet de modo a salvaguardar os interesses da PMA no que diz respeito à segurança de informações, bem como à utilização adequada de recursos tecnológicos; 4. Bloqueará, periodicamente, o acesso aos sites enquadrados nas categorias do Capítulo III, através de equipamentos de Tecnologia da Informação da PMA; 5. Acesso a todos os equipamentos ligados à rede, de forma a ser possível a realização de procedimentos de auditoria, controle, manutenção e segurança que se fizerem necessários; e 6. No que lhe couber, desenvolver as ações que sustentem a operacionalização desta norma. II. Dos Usuários: 1. São considerados usuários autorizados para utilização da internet através da rede da PMA todos os agentes municipais independentemente de sua função, cargo, ou vínculo empregatício, aos empregados terceirizados, estagiários, ou quaisquer pessoas e/ou instituições que estejam autorizadas; 2. O usuário é inteiramente responsável pelo uso de sua conta de acesso à rede, senha e outros tipos de autorização, que são de uso individual e intransferível, e não podem ser compartilhados com terceiros; 3. O usuário é totalmente responsável por ações indevidas que venham a ser efetuadas a partir de sua conta de acesso à rede, caso alguém obtenha o acesso a sua conta; 4. Informações obtidas por meio de direitos especiais e privilégios devem ser tratados como privativas e totalmente confidenciais pelos usuários autorizados, que responderão por qualquer uso indevido; e 5. Compete ao superior hierárquico informar a DGTC os casos de remanejamento, aposentadoria, demissão ou exoneração do usuário do respectivo órgão, para cancelamento da conta de acesso à rede, senha e outros tipos de autorização.

Estado de Goiás


15

NORMA PARA USO DO CORREIO ELETRÔNICO CORPORATIVO

. Considerando que o Correio Eletrônico Corporativo, na atualidade, se

consolida como a principal ferramenta de comunicação no âmbito da PMA, torna-se imprescindível a criação de diretrizes de utilização que minimizem os riscos aos processos de negócio que sustentam a missão municipal, riscos estes provenientes de uma possível utilização inadequada do Correio Eletrônico Corporativo. CAPÍTULO I

DISPOSIÇÕES INICIAIS - A Norma para Uso de Correio Eletrônico Corporativo tem como objetivo definir as diretrizes a serem observadas na utilização do serviço de correio eletrônico da PMA, sendo complementada pela Política de Segurança da Informação (PSI). - Esta norma aplica-se a todos os agentes públicos independentemente de sua função, cargo, ou vínculo empregatício, aos empregados terceirizados, estagiários, ou quaisquer pessoas e/ou instituições que estejam autorizadas a acessar o serviço de correio eletrônico da PMA. CAPÍTULO II

TERMOS E DEFINIÇÕES I. Alta Gestão da PMA - Prefeito, Vice-Prefeito, Controlador Geral, Subcontroladores, Procurador Geral, Subprocurador Geral, Secretários, Chefes de Gabinete, Subprefeitos, Fundações e Autarquias; II. Caixa postal - área de armazenamento de mensagens recebidas, enviadas ou em elaboração, associada a uma chave individual ou institucional de correio; III. Cavalo de Tróia (“Trojans”) - Programas normalmente disfarçados de jogos de forma a estimular o usuário a instalá-lo em seu computador. Uma vez instalados, podem criar ou explorar algumas vulnerabilidades na máquina e na rede na qual esta se encontra conectada; IV. Chave individual - código que identifica um único usuário. Através dela o usuário acessa sua caixa postal; V. Confidencialidade – é a propriedade de que a informação não estará disponível ou será divulgada a indivíduos, entidades ou processos não

