política de segurança da informação e...

CONSELHO REGIONAL DE ENGENHARIA E AGRONOMIA DO MATO GROSSO

SERVIÇO PÚBLICO FEDERAL–ORGÃO DE FISCALIZAÇÃO DA ENGENHARIA E DA AGRONOMIA

Av. Hist. Rubens de Mendonça, 491 - Araés - Cuiabá-MT - 78.008-000 - 0800-647-3033

www.crea-mt.org.br - [email protected]

_________________________________________________________________________________________________________

Av. Hist. Rubens de Mendonça, 491 - Araés - Cuiabá-MT - 78.008-000 (65) 3315-3073


Página | 1

POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO E COMUNICAÇÕES

DIRETRIZES E NORMAS

CREA-MT

mailto:[email protected]





_________________________________________________________________________________________________________



Página | 2

CONSELHO REGIONAL DE ENGENHARIA E AGRONOMIA DE MATO GROSSO

DIRETORIA

Presidente

Juares Silveira Samaniego

1º Vice-Presidente

Kateri Dealtina Feslsy dos Anjos

2º Vice - Presidente

Joaquim Paiva de Paula

Diretor Administrativo

Davi Martinotto

Vice - Diretor Administrativo

Eduardo Delmondes Goes

Diretor Financeiro

Luiz Benedito de Lima Neto

Vice - Diretor Financeiro

André Luiz Schuring

GRUPO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

Componentes:

GETEC - Marcos Antônio da Silva

SOP – Marcia Margareth dos Santos Caldas

GECOM – Rafaela Maximiano Alves

CRHU – Mariselia da Silva Campos

CONTROLADORIA – Manoel Roberto de Almeida Neto






_________________________________________________________________________________________________________



Página | 3

Escopo

A Política de segurança da Informação e Comunicações (PoSIC) tem como compromisso promover

ações que objetivam viabilizar e assegura a disponibilidade, a integridade, a confidencialidade e a

autenticidade das informações, visando orientar todos os membros, servidores e estagiários do

CREA-MT e demais agentes públicos ou particulares que, oficialmente, executem atividades

vinculada à atuação institucional com o CREA-MT. Deve, portanto, ser cumprida e aplicada em todas

as área da instituição.

A Gerência de Tecnologia da Informação é a Unidade competente para dirimir eventuais

dúvidas, aplicar e orientar quanto à aplicação da Política de Segurança da Informação do CREA‐MT.

Objetivos

O orientar sobre as legislações e normas de SIC, desenvolvidas pelos membros da comissão de segurança da

informação do CREA-MT, além de estudos técnicos sobre as legislações e normas de SIC. Nortear a definição

de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles

e processos para seu atendimento.

Abrangência e Vigência.

Requisitos de Segurança Humana;

Requisitos de Segurança Física;

Requisitos de Segurança Lógica;

Requisitos de Segurança dos Recursos Criptográficos.

A Política de segurança da Informação e Comunicações (PoSIC) do CREA-MT, tem prazo de

validade indeterminado, portanto, sua vigência se estenderá até a edição de outro marco normativo

que a atualize ou a revogue.

Conceitos e Definições Os conceitos e definições constantes deste item se aplicam de forma a auxiliar a interpretação da Política de

Segurança da Informação e das Comunicações do CREA-MT e também no estabelecimento de futuras normas

complementares.






_________________________________________________________________________________________________________



Página | 4

A informação é um ativo essencial para os negócios do Conselho Regional de Engenharia e Agronomia de

Mato Grosso e consequentemente necessita ter uma proteção adequada, em especial nos ambientes

interconectados onde é crescente o número e a variedade de ameaças e vulnerabilidades.

A estrutura normativa da SIC do Conselho Regional de Engenharia e Agronomia de Mato Grosso será

composta por um conjunto de documentos com dois níveis hierárquicos distintos, relacionados a seguir:

Política de Segurança da Informação e Comunicações (PoSIC): Define a estrutura, as diretrizes e as obrigações

referentes à SIC.

Normas Internas (NIs): Estabelece responsabilidades e procedimentos definidos de acordo com as diretrizes

da PoSIC. Tem como objetivos:

Definir regras e instrumentos de controle para assegurar a conformidade de processos, produtos ou serviços;

Proporcionar meios mais eficientes na troca de informações, melhorando a confiabilidade das atividades

públicas e dos serviços prestados pelo Conselho Regional de Engenharia e Agronomia de Mato Grosso;

Evitar a existência de regulamentos conflitantes sobre processos, produtos ou serviços.

Para os fins desta Política de Segurança da Informação e Comunicação, considera-se:

Acesso Lógico – acesso a redes de computadores, sistemas e estações de trabalho por meio de

autenticação;

Acesso Remoto – ingresso, por meio de uma rede, aos dados de um computador fisicamente distante

da máquina do usuário;

ADSL (Asymmetric Digital Subscriber Line) – (Linha Digital Assimétrica para Assinante)

tecnologia de transmissão que possibilita o transporte de voz e dados a alta velocidade através da rede

telefônica convencional, analógica ou digital;

Ameaça – conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode

resultar em dano para um sistema ou organização;

Análise/avaliação de riscos – processo completo de análise e avaliação de riscos;

Ativo – qualquer bem, tangível ou intangível, que tenha valor para a organização;






_________________________________________________________________________________________________________



Página | 5

Ativo da Informação – os meios de armazenamento, transmissão e processamento, os sistemas de

informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;

Ativo Sigiloso – qualquer bem tangível ou intangível que possa conter informações sigilosas que, se

acessadas por pessoas não autorizadas, podem causar danos significativos à organização;

Auditoria – verificação e avaliação dos sistemas e procedimentos internos com o objetivo de reduzir

fraudes, erros, práticas ineficientes ou ineficazes;

Autenticação – é o ato de confirmar que algo ou alguém é autêntico, ou seja, uma garantia de que

qualquer alegação de ou sobre um objeto é verdadeira;

Autenticidade – propriedade de que a informação foi produzida, expedida, modificada ou destruída

por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

Banco de Dados (ou Base de Dados) – é um sistema de armazenamento de dados, ou seja, um

conjunto de registros que tem como objetivo organizar e guardar as informações.

Biometria – uso de mecanismos de identificação para restringir o acesso a determinados lugares ou

serviços. Exemplos de identificação biométrica: através da íris (parte colorida do olho), da retina

(membrana interna do globo ocular), da impressão digital, da voz, do formato do rosto e da geometria

da mão;

Bloqueio de acesso – processo que tem por finalidade suspender temporariamente o acesso;

Bluetooth – tecnologia de transmissão de dados via sinais de rádio de alta frequência, entre

dispositivos eletrônicos próximos;

Classificação da informação – atribuição, pela autoridade competente, de grau de sigilo dado à

informação, documento, material, área ou instalação;

Confidencialidade – propriedade de que a informação não esteja disponível ou revelada a pessoa

física, sistema, órgão ou entidade não autorizado e credenciado;

Contingência – descrição de medidas a serem tomadas por uma empresa, incluindo a ativação de

processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num

estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada

que possa gerar maiores prejuízos à corporação;






_________________________________________________________________________________________________________



Página | 6

Controle de Acesso – conjunto de procedimentos, recursos e meios utilizados com a finalidade de

conceder ou bloquear o acesso;

Cópia de Segurança (Backup) – copiar dados em um meio separado do original, de forma a protegê-

los de qualquer eventualidade. Essencial para dados importantes;

Correio Eletrônico – é um método que permite compor, enviar e receber mensagens através de

sistemas eletrônicos de comunicação;

Credenciais ou contas de acesso – permissões, concedidas por autoridade competente após o

processo de credenciamento, que habilitam determinada pessoa, sistema ou organização ao acesso. A

credencial pode ser física como crachá,cartão e selo ou lógica como identificação de usuário e senha;

CMST – Coordenadoria de Manutenção e Suporte Técnico;

CRHU – Coordenadoria de Recursos Humanos;

Criptografia – é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada

da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário

(detentor da "chave secreta");

Custódia – consiste na responsabilidade de se guardar um ativo para terceiros. Entretanto, a custódia

não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros;

Dado – representação de uma informação, instrução, ou conceito, de modo que possa ser armazenado

e processado por um computador;

Direito de Acesso – é o privilégio associado a um cargo, pessoa ou processo para ter acesso a um

ativo;

Diretriz – descrição que orienta o que deve ser feito, e como, para se alcançar os objetivos

estabelecidos nas políticas;

Disponibilidade – propriedade de que a informação esteja acessível e utilizável sob demanda por

uma pessoa física ou determinado sistema, órgão ou entidade;

Dispositivos móveis – Consiste em equipamentos portáteis dotados de capacidade computacional,

e dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não se






_________________________________________________________________________________________________________



Página | 7

limitando a estes: notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HDs externos e

cartões de memória;

Download – (Baixar) copiar arquivos de um servidor (site) na internet para um computador pessoal;

Espelhamento – Sistema de proteção de dados onde o conteúdo é espelhado em tempo real. Todos

os dados são duplicados entre as áreas de armazenamento disponíveis.

Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) – grupo de

pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades

relacionadas a incidentes de segurança em redes de computadores;

Ferramentas – é um conjunto de equipamentos, programas, procedimentos, normas e demais

recursos através dos quais se aplica a Política de Segurança da Informação do CREA-MT;

FTP (File Transfer Protocol) – (Protocolo de Transferência de Arquivo) é um protocolo da Internet

para transferência de arquivos;

GETEC –Gerência de Tecnologia da Informação do CREA-MT;

Gestão de Continuidade de Negócios – Processo de gestão global que identifica as potenciais

ameaças para uma organização e os impactos nas operações da instituição que essas ameaças, se

concretizando, poderiam causar, e fornecendo e mantendo um nível aceitável de serviço face a

rupturas e desafios à operação normal do dia-a-dia;

Gestão de Risco – conjunto de processos que permite identificar e implementar as medidas de

proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de

informação, e equilibrá-los com os custos Operacionais e financeiros envolvidos;

Gestão de Segurança da Informação e Comunicações – conjunto de processos que permite

identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a

que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e

financeiros envolvidos;

Gestor da Informação – pessoa responsável pela administração de informações geradas em seu

processo de trabalho e/ou sistemas de informação relacionados às suas atividades;

Gestor de Segurança da Informação e das Comunicações – é responsável pelas ações de segurança

da informação e comunicações no âmbito do CRE-MT;






_________________________________________________________________________________________________________



Página | 8

Hardware – É a parte física do computador, conjunto de componentes eletrônicos, circuitos

integrados e periféricos, como a máquina em si, placas, impressora, teclado e outros;

HTTP (Hyper Text Transfer Protocol) – (Protocolo de Transferência de Hipertexto) é uma

linguagem para troca de informação entre servidores e clientes da rede;

HTTPS (HyperText Transfer Protocol Secure) – (Protocolo de Transferência de Hipertexto

Seguro) é uma linguagem para troca de informação entre servidores e clientes da rede, com recursos

de criptografia, autenticação e integridade;

Incidente de Segurança – qualquer evento adverso, confirmado ou sob suspeita, ou ocorrência que

promova uma ou mais ações tendentes a comprometer ou ameaçar a disponibilidade, a integridade,

confidencialidade ou a autenticidade de qualquer ativo de informação do Conselho Regional de

Engenharia e Agronomia de Mato Grosso;

Informação – dados, processados ou não, que podem ser utilizados para produção e transmissão de

conhecimento, contidos em qualquer meio, suporte ou formato;

Informações Críticas – são as informações de extrema importância para a sobrevivência da

instituição;

Informação sigilosa – informação submetida temporariamente à restrição de acesso público em razão

de sua imprescindibilidade para a segurança da sociedade e do Estado, e aquelas abrangidas pelas

demais hipóteses legais de sigilo;

Instant Messenger – (Mensageiro instantâneo) é uma aplicação que permite o envio e o recebimento

de mensagens em tempo real;

Integridade – propriedade de que a informação não foi modificada ou destruída de maneira não

autorizada ou acidental;

Internet – rede mundial de computadores;

Internet Protocol – (Protocolo de Internet) é um protocolo de comunicação usado entre duas ou mais

máquinas em rede para encaminhamento dos dados;

Intranet – rede de computadores privada que faz uso dos mesmos protocolos da Internet. Pode ser

entendida como rede interna de alguma instituição em que geralmente o acesso ao seu conteúdo é

restrito;






_________________________________________________________________________________________________________



Página | 9

Log – é o termo utilizado para descrever o processo de registro de eventos relevantes num sistema

computacional. Esse registro pode ser utilizado para reestabelecer o estado original de um sistema ou

para que um administrador conheça o seu comportamento no passado. Um arquivo de log pode ser

utilizado para auditoria e diagnóstico de problemas em sistemas computacionais;

Logon – procedimento de identificação e autenticação do usuário nos Recursos de Tecnologia da

Informação. É pessoal e intransferível;

Logoff – processo de encerramento do uso de um sistema computacional ou recursos de rede,

removendo as credenciais de acesso;

On line – (Estar disponível ao vivo) no contexto da Internet significa estar disponível para acesso

imediato, em tempo real;

Perfil de acesso – conjunto de atributos de cada usuário, definidos previamente como necessários

para credencial de acesso;

Plano de Contingência - Descrever as medidas a serem tomadas por uma empresa, incluindo a

ativação de processos manuais, para fazer com que seus processos críticos voltem a funcionar

plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma

paralisação prolongada;

Plano de Continuidade de Negócios – documentação dos procedimentos e informações necessárias

para que os órgãos ou entidades da APF mantenham seus ativos de informação críticos e a

continuidade de suas atividades críticas em local alternativo num nível previamente definido, em

casos de incidentes;

Peer-to-peer (P2P) – (Ponto a ponto) permite conectar o computador de um usuário a outro, para

compartilhar ou transferir dados, como MP3, jogos, vídeos, imagens, entre outros;

Política de Segurança da Informação e das Comunicações (POSIC) – documento aprovado pela

autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta,

com o objetivo de fornecer diretrizes, critérios e Suporte administrativo suficientes à implementação

da segurança da informação e comunicações;

Protocolo – convenção ou padrão que controla e possibilita uma conexão, comunicação, transferência

de dados entre dois sistemas computacionais. Método padrão que permite a comunicação entre

processos, conjunto de regras e procedimentos para emitir e receber dados numa rede;






_________________________________________________________________________________________________________



Página | 10

Proxy – é um serviço intermediário entre as estações de trabalho de uma rede e a Internet. O servidor

de rede proxy serve para compartilhar a conexão com a Internet, melhorar o desempenho do acesso,

bloquear acesso a determinadas páginas;

Quebra de segurança – ação ou omissão, intencional ou acidental, que resulta no comprometimento

da segurança da informação e das comunicações;

Recursos Computacionais – recursos que processam, armazenam e/ou transmitem informações, tais

como aplicações, sistemas de informação, estações de trabalho, notebooks, servidores de rede,

equipamentos de conectividade e infraestrutura;

Rede Corporativa – conjunto de todas as redes locais sob a gestão da instituição;

Rede Pública – rede de acesso a todos;

Redes Sociais – estruturas sociais, disponíveis na rede mundial de computadores (Internet),

compostas por pessoas ou organizações, conectadas por um ou vários tipos de relações, que partilham

valores e objetivos comuns;

Replicação – é a manutenção de cópias idênticas de dados em locais diferentes. O objetivo de um

mecanismo de replicação de dados é permitir a manutenção de várias cópias idênticas de um mesmo

dado em vários sistemas de armazenamento;

Roteador – equipamento responsável pela troca de informações entre redes;

Sala Cofre – é uma sala fortificada que pode ser instalada em uma instituição, provendo um local

seguro de invasões e outras ameaças. São ambientes projetados para resistir a vários tipos de

catástrofes. Suportam, por exemplo, temperaturas de até 1.200 graus Celsius, inundações, cortes

bruscos de energia, gases corrosivos, explosões e até ataques nucleares;

Sala Segura – sala que proporciona um ambiente seguro no Datacenter, oferecendo maior garantia

no armazenamento de informações eletrônicas. Uma Sala Segura possui gerador próprio, instalação

elétrica independente, paredes especiais, piso elevado, ar-condicionado, detecção e combate a

incêndios, iluminação, sinalização de emergência e monitoração do ambiente;

Segurança da Informação e Comunicações – ações que objetivam viabilizar e assegurar a

disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;






_________________________________________________________________________________________________________



Página | 11

Senha Fraca ou Óbvia – é aquela onde se utilizam caracteres de fácil associação com o dono da

senha, ou que seja muito simples ou pequenas, tais como: datas de aniversário, casamento,

nascimento, o próprio nome, o nome de familiares, sequências numéricas simples, palavras e unidades

léxicas que constem de dicionários de qualquer língua, dentre outras;

Servidor de Rede – recurso de TI com a finalidade de disponibilizar ou gerenciar serviços ou

sistemas informáticos;

Servidor – pessoa legalmente investida em cargo público;

Sistemas de Informação – conjunto de meios de comunicação, computadores e redes de

computadores, assim como dados e informações que podem ser armazenados, processados,

recuperados ou transmitidos por serviços de telecomunicações, inclusive aplicativos, especificações

e procedimentos para sua operação, uso e manutenção;

Sistema de Segurança da Informação (SIC) – proteção de um conjunto de dados, no sentido de

preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da

segurança da informação os atributos de confidencialidade, integridade, disponibilidade e

autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações

eletrônicas ou sistemas de armazenamento;

Software – são todos os programas existentes em um computador, como sistema operacional,

aplicativos, entre outros;

Site – Conjunto de páginas virtuais dinâmicas ou estáticas, que tem como principal objetivo fazer a

divulgação da instituição;

Smartcard – dispositivo portátil utilizado para incrementar a segurança do processo de logon;

Streaming – transferência de dados (normalmente áudio e vídeo) em fluxo contínuo por meio da

Internet;

Switches – Um switch de rede é um equipamento eletrônico de comutação que funciona como um

nó central numa rede no formato estrela, armazenando em memória o endereço físico de todos os

computadores conectados a ele, relacionando cada endereço físico a uma de suas portas e permitindo

assim a interligação entre os dispositivos conectados;

Termo de Responsabilidade – termo assinado pelo usuário concordando em contribuir com a

disponibilidade, a integridade, a confidencialidade e a autenticidade das informações que tiver acesso,

bem como assumir responsabilidades decorrentes de tal acesso;






_________________________________________________________________________________________________________



Página | 12

Token – dispositivo portátil utilizado para incrementar a segurança do processo de logon;

Tratamento da informação – recepção, produção, reprodução, utilização, acesso, transporte,

transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as

sigilosas;

Tratamento de Incidentes de Segurança em Redes Computacionais – serviço que consiste em

receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de

segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e

também a identificação de tendências;

Trilhas de Auditoria – são rotinas específicas programadas nos sistemas para fornecerem

informações de interesse da auditoria. São entendidas como o conjunto cronológico de registros (logs)

que proporcionam evidências do funcionamento do sistema. Esses registros podem ser utilizados para

reconstruir, rever/revisar e examinar transações desde a entrada de dados até a saída dos resultados

finais, bem como para avaliar/rastrear o uso do sistema, detectando e identificando usuários não

autorizados;

Usuário – diretor, conselheiro, inspetores, comissionado, empregado público do CREA-MT,

prestador de serviço, consultor externo, auditores e estagiários que obtiveram autorização do

responsável pela área interessada para desempenho de suas atividades ao acesso aos Ativos de

Informação do CREA-MT, formalizada por meio da assinatura do Termo de Responsabilidade;

VLAN (Virtual Local Area Network ou Virtual LAN) – (Rede Local Virtual) é um agrupamento

lógico de estações, serviços e dispositivos de rede que não estão restritos a um segmento físico de

uma rede local;

VPN (Virtual Private Network) – (Rede Privada Virtual) é uma rede de dados privada que faz uso

das infraestruturas públicas de telecomunicações, preservando a privacidade, logo é a extensão de

uma rede privada que engloba conexões com redes compartilhadas ou públicas. Com uma VPN pode-

se enviar dados entre dois computadores através de uma rede compartilhada ou pública de uma

maneira que emula uma conexão ponto a ponto privada;

Vulnerabilidade – conjunto de fatores internos ou causa potencial de um incidente indesejado, que

podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação

interna de segurança da informação;






_________________________________________________________________________________________________________



Página | 13

Wireless (rede sem fio) – rede que permite a conexão entre computadores e outros dispositivos

através da transmissão e recepção de sinais de rádio.

PRINCÍPIOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

Garantir direito pessoal e coletivo à intimidade e ao sigilo da correspondência e das comunicações

individuais;

A proteção dos dados, informações e conhecimentos produzidos no CREA-MT classificados como

sigilosos.

REGRAS GERAIS

Gestão de Segurança

Art. 1º - As diretrizes de segurança da informação, estabelecidas a seguir, são aplicáveis às

informações armazenadas e em trânsito, ao uso de todos os ativos de propriedade ou sob a

responsabilidade do CREA‐MT. A elas estão submetidos todos os conselheiros, diretores, inspetores,

funcionários do CREA‐MT, consultores externos, estagiários e prestadores de serviço, incumbindo a

cada um a responsabilidade e o comprometimento para a sua ação.

Art. 2º - As ações de segurança visam reduzir riscos e garantir a integridade, confidencialidade,

legalidade e disponibilidade das informações dos sistemas e recursos do CREA‐MT.

Art. 3º - A informação sob responsabilidade do CREA‐MT é um bem público e deve ser protegida

contra alteração, destruição e divulgação não autorizadas, acidentais ou intencionais;

Art. 4º - A segurança da informação é responsabilidade de todos.

Art. 5º - A Política de Segurança da Informação do CREA‐MT se destina a:

a) Servir de referência para auditoria, apuração e avaliação de responsabilidades.

b) Definir e executar procedimentos específicos para assegurar a confidencialidade, a disponibilidade,

a integridade e a legalidade da informação.

c) Capacitar e qualificar tecnicamente as pessoas no trato da informação.

d) Buscar as melhores práticas de segurança com base nas normas e legislação vigentes.

e) Identificar e avaliar regularmente, ameaças e riscos.






_________________________________________________________________________________________________________



Página | 14

Art. 6º - O cumprimento desta Política é obrigatório e deve ser considerado como condição de

emprego.

Art. 7º - A proteção da informação deve ser realizada de forma preventiva, bem como deve ser

garantida a recuperação da informação.

Art. 8º - As restrições de acesso às informações devem ser estabelecidas de acordo com a

classificação definida pelo gestor da informação.

Art. 9º - A permissão de acesso à informação está sempre relacionada à necessidade da função

desempenhada dentro do CREA‐MT e não à própria pessoa.

Art. 10º - Acesso à rede e aos sistemas corporativos, por agentes públicos do CREA‐MT ou não,

através de equipamentos operados fora das instalações físicas, deve ser realizado atendendo as

diretrizes desta Política e os normativos específicos sobre o assunto.

Art. 11º - Todas as informações corporativas devem possuir mecanismos de cópia e recuperação de

modo a assegurar a continuidade dos negócios do CREA-MT, devendo os arquivos de backup ser

guardados e protegidos em local adequado e de acesso restrito.

Art. 12º - Os ambientes e sistemas elétricos de desenvolvimento, homologação, rede, suporte e

produção de sistemas corporativos devem ser segregados.

Art. 13º - A responsabilização do usuário pelos atos que comprometam a segurança do sistema de

informação.

Art. 14º - Todos os ativos de informação estão sujeitos a monitoração e auditora, e que os registros

assim obtidos poderão ser utilizados para detecção de violações da PoSIC e demais regulamentações

em vigor.

Art. 15º - Os recursos de tecnologia da informação de propriedade do CREA-MT são fornecidos para

uso corporativo, para os fins a que se destinam e no interesse da administração. É considerada

imprópria a utilização desses recursos para propósitos não profissionais ou não autorizados. Os

usuários e visitantes que tomarem conhecimento dessa prática devem levá-la ao conhecimento do

superior imediato para que sejam aplicadas as ações disciplinares cabíveis.

Art. 16º - É vedado expressamente o uso dos ativos de informação de propriedade do CREA-MT,

para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou






_________________________________________________________________________________________________________



Página | 15

jurídica, veicular opiniões político‐partidárias e quaisquer outras atividades que contrariem os

objetivos institucionais do CREA‐MT;

Art. 17º - É expressamente proibido o acesso, uso, guarda e encaminhamento de material mão ético,

discriminatório, malicioso, obsceno ou ilegal por intermédio de quaisquer dos meios recursos de

comunicação disponibilizados pelo CREA-MT;

Art. 18º - A utilização imprópria sujeita seu autor à aplicação das ações legais e disciplinares cabíveis;

Art. 19º - Informações confidenciais do CREA-MT não podem ser transportadas em qualquer meio

sem as devidas autorizações e proteções.

Art. 20º - Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em

áreas expostas.

Art. 21º - A identificação do usuário deve ser pessoal e intransferível, qualquer que seja a forma,

permitindo de maneira clara e irrefutável o reconhecimento do envolvido.

Art. 22º - Economicidade da proteção dos ativos de informação;

Art. 23º - O uso geral dos Ativos de Informação do CREA‐MT obedece aos seguintes procedimentos:

I - Os usuários definidos neste instrumento terão acesso ao uso dos ativos de informação do CREA‐MT mediante termo de responsabilidade formal e fornecimento de senha pessoal;

II - Os profissionais registrados no CREA‐MT terão acesso às informações pessoais e aplicativos

disponíveis nos serviços “on‐line” mediante o fornecimento de senha pessoal;

III - O acesso de usuários e profissionais será imediatamente cancelado após seu desligamento do

CREA‐MT, sob quaisquer motivos;

IV - O uso das informações obtidas mediante o acesso autorizado é da estrita responsabilidade legal

do usuário e/ou do profissional que a acessar;

Art. 24º - Ao utilizar os Ativos de Informação do CREA‐MT, o usuário concorda com esta política.






_________________________________________________________________________________________________________



Página | 16

Gestão de Monitoramento e Auditoria.

Art. 25º - Para garantir a segurança a GETEC do CREA-MT poderá:

I - Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico,

conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a

informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos

efetuados, bem como material manipulado;

II - Havendo evidência de atividade que possa comprometer a segurança da rede ou dos

computadores, monitorar as atividades de um determinado recurso, além de inspecionar arquivos, a

bem do interesse da organização;

III - Suspender todos os privilégios de determinado usuário em relação ao uso de redes e

computadores sob sua responsabilidade, por razões ligadas à segurança física e ao bem estar dos

usuários, ou por razões disciplinares ou relacionadas à Segurança da Informação e ao bem‐estar dos

outros membros da rede;

IV - Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso

de exigência judicial, solicitação do gerente (ou superior) ou por determinação do Comitê de

Segurança da Informação;

V - Realizar, a qualquer tempo, inspeção física nas máquinas de propriedade do CREA-MT;

VI - Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das

informações e dos perímetros de acesso.

Gestão de Armazenamento ou em Trânsito pelo CREA-MT

Art. 26º - Classificação quanto à confidencialidade:

a) Confidencial: informações que devem ser mantidas em confidencialidade, caso sejam divulgadas

erroneamente, afetam profundamente a continuidade dos negócios da instituição;

b) Restrita: informações cujo acesso e manuseio são apenas para pessoas autorizadas, caso sejam

divulgadas erroneamente, afetam a continuidade de um ou mais processos de negócio da Instituição;






_________________________________________________________________________________________________________



Página | 17

c) Interna: informação que em princípio não é confidencial, mas que só deve ser utilizada

internamente na Instituição, não sendo de acesso público, pois caso sejam divulgadas erroneamente,

podem denegrir a imagem da instituição ou causar prejuízos indiretos não desejáveis;

d) Pública: informações que podem ser de conhecimento público e não possuem restrições para

divulgação.

Art. 27º - Classificação quanto à integridade:

a) Vital: Necessita de proteção especial no que diz respeito a sua integridade, pois a Instituição deve

poder garantir que a mesma se preservou em seu estado original por todo o tempo de guarda da

mesma, podendo impactar de modo profundo o negócio;

b) Relevante: é aquela cuja perda da integridade pode gerar transtornos de baixo impacto para a

empresa. Devem adotados controles usuais para a garantia da integridade como a manutenção de uma

cópia ou original de segurança, controle e registro dos acessos, etc.;

c) Básica (ou normal): é aquela cuja perda de integridade a partir de um determinado prazo não

implica impactos à Instituição, e, portanto não exige controles de auditoria e de acesso.

Art. 28º - Classificação Quanto a Disponibilidade:

I - As informações para esta categoria serão classificadas através de um número que deverá

representar o tempo máximo de indisponibilidade aceitável para aquela informação num determinado

período a ser definido, devendo ser considerado o padrão definido na Tabela de Temporalidade fixada

em instrumento próprio.

