PSI POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DIRETRIZES E NORMAS ADMINISTRATIVAS

Transcrição

1 2017 PSI POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DIRETRIZES E NORMAS ADMINISTRATIVAS CTIN COMISSÃO DE TECNOLOGIA DA INFORMAÇÃO CASI COMISSÃO ADMINISTRATIVA SISTEMA INFORMATIZADO CREA-RS Rua São Luís, nº 77

2 Data de alteração Responsável Resumo de alterações 14/01/2016 Maitê Friedrich Dupont Redação inicial incluindo as regras já existentes e complementações 08/03/2016 Maitê Friedrich Dupont, Mariane Wagner Inclusão da definição de credencial de acesso no Glossário e inclusão do termo no corpo do documento 28/06/2016 Maitê Friedrich Dupont Inclusão das recomendações sobre utilização do servidor de arquivos e computadores 07/07/2016 Maitê Friedrich Dupont Revisão das recomendações sobre utilização do servidor de arquivos e computadores, e das Penalidades Aplicáveis 02/08/2016 Maitê Friedrich Dupont Revisão das determinações de cotas de espaço nos servidores de arquivos 20/01/2017 Maitê Friedrich Dupont Revisão completa do documento 1

3 Sumário INTRODUÇÃO... 3 DIVULGAÇÃO E ACESSO... 3 GLOSÁRIO... 4 DA CLASSIFICAÇÃO DA INFORMAÇÃO... 6 Classificação quanto à confidencialidade... 6 Classificação quanto à integridade... 6 DAS RESPONSABILIDADES ESPECÍFICAS... 6 Dos Gestores da Informação... 8 Da Gerência de Tecnologia da Informação... 8 Do Monitoramento e da Auditoria do Ambiente... 8 CORREIO ELETRÔNICO... 9 INTERNET... 9 INTRANET Armazenamento COMPUTADORES E RECURSOS TECNOLÓGICOS Estações de Trabalho Notebooks Impressoras e Scanners Dispositivos Móveis DATACENTER BACKUP ACESSO EXTERNO Acesso por fornecedor Acesso por funcionário DAS PENALIDADES APLICÁVEIS Ações leves Ações graves Ações gravíssimas DISPOSIÇÕES FINAIS

4 INTRODUÇÃO Conforme definição da norma ABNT NBR ISO/IEC 27002:2013, A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. [...] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. De acordo com a mesma norma, Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Seguindo esta definição e considerando o disposto em seu Planejamento Estratégico, o CREA- RS resolve projetar um PSI, cuja estrutura e diretrizes são expressas neste documento. DIVULGAÇÃO E ACESSO Os documentos integrantes da estrutura devem ser divulgados a todos os empregados, estagiários, aprendizes e prestadores de serviços do CREA-RS quando de sua admissão, bem como, através dos meios oficiais de divulgação interna da empresa e, também, publicadas na Intranet corporativa, de maneira que seu conteúdo possa ser consultado a qualquer momento. 3

5 GLOSÁRIO Acesso privilegiado É aquele que permite ao usuário sobrepor controles do sistema de informação, e somente deve ser concedido àqueles que o necessitam para a condução de suas atividades; Administrador de Serviços Usuário que possui acesso privilegiado para a utilização e Ativos de informação Tudo que manipula a informação, como: base de dados e arquivos, documentação do sistema, manuais, material de treinamento, procedimentos de suporte ou operação, planos de continuidade, procedimentos de recuperação, informações armazenadas, softwares, sistemas, ferramentas de desenvolvimento e utilitários, estações de trabalho, servidores, equipamentos de comunicação (roteadores, fax, modems etc.), impressoras, no breaks e outros; Autenticidade Processo que possibilita a verificação da identidade de um usuário e equipamento, como prérequisito para concessão de acesso aos recursos de um sistema; Backup Cópia de dados de um equipamento ou meio para outro com o objetivo de, posteriormente, recuperar os dados caso haja algum problema; Base de dados Conjunto de dados, estruturado de forma regular para organizar a informação e agrupá la para um mesmo fim; Confidencialidade Garante ao proprietário da informação que essa não estará disponível sem sua autorização; Credencial de Acesso Identificação do usuário, usualmente composta de login e senha, que dá acesso a um sistema, equipamento ou conjunto de informações; Disponibilidade Garante, mediante regras, o acesso a informação para aqueles que a necessitam; Funcionário do CREA RS Agente com relação contratual trabalhista no CREA RS, incluindo os ocupantes de cargos comissionados e de confiança em todos os níveis; Firewall Perímetro de segurança com regras de acesso que bloqueiam ataque e permite que os usuários acessem a rede de forma segura; Gestor da Informação 4