Estado de Goiás


16

autorizados. Em outras palavras, confidencialidade é a garantia do sigilo da informação, ou seja, da proteção contra a revelação não autorizada; VI. Conta de e-mail – chave individual ou institucional que identifica um usuário do correio eletrônico e sua respectiva caixa postal; VII. Correio Eletrônico (e-mail) - meio de comunicação eletrônica utilizado para troca de mensagens internas e externas à PMA através de redes de computadores; VIII. Corrente – e-mail enviado para várias pessoas de forma sucessiva. Geralmente, o seu conteúdo orienta o receptor da mensagem a enviar múltiplas cópias da mesma para outros destinatários, preferencialmente em um curto intervalo de tempo, prometendo sorte ou dinheiro para quem seguir suas orientações; IX. Disponibilidade – garantia de que as informações estarão disponíveis às pessoas e aos processos autorizados, a qualquer momento requerido. Manter a disponibilidade da informação pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações a quem de direito; X. Email Bombing – caracteriza-se por um envio contínuo de mensagens para um usuário, ou grupo de usuários, de um determinado domínio. De forma geral, estas mensagens são muito grandes e formadas de informações inúteis visando provocar tão somente consumo exagerado de recursos de rede (ataque de negação de serviço); XI. Flame Wars – caracteriza-se por uma interação hostil entre usuários de um serviço que permita troca de mensagens. Está relacionada a discussões de todo o tipo, porém, mantendo sempre características de hostilidade: agressividade, depreciação, insultos e autoritarismo; XII. Integridade – salvaguarda da exatidão e completeza da informação e dos métodos de processamento, ou seja, a integridade é capacidade efetiva da informação de estar intacta e garantida contra perda, dano ou modificação não autorizada (indevida), realizada maliciosa ou acidentalmente; XIII. Junk Mail – classe de spam relacionado à marketing direto através do envio de mensagens não solicitadas a endereços de uma lista (“clientes ou potenciais clientes”); XIV. Recursos da Informação – todos os meios usados para aquisição, geração, armazenamento e transporte da informação, incluindo recursos do ambiente tecnológico e meios convencionais: telefone, papel, microfone, vídeo, etc.;

Estado de Goiás


17

XV. Recursos Tecnológicos (ou recursos de TIC) - São os recursos de informática (aplicativos, softwares, hardware, redes, canais de dados, etc.), que compõem o ambiente de tecnologia da organização; XVI. Software Malicioso - qualquer software que coloque em risco a segurança (confidencialidade, integridade e disponibilidade) das informações que sustentam os processos de negócio da PMA, por exemplo, vírus, vermes, cavalos de tróia e spywares; XVII. Spam - mensagens de correio eletrônico (e-mail) que são enviadas sem que sejam solicitadas pelo usuário, que não sejam do interesse do destinatário ou não tenham relação com suas atividades profissionais (ex: propagandas, correntes, piadas, etc.); XVIII. Usuário – agente público, prestador de serviço, estagiário ou qual quer pessoa autorizada a usar o serviço de Correio Eletrônico da PMA; XIX. Verme (worm) - Um worm é um programa auto-replicante semelhante a um vírus, entretanto, um vírus infecta um programa e necessita deste como hospedeiro para se propagar, já o worm não precisa de outro programa para se propagar. Além da replicação, um worm pode ser projetado para fazer muitas coisas como: apagar arquivos ou enviar mensagens via e-mail. O worm pode ainda trazer programas embutidos que tornem o equipamento infectado vulnerável a outros ataques; e XX. Vírus - Classe de programas maliciosos que tem a habilidade de se auto-replicar sem autorização e provocar danos às propriedades da segurança da informação. CAPÍTULO III

CONDIÇÕES DE USO - São condições de uso do Correio Eletrônico Corporativo na PMA: I. O acesso ao correio eletrônico se dá pelo conjunto Identificação do Usuário ou do Setor (chave individual ou institucional), Caixa Postal e Senha; II. A solicitação de criação de contas institucionais, ou seja, aquelas relacionadas a unidades administrativas ou grupos de trabalho (por exemplo, [email protected]) deve ser realizada pelo titular da respectiva unidade administrativa. Esta solicitação deve ainda identificar todos os usuários autorizados a acessarem esta chave institucional; III. Prestadores de serviços terceirizados e estagiários podem, durante o período de prestação de seus serviços ou de estágio, a critério do responsável