Art. 29º - O uso da rede do CREA‐MT obedece aos seguintes procedimentos:

I - O acesso à rede será autorizado mediante solicitação formal, constante do anexo I;

II - A rede do CREA‐MT é protegida de acessos externos por firewall, que bloqueia todos os acessos

potencialmente perigosos à rede e permite a comunicação segura aos acessos autenticados;

III - Todos os servidores e estações de trabalho do CREA‐MT utilizam programas antivírus, cujas

versões são atualizadas periodicamente;

;






_________________________________________________________________________________________________________



Página | 18

IV - Todos os sistemas possuem restrições de acesso aos usuários de acordo com definições dos

gestores da informação.

Art. 30º - Por questões de segurança, as senhas terão um tempo de vida útil pré-determinado, devendo

ser substituídas periodicamente, ou a qualquer momento por solicitação do usuário.

Art. 31º - Cabe ao gestor da informação providenciar o backup das informações periodicamente, de

acordo com as necessidades de cada sistema.

Art. 32º - Deve‐se evitar ao máximo a utilização de arquivos provenientes de outras mídias como

disquetes, CD‐ROM e pen‐drives, porém se a utilização se tornar indispensável, os mesmos deverão

passar pelo antivírus antes de serem utilizados nos computadores.

Art. 33º - O uso de cada senha é da inteira responsabilidade do usuário que a detiver, cabendo a este

zelar por sua confidencialidade.

Art. 34º - Ao ausentar‐se do seu local de trabalho, o usuário deverá fechar todos os programas

utilizados, e desconectar-se de sua estação de trabalho, evitando o acesso por pessoas não autorizadas.

Uso de Pasta (REDE)

Art. 35º - O uso das pastas de rede do CREA‐MT obedece aos seguintes procedimentos:

I . Pasta “Público”

a) Os conteúdos das pastas serão públicos, com acesso a leitura para todos, sendo da responsabilidade

de cada gerência a sua administração no que diz respeito à pertinência, correção e atualização das

informações ali contidas;

b) Somente os responsáveis pelas pastas terão autorização para gerenciar os conteúdos (inclusão,

exclusão, edição);

c) Essas pastas se destinam, prioritariamente, à divulgação pública interna de informações, instruções,

notas, instrumentos, práticas, esclarecimentos, etc;

d) Não será permitido o uso da pasta pública para fins pessoais.






_________________________________________________________________________________________________________



Página | 19

II . Pasta “Temporário”

a) Esta pasta se destina a ser utilizada prioritariamente para transmissão interna de arquivos de uso

temporário, sem limitação de tamanho;

b) Os conteúdos são de inteira responsabilidade de seus emissores que podem fazer a

inclusão/exclusão/edição sem qualquer tipo de limitação;

c) O conteúdo da pasta “Temporário” será inteiramente apagado toda sexta‐feira e não haverá cópia

dos arquivos postados.

III . Pasta “Setor”

a) Os conteúdos da pasta "Setor" se destinam a gestão interna de documentos de cada área, sendo

usado para o compartilhamento de arquivos em grupos de atividades afins;

b) Cabe aos seus usuários de cada pasta a gestão de seu conteúdo, sua manutenção e atualização,

sendo o acesso a cada pasta restrito aos seus membros;

c) A capacidade da pasta de cada setor é limitada a 01 GB, após o que o usuário não poderá mais

gravar nenhum dado a não ser que proceda alguma exclusão;

d) Não deve ser utilizada para arquivos pessoais, nem para arquivos de programas e aplicativos;

e) Devem serem gravados documentos relacionados ao trabalho cotidiano e à produção jurídica e

administrativa local, que demande compartilhamento ou resguardo institucional;

f) As permissões de acesso deverão ser concedidas em nível de grupos;

g) Só será permitido o acesso a qualquer pasta ou arquivo no servidor mediante solicitação formal,

pelo responsável do setor;

h) É proibida a exposição de material de natureza pornográfica e racista, armazenado, distribuído,

editado ou gravado através do uso dos recursos computacionais da rede;






_________________________________________________________________________________________________________



Página | 20

i) Não é permitido criar ou remover arquivos fora da área alocada ao usuário ou que venham a

comprometer o desempenho e funcionamento dos sistemas;

j) É vedada a gravação de dados e informações de natureza particular;

l) É obrigatório armazenar os arquivos inerentes ao serviço de cada setor em suas respectivas pastas

para garantir o backup dos mesmos;

m) Deverão ser gravados no servidor apenas documentos de interesse da instituição;

n) Documentos de interesse dos setores deverão ser criados ou compartilhados na "Pasta Pública" da

Rede;

o) O compartilhamento deve ser restrito aos diretórios necessários da rede, nunca compartilhando o

diretório da "Pasta Pública"

IV . Pasta “Usuário”

a) Estas pastas se destinam a arquivos de uso exclusivo do usuário;

b) Cabe exclusivamente ao usuário o gerenciamento e o conteúdo está sujeito a monitoração do

CREA‐MT;

c) A capacidade de cada pasta é limitada a 200 MB, após o que o usuário não poderá mais gravar

nenhum dado a não ser que proceda alguma exclusão;

d) Não deve ser utilizada para arquivos pessoais, nem para arquivos de programas e aplicativos.

Observação. Não será permitida a guarda de arquivos de imagens, vídeos e música, exceto quando

os arquivos forem necessários para a execução de determinada tarefa ou fizerem parte de recursos

de um determinado sistema de informação e mediante autorização prévia da Gerência de Tecnologia

da Informação.






_________________________________________________________________________________________________________



Página | 21

Armazenamento de Arquivos

Art. 36º - Os arquivos da rede do CREA-MT estão disponibilizados em unidades mapeadas na própria

máquina do usuário, da maneira que se segue (Pasta do Setor - Pasta Pública e Pasta do Usuário),

onde é feito backup (cópia de segurança) diário destes arquivos, possibilitando ao usuário a

recuperação dos mesmos em caso de perda acidental; esta pasta não deverá ser utilizada, em hipótese

alguma, para gravação de arquivos particulares de qualquer tipo, arquivos de instalação ou quaisquer

outros que não sejam os de trabalho.

I - Fica proibido salvar arquivos ou pastas com nomes de usuários ou pessoas na pasta de trabalho

do Setor;

II - Compete ao setor de Informática a realização de backup (cópia de segurança) diário do conteúdo

desta pasta;

III - Os arquivos que estiverem em desacordo com o exposto acima poderão ser apagados (excluídos)

ou postos em quarentena sem prévio aviso aos usuários.

Art. 37º - É proibido o uso da área de trabalho do sistema operacional em uso no CREA-MT para

armazenamento de dados, ficando ao Setor de Informática isenta de responsabilidade em caso da

perda de informações ali contidas.

Art. 38º - É proibido o uso do drive C: (disco local) para a guarda de arquivos pessoais ou de trabalho,

devendo os mesmos ser salvos nos locais já mencionados nos itens anteriores.

Art. 39º - Caso queira grava arquivo no computador, deve ser realizado no drive D. nesse caso a

responsabilidade pelo backup é do funcionário.

Art. 40º - Para a recuperação de pastas ou arquivos excluídos ou antigos o autor ou representante

deverá solicitar uma ordem de serviço, com o máximo de detalhamento possível, para a localização

e identificação do arquivo ou pasta excluída;

Art. 41º - Evitar o armazenamento na rede de arquivos de instalação, imagens e arquivos sem uso.

Tal procedimento sobrecarrega os discos dos servidores, tornando sua utilização mais lenta. As fitas

de backup também se tornarão maiores, devido a este fato;

Art. 42º - Os funcionários da Gerência da Tecnologia da Informação do e da Coordenadoria de

Manutenção e Suporte Técnico não fará backup de máquina de usuário, por solicitação deste ou caso

necessite formatar o disco rígido da estação de trabalho.






_________________________________________________________________________________________________________



Página | 22

Art. 43º - A Administração da Rede possui infraestrutura de restauração de arquivo de até 30 dias.

Deveres dos Usuários

Art. 44º - São de responsabilidade do usuário acionamento e o desligamento dos equipamentos de

informática, pertencentes à mesma, no início e término de cada expediente;

Art. 45º - Ao usuário não é permitido instalar programas de qualquer natureza nos

microcomputadores. Qualquer necessidade de aplicativos deverá ser solicitada ao Setor de

Informática.

Art. 46º - É proibido o remanejamento e a remoção de qualquer equipamento de informática sem

aviso prévio ao Setor de Informática.

Art. 47º - É vedada a manipulação dos equipamentos de rede (switches, hubs, fiação, cabeamento de

rede, entre outros) por pessoal não pertencente ao Setor de Informática.

Art. 48º - Uma vez que cabe ao Presidente/Diretoria autorizar qualquer tipo de compra referente à

informática (Software ou Hardware), caberá ao GETEC elaborar o termo de referência acerca dos

assuntos de compra ou contratação de serviço.

Art. 49º - O Setor de Informática se desobriga a dar suporte a software ou hardware que não tenha

sido adquirido por seu intermédio ou com seu parecer.

Art. 50º - Perante a necessidade de utilização de software não homologado, a chefia imediata deverá

solicitar formalmente ao Gerência de Tecnologia da Informação a homologação do mesmo contendo

os seguintes itens:

a) Especificações detalhadas do software solicitado;

b) Quantidade de licenças;

c) Suporte ao software (necessidade de suporte);

d) Justificativa.

Observação: O processo de homologação de software deve avaliar, sobretudo, o impacto da utilização

deste na segurança da informação do CREA-MT e o suporte para o mesmo.






_________________________________________________________________________________________________________



Página | 23

Art. 51º - Não conectar ou desconectar nenhum periférico com o equipamento ligado. Tal

procedimento pode danificar o mesmo, exceto pen drivers e equipamento plug & play.