6 Quem responde por um ou mais segmentos das atividades meio ou fim da instituição e define os perfis de acesso e a classificação da informação do sistema sob sua responsabilidade; Integridade Princípio que garante que as informações ou os recursos da informação estejam protegidos contra modificações não autorizadas; Legalidade Garante o estado legal da informação, em conformidade com os preceitos da legislação em vigor; Log Registro das transações ou atividades realizadas em um sistema de computador; Medidas de proteção Destinadas a garantir o sigilo, a inviolabilidade, a integridade, a autenticidade, a legitimidade e a disponibilidade de dados e informações com o objetivo de prevenir, detectar, anular ou registrar ameaças reais ou potenciais a dados e informações; Plano de Continuidade do Negócio Procedimento alternativo utilizado para garantir um nível mínimo de segurança, nas possíveis falhas de equipamentos ou nas violações da Política de Segurança; Rede de dados Conexão de dois ou mais computadores, ligados entre si através de um protocolo de comunicação (ou conjunto de protocolos) como, por exemplo, o TCP/IP, permitindo a troca de informações e o compartilhamento de recursos; Solicitação de Serviços Aplicativo online disponível na Intranet do CREA RS (Sistema Apolo) destinado ao registro, acompanhamento e gestão de demandas à Gerência de Tecnologia da Informação; TCP/IP (TransmissionControlProtocol/Internet Protocol) Conjunto de padrões de comunicação em uma rede de dados (Internet, intranet etc.) que orienta o tráfego de informações e define o endereçamento e o envio de dados; Termo de responsabilidade Acordo de confidencialidade e não divulgação de informações que atribui responsabilidades ao Usuário e Administrador de Serviço quanto ao sigilo e a correta utilização dos ativos de propriedade ou custodiados pelo CREA RS; Usuário Diretor, conselheiro, inspetor, funcionário do CREA RS, prestador de serviço, consultor externo e estagiário, autorizados a terem acesso aos recursos computacionais para desempenho de suas atividades; 5

7 DA CLASSIFICAÇÃO DA INFORMAÇÃO As informações armazenadas ou em trânsito pelo CREA RS são classificadas conforme descrito a seguir: Classificação quanto à confidencialidade Confidencial Informações que devem ser mantidas em confidencialidade, caso sejam divulgadas erroneamente, afetam profundamente a continuidade dos negócios da instituição; Restrita Informações cujo acesso e manuseio são apenas para pessoas autorizadas, caso sejam divulgadas erroneamente, afetam a continuidade de um ou mais processos de negócio da Instituição; Interna Informação que em princípio não é confidencial, mas que só deve ser utilizada internamente na Instituição, não sendo de acesso público, pois caso sejam divulgadas erroneamente, podem denegrir a imagem da instituição ou causar prejuízos indiretos não desejáveis; Pública Informações que podem ser de conhecimento público e não possuem restrições para divulgação. Classificação quanto à integridade Vital Necessita de proteção especial no que diz respeito a sua integridade, pois a Instituição deve poder garantir que a mesma se preservou em seu estado original por todo o tempo de guarda da mesma, podendo impactar de modo profundo o negócio; Relevante É aquela cuja perda da integridade pode gerar transtornos de baixo impacto para a empresa. Devem adotados controles usuais para a garantia da integridade como a manutenção de uma cópia ou original de segurança, controle e registro dos acessos, etc.; c) Básica (ou normal): é aquela cuja perda de integridade a partir de um determinado prazo não implica impactos à Instituição, e, portanto não exige controles de auditoria e de acesso. DAS RESPONSABILIDADES ESPECÍFICAS As diretrizes de segurança da informação, estabelecidas a seguir, são aplicáveis às informações armazenadas e em trânsito, ao uso de todos os ativos de propriedade ou sob a responsabilidade do CREA RS. As ações de segurança visam reduzir riscos e garantir a integridade, confidencialidade, legalidade e disponibilidade das informações dos sistemas e recursos do CREA RS. A informação sob responsabilidade do CREA RS é um bem público e deve ser protegida contra alteração, destruição e divulgação não autorizadas, acidentais ou intencionais; 6