Estado de Goiás


18

pela área onde está sendo prestado o serviço ou realizado o estágio, e no interesse desta, ter acesso ao correio eletrônico institucional, observando as determinações enumeradas nesta norma; IV. O serviço de correio eletrônico corporativo da PMA é fornecido para que o usuário possa realizar suas atribuições profissionais. Como o correio é uma ferramenta de comunicação de trabalho, todo funcionário deve consultá-lo com freqüência para tomar ciência das mensagens endereçadas a ele; V. A eliminação dos arquivos de registro de mensagens e de caixas postais deverá ser adiada em caso de auditoria, ou qualquer outro tipo de notificação administrativa ou judicial; - São considerados acessos de uso indevido, abusivo ou excessivo do correio eletrônico corporativo e por isso são proibidos: I. A tentativa de acesso não autorizado a caixas postais de terceiros; II. O envio e no armazenamento de mensagens contendo: 1. Material obsceno, difamatório, ilegal, abusivo ou antiético; 2. Conteúdo que tenha como objetivo molestar, intimidar, assediar ou difamar outras pessoas; 3. Comentários preconceituosos, discriminatórios ou ofensivos sobre raça, gênero, nacionalidade, orientação sexual, crença religiosa ou política, deficiências, falta de habilidades. Os usuários que receberem conteúdo desta natureza deverão reportar o problema imediatamente à sua chefia imediata ou superior; 4. Material protegido por leis de propriedade intelectual; 5. Menção sobre atividades de caráter político-partidário; 6. Pregação religiosa ou convocação para participação em eventos religiosos; 7. Piadas, "correntes", “pirâmides”, independentemente da vontade do destinatário de receber tais mensagens; 8. Material que explore de alguma forma indivíduos menores de 18 (dezoito) anos de idade; e 9. Informação instrutiva sobre atividades ilegais, ou promoção de dano físico ou dano contra qualquer grupo ou indivíduo.

Estado de Goiás


19

III. A realização de operações particulares de venda, oferta de serviços e propagandas; IV. A falsificação do nome do remetente ou ação semelhante que impeça a identificação do remetente; V. A obtenção, armazenamento ou repasse de material cujo conteúdo não esteja alinhado com os interesses da PMA; VI. O envio de e-mail a qualquer pessoa que não o deseje receber; VII. O envio de "junk mail" ou "spam"; VIII. O envio de e-mail mal-intencionado, tais como "email bombing" ou sobrecarregar um usuário, site ou servidor com e-mail muito extenso ou com muitos anexos; IX. A realização de operações que acarretem alto volume de transmissão; X. O envolvimento em discussões ou polêmicas ("flame wars") com outros usuários de correio eletrônico (internos ou externos); XI. A obtenção ou a propagação intencional de vírus, cavalos de tróia ou qualquer outro tipo de código malicioso; e XII. A distribuição de informações confidenciais de propriedade da PMA, a não ser que expressamente autorizada pelo gestor da informação. - É admissível o uso do serviço de correio eletrônico da PMA em caráter particular desde que: I. Não interfira no desempenho do próprio funcionário ou de qualquer outro usuário; II. O uso em caráter particular não seja predominante no perfil de acesso do usuário; III. Não prejudique o desempenho dos recursos tecnológicos disponíveis; IV. Não comprometa a imagem da PMA e do setor em que esteja lotado; e V. Haja conformidade com as diretrizes descritas na Política de Segurança da Informação da PMA.

Estado de Goiás


20

CAPÍTULO IV

DO CORREIO ELETRÔNICO CORPORATIVO -Quanto às responsabilidades pelo serviço de correio eletrônico da PMA: I. Dos usuários: 1. Trocar a senha de sua conta de e-mail no 1º acesso ao serviço de correio eletrônico. II. Das Chefias Imediatas: 1. Solicitar à Diretoria de Gestão Tecnologia e Comunicação a abertura de conta de e-mail de seus subordinados; e 2. Notificar à Diretoria de Gestão Tecnologia e Comunicação quaisquer eventos relacionados a seus subordinados que possam suscitar a alteração ou mesmo exclusão de suas respectivas contas de e-mail, por exemplo, deslocamento entre órgãos, desligamento, etc. Esta notificação deve ser realizada em até 3 (três) dias úteis após a confirmação do evento. III. Da DGTC: 1. Prover os serviços de administração do correio eletrônico corporativo objetivando a manutenção dos níveis de funcionalidade e segurança adequados às necessidades da PMA; 2. No que lhe couber, desenvolver as ações que sustentem a operacionalização desta norma.