Art. 52º - É terminantemente proibido ao usuário o acesso ou manutenção no interior do gabinete do

computador, assim como troca ou retirada de componentes do mesmo. Caso necessário deverá ser

acionado o Setor de Informática;

Art. 53º - A Administração e Segurança da Rede não possuem rotina de backup para estações de

trabalho, ou seja, todo material institucional produzido e/ou alterado deverá ser gravado,

necessariamente, no servidor de arquivo.

Art. 54º - Utilizar apenas os softwares autorizados, que forem legalmente adquiridos e instalados

pelo setor de Informática. É terminantemente proibida a utilização de cópias ilegais de software nos

computadores do CREA-MT, bem como a solicitação de cópias de softwares legalmente adquiridos

pelo CREA-MT para uso particular.

Art. 55º - Os serviços em equipamentos particulares não serão permitidos nas dependências do

CREA-MT, exceto com a autorização do Setor de Informática.

Art. 56º - Não é permitido cópia de softwares pertencentes ao Setor de Informática;

Art. 57º - É proibido utilizar a identidade (caixa postal eletrônica ou conta de sistemas) e senha de

terceiros, sem a devida autorização;

Art. 58º - Não é permitido o uso de material de consumo de informática para fins particulares.

Uso da Internet

Art. 59º - Todas as diretrizes da POSIC do CREA-MT, visam basicamente o desenvolvimento de um

comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e

permanente da rede corporativa da instituição com a internet ofereça um grande potencial de

benefícios, ela abre a porta para riscos significativos para os ativos de informação.

Art. 60º - Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está

sujeita a divulgação e auditoria. Portanto, o CREA-MT, em total conformidade legal, reserva-se o

direito de monitorar e registrar todos os acessos a ela.






_________________________________________________________________________________________________________



Página | 24

Art. 61º - Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de

propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio

eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na

estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança

da Informação e Comunicação.

Art. 62º - O CREA-MT, ao monitorar a rede interna, pretende garantir a integridade dos dados e

programas.

Art. 63º - Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o

devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão

informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas

poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal,

sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes.

Art. 64º - A internet disponibilizada pela instituição aos seus colaboradores, independentemente de

sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento

dos trabalhos nas unidades.

Art. 65º - Como é do interesse do Conselho Regional de Engenharia e Agronomia de Mato Grosso,

que seus colaboradores estejam bem informados, o uso de sites de notícias ou de serviços, por

exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente

comerciais, não perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os

seus objetivos de negócio.

Art. 66º - Somente os colaboradores que estão devidamente autorizados a falar em nome do CREA-

MT para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast,

seja por documento físico, entre outros.

Art. 67º - Apenas os colaboradores autorizados pela instituição poderão copiar, captar, imprimir ou

enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de

Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos

legais.

Art. 68º - É proibida a divulgação e/ou o compartilhamento indevido de informações da área

administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de batepapo ou

chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.






_________________________________________________________________________________________________________



Página | 25

Art. 69º - Os colaboradores com acesso à internet poderão fazer o download (baixa) somente de

programas ligados diretamente às suas atividades no CREA-MT e deverão providenciar o que for

necessário para regularizar a licença e o registro desses programas, desde que autorizados pela

GETEC.

Art. 70º - O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham

direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer

software não autorizado baixado será excluído pela Coordenadoria de Manutenção e Suporte Técnico

(CMST).

Art. 71º - Os colaboradores não poderão em hipótese alguma utilizar os recursos do CREA-MT para

fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de

acordo com a legislação nacional.

Art. 72º - O download e a utilização de programas de entretenimento, jogos ou músicas (em qualquer

formato) poderão ser realizados por usuários que tenham atividades profissionais relacionadas a essas

categorias. Para tal, grupos de segurança, cujos integrantes deverão ser definidos pelos respectivos

gestores, precisam ser criados a fim de viabilizar esse acesso especial. Mediante solicitação e

aprovação da área técnica responsável, o uso de jogos será passível de concessão, em regime de

exceção, quando eles tiverem natureza intrínseca às atividades de cursos relacionados ao

desenvolvimento de jogos.

Art. 73º - Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados,

distribuídos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessário,

grupos de segurança deverão ser criados para viabilizar esse perfil de usuário especial e seus

integrantes definidos pelos respectivos gestores.

Art. 74º - Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer

software licenciado ao CREA-MT ou de dados de sua propriedade aos seus parceiros e clientes, sem

expressa autorização do responsável pelo software ou pelos dados.

Art. 75º - Os colaboradores não poderão utilizar os recursos do CREA-MT para deliberadamente

propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de

controle de outros computadores.

Art. 76º - O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não serão permitidos. Já os

serviços de streaming (rádios on-line, canais de broadcast e afins) serão permitidos a grupos

específicos. Porém, os serviços de comunicação instantânea (SKYPE, GOOGLE TALK e afins) serão






_________________________________________________________________________________________________________



Página | 26

inicialmente disponibilizados aos usuários específicos e poderão ser bloqueados caso o gestor

requisite formalmente à Gerencia de Tecnologia da Informação.

Art. 77º - Não é permitido acesso a sites de proxy.

Uso do Correio Eletrônico

Art. 78º - O objetivo desta norma é informar aos colaboradores, diretores, conselheiro, inspetores,

comissionados e estagiários quais são as atividades permitidas e proibidas quanto ao uso do correio

eletrônico corporativo.

Art. 79º - O uso do correio eletrônico do CREA-MT é para fins corporativos e relacionados às

atividades do colaborador usuário dentro da instituição. A utilização desse serviço para fins pessoais

é permitida desde que feita com bom senso, não prejudique o CREA-MT e também não cause impacto

no tráfego da rede.

Art. 80º - Cada setor do CREA-MT manterá no mínimo uma conta de correio eletrônico, destinada

a comunicações institucionais.

Art. 81º - O acesso indevido às informações tramitadas por meio do serviço de correio eletrônico

corporativo do CREA-MT, ou contidas em seus ambientes, será punido na forma da lei.

Art. 82 - O acesso ao serviço de correio eletrônico dar-se-á por meio de senha de uso pessoal e

intransferível, vedada sua divulgação.

Art. 83º - Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico do CREA-

MT:

a) enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso

legítimo da instituição;

b) enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de

usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;

c) enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou o CREA-MT ou

suas unidades vulneráveis a ações civis ou criminais;






_________________________________________________________________________________________________________



Página | 27

d) divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem

autorização expressa e formal concedida pelo proprietário desse ativo de informação;

e) falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de

remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;

f) apagar mensagens pertinentes de correio eletrônico quando qualquer uma das unidades do CREA-

MT estiver sujeita a algum tipo de investigação.

Art. 84º - Produzir, transmitir ou divulgar mensagem que:

a) Contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses do CREA-MT;

b) Contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;

c) Contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll,

.inf) ou qualquer outra extensão que represente um risco à segurança;

d) Vise obter acesso não autorizado a outro computador, servidor ou rede;

e) Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método

ilícito ou não autorizado;

f) Vise burlar qualquer sistema de segurança;

g) Vise vigiar secretamente ou assediar outro usuário;

h) Vise acessar informações confidenciais sem explícita autorização do proprietário;

i) Vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;

Inclua imagens criptografadas ou de qualquer forma mascaradas;

j) Contenha anexo(s) superior(es) a 10 MB para envio (interno e internet) e 10 MB para recebimento

(internet)

l) Tenha conteúdo considerado impróprio, obsceno ou ilegal;

m) Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador,

pornográfico entre outros;






_________________________________________________________________________________________________________



Página | 28

n) Contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou

outras situações protegidas;

o) Tenha fins políticos locais ou do país (propaganda política);

p) Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.

Art. 85º - As mensagens de correio eletrônico sempre deverão incluir assinatura com o seguinte

formato:

• Nome do colaborador

• Gerência ou departamento

• Nome da empresa

• Telefone(s)

Art. 86º - Regras para o uso do Correio Eletrônico:

I . Não abrir anexos com as extensões .bat, .exe, .src, .lnk e .com, ou de quaisquer outros formatos

alertados pelo setor de Tecnologia da Informação, se não tiver certeza absoluta de que solicitou esse

e-mail.

II. Não reenviar e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec, criança

desaparecida, criança doente, pague menos em alguma coisa, não pague alguma coisa, etc.

III. Não utilizar o e-mail da empresa para assuntos pessoais.

IV. Evitar enviar anexos com tamanho superior a 10MB.

V. Adotar o hábito de ler sua caixa de e-mails diariamente (pela manhã e à tarde), de modo a evitar

que se acumulem os e-mails. E-mails a serem lidos ou enviados em demasia congestionar o navegador

e faz com que o sistema não responda. Com isso, novas mensagens podem não ser recebidas até que

as anteriores sejam baixadas por completo.

VI. Utilizar o e-mail para comunicações oficiais internas, as quais não necessitem obrigatoriamente

do meio físico escrito. Isto diminui custo com impressão e aumenta a agilidade na entrega e leitura

do documento.

Art. 87º - Regras para criação de e-mails e listas de discussão de e-mails:






_________________________________________________________________________________________________________



Página | 29

I . O serviço de e-mails do CREA-MT será administrado pela Gerência de Tecnologia da Informação

e pela Coordenadoria de Manutenção e Suporte Técnico que seguirá as normas abaixo:

a) A criação, alteração ou remoção de e-mail institucional será efetuada a partir de solicitação por

O.S, memorando do CREA-MT;

b) Os e-mails criados terão cota de armazenamento de tamanho fixo, de acordo com os procedimentos

internos do setor de Tecnologia da Informação;

c) Os e-mails que passarem de seis (06) meses sem serem utilizados serão removidos do servidor.

d) Os funcionários deverão administrar sua caixa postal semanalmente: removendo mensagens

desnecessárias para evitar que caixa de entrada fiquei cheia.