8 A segurança da informação é responsabilidade de todos; A Política de Segurança da Informação do CREA RS se destina a: o Servir de referência para auditoria, apuração e avaliação de responsabilidades. o Definir e executar procedimentos específicos para assegurar a confidencialidade, a disponibilidade, a integridade e a legalidade da informação. o Capacitar e qualificar tecnicamente as pessoas no trato da informação. o Buscar as melhores práticas de segurança com base nas normas e legislação vigentes. o Identificar e avaliar regularmente, ameaças e riscos. A proteção da informação deve ser realizada de forma preventiva, bem como deve ser garantida a recuperação da informação; As restrições de acesso às informações devem ser estabelecidas de acordo com a classificação definida pelo gestor da informação; A permissão de acesso à informação está sempre relacionada à necessidade do cargo dentro do CREA RS e não à própria pessoa; Acesso à rede e aos sistemas corporativos, por funcionários do CREA RS ou não, através de equipamentos operados fora das instalações físicas, deve ser realizado atendendo as diretrizes desta Política e os normativos específicos sobre o assunto; Todas as informações corporativas devem possuir mecanismos de cópia e recuperação de modo a assegurar a continuidade dos negócios do CREA-RS, devendo os arquivos de backup ser guardados e protegidos em local adequado e de acesso restrito; A infraestrutura dos ambientes computacionais deve ser dotada de controle de acesso físico e mecanismos de proteção contra danos de natureza acidental ou intencional; O CREA RS deve possuir um Plano de Continuidade de Negócios que contenha as ações e procedimentos que garantam o funcionamento de suas atividades no caso de incidentes e/ou falhas da Segurança de Informações. Os Ativos de Informação são de propriedade do CREA RS e fornecidos exclusivamente para uso corporativo, para os fins que se destinam e no interesse da administração. A utilização imprópria dos Ativos de Informação sujeita seu autor à aplicação das ações legais e disciplinares cabíveis. O uso geral dos Ativos de Informação do CREA RS obedece aos seguintes procedimentos: Os usuários definidos neste instrumento terão acesso ao uso dos ativos de informação do CREA RS mediante termo de responsabilidade formal e fornecimento de credenciais de acesso; Os profissionais registrados no CREA RS terão acesso às informações pessoais e aplicativos disponíveis nos serviços on line mediante o fornecimento de senha pessoal; O acesso de usuários e profissionais será imediatamente cancelado após seu desligamento do CREA RS, sob quaisquer motivos; O uso das informações obtidas mediante o acesso autorizado é da estrita responsabilidade legal do usuário e/ou do profissional que a acessar; 7