Estado de Goiás


21

NORMA PARA SEGURANÇA FÍSICA DOS AMBIENTES DE PROCESSAMENTO DA INFORMAÇÃO

Considerando que na proteção dos sistemas de informação torna-se

crucial prevenir acessos não autorizados, danos e interferências nas instalações de processamento da informação: ambientes responsáveis por hospedar os principais componentes destes sistemas. CAPÍTULO I


A Norma de Segurança Física dos Ambientes de Processamento da Informação tem como objetivo estabelecer as diretrizes de segurança física para os ambientes de processamento da informação dos órgãos da Prefeitura Municipal de Anápolis – PMA – visando prevenir o acesso não autorizado, danos ou interferências nos equipamentos da Tecnologia da Informação e Comunicação – TIC – que possam comprometer os processos de negócio e serviços que sustentam a missão municipal.

Esta norma aplica-se a todos agentes municipais independentemente

de sua função, cargo, ou vínculo empregatício, aos empregados terceirizados, estagiários, ou quaisquer pessoas e/ou instituições que estejam autorizadas a acessar os ambientes de processamento da informação dos diversos órgãos municipais, em especial, aos responsáveis pela Segurança Física destes ambientes. CAPÍTULO II

TERMOS E DEFINIÇÕES I. Ambiente de Processamento da Informação – área que hospeda um conjunto de ativos da informação vitais para a manutenção dos processos de negócio e serviços de uma organização, ou seja, dos elementos que sustentam sua missão, por exemplo, um datacenter, uma sala de servidores, etc; II. Ameaça – causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização; III. Análise de riscos – conjunto de processos para identificar e avaliar os níveis de risco presentes em um escopo definido, por exemplo, um ambiente, um departamento, um processo de negócio, etc; IV. Ativo da informação – Todo elemento que compõe os processos que manipulam e processam a informação, a contar a própria informação, o meio

Estado de Goiás


22

em que ela é armazenada, os equipamentos em que ela é manuseada, transportada e descartada. Os ativos da informação dividem-se em 6 (seis) grupos: equipamentos, aplicações, usuários, ambientes, informações e processos; V. Avaliação de riscos – processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância (grau) do risco; VI. Distância segura – distância definida com base em análise de risco, especificações técnicas realizadas por entidades de notória especialização e normas técnicas vigentes; VII. Evento de segurança da informação – ocorrência identificada em um recurso da informação que indica uma possível violação de política ou norma de segurança, falha em controle de segurança, ou mesmo uma situação previamente desconhecida, porém, relevante do ponto de vista da segurança da informação; VIII. Incidente de segurança da informação – é indicado por um ou por uma série de eventos de segurança da informação indesejados ou inesperados que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação; IX. Recursos da Informação – todos os meios usados para aquisição, geração, armazenamento e transporte da informação, incluindo recursos do ambiente tecnológico e meios convencionais como telefone, papel, microfone e vídeo; X. Risco – combinação da probabilidade de um evento efetivamente acontecer e suas conseqüências (Risco = Probabilidade * Impacto); XI. Usuário – agente público, prestador de serviço, estagiário ou qualquer pessoa autorizada a usar o serviço de TIC da PMA; e XII. Vulnerabilidade – fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

