Política de Segurança da Informação

Transcrição

1 Política de Segurança e Utilização da Rede Política de Segurança da Informação Índice 1)Introdução... 2)Utilização da rede... 3)Utilização de )Utilização de acesso a internet... 5)Boas Práticas. 6)Verificação da utilização da política de segurança da informação )Penas disciplinares.... 1

2 Introdução A fim de prestar aos servidores do INPAS serviços simultâneos de rede de alta qualidade e ao mesmo tempo prover a segurança da informação, assegurando altos padrões de qualidade na prestação desses serviços, faz-se necessária a adoção de uma política de segurança da informação. A Política de Utilização da Rede e de Segurança visa descrever as formas de utilização e as atividades que entendemos como violação ao uso dos serviços e recursos, que são consideradas proibidas. Podemos definir como serviços e recursos os programas e equipamentos utilizados pelos servidores, tais como: computadores, impressoras, Scanners, Nobraeks,Internet, e- mails do domínio Inpas.rj.gov.br, Rede Interna, Pastas e Arquivos As normas descritas podem ser atualizadas e adequadas com as necessidades,sendo que qualquer modificação será avisada em tempo hábil para remodelação (se necessário) do ambiente. Em caso de dúvidas sobre o que é considerado, de alguma forma violação, o usuário deverá enviar previamente um para dti@inpas.rj.gov.br visando esclarecimentos. Política de Segurança da Informação A Política de Segurança da Informação foi dividida em 4 tópicos. O DTI determina e orienta, baseado na família ISO 27000,(Norma brasileira ABNT NBR / ISO/IEC 27002), código de boas práticas que poderá ser atualizado pelo órgão competente,sendo então, OBRIGATÓRIO a sua adequação, esta política. Para a utilização dos Recursos da Rede do Inpas o usuário deverá assinar os Termos de Responsabilidades a serem disponibilizados pela DTI. Nos termos da Política de Segurança da Informação, o Instituto procederá ao bloqueio do acesso ou ao cancelamento do usuário caso seja detectado uso em desconformidade com o aqui estabelecido ou de forma prejudicial à Rede. Caso seja necessário a aplicação das medidas disciplinares/penalidades ao servidor, a Diretoria Administrativa será informada para decidir/aplicar as medidas pertinentes. TÓPICOS: 1. Utilização da Rede 2. Utilização de 3. Utilização de acesso a Internet 4. Boas práticas2 2

3 1.Utilização da Rede Esse tópico visa definir as normas de utilização da rede e boas práticas que englobam desde o login, manutenção de arquivos no servidor e tentativas não autorizadas de acesso. NÃO É PERMITIDO: 1.1-Tentativas de obter acesso não autorizado, tais como tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta também conhecido como "cracking".isso inclui acesso aos dados não disponíveis para o usuário, conectar-se a servidor ou conta cujo acesso não seja expressamente autorizado ao usuário ou colocar à prova a segurança de outras redes; 1.2-Interferir nos serviços de qualquer outro usuário, servidor ou rede. Isso inclui ataque do tipo "negativa de acesso", provocar congestionamento na rede, tentativas deliberadas de sobrecarregar um servidor e de quebar um servidor.; 1.3-O uso de qualquer programa ou comando desigado a interferir com a sessão de usuários; 1.4-O uso de Pen Drives, HD's ou qualquer dispositivo de armazenamento pessoal nos computadores do INPAS sem prévia verificação e autorização do DTI; 1.5 O armazenamento de arquivos pessoais na pasta PÚBLICO ou em qualquer PASTA/ DIRETÓRIO do servidor do instituto; 1.6-Exposição ou consulta de material de natureza pornográfica, pedofilia, formação de quadrilhas ou preconceituosa; 1.7-Criar e/ou remover arquivos fora da área alocada ao usuário e/ou que venham a comprometer o desempenho e funcionamento dos sistemas; 1.8-Armazenamento que contenham assuntos sigilosos ou de natureza sensível; na pasta Público. 1.9-A instalação e a remoção de softwares que não forem devidamente acompanhadas pelo DTI que deverá emitir autorização por escrito (Via ou memorando); 1.10-Alteração das configurações de rede e inicialização das máquinas bem como modificacões que possam trazer algum problema futuro. 3

4 UTILIZAÇÃO DAS PASTAS DO SERVIDOR DE ARQUIVOS É obrigatório armazenar os arquivos inerentes ao Instituto, nas pastas do servidor de arquivos para garantir o backup dos mesmos. Arquivos que são de interesse pessoal devem ser gravados no computador local do usuário. O DTI não se responsabiliza pela restauração de arquivos que não estejam nas pastas do Servidor. É proibido colocar nas pastas do Servidor arquivos tipo: Fotos, Vídeos e Músicas. Por parte do DTI haverá limpeza semanal dos arquivos armazenados na pasta Público. 2. Utilização de Esse tópico visa definir as normas de utilização de que engloba desde a criação, o envio, recebimento e gerenciamento das contas de . Somente terá direito a utilização do institucional os servidores detentores de cargo de provimento efetivo ou de carreira e com cargo em comissão no gozo de sua função, lotados no Inpas.; O institucional é para uso exclusivo dos assuntos pertinentes a autarquia, vedada portanto sua utilização para assuntos alheios ao interesse do Inpas; Os servidores que eventualmente estiverem cedidos e ou requesitados para outro órgão do poder público, terão seus s desabilitados até seu retorno ao Inpas, sem prejuízo de seus conteúdos, que ficarão em forma de backup na Divisão da DTI desta autarquia. Deverá ser criada senha para utilização do ,que será pessoal e intransferível. A senha será de responsabilidade única e exclusiva do usuário. Caso venha perdê-la, solicitar ao DTI via Memorando para a recriação da mesma. NÃO É PERMITIDO: 2.1-O assédio ou perturbação de outrem, seja través de linguagem utilizada, freqüência ou tamanho das mensagens; 2.2-O envio de grande quantidade de mensagens de ("junk mail" ou "spam") que de acordo com a capacidade técnica da Rede, seja prejudicial ou gere reclamações de outros usuários. Isso inclui qualquer tipo de mala direta, como, por exemplo: publicidade, comercial ou não, anúncios e informativos, ou propaganda política; 2.3-Reenviar ou de qualquer forma propagar mensagens em cadeia ou envio de mal-intencionados, tais como "mail bombing" ou pirâmides, independentemente da vontade do destinatário de receber tais mensagens; 4