9 Dos Gestores da Informação Para efeito deste documento, são gestores de informação do CREA RS e suas respectivas áreas de responsabilidade: I. Gerência de Tecnologia da Informação; II. Gabinete da Presidência a) Gerência de Comunicação e Marketing b) Assessoria de TI São responsabilidades dos gestores de informação: Definir os critérios de acesso às informações sob sua responsabilidade; Gerenciar o cumprimento da Política de Segurança da Informação do CREA-RS, por parte de suas gerências, empregados e prestadores de serviços; Identificar os desvios praticados e adotar as medidas corretivas apropriadas; Garantir que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger as informações do CREA RS; Comunicar formalmente à área de Tecnologia, quais os funcionários e prestadores de serviço, sob sua supervisão, que podem acessar as informações do CREA RS que estejam sob sua gestão, seguindo as normas e procedimentos previstos na Política; Comunicar formalmente à Gerência de Tecnologia da Informação, quais funcionários e prestadores de serviço demitidos ou transferidos, para exclusão no cadastro dos usuários; Revisar periodicamente as regras de proteção estabelecidas; Responder pela qualidade da informação sob sua responsabilidade; Conhecer e executar os procedimentos relativos à segurança da informação que lhe digam respeito. Da Gerência de Tecnologia da Informação A Gerência de Tecnologia da Informação é a Unidade competente para dirimir eventuais dúvidas, aplicar e orientar quanto à aplicação da Política de Segurança da Informação do CREA RS. Do Monitoramento e da Auditoria do Ambiente A Gerência de Tecnologia da Informação pode, a qualquer tempo: a) Monitorar e registrar dados como início e fim de conexões à rede, tempo de CPU, utilização de discos feita por cada usuário, registros de auditoria, carga de rede, dentre outros. b) Monitorar e registrar o uso de determinados recursos como servidores, estações de trabalho, rede, modems, impressoras, etc. c) Havendo evidência de atividade que possa comprometer a segurança da rede ou dos computadores, monitorar as atividades e acessos de um determinado recurso, além de inspecionar arquivos, a bem do interesse da organização. 8

10 d) Suspender todos os privilégios de determinado usuário em relação ao uso de redes e computadores sob sua responsabilidade, por razões ligadas à segurança física e ao bem estar dos usuários, ou por razões disciplinares ou relacionadas à Segurança da Informação e ao bem estar dos outros membros da rede. As ações de monitoração, auditoria e de inspeção são restritas à Gerência de Tecnologia da Informação; CORREIO ELETRÔNICO O uso de correio eletrônico (e mail) através da rede do CREA RS obedece aos seguintes procedimentos: O endereço eletrônico de correio (e mail) fornecido pelo CREA RS tem natureza jurídica equivalente à ferramenta de trabalho proporcionada pelo empregador ao empregado para a consecução dos seus serviços, devendo, portanto, ser usado exclusivamente para comunicações corporativas e de interesse do CREA RS; Cada usuário terá um endereço eletrônico de correio, mediante solicitação ao gestor de correio, conforme anexo II; É permitido enviar arquivos anexos às mensagens de até 15 MB; Qualquer arquivo recebido através de mensagem deverá, obrigatoriamente, ser verificado com antivírus antes de ser aberto; O usuário deve remover de suas pastas de correio eletrônico as mensagens que não são mais úteis para o desenvolvimento de suas atividades; Os s enviados e recebidos são obrigatoriamente verificados pelas políticas de anti-spam podendo ter seus anexos removidos e/ou inutilizados ou o barrado se for detectada suspeita de vírus, trojan, malware, worm, roubo de acesso ou informações; Nenhum procedimento técnico cujas instruções tenham chegado por mensagem, deve ser executado sem a devida orientação do gestor da rede. INTERNET O acesso à Internet pela rede do CREA RS obedece aos seguintes procedimentos: Todos os arquivos copiados da internet deverão ser verificados pelo programa antivírus; Não é permitida a instalação de qualquer tipo de programa baixado na Internet, sem a autorização expressa da Gerência de T.I; É bloqueado o acesso a sites com conteúdo erótico, jogos, bate papo, apostas, rádios on line e assemelhados; O acesso à Internet é permanentemente auditado e monitorado; Cada usuário é responsável pelas ações realizadas por meio de seu acesso à Internet. O acesso a sites de streaming de vídeos e redes sociais é bloqueado, porém passível de liberação mediante solicitação do gerente, desde que datada com início e fim, identificados os funcionários e devidamente justificada a necessidade. Autorizações permanentes serão concedidas apenas mediante aprovação do presidente do Conselho; 9