Estado de Goiás


23

CAPÍTULO III

DA SEGURANÇA FÍSICA E DO AMBIENTE I. No que diz respeito ao perímetro de segurança física: 1. Os perímetros de segurança das instalações de processamento de informação dos órgãos da PMA devem ser claramente definidos. Estes devem ter localização e capacidade de resistência definidas em função dos requisitos de segurança dos ativos da informação existentes em seu interior e dos resultados de processos periódicos de análise e avaliação de riscos; 2. Os perímetros de um edifício ou de um local que contenha instalações de processamento de informação devem ser fisicamente sólidos (ou seja, não devem possuir brechas, nem pontos onde possa ocorrer facilmente uma invasão), possuir paredes externas de construção robusta e controles de acesso físico para todas as suas portas; 3. Todas as instalações de processamento de informação dos órgãos da PMA devem possuir área de recepção, ou algum outro meio para controlar o acesso físico ao local; nestes, o acesso deverá permanecer restrito somente ao pessoal autorizado; e 4. As áreas que hospedam instalações de processamento da informação devem ter claramente definidos seus perímetros de segurança (barreiras tais como paredes, portões de entrada controlados eletronicamente, balcões de recepção...) visando prevenir acessos não autorizados. II. No que diz respeito aos controles de entrada física: 1. Os recursos da informação devem estar abrigados em instalações apropriadas, ou seja, em conformidade com as características técnicas mínimas de hospedagem definidas por seus fabricantes, fornecedores e normas técnicas vigentes; devendo ainda estar sujeitas a controles de segurança compatíveis com a classificação das informações que hospeda e a criticidade dos serviços que sustenta; 2. As instalações de processamento da informação devem ser claramente identificadas e protegidas por meio do uso de recursos que permitam controlar e manter o registro de acesso às mesmas. Deve-se utilizar controles de identificação, autenticação e auditoria visando autorizar, validar e registrar todos os acessos a estas instalações; 3. O acesso de visitantes às instalações de processamento da informação deve ocorrer para finalidades específicas. Este deve ainda ser autorizado e

Estado de Goiás


24

supervisionado por agente representante do setor (ou grupo) responsável pela administração da instalação; 4. O acesso e circulação de funcionários e visitantes por instalações de processamento da informação somente devem ser permitidos mediante o porte ostensivo, em local visível, de identificação funcional; 5. A identificação funcional, permanente ou temporária, é única, pessoal e intransferível, sendo o identificado responsável pela sua guarda e correta utilização, inclusive por quaisquer ações executadas no seu uso; 6. A concessão ou renovação de acesso às instalações de processamento da informação somente deve se dar mediante ação de setor(es) formalmente competente(s). Todos os acessos fornecidos devem possuir validade limitada de modo que necessitem de revalidações periódicas; e 7. Nas instalações de processamento da informação, a utilização de dispositivos eletrônicos como máquinas fotográficas, câmeras, filmadoras, gravadores e semelhantes só será permitida mediante autorização do responsável pela área. III. No que diz respeito à proteção contra ameaças externas: 1. Deve-se identificar, planejar, implementar e manter os controles para proteção física contra incêndios, enchentes, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem; 2. Os materiais perigosos ou combustíveis deverão ser armazenados a uma distância segura das áreas de processamento da informação; 3. Todos os recursos de contingência, inclusive os de backup, devem permanecer a uma distância segura do local onde residem os recursos para os quais estes estão provendo contingência; e 4. Os sistemas de proteção a incêndio devem ser instalados seguindo legislação específica. IV. No que diz respeito ao acesso às áreas de entrega e de carregamento: 1. Os pontos de acesso, tais como áreas de entrega, carregamento, ou outros pontos em que pessoas não autorizadas tenham acesso às instalações do órgão, devem ser controlados e, se possível, isolados das instalações de processamento da informação visando evitar acessos não autorizados.

Estado de Goiás


25

CAPÍTULO IV

DAS RESPONSABILIDADES I. Dos funcionários: 1. Uma vez identificadas, reportar quaisquer ameaças ou vulnerabilidades relacionadas à segurança física destes ambientes aos respectivos setores responsáveis. II. Dos órgãos da PMA: 1.Promover todas as ações necessárias para que seus ambientes de processamento da informação mantenham-se alinhados às determinações descritas nesta norma. III. Da DGTC: 1. Definir os perímetros de segurança das instalações de processamento de informação dos órgãos e entidades da PMA; 2. Prover os serviços de administração dos ambientes de processamento da informação dos órgãos da PMA por meio de procedimentos alinhados às determinações descritas nesta norma.