5 2.4-Forjar qualquer das informações do cabeçalho do remetente 2.5-Sobrecarregar um usuário, site ou servidor com muito extenso ou numerosas partes de ; 3. Utilização de acesso a Internet Esse tópico visa definir as normas de utilização da Internet que engloba desde a navegação a sites, downloads e uploads de arquivos. É PROIBIDO: 3.1-Utilizar os recursos do Instituto para fazer o download ou distribuição de software ou dados não legalizados; 3.2-A divulgação de informações confidenciais do Instituto em grupos de discussão, listas ou bate-papo, não importando se a divulgação foi deliberada inadvertida, sendo possível sofrer as penalidades previstas nas políticas e procedimentos internos e/ou na forma da lei; 3.3-Baixar programas que não estejam ligados diretamente às atividades do Instituto, sendo obrigatório regularizar a licença e o registro desses programas; 3.4-Efetuar upload de qualquer software licenciado ao Instituto, de dados de propriedade do Instituto ou de seus clientes sem expressa autorização do gerente responsável pelo software ou pelos dados; 4. Caso o Instituto julgue necessário haverá bloqueios de acesso para: 4.1-Domínios que comprometam o uso de banda ou pertube o bom andamento dos trabalhos; 4.2-Haverá geração de relatórios dos sites acessados por usuário e se necessário a publicação desse relatório; 4.3-Softwares de comunicação instantânea para fins ligados ao Instituto e com autorização da diretoria responsável e sob supervisão do DTI; 4.4-Utilização de softwares de peer-to-peer (torrent); 4.5-Utlização de serviços de streaming, tais como Rádios On-Line etc 4.6-Assistir vídeos, exceto com prévia autorização da diretoria responsável e supervisão do DTI; 4.7 Acesso a Sites de natureza pornográfica e pedófila; 4.8 A sites de relacionamentos tipo: Facebook, Twiter e Bate Papos, etc.. 5

6 5. Boas práticas Antes de ausentar-se do seu local de trabalho, se não for desligar o microcomputador, o usuário deverá efetuar o LOGOUT/LOGOFF através de senha; Nunca deixar senhas de login, sistema ou pasta anotadas próximo ao computador para evitar o acesso por pessoas não autorizadas; Não deixar midias removiveis ( Pen Drives, Cds, Dvds, etc...)com informações do instituto sobre a mesa ou em qualquer local acessível a estranhos; Limpar o diretório pessoal, evitando acúmulo de arquivos inúteis e poupando espaço em backups. Não inserir Pen Drives e HD's pessoais em seu computador de trabalho sem prévia solicitação e verificação do dispositivo pelo DTI. 6. Verificação da utilização da Política de Utilização da Rede Para garantir as regras mencionadas acima o Instituto se reserva no direito de: 6.1-Implantar softwares e sistemas que podem monitorar e gravar todos os usos de Internet através da rede e das estações de trabalho do Instituto; 6.2-Inspecionar qualquer arquivo armazenado na rede, esteja no disco local da estação ou nas áreas privadas da rede, visando assegurar o rígido cumprimento desta política; 6.3-Foram instalados uma série de softwares e hardwares para proteger a rede interna e garantir a integridade dos dados e programas, incluindo um firewall, que é a primeira, mas não a única barreira entre a rede interna e a Internet; 7. Das Penas Disciplinares O não cumprimento pelo servidor das normas ora estabelecidas neste Regulamento (Políticas de Segurança e Utilização da Rede), seja isolada ou acumulativamente, poderá ensejar, de acordo com a infração cometida, penas disciplinares, conforme Art. 204-Lei 6946 de 04/04/2012. (A) COMUNICAÇÃO DE DESCUMPRIMENTO; Será encaminhado ao servidor, por , comunicado informando o descumprimento da norma, com a indicação precisa da violação praticada, com cópia ao DRH e Diretoria responsável. (B) ADVERTÊNCIA ; A pena de advertência será aplicada, por escrito, em casos de negligência com os equipamentos do instituto e ou nos casos de violação de proibição constantes neste e comunicada a DRA, com a indicação precisa da violação praticada.. 6

7 Exemplos: * Não desligar o equipamento antes da finalização do expediente de trabalho. (C) SUPENSÃO, DESTITUIÇÃO DA FUNCÃO OU DEMISSÃO ; Nas hipóteses previstas nos artigos 206, 208 e 209 do Estatuto do município de Petrópolis Lei 6946 de 04 de Abril de CONCLUSÃO: Todas estas medidas visa a Segurança das Informações tramitadas dentro do Inpas, sejam elas dos Servidores ou da própria Instituição. Quanto maior a nossa segurança, maior a confiabilidade em todos os sistemas e dados que se encontram no Instituto. Atenciosamente, Petrópolis, 01 de Novembro de Divisão da Tecnologia da Informação DTI Equipe: Flavio Sergio Viana de Holanda Chefe da Divisão Douglas da Silva Zanardi Analista de Sistemas Nerthan Buarque de Abiahy Técnico de Processamento de Dados 7