Política de Uso dos. Recursos de Tecnologia da Informação. da UFRGS. Versão /03/2017

Transcrição

1 1 Política de Uso dos Recursos de Tecnologia da Informação da UFRGS Versão /03/ Preâmbulo 2. Glossário 3. Escopo 4. Princípios 5. Diretrizes 6. Penalidades 7. Considerações finais 1 Preâmbulo As tecnologias da informação e da comunicação são fundamentais para o exercício eficiente e eficaz das atividades da Universidade, sendo hoje indispensáveis para que a UFRGS cumpra a sua missão e o seu papel como instituição de ensino, pesquisa e extensão de excelência. Entretanto, o uso destas tecnologias de forma desestruturada e descoordenada não só incorre na possibilidade de uso ineficaz dos recursos e investimentos na área, mas também na possibilidade de danos e comprometimento das atividades e das informações que nela transitam. A Política de Uso dos Recursos de Tecnologia da Informação (TI) foi desenvolvida pelo Comitê de Segurança da Informação de acordo com o Artigo 21º Decisão Nº 124/2014 do Conselho Universitário Política de Segurança da Informação da UFRGS, tendo como objetivo definir os princípios e diretrizes que regerão a criação, o desenvolvimento e a utilização dos recursos de Tecnologia da Informação na Universidade. 2 Glossário Para efeitos desta política, entende-se por: DSINF: Departamento de Segurança da Informação do Centro de Processamento de Dados da Universidade Federal do Rio Grande do Sul (CPD/UFRGS), na execução das prerrogativas atribuídas pelo Art. 5º da Decisão Nº 124/2014 do Conselho Universitário. Endereço IP: código atribuído a recurso de TI (da Universidade ou externo) com objetivo de identificá-lo unicamente na Internet ou em uma rede interna. Exemplo: , , 2804:1f20:0:1::20. Firewall institucional: conjunto de equipamentos e tecnologias que visam implementar e monitorar a política de comunicação da rede de dados da UFRGS com a Internet. Gestor de Recurso de TI: pessoa responsável por algum recurso de TI.

2 2 Incidente de Segurança: violação de requisito de segurança estabelecido por gestor de recurso de TI ou violação de legislação ou norma vigente. Recurso de TI: equipamento de computação ou telecomunicação de dados que utilize a rede de dados ou que custodie informações da Universidade ou relacionados a processos de negócio da mesma. Também são recursos de TI quaisquer serviços e aplicações, de armazenamento ou comunicação, fornecidos por equipamentos de qualquer natureza. Exemplos de recursos de TI são computadores desktops, terminais de acesso, servidores, equipamentos de rede como comutadores (switches) e roteadores, equipamentos de suporte com acesso a rede como nobreaks e geradores, equipamentos de comunicação como telefones VoIP, e todos os softwares, aplicações e informações que estejam armazenados em quaisquer destes dispositivos, entre outros. Sítio ou Aplicação Web: Documento, aplicação ou sistema de informação hospedado em recurso de TI, acessível através da rede de dados, identificado por uma URL. TI: Tecnologia da Informação. TRI: Time de Resposta a Incidentes de Segurança da Informação, grupo instituído pelo CPD e coordenado pelo DSINF, de acordo com o inciso IV do Art. 5º da PSI-UFRGS. URL: Universal Resource Locator ou Localizador Universal de Recurso, texto que indica o endereço de localização na Internet de um sítio ou aplicação Web. Exemplos: ; Usuário: São os usuários internos, externos, discentes e colaboradores da Universidade conforme definido no Art. 6º da PSI-UFRGS 3 Escopo Esta política se aplica a todos os gestores de recursos de TI da UFRGS e a todos os usuários dos recursos de TI da Universidade. 4 Princípios A concepção, desenvolvimento e operação dos recursos de TI da UFRGS deverão atender aos seguintes princípios. 4.1 Vedação ao anonimato: os recursos de TI da UFRGS não podem ser utilizados de forma anônima, sendo responsabilidade dos gestores dos recursos TI da UFRGS a instalação de controles que garantam a identificação dos usuários de cada recurso. 4.2 Privacidade: os recursos de TI e suas configurações de uso sempre respeitarão a privacidade dos usuários. 4.3 Segurança: Recursos ou serviços de TI somente poderão ser disponibilizados caso atendam à legislação em vigor, à Política de Segurança da Informação da UFRGS e a esta Política de Uso, e sem colocar em risco o patrimônio da Universidade ou a sua comunidade.