Estado de Goiás


26

NORMA PARA SEGURANÇA DE EQUIPAMENTOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

CONSIDERANDO que cada vez mais os processos de negócio

acabam por ser sustentados pela Tecnologia da Informação e Comunicação (TIC); e

CONSIDERANDO que neste cenário, visando à proteção da missão

das organizações, torna-se fundamental prevenir acessos não autorizados, danos e interferências em seus equipamentos de TIC, tornando-se crucial estabelecer diretrizes de segurança para estes equipamentos; CAPÍTULO I


A Norma para Segurança de Equipamentos de TIC – Tecnologia da Informação e Comunicação tem como objetivo estabelecer as diretrizes de segurança para os equipamentos da PMA visando prevenir o acesso não autorizado, danos ou interferências que possam comprometer os processos de negócio que sustentam a missão municipal.

Complementa esta norma a portaria regulamentadora da Política de

Segurança da Informação (PSI). Esta Norma aplica-se a todos os agentes municipais

independentemente de sua função, cargo, ou vínculo empregatício, aos empregados terceirizados, estagiários, ou quaisquer pessoas e/ou instituições que estejam autorizadas a acessar os equipamentos de TIC da PMA. CAPÍTULO II

TERMOS E DEFINIÇÕES I. Ameaça – causa potencial de um incidente indesejado que pode resultar em dano para um sistema ou organização; II. Equipamento de Tecnologia de Informação e Comunicação (TIC) – equipamento de propriedade da PMA que sustenta serviços de TIC nos diversos órgãos municipais, por exemplo, estações de trabalho, servidores, roteadores, switches, hubs, laptops, palmtops, etc; III. Risco – combinação da probabilidade de um evento efetivamente acontecer e suas conseqüências (Risco = Probabilidade * Impacto);

Estado de Goiás


27

IV. UPS – Sigla de Uninterruptible Power Supply, ou seja, dispositivo que mantém a “alimentação elétrica” do equipamento diante de alguma falha de sua fonte elétrica original; e V. Usuário – agente público, prestador de serviço, estagiário ou qualquer pessoa autorizada a usar os equipamentos de TIC da PMA. CAPÍTULO III

SEGURANÇA DE EQUIPAMENTOS As condições de segurança de instalação e proteção de equipamentos de TIC são as seguintes: I. Os equipamentos devem residir em locais seguros e ser protegidos com controles que minimizem os riscos relacionados às ameaças e perigos do meio ambiente, bem como as oportunidades de acessos não autorizados; II. Os equipamentos devem ser instalados em ambientes seguros e controlados, e de acordo com as especificações técnicas dos respectivos fabricantes; III. Nas proximidades dos equipamentos, é vedada a realização de quaisquer atividades que possam comprometer seu funcionamento, por exemplo, beber, fumar ou comer; e IV. Equipamentos que processem, transportem ou armazenem informações sensíveis, confidenciais ou secretas devem estar localizados em áreas restritas e estas devem conter: 1. Controle de acesso com registro de entrada e saída para todas as pessoas que acessem a área; 2. Procedimentos formais e especializados de limpeza em áreas restritas de forma a evitar paralisação, ou danos físicos aos equipamentos; 3. Controles para minimizar os riscos vinculados a ameaças como: fogo, roubo, poeira, fumaça, entre outros; 4. Controles de proteção contra falta de energia e outras interrupções causadas por falhas de utilidades, por exemplo, uso de UPS, uso de gerador e procedimentos de verificação/manutenção periódica do sistema de ar condicionado e sistemas de combate/extinção de incêndio; e

Estado de Goiás


28

5. Monitoramento dos aspectos ambientais como temperatura e umidade visando prevenir condições que possam afetar negativamente os recursos de processamento da informação. - As condições de segurança de cabeamentos são as seguintes: I. Os cabeamentos de energia (elétrico) e de telecomunicações que dão suporte aos serviços de informações devem ser protegidos contra interceptação ou danos; II. Sempre que possível, as linhas de energia e de telecomunicações que entram nas instalações de processamento da informação devem fazê-lo de forma subterrânea (ou abaixo do piso); ou seguindo especificações técnicas que promovam proteção alternativa adequada; III. Os cabos de energia devem ser segregados dos cabos de comunicações visando evitar interferências; IV. Nos cabos e nos equipamentos de rede devem ser utilizadas marcações claramente identificáveis visando minimizar erros de manuseio, como por exemplo, conexões erradas de cabos de rede; e V. Deve-se manter a documentação atualizada de toda a organização de cabeamento de redes. - As condições de manutenção dos equipamentos de TIC são as seguintes: I. Todos os equipamentos devem sofrer manutenção correta visando assegurar sua disponibilidade e integridade física permanentes; II. A manutenção e os consertos dos equipamentos devem ser realizados somente por pessoal especializado e autorizado; III. Os equipamentos devem sofrer manutenção preventiva periódica nos intervalos recomendados pelo fornecedor (ou fabricante) e de acordo com suas especificações; IV. Deve-se manter registros de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção realizadas nos equipamentos, sejam estas preventivas ou corretivas; e V. Devem ser implementados controles apropriados na época programada para a manutenção dos equipamentos, de forma que aqueles que hospedem informações sensíveis, confidenciais ou secretas, se necessário, diante dos riscos identificados, tenham suas informações eliminadas.