Identificação e Senha

Art. 88º - Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário,

evitando e prevenindo que uma pessoa se faça passar por outra perante o CREA-MT e/ou terceiros.

Art. 89º - O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime

tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).

Art. 90º - Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de

identificação e deverá ser aplicada a todos os colaboradores.

Art. 91º - Todos os dispositivos de identificação utilizados no CREA-MT, como o número de registro

do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas

digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados

inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.

Art. 92º - O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso

correto perante a instituição e a legislação (cível e criminal).

Art. 93º - Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser

compartilhado com outras pessoas em nenhuma hipótese.






_________________________________________________________________________________________________________



Página | 30

Art. 94º - Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade

perante o CREA-MT e a legislação (cível e criminal) será dos usuários que dele se utilizarem.

Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá

ser responsabilizado.

Art. 95º - É proibido o compartilhamento de login para funções de administração de sistemas.

Art. 96º - O Departamento de Recursos Humanos (CRHU) do CREA-MT é o responsável pela

emissão e pelo controle dos documentos físicos de identidade dos colaboradores.

Art. 97º - A Gerência de Sistemas responde pela criação da identidade lógica dos colaboradores na

instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários.

Art. 98º - Devem ser distintamente identificados os visitantes, estagiários, empregados temporários,

empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar

o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha

conforme as orientações apresentadas.

Art. 99º - Os usuários que não possuem perfil de administrador deverão ter senha de tamanho

variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@

# $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) sempre que possível.

Art. 100º - Já os usuários que possuem perfil de administrador ou acesso privilegiado deverão utilizar

uma senha de no mínimo 10 (dez) caracteres, alfanumérica, utilizando caracteres especiais (@ # $ %)

e variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.

Art. 101º - É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a

proteção e a guarda dos dispositivos de identificação que lhe forem designados.

Art. 102º - As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel,

etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em

informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa

de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações

óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.

Art. 103º - Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade).






_________________________________________________________________________________________________________



Página | 31

Art. 104º - Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso

suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.

Art. 105º - A periodicidade máxima para troca das senhas é 60 (sessenta) dias, não podendo ser

repetidas as últimas senhas. Os sistemas críticos e sensíveis para a instituição e os logins com

privilégios administrativos devem exigir a troca de senhas a cada 30 dias. Os sistemas devem forçar

a troca das senhas dentro desse prazo máximo.

Art. 106º - Todos os acessos devem ser imediatamente bloqueados quando se tornarem

desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o

Departamento de Recursos Humanos deverá imediatamente comunicar tal fato a Gerência de

Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica

aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de

testes e outras situações similares.

Art. 107º - Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou

comparecer pessoalmente à área técnica responsável para cadastrar uma nova.

Equipamentos Portáteis

Art. 108º - Quando se descreve “equipamentos portáteis” entende-se qualquer equipamento

eletrônico com atribuições de mobilidade de propriedade da instituição, ou aprovado e permitido por

sua Gerência de Tecnologia da Infomação, como: notebooks, ultrabook, netbook, smartphones,

pendrives, tablet, Ipad.

Art. 109º - Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o

uso de dispositivos móveis e deverá ser aplicada a todo o diretor, conselheiro, inspetor, comissionado,

empregado público do CREA-MT, prestador de serviço, consultor externo, auditor e estagiário que

utilizem tais equipamentos.

Art. 110º - A Gerência de Tecnologia da Informação do CREA-MT, na questão de política de

segurança da informação e comunicação dos equipamentos fornecidos pelo CREA-MT, reserva-se o

direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de

segurança.

Art. 111º - O diretor, conselheiro, inspetor, comissionado, empregado público do CREA-MT,

prestador de serviço, consultor externo, auditor e estagiário, portanto, assume o compromisso de não






_________________________________________________________________________________________________________



Página | 32

utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio

ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em

razão de suas funções no CREA-MT, mesmo depois de terminado o vínculo contratual mantido com

a instituição.

Art. 112º - O suporte técnico aos dispositivos móveis de patrimônio do CREA-MT e aos seus usuários

deverá seguir o mesmo fluxo de suporte do Conselho.

Art. 113º - Todos deverão utilizar senhas de bloqueio automático para seu dispositivo móvel.

Art. 114º - Os equipamentos portáteis devem respeitar as mesmas regras estabelecidas para estações

de trabalho.

Art. 115º - Equipamentos portáteis de patrimônio do CREA-MT devem ser guardados em local

seguro, com controle de acesso e garantia quanto à sua integridade.

Art. 116º - O usuário, ao solicitar o empréstimo de equipamentos portáteis do CREA-MT, deve

assinar o Termo de Responsabilidade.

Art. 117º - Somente técnicos autorizados pelo suporte técnico do CREA-MT devem configurar os

equipamentos portáteis para acesso à rede do CREA-MT;

Art. 118º - O usuário deve evitar armazenar nformações confidenciais em equipamentos portáteis do

CREA-MT.

Art. 119º - Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas

operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a

devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de

um técnico da Suporte Técnico do CREA-MT.

Art. 120º - O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas

e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico do Suporte Técnico

do CREA-MT.

Art. 121º - A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos

pelo CREA-MT constituirá uso indevido do equipamento e infração legal aos direitos autorais do

fabricante.






_________________________________________________________________________________________________________



Página | 33

Art. 122º - É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua

casa, hotéis e instituições.

Art. 123º - É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel

fornecido pelo CREA-MT, notificar imediatamente seu gestor direto e a Gerência de Tecnologia da

Informação. Também deverá procurar a ajuda das autoridades policiais registrando, assim que

possível, um boletim de ocorrência (BO).

Art. 124º - O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará

a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos,

diretos ou indiretos, presentes ou futuros, que venha causar ao CREA-MT e/ou a terceiros.

Art. 125º - O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir

acessórios e posteriormente conectá-los à rede do CREA-MT deverá submeter previamente tais

equipamentos ao processo de autorização da Gerência de Tecnologia da Informação.

Art. 126º - Equipamentos portáteis, como smartphones, palmtops, ipad, tablet, netbook, notebook,

ultrabook, pen drives e players de qualquer espécie, quando não fornecidos ao colaborador pela

instituição, não serão validados para uso e conexão em sua rede corporativa.

Ativos de Rede

Art. 127º - As portas dos switches somente devem estar ativas se utilizadas e inventariadas.

Art. 128º - Os switches e access points devem possuir controle de acesso.

Art. 129º - Todo roteador utilizado na rede do CREA-MT deve prover, no mínimo, o uso de ACLs

(Access lists) e o filtro de pacotes

Art. 130º - Todo ativo de rede deve estar em local seguro. Os switches departamentais devem estar

instalados em racks devidamente fechados e seguros.

Art. 131º - Os ativos de rede só podem ser instalados na rede do CREA-MT após a sua adequação

aos padrões de segurança definidos pela Coordenadoria de Manutenção e Suporte Técnico.

Art. 132º - Os ativos de rede somente devem ser liberados para uso após a efetiva homologação,

realizada em ambiente apropriado, distinto do ambiente de produção, e devidamente documentado.






_________________________________________________________________________________________________________



Página | 34

Art. 133º - As intervenções no ambiente de rede somente serão permitidas mediante supervisão pelos

técnicos autorizados pelo Gerência de Tecnologia da Informação.

Art. 134º - Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas de

fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta.

Art. 135º - Profissionais técnicos no exercício de suas funções, não devem utilizar a rede de dados

do CREA-MT para testes, devendo para isto o CREA-MT, prover segmento de rede independente;

Art. 136º - O CREA-MT reserva o direito de realizar investigações em qualquer dos equipamentos

que integrem a sua rede local.

Rede Sem Fio

Art. 137º - A utilização da rede sem fio para acesso à rede do CREA-MT somente será efetuada

com autenticação utilizando mecanismos de protocolo seguro;

Art. 138º - Qualquer equipamento que utilize a rede sem fio do CREA-MT deve respeitar as regras

estabelecidas para Estações de Trabalho, Notebooks, Ultrabooks, Netbooks, Tables, Ipads,

Smartphones, inclusive, quando justificados, os equipamentos particulares;

Art. 139º - Somente os técnicos autorizados pela Gerência da Tecnologia da Informação devem

estabelecer os procedimentos e configurações de segurança de rede sem fio;

Art. 140º - A Coordenadoria de Manutenção e Suporte Técnico, deve verificar a adequação das

Estações de Trabalho e instruir os usuários sobre os procedimentos para acesso à rede sem fio de

acordo com os requisitos estabelecidos.

Impressoras

Art. 141º - O uso das impressoras integrantes da rede do CREA‐MT obedece aos seguintes

procedimentos:

I. Estas instruções se aplicam às impressoras locais e de rede;






_________________________________________________________________________________________________________



Página | 35

II. É expressamente vedado o uso de impressoras para fins particulares, a qualquer título;

III. São expressamente vedados: movimentação, cessão, empréstimo, instalação e reinstalação de

impressoras a que título for. Os equipamentos somente poderão ser movimentados e instalados por

técnicos da Gerência de Tecnologia da Informação, mediante solicitação encaminhada através da

Solicitação de Serviços(SGS) no Sistema Apolo, na qual deverá constar a autorização do Gerente;

IV. Cabe ao usuário a requisição de insumos – tinta, toner, papel ‐ para o bom funcionamento do

equipamento;

V. No caso de parada de serviço não deve o usuário tentar reiniciar o equipamento;

VI. Nenhum procedimento tal como retirada de papel atolado, substituição de cartuchos, etc., pode

ser feito com a impressora ligada e por empregado ou prestador de serviços sem o devido treinamento;

VII. A configuração da impressora na estação de trabalho do usuário somente deverá ser realizada

pelos técnicos autorizados pela CMST;

VIII. Os usuários não devem deixar informações críticas, sigilosas ou sensíveis da instituição em

equipamentos de impressão, de tal forma que pessoas não autorizadas possam obter acesso a elas.