3 3 4.4 Investimento em recursos compartilhados: sempre que possível, os investimentos em TI devem ser feitos de forma a atender o maior número de usuários possível, dando prioridade para infraestruturas compartilhadas. 5 Diretrizes 5.1 Tratamento de Incidentes de Segurança Fica instituído o processo de tratamento de incidentes de segurança da UFRGS, com detalhamento definido em política específica aprovada pelo Comitê de Segurança da Informação da UFRGS. O mesmo normatizará o processo de trabalho do TRI, equipe criada pelo Artigo 5 Inciso IV da Decisão 124/2014 do CONSUN, sob responsabilidade do DSINF Violações desta Política de Uso, bem como da legislação vigente e da Política de Segurança da Informação da UFRGS, além de outras violações de segurança da informação, são incidentes de segurança contemplados pelo processo de tratamento de incidentes de segurança definido pelo item Uso da rede de dados Todas as redes de dados da UFRGS deverão seguir os padrões mínimos operacionais e de segurança definidos pelo CPD/UFRGS Todos os recursos de TI da UFRGS, assim como a rede, deverão ser protegidos contra atividades maliciosas vindas da Internet pelo Firewall institucional instalado na ligação da rede da UFRGS com a Internet. O firewall pode ser complementado por mecanismos de detecção de intrusão capazes de ações de contenção automatizadas que evitem ou diminuam o prejuízo ou danos causados por incidentes de segurança, desde que os mesmos estejam de acordo com a presente política de uso É vedada a instalação de recursos que não atendam aos padrões operacionais definidos ou que visem alterar ou evitar os mecanismos de segurança existentes nos sistemas ou na infraestrutura de rede. 5.3 Acesso à Internet O acesso à Internet a partir de qualquer dispositivo de TI deverá sempre seguir os padrões mínimos operacionais e de segurança definidos pelo CPD/UFRGS O acesso à Internet deve ocorrer de forma autenticada. As informações de autenticação dos usuários serão utilizadas respeitando-se a privacidade dos mesmos e apenas para fins de tratamento de incidentes de segurança Informações de autenticação e pessoais deverão sempre trafegar de forma criptografada Recursos de TI que se comunicam com a Internet sem a necessidade de intervenção humana deverão possuir um responsável identificado em sistema disponibilizado pelo CPD/UFRGS. Esta informação deve ser mantida atualizada pelos gestores dos recursos de TI.

4 Informações sobre URLs, endereços IP, sítios e aplicações Web acessados a partir da rede da UFRGS poderão ser armazenados em dispositivos de auditoria protegidos e sob responsabilidade do CPD/UFRGS. Estas informações poderão ser utilizadas somente para fins específicos de tratamento de incidentes de segurança, para melhoria da infraestrutura de TI ou para o cumprimento de ordem judicial Os serviços de rede que forem desenvolvidos para serem acessados a partir da Internet, como sítios e aplicações Web, devem ser inspecionados e homologados pela DSINF antes de serem disponibilizados para acesso externo A autorização de acesso a partir da Internet para os serviços do item pode ser revogada sempre que o serviço deixar de atender requisitos mínimos de segurança e/ou colocar os demais serviços e usuários da UFRGS em risco, ou ainda quando este deixar de cumprir o propósito original para o qual a autorização foi concedida. 5.4 Uso do correio eletrônico Toda a comunidade da UFRGS tem direito a um endereço eletrônico no domínio "ufrgs.br" Visando a garantia da autenticidade das comunicações oficiais da Universidade, todos os servidores docentes e técnicos-administrativos devem utilizar o endereço com domínio ufrgs.br para comunicações relacionadas às suas funções na Universidade Os servidores docentes e técnicos-administrativos devem evitar utilizar o seu endereço com domínio ufrgs.br para comunicações de caráter pessoal. 5.5 Responsabilidades dos Usuários Todos os usuários dos recursos de TI da UFRGS deverão atender à legislação vigente, às normativas específicas da Universidade, a esta Política de Uso e à Política de Segurança da Informação da UFRGS, bem como a quaisquer requisitos de segurança da informação definidos pelos gestores dos recursos de TI de que fizerem uso Os usuários devem comunicar ao responsável pelo recurso de TI utilizado ou ao TRI sempre que houver suspeita de incidente de segurança ou violação de normativos ou legislação em vigor As credenciais de acesso (conta e senha) a recursos de TI de uso individual são intransferíveis e não devem ser compartilhadas com terceiros Quaisquer privilégios sobre recursos de TI e sistemas de informação que um usuário final receber são intransferíveis, exceto quando previsto Os recursos de TI devem ser utilizados de forma a não prejudicar ou interferir nas atividades dos demais usuários ou na operacionalidade dos serviços e infraestrutura de rede A privacidade e os direitos individuais dos usuários deverão ser respeitados em todos os serviços de TI. É uma violação desta Política o acesso não autorizado a s, dados e tráfego de rede sem devida autorização legal ou do proprietário, o mesmo sendo aplicável aos gestores