11 INTRANET O uso da rede interna do CREA RS obedece aos seguintes procedimentos: A rede do CREA RS é protegida de acessos externos por firewall, que bloqueia todos os acessos potencialmente perigosos à rede e permite a comunicação segura aos acessos autenticados; Todos os servidores e estações de trabalho do CREA RS utilizam programas antivírus, cujas versões são atualizadas periodicamente; Todos os sistemas possuem restrições de acesso aos usuários de acordo com definições dos gestores da informação; Por questões de segurança, as senhas terão um tempo de vida útil pré-determinado, devendo ser substituídas periodicamente, ou a qualquer momento por solicitação do usuário; Cabe ao gestor da informação providenciar o backup das informações periodicamente, de acordo com as necessidades de cada sistema; É vedado aos funcionários fazerem backups dos arquivos do Conselho em s, nuvens de armazenamento, dispositivos e mídias pessoais, tais como pen-drives e cds do próprio funcionário; Deve se evitar ao máximo a utilização de arquivos provenientes de outras mídias como disquetes, CD ROM e pen drives, porém se a utilização se tornar indispensável, os mesmos deverão passar pelo antivírus antes de serem utilizados nos computadores; O uso de cada senha é da inteira responsabilidade do usuário que a detiver, cabendo a este zelar por sua confidencialidade; Ao ausentar se do seu local de trabalho, o usuário deverá bloquear a sua estação de trabalho (Iniciar -> Trocar Usuário ou Win+L), evitando o acesso por pessoas não autorizadas. A remoção de arquivos produzidos e relacionados ao Crea-RS das suas dependências é expressamente proibida, a não ser que estritamente necessária ao desempenho das atividades do funcionário, e quando detectada deverá ser devidamente justificada. Armazenamento O CREA dispõe de um servidor de dados de uso aberto aos colaboradores (Marte). Este espaço é destinado ao armazenamento de arquivos pertinentes às atividades exercidas pelos colaboradores no seu dia-a-dia. A utilização do servidor para armazenamento dos arquivos de trabalho é altamente recomendada, devido : às políticas de backup que garantem a recuperação da informação em caso de perda, à possibilidade de compartilhar arquivos entre membros dos departamentos, em caso de férias, licenças etc O uso das pastas de rede do CREA RS obedece aos seguintes procedimentos: I. Pasta PUBLICA a) Os conteúdos da pasta serão públicos, com acesso de leitura para todos, sendo responsabilidade dos Gestores da Informação determinar a publicação ou não de material. 10

12 II. III. IV. b) Somente os Gestores da Informação terão autorização para gerenciar os conteúdos (inclusão, exclusão, edição). c) Essas pastas se destinam, prioritariamente, à divulgação pública interna de informações, instruções, notas, instrumentos, práticas, esclarecimentos, etc. d) Não será permitido o uso da pasta pública para fins pessoais. Pastas Departamento a) Os conteúdos das pastas "Departamento" se destinam a gestão interna de documentos de cada área, sendo usado para o compartilhamento de arquivos em grupos de atividades afins. b) Cabe aos usuários de cada pasta a gestão de seu conteúdo, sua manutenção e atualização, sendo o acesso a cada pasta restrito aos seus membros. c) A capacidade da pasta de cada departamento é ilimitada, sendo restrita ao limite do servidor de arquivos, após alcançada esta capacidade, os usuários não poderão mais gravar nenhum dado a não ser que proceda alguma exclusão. d) Não deve ser utilizada para arquivos pessoais, nem para arquivos de programas e aplicativos. Pastas de Comissões Permanentes a) Os conteúdos das pastas de Comissões Permanentes se destinam à gestão interna de documentos da comissão, sendo ela utilizada para o compartilhamento de arquivos relacionados às atividades da Comissão. b) Cabe aos membros da Comissão a gestão de seu conteúdo, sua manutenção e atualização, sendo o acesso restrito aos seus membros. c) A capacidade das pastas de Comissões permanentes é de 2,5GB cada, sendo que, após alcançada esta capacidade, os usuários não poderão mais gravar nenhum dado a não ser que proceda alguma exclusão. d) Não deve ser utilizada para arquivos pessoais, nem para arquivos de programas e aplicativos. Pastas de Grupos de Trabalho a) Os conteúdos das pastas de Grupos de Trabalho se destinam à gestão interna de documentos do grupo, sendo ela utilizada para o compartilhamento de arquivos relacionados às atividades do grupo. b) Cabe aos membros do grupo a gestão de seu conteúdo, sua manutenção e atualização, sendo o acesso restrito aos seus membros. c) A capacidade das pastas de Grupos de Trabalho é de 1GB cada, sendo que, após alcançada esta capacidade, os usuários não poderão mais gravar nenhum dado a não ser que proceda alguma exclusão. d) Não deve ser utilizada para arquivos pessoais, nem para arquivos de programas e aplicativos. Não será permitida a guarda de arquivos de imagens, vídeos e música, exceto quando os arquivos forem necessários para a execução de determinada tarefa ou fizerem parte de recursos de um determinado sistema de informação. Caso sejam detectados arquivos desta natureza não relacionados às atividades do Crea-RS, os arquivos serão imediatamente removidos, e serão aplicadas as devidas penalidades. 11