Solicitação de Manutenção e Configuração

Art. 142º - Toda solicitação de atendimento para instalação, suporte e configuração dos recursos

computacionais deve ser efetuada mediante Solicitação de Serviços(SGS) no Sistema Apolo.

Art. 143º - Nas dependências físicas do CREA-MT somente é permitida a execução dos serviços de

suporte técnico nos equipamentos de propriedade do conselho ou cedidos formalmente, sendo

proibida a assistência técnica em equipamentos particulares.

Art. 144º - O usuário deve acompanhar o técnico durante a manutenção da sua estação de trabalho.

Art. 145º - Todo equipamento que tiver a necessidade de ser deslocado para manutenção ou

configuração, deverá estar devidamente identificado.






_________________________________________________________________________________________________________



Página | 36

Art. 146º - O usuário deve estar ciente da saída do equipamento de seu local de trabalho caso seja

necessária a retirada do mesmo para manutenção.

Art. 147º - Todo recurso computacional que sair das dependências físicas do CREA-MT por motivo

de manutenção deverá ser registrado pelo responsável da unidade e deverá ter suas informações

institucionais críticas previamente excluídas.

Art. 148º - A saída do equipamento deverá ser autorizada pela Gerência de Tecnologia da

Informação.

Art. 149º - O usuário deve manter o número, do registro do chamado ou número do documento de

solicitação formal, do pedido de suporte por ele realizado para controle e acompanhamento do

respectivo chamado.

Datacenter

Art. 150º - O acesso ao Datacenter somente deverá ser feito por colaboradores lotados pela Gerência

de Tecnologia da Informação.

Art. 151º - Todo acesso ao Datacenter, pelo sistema de autenticação forte, deverá ser registrado

(usuário, data e hora) mediante software próprio.

Art. 152º - O usuário "administrador" do sistema de autenticação forte ficará de posse e administração

do coordenador de manutenção e suporte técnico, de acordo com o Procedimento de Controle de

Contas Administrativas.

Art. 153º - A lista de funções com direito de acesso ao Datacenter deverá ser constantemente

atualizada, de acordo com os termos do Procedimento de Controle de Acesso ao Datacenter, e salva

no diretório de rede.

Art. 154º - Nas localidades em que não existam colaboradores da área de tecnologia da informação,

pessoas de outros departamentos deverão ser cadastradas no sistema de acesso para que possam

exercer as atividades operacionais dentro do Datacenter, como: troca de fitas de backup, suporte em

eventuais problemas, e assim por diante.






_________________________________________________________________________________________________________



Página | 37

Art. 155º - O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento

de um colaborador autorizado, que deverá preencher a solicitação de acesso prevista no Procedimento

de Controle de Acesso ao Datacenter, bem como assinar o Termo de Responsabilidade.

Art. 156º - O acesso ao Datacenter, por meio de chave, apenas poderá ocorrer em situações de

emergência, quando a segurança física do Datacenter for comprometida, como por incêndio,

inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não estiver

funcionando.

Art. 157º - Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar

autorização com antecedência a qualquer colaborador responsável pela administração de liberação de

acesso, conforme lista salva em Procedimento de Controle de Acesso ao Datacenter.

Art. 158º - Deverão existir duas cópias de chaves da porta do Datacenter. Uma das cópias ficará de

posse do coordenador responsável pelo Datacenter, a outra, de posse do coordenador de serviços

gerais.

Art. 159º - O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere

lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de

Serviços Gerais.

Art. 160º - Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou

inflamável.

Art. 161º - A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará com o

preenchimento da solicitação de liberação pelo colaborador solicitante e a autorização formal desse

instrumento pelo responsável do Datacenter, de acordo com os termos do Procedimento de Controle

e Transferência de Equipamentos.

Art. 162º - No caso de desligamento de empregados ou colaboradores que possuam acesso ao

Datacenter, imediatamente deverá ser providenciada a sua exclusão do sistema de autenticação forte

e da lista de colaboradores autorizados, de acordo com o processo definido no Procedimento de

Controle de Acesso ao Datacenter.






_________________________________________________________________________________________________________



Página | 38

Backup

Art. 163º - Todos os backups devem ser automatizados por sistemas de agendamento automatizado

para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de

backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados

aos sistemas de informática.

Art. 164º - Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar

pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de

vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.

Art. 165º - As mídias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser

acondicionadas em local seco, climatizado, seguro (de preferência em cofres corta-fogo segundo as

normas da ABNT) e distantes o máximo possível do Datacenter.

Art. 166º - As fitas de backup devem ser devidamente identificadas, inclusive quando for necessário

efetuar alterações de nome, e de preferência com etiquetas não manuscritas, dando uma conotação

mais organizada e profissional.

Art. 167º - O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos

responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de

restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante.

Art. 168º - É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu

desgaste natural, bem como deverá ser mantido um estoque constante das mídias para qualquer uso

emergencial.

Art. 169º - Mídias que apresentam erros devem primeiramente ser formatadas e testadas. Caso o erro

persista, deverão ser inutilizadas.

Art. 170º - É necessário que seja inserido, periodicamente, o dispositivo de limpeza nas unidades de

backup nos termos do Procedimento de Controle de Mídias de Backup.

Art. 171º - As mídias de backups históricos ou especiais deverão ser armazenadas em instalações

seguras, preferencialmente com estrutura de sala-cofre, distante no mínimo 10 quilômetros do

Datacenter.






_________________________________________________________________________________________________________



Página | 39

Art. 172º - Os backups imprescindíveis, críticos, para o bom funcionamento dos negócios do CREA-

MT, exigem uma regra de retenção especial, conforme previsto nos procedimentos específicos e de

acordo com a Norma de Classificação da Informação, seguindo assim as determinações fiscais e

legais existentes no país.

Art. 173º - Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro

horário disponível, assim que o responsável tenha identificado e solucionado o problema.

Art. 174º - Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse

backup, eles deverão ser autorizados apenas mediante justificativa de necessidade nos termos do

Procedimento de Controle de Backup e Restore.

Art. 175º - Quaisquer atrasos na execução de backup ou restore deverão ser justificados formalmente

pelos responsáveis nos termos do Procedimento de Controle de Mídias de Backup.

Art. 176º - Testes de restauração (restore) de backup devem ser executados por seus responsáveis,

nos termos dos procedimentos específicos, aproximadamente a cada 30 ou 60 dias, de acordo com a

criticidade do backup.

Art. 177º - Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente

do original, para que assim não sobreponha os arquivos válidos.

Art. 178º - Para formalizar o controle de execução de backups e restores, deverá haver um formulário

de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos responsáveis e

auditado pelo coordenador de infraestrutura, nos termos do Procedimento de Controle de Backup e

Restore.

Art. 179º - Os colaboradores responsáveis descritos nos devidos procedimentos e na planilha de

responsabilidade poderão delegar a um custodiante a tarefa operacional quando, por motivos de força

maior, não puderem operacionalizar. Contudo, o custodiante não poderá se eximir da

responsabilidade do processo.

Intranet

Art. 180º - São usuários da Intranet do CREA-MT os membros, servidores, estagiários e os demais

agentes públicos ou particulares que oficialmente executem atividade vinculada à atuação

institucional do CREA-MT,






_________________________________________________________________________________________________________



Página | 40

Art. 181º - A Intranet deverá ser utilizada como mecanismo de divulgação de notícias e

disponibilização de serviços de caráter institucional.

Art. 182º - O acesso à Intranet deve restringir-se à esfera profissional com conteúdo relacionado às

atividades desempenhadas pelo Órgão, observando-se sempre a conduta compatível com a

moralidade administrativa.

Art. 183º - O acesso aos serviços de Intranet deve ser realizado mediante autenticação da conta do

usuário, sendo que todos os acessos realizados serão auditados, constituindo um histórico de acessos,

podendo ser consultado ou publicado a critério da instituição.

Art. 184º - As contas de usuários deverão ter níveis de acesso distintos, conforme a necessidade dos

serviços, de acordo com os perfis definidos pelo Chefe da unidade.

Art. 185º - Cada usuário é responsável pelas ações e acessos realizados por meio da sua Conta de

Acesso.

Art. 186º - Os usuários devem estar capacitados a utilizar os serviços de modo a garantir a sua

utilização adequada.

Art. 187º - As aplicações a serem disponibilizadas na Intranet devem ser previamente analisadas,

homologadas e aprovadas pela Gerência de Tecnologia da Informação.

Art. 188º - As contas de serviços utilizadas em servidores de rede, backup, correio eletrônico, banco

de dados, aplicações, entre outros, devem ser utilizadas somente para execução de ações ligadas à sua

natureza, de forma automática, sem intervenção manual através de logon / acesso.

Art. 189º - As contas com privilégio de administração de rede devem ser utilizadas somente para

execução das atividades correspondentes à administração do ambiente conforme as responsabilidades

atribuídas, em equipamentos previamente definidos. As variáveis necessárias para acesso e

administração devem ser de conhecimento restrito aos administradores dos equipamentos de rede e

chefia respectiva.