5 5 e técnicos que têm acesso aos recursos de TI sendo utilizados, salvo em caso de tratamento de incidentes de segurança ou de recuperação de serviços interrompidos ou degradados É dever dos usuários dos recursos de TI o respeito à propriedade intelectual e direitos autorais, sendo considerado violação desta Política o compartilhamento de arquivos de áudio, vídeo ou dados sem a autorização do proprietário ou em desconformidade com os termos da licença de uso Os recursos de TI devem ser utilizados para atividades de ensino, pesquisa, extensão e gestão administrativa, ou seja, para atividades que são a razão de ser da Universidade. 5.6 Responsáveis por TI nas Unidades Todos os Órgãos da Administração e todas as Unidades Acadêmicas da UFRGS devem constituir formalmente, através de ofício expedido pelos respectivos Diretores, um Responsável Administrativo por TI que será o ponto de contato da Unidade com o Centro de Processamento de Dados para tratar das questões de TI da mesma, e receber comunicações de interesse da Unidade O Responsável Administrativo por TI deve ser um servidor da Universidade subordinado à Direção do Órgão Unidade que representa São responsabilidades dos Responsáveis Administrativos de TI a) Ser o contato oficial da Unidade com o CPD para assuntos relacionados à infraestrutura e serviços de TI; b) Conhecer o catálogo de serviços do CPD; c) Participar da lista de responsáveis por TI da UFRGS; d) Divulgar internamente as informações relativas à TI na UFRGS; e) Orientar os usuários da Unidade em relação à: i. Limites de atuação da estrutura de suporte de TI da própria Unidade, caso existente; ii. Necessidade de planejamento para alterações na infraestrutura de TI; iii. Abertura de chamados na CSTI do CPD; f) Nomear e manter atualizada a lista dos Responsáveis Técnicos de TI da Unidade As Unidades da UFRGS podem ter um ou mais Responsáveis Técnicos por TI, apontados pelo Responsável Administrativo por TI. O próprio Responsável Administrativo por TI pode acumular o papel de Responsável Técnicos por TI caso deseje Na falta de um Responsável Técnico por TI, o CPD/UFRGS fica responsabilizado pela execução das atividades técnicas que seriam responsabilidade dos Responsáveis Técnicos por TI São responsabilidades dos Responsáveis Técnicos por TI: a) Apoio na instalação e configuração de software e serviços de TI da UFRGS; b) Apoio nas atividades relativas à infraestrutura física de rede da Unidade; c) Apoio no suporte à rede e dispositivos de rede da Unidade; d) Apoio na configuração e manutenção de servidores, computadores e outros dispositivos de TI da Unidade; e) Apoio no tratamento de incidentes de segurança da informação e prevenção dos mesmos.

6 6 6 Penalidades Violações desta Política de Uso poderão resultar na suspensão, bloqueio ou restrição de acesso aos recursos de TI da UFRGS, de forma temporária ou permanente, sempre que tais medidas forem necessárias para proteção da disponibilidade, integridade e confidencialidade desses ativos, sem prejuízo da aplicação de sanções administrativas, penais e cíveis. 7 Considerações finais Esta política será reavaliada sempre que surgirem novos requisitos corporativos segundo a Legislação vigente.