13 COMPUTADORES E RECURSOS TECNOLÓGICOS Estações de Trabalho O uso das estações de trabalho integrantes da rede do CREA RS obedece aos seguintes procedimentos: A estação de trabalho tem natureza jurídica equivalente a uma ferramenta de trabalho proporcionada pelo empregador ao empregado para a execução dos seus serviços, devendo, portanto, ser usada exclusivamente para este fim; É vedada a instalação de qualquer tipo de programa ou sistema, a qualquer título, nos equipamentos de propriedade ou sob custódia do CREA RS; Toda instalação deverá ser solicitada pelo Gerente de cada área à Gerência de Tecnologia da Informação através da Solicitação de Serviços (SGS) disponível no Sistema Apolo; São expressamente vedados: movimentação, cessão, empréstimo, instalação e reinstalação de equipamentos a que título for. Os equipamentos somente poderão ser movimentados e instalados por técnicos da Gerência de Tecnologia da Informação, mediante solicitação encaminhada através da Solicitação de Serviços (SGS) no Sistema Apolo, na qual deverá constar a autorização do Gerente; Todas as estações de trabalho têm antivírus padrão atualizado permanentemente pelo gestor da rede; Somente a equipe de suporte do gestor da rede pode alterar as configurações das estações de trabalho; Todas as estações de trabalho são identificadas e vinculadas a um empregado do CREA RS que a terá sob sua responsabilidade no que diz respeito ao cumprimento desse documento. A utilização do espaço de armazenamento físico dos computadores disponibilizados para uso é recomendada apenas para arquivos temporários ou de pouca relevância, visto que tais máquinas não possuem política de backup. Em caso de problemas, os arquivos poderão ser perdidos sem possibilidade de recuperação. É desaconselhada a utilização do diretório raiz das máquinas (C:/) para armazenamento de arquivos de usuário. As pastas adequadas são as pastas de usuário, acessíveis através do menu lateral (Documentos, Imagens, Downloads, Vídeos etc). Notebooks Os notebooks fornecidos pelo Crea-RS para cada Gerência têm natureza jurídica equivalente a uma ferramenta de trabalho proporcionada pelo empregador ao empregado para a execução dos seus serviços, devendo, portanto, ser usada exclusivamente para este fim; Os notebooks são de inteira responsabilidade do funcionário que o recebe até que o devolva ao gerente ou funcionário designado para sua guarda, ficando a cargo do gerente a cessão do equipamento aos funcionários sob sua responsabilidade. É vedada a instalação de qualquer tipo de programa ou sistema, a qualquer título, nos equipamentos de propriedade ou sob custódia do CREA RS; Toda instalação deverá ser solicitada pelo Gerente de cada área à Gerência de Tecnologia da Informação através da Solicitação de Serviços (SGS) disponível no Sistema Apolo; 12