_________________________________________________________________________________________________________



Página | 41

Referências Legais e Normativas

Código Civil, Art. 1.016, que institui que os administradores respondem solidariamente perante a

sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções;

Decreto nº 1.171, de 24 de junho de 1994 que aprova o Código de Ética Profissional do Servidor

Público Civil do Poder Executivo Federal, e outras providências;

Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos

órgãos e entidades da Administração Pública Federal;

Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações,

documentos e materiais sigilosos de interesse de segurança da sociedade e do Estado, no âmbito da

Administração Pública Federal, e dá outras providências;

Decreto nº 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações

pelos órgãos e entidades da administração pública federal, por meio da Rede Mundial de

Computadores (Internet);

Decreto nº 6.029, de 1º de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder

Executivo Federal, e dá outras providências;

Decreto nº 6.931, de 11 de agosto de 2009 - art. 8º do Anexo I – competência do Departamento de

Segurança da Informação e Comunicações;

Decreto Nº 7.845, de 14 de novembro de 2012 - os procedimentos para credenciamento de segurança

e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de

Segurança e Credenciamento;

Decreto nº 7.724 de 16/05/2012, que regulamenta a Lei 12.527, de 18/11/2011 – Dispõe sobre o

acesso a informações;

Instrução Normativa GSI Nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da

Informação e Comunicações na Administração Pública Federal;

Instrução Normativa GSI Nº 2, de 5 de fevereiro de 2013 - Dispõe sobre o Credenciamento de

segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do

Poder Executivo Federal. (Publicada no DOU Nº 32, de 18 Fev 2013- Seção 1).






_________________________________________________________________________________________________________



Página | 42

Instrução Normativa GSI Nº 3, de 6 de março de 2013 - Dispõe sobre os parâmetros e padrões

mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da

informação classificada no âmbito do Poder Executivo Federal. (Publicada no DOU Nº 50, de 14 Mar

2013- Seção 1).

ISO/IEC Guide 73:2002 - Gestão de Riscos / Vocabulário - Recomendações para uso em normas;

Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos

civis da União, das autarquias e das fundações públicas federais.

Lei nº 8.159, de 08 de janeiro de 1991, dispõe sobre a política nacional de arquivos públicos e privados

e dá outras providências e alterações legais;

Lei n° 9.610, de 19 de fevereiro de 1998, que altera, atualiza e consolida a legislação sobre direitos

autorais;

Lei nº 9.983, de 14 de julho de 2000: Altera o Decreto Lei nº 2848/40 – Código Penal, sobre

tipificação de crimes por computador contra a Previdência Social e a Administração Pública;

Lei nº 12.527, de 18 de novembro de 2011 – Lei de acesso a informação;

NBR ISO/IEC 17799:2005 – Código de Práticas para a Gestão da Segurança da Informação;

NBR/ISO/IEC 27002/2005, que institui o código de melhores práticas para gestão de segurança da

informação;

NBR/ISO/IEC 27001/2006, que estabelece os elementos de um Sistema de Gestão de Segurança da

Informação;

Norma ABNT NBR/ISO/IEC 15999:2007, que institui o código de melhores práticas para Gestão de

continuidade de negócios.

Norma ABNT NBR/ISO/IEC 27001:2006, que estabelece os elementos de um Sistema de Gestão de

Segurança da Informação e Comunicações.

Norma ABNT NBR/ISO/IEC 27002:2005, que institui o código de melhores práticas para Gestão de







_________________________________________________________________________________________________________



Página | 43

Norma ABNT NBR ISO/IEC 27005:2008, que fornece as diretrizes para a Gestão de Riscos de


Norma Complementar nº 01/IN01/DSIC/GSIPR, Atividade de Normatização.

Norma Complementar nº 02/IN01/DSIC/GSIPR, Metodologia de Gestão de Segurança da Informação

e Comunicações.

Norma Complementar nº 03/IN01/DSIC/GSIPR, Diretrizes para a Elaboração de Política de

Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal;

Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, Diretrizes para o processo de Gestão

de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da

Administração Pública Federal;

Norma Complementar nº 05/IN01/DSIC/GSIPR, e seu anexo, Disciplina a criação de Equipes de

Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da

Administração Pública Federal;

Norma Complementar nº 06/IN01/DSIC/GSIPR, Estabelece Diretrizes para Gestão de Continuidade

de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e

entidades da Administração Pública Federal, direta e indireta – APF;

Norma Complementar nº 07/IN01/DSIC/GSIPR, Estabelece as Diretrizes para Implementação de

Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades

da Administração Pública Federal, direta e indireta – APF;

Norma Complementar nº 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes para Gerenciamento de

Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;

Norma Complementar nº 09/IN01/DSIC/GSIPR, Estabelece orientações específicas para o uso de

recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e

Comunicações, nos órgãos ou entidades da Administração Pública Federal, direta e indireta;

Norma Complementar nº 10/IN01/DSIC/GSIPR, Estabelece diretrizes para o processo de Inventário

e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações

(SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF;






_________________________________________________________________________________________________________



Página | 44

Norma Complementar nº 11/IN01/DSIC/GSIPR, Estabelece diretrizes para avaliação de

conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos

ou entidades da Administração Pública Federal, direta e indireta – APF;

Norma Complementar nº 12/IN01/DSIC/GSIPR, Estabelece diretrizes e orientações básicas para o

uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC)

nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;

Norma Complementar nº 13/IN01/DSIC/GSIPR, Estabelece diretrizes para a Gestão de Mudanças

nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da

Administração Pública Federal, direta e indireta (APF);

Norma Complementar nº 14/IN01/DSIC/GSIPR, Estabelece diretrizes para a utilização de

tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da Informação e

Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e

indireta;

Norma Complementar nº 15/IN01/DSIC/GSIPR, Estabelece diretrizes de Segurança da Informação e

Comunicações para o uso de redes sociais, nos órgãos e entidades da Administração Pública Federal

(APF), direta e indireta;

Norma Complementar nº 16/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o Desenvolvimento e

Obtenção de Software Seguro nos Órgãos e Entidades da Administração Pública Federal, direta e

indireta;

Documentos Referenciados

REF. NOME DO DOCUMENTO INSTITUIÇÃO

1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO CREA‐MT CREA-MT

2 POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DA AUTORIDADE CERTIFICADORA AUTORIDADE CERTIFICADORA DO SERPRO

SEPRO – OS SERPROACF

3 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES DIRETRIZES E NORMAS AGU

4 PSI – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - DOCUMENTO DE DIRETRIZES E NORMAS

ADMINISTRATIVAS

SENAC-SP

5 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO CFM

6 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - 2015 INMETRO






_________________________________________________________________________________________________________



Página | 45

ANEXO I

Termo de Responsabilidade ao Acesso a Rede Interna, Internet e

Sistema Corporativo do CREA-MT.

Eu,____________________________________________________________________________,

Matrícula________, Setor__________________________________________________, Identidade

nº__________________, Orgão expedidor/ UF______________________, CPF

nº________________________, na qualidade de usuário dos recursos de Tecnologia de Informação

disponibilizados pelo CREA-MT, declaro estar ciente e concordar com a Política de Segurança da

Informação composta por suas Diretrizes Gerais, Normas, Procedimentos e Instruções, que está

disponível na Intranet.

Declaro assumir toda e qualquer responsabilidade de controle, guarda e conservação dos

equipamentos relacionados nesta política. Tenho ciência de que a retirada deste equipamento para

manutenção, bem como a instalação de qualquer software, deverá ser feita somente por funcionários

da Administração e Segurança da Rede, devidamente identificados.

Declaro estar ciente de que os arquivos, documentos e e-mails que se encontram em computadores

e/ou servidores de rede do CREA-MT são de propriedade do CREA-MT. Portanto, ao desligar-me

do Conselho, não poderei fazer cópias de documentos, ou de softwares licenciados ao CREA-MT.

Declaro estar ciente de que devo gravar os arquivos produzidos e manipulados por mim na rede de

computadores do CREA-MT e de que não existe rotina de backup para arquivos particulares nas

estação de trabalho.

Declaro, também, estar ciente de que os acessos por mim realizados à Internet, bem como o conteúdo

das mensagens enviadas através do correio eletrônico corporativo são monitorado automaticamente.

Declaro que em razão da sua relação contratual com o CREA-MT, estabelece contato com

informações com graus diferentes de confidencialidade, cuja divulgação e acesso dependem de

autorização expressa da chefia a que estiver subordinado.

Declaro informar imediatamente, à chefia a que estiver subordinado, acerca de qualquer ação,

intencional ou culposa, que possa prejudicar o sigilo, a disponibilidade e a integridade das

informações.






_________________________________________________________________________________________________________



Página | 46

ANEXO I

Termo de Responsabilidade ao Acesso a Rede Interna, Internet e Sistema

Corporativo do CREA-MT.

Declaro que recebi quando da sua contratação uma identificação de conta (login) e um código (senha)

para ter acesso aos serviços de Rede Interna, Internet e Sistema Corporativo do CREA-MT.

Declaro que é de meu conhecimento que o login e a senha, fornecidos pelo CREA-MT tem natureza

jurídica equivalente a ferramenta de trabalho proporcionada pelo empregador ao empregado para a

consecução dos seus serviços, devendo ser usados exclusivamente no interesse do CREA-MT.

Declaro que é de meu conhecimento que o endereço eletrônico de correio (e-mail) fornecido pelo

CREA-MT tem natureza jurídica equivalente a ferramenta de trabalho proporcionada pelo

empregador ao empregado para a consecução dos seus serviços, devendo ser usado exclusivamente

para comunicações corporativas e de interesse do CREA-MT.

Declaro que é de meu conhecimento que sua conta, assim como os dispositivos de armazenamento

disponíveis na estação de trabalho sob sua responsabilidade, poderão ser monitoradas e auditadas a

qualquer tempo, independentemente de notificação prévia.

Declaro que é de meu conhecimento que responderei por qualquer ato de infração comprovadamente

originado pelo uso de sua conta e senha.

Declaro estar ciente que a não observância dessas regras será entendida como falta sujeita às sanções

disciplinares previstas no Regimento do CREA-MT ou CLT.

Declaro que recebi uma via deste documento, sendo do seu conhecimento que outra via está arquivada

na sua pasta funcional.

Data:

Empregado:

(Ciente) Coordenadoria de Recursos Humanos:


política de segurança da informação e...

Documents