Estado de Goiás


29

- As condições de administração e uso de equipamentos de TIC são as seguintes: I. Todos os equipamentos devem estar sujeito à processo formal de administração visando assegurar sua disponibilidade e integridade física permanentes; II. Os equipamentos somente devem ser disponibilizados à produção após testes em ambiente segregado e controlado; III. Todos os equipamentos devem ser administrados com relação, pelo menos, aos seguintes aspectos: configuração, falhas, performance e segurança; IV. Qualquer equipamento deve ser administrado por pelo menos 2 (dois) administradores capacitados, com formação e experiência comprovadas; V. Todos os equipamentos devem ser catalogados por meio de um inventário continuamente atualizado; VI. Todos os softwares envolvidos na operacionalização e utilização dos equipamentos ( por exemplo, o sistema operacional) devem manter-se atualizados com relação às recomendações de segurança dos fabricantes, fornecedores e áreas técnicas da PMA; VII. Os equipamentos devem ser utilizados somente por pessoas devidamente autorizadas, sendo o seu uso restrito aos interesses da PMA e para os fins previstos; VIII. A utilização de equipamentos é restrita àqueles homologados e autorizados pela área de TIC responsável; IX. A conexão de equipamentos particulares nas redes internas da PMA deve ser autorizada pela área de TIC responsável. Estes equipamentos devem seguir padrões de segurança previamente definidos; X. Sempre que cabível, os equipamentos da PMA devem possuir controles de proteção contra softwares maliciosos, sendo que estes controles devem ser mantidos atualizados e ativos; e XI. É vedada aos usuários a alteração de quaisquer configurações dos equipamentos. Diante de qualquer problema ou necessidade, estes devem entrar em contato com as respectivas equipes de administração. - As condições de reutilização e alienação seguras de equipamentos de TIC são as seguintes:

Estado de Goiás


30

I. Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes do descarte para assegurar que todos as informações sensíveis, confidenciais ou secretas e softwares licenciados tenham sido removidos com segurança; e II. Todos os dispositivos que contenham informações sensíveis, confidenciais ou secretas devem ter suas informações destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis. - As condições de remoção e deslocamento seguros de equipamentos de TIC são as seguintes: I. Todas as remoções ou deslocamentos de equipamentos, informações ou softwares devem acontecer mediante autorização prévia dos setores competentes; e II. Todos os deslocamentos temporários devem ser controlados e ter sua retirada e devolução registradas. CAPÍTULO IV

DAS RESPONSABILIDADES Quanto às responsabilidades pelo uso de equipamentos do TIC: I. Dos usuários: 1. Reportar à chefia imediata e ao setor responsável pela administração de equipamentos quaisquer cenários ou eventos relacionados aos equipamentos de sua área de trabalho que caracterize desacordo às determinações descritas nesta norma. II. Dos órgãos e entidades da PMA: 1. Criar e manter o inventário dos equipamentos de sua propriedade; 2. Promover todas as ações necessárias para que seus equipamentos de TIC, assim como os mantidos sob sua custódia, mantenham-se alinhados às determinações descritas nesta norma; e 3. Prover, no que lhe couber, todos os recursos necessários para que sejam seguidas todas as diretrizes descritas nesta norma.

d e c r e t o nº 31.184, de 07/10/2010. anexo Único · a) lei municipal n.º 2.073, de 21 de...

Documents