14 Cada notebook conta com usuário administrador e funcionário, ficando a responsabilidade da senha de administrador com o gerente, que autorizará ou não a instalação de softwares e modificação das configurações; Sugere-se que a Unidade de Equipamentos de Informática ou a Gerência de Tecnologia da Informação sejam consultadas e/ou requisitadas ao realizar qualquer tipo de instalação ou alteração nos notebooks; A utilização do espaço de armazenamento físico dos notebooks disponibilizados para uso é recomendada apenas para arquivos temporários ou de pouca relevância, visto que tais máquinas não possuem política de backup. Em caso de problemas, os arquivos poderão ser perdidos sem possibilidade de recuperação. É desaconselhada a utilização do diretório raiz das máquinas (C:/) para armazenamento de arquivos de usuário. As pastas adequadas são as pastas de usuário, acessíveis através do menu lateral (Documentos, Imagens, Downloads, Vídeos etc). Impressoras e Scanners O uso das impressoras e scanners integrantes da rede do CREA RS obedece aos seguintes procedimentos: Estas instruções se aplicam às impressoras e aos scanners, locais e de rede; É expressamente vedado o uso de impressoras e scanners para fins particulares, a qualquer título; É altamente recomendado que o usuário evite a impressão de documentos temporários ou desnecessários, observando a responsabilidade de cada um com o Meio Ambiente e com o dinheiro público sob posse do Conselho. São expressamente vedados: movimentação, cessão, empréstimo, instalação e reinstalação de impressoras e scanners a que título for. Os equipamentos somente poderão ser movimentados e instalados por técnicos da Gerência de Tecnologia da Informação e/ou empresa terceirizada licitada, mediante solicitação encaminhada através da Solicitação de Serviços (SGS) no Sistema Apolo; Cabe ao usuário a requisição de insumos tinta, toner, papel para o bom funcionamento do equipamento; As manutenções nos equipamentos são realizadas pela empresa terceirizada responsável, que será acionada somente mediante solicitação no SGS informando o número de patrimônio da máquina; No caso de parada de serviço não deve o usuário tentar dar manutenção no equipamento e sim abrir um chamado no SGS solicitando atendimento para o equipamento em questão. Dispositivos Móveis O uso dos dispositivos móveis providos pelo CREA RS obedece aos seguintes procedimentos: Estas instruções se aplicam aos aparelhos celular, smartphones e tablets; É expressamente vedado o uso de dispositivos móveis para fins particulares, a qualquer título; Os dispositivos móveis são cedidos para uso de funcionários, conselheiros e membros da diretoria, enquanto vinculados ao CREA, e devem ser devolvidos no momento da desvinculação; 13

15 Os aparelhos são fornecidos para utilização exclusiva do usuário relacionado ao CREA, sendo expressamente proibido o repasse dos mesmos a terceiros; Os aparelhos são acompanhados de um chip da operadora Claro, para utilização de plano de voz, dados ou ambos; O plano habilitado para cada chip será de acordo com as necessidades do colaborador no desempenho da sua função junto ao CREA; O plano é de uso exclusivo à execução das atividades do colaborador junto ao CREA; DATACENTER O datacenter do CREA-RS está localizado no térreo, em sala dedicada cujo acesso é restrito a funcionários da T.I. Visitas de outros colaboradores e/ou terceiros sempre deverão ser autorizadas pelo Gerente de T.I e supervisionadas por um funcionário da GTI. BACKUP Atualmente, no CREA-RS, são efetuados backups dos dados contidos nos servidores de arquivos, de banco de dados e de aplicação. Utilizamos 2 tipos de backups: a) Backup incremental: Este é usado semanalmente, e os dados armazenados são apenasos alterados e/ou adicionados no período anterior ao backup. Este ocorre diariamente, de segunda a sexta,e sua validade expira dentro de 6 dias corridos e no 7º dia é excluído. b) Backup completo: Este é usado para backup semanal, mensal e anual. ACESSO EXTERNO O Acesso externo aos ativos de informação do CREA-RS deve se encaixar nas circunstâncias e modalidades descritas abaixo, sendo vetado qualquer outro tipo de acesso. Acesso por fornecedor O acesso a ativos de informação por fornecedor designado por contrato deve obedecer às seguintes instruções: Acesso a sistemas de software deve ser realizado obrigatoriamente: presencial, na sede do CREA-RS e acompanhado por um funcionário designado pelos Gerentes da Informação; através do software TeamViewer; ou de VPN instalada e configurada por equipe do CREA-RS. o Independentemente do modo de acesso, o mesmo deverá ser autorizado pelos Gestores da Informação antes da realização dos procedimentos, independentemente das circunstâncias envolvidas. Acesso por funcionário O acesso a ativos de informação por funcionários do quadro permanente e cargos em comissão deve obedecer às seguintes instruções: O acesso a sistemas de software envolvidos nas atividades de trabalho do CREA-RS é vedado a funcionários fora do seu horário de trabalho, salvo expressamente 14

16 autorizado pela chefia imediata do funcionário, estando a necessidade devidamente justificada e determinado o período específico de autorização. DAS PENALIDADES APLICÁVEIS A não observância do disposto neste instrumento caracteriza se pelas ações descritas a seguir, assim categorizadas. Ações leves O uso indevido dos servidores de dados, para armazenamento e/ou transferência de conteúdo irrelevante ao ambiente de trabalho às atividades do CREA-RS. O uso indevido da rede de internet do CREA-RS, sendo ela cabeada ou sem fio, ou do plano de dados fornecido pelo CREA-RS, para atividades irrelevantes ao ambiente de trabalho às atividades do CREA-RS. Ações graves Compartilhamento de credenciais de acesso de qualquer tipo, ainda que seja compartilhada com pessoa que possua as mesmas permissões de acesso que o usuário. O acesso a sites ou aplicativos, a partir de estação de trabalho do CREA-RS ou dispositivo móvel conectado à internet sem fio do CREA, com os seguintes conteúdos: i. Bate Papo (Chat) e encontros ii. Erotismo e pornografia iii. Jogos iv. Sites de Relacionamentos A disseminação de mensagens de conteúdo agressivo e boatos. A utilização dos meios de comunicação do CREA-RS, sendo eles , telefone ou celular para fins pessoais de qualquer tipo, salvo exceções que deverão ser justificadas à chefia imediata do funcionário. Ações gravíssimas O acesso a sites ou aplicativos, a partir de estação de trabalho do CREA-RS ou dispositivo móvel conectado à internet sem fio do CREA, com os seguintes conteúdos: i. Pedofilia ii. Armas de Fogo, Bombas ou Violência iii. Drogas iv. Grupos Terroristas v. Crimes vi. Cultos vii. Apostas online viii. Racismo ou qualquer forma de discriminação. A disseminação de programas maliciosos. A divulgação indevida de informação confidencial, restrita ou interna. A instalação de software não licenciado (pirata). 15

17 A ocorrência de danos causados aos ativos por imperícia, uso indevido ou manipulação não autorizada. O compartilhamento de credenciais de acesso, a fim de possibilitar que pessoas não autorizadas executem ações ou visualizem informações que não deveriam; A violação das normas de segurança da informação resultará na suspensão temporária ou permanente de privilégios de acesso aos recursos computacionais e em penas e sanções legais impostas através de um procedimento administrativo disciplinar. Para conselheiros e inspetores a apuração de responsabilidades e definição de sanções será feita através de Comissão de sindicância e Inquérito, nos termos do Regimento do CREA RS; Para os funcionários a apuração de responsabilidades e definição de sanções será feita pela chefia imediata, com base na CLT e demais instrumentos pertinentes. DISPOSIÇÕES FINAIS Este conjunto de instruções visa a proteção da informação e dos ativos de informação manipulados no CREA-RS, por seus colaboradores, registrados e fornecedores. As restrições aqui dispostas devem ser aplicadas a todos os usuários de ativos de informação relacionados ao CREA-RS, independentemente de serem eles computadores, dispositivos móveis, redes, servidores etc. Com este documento, o CREA-RS visa maior transparência no controle dos seus bens informáticos, e nas normativas de regulamentação do seu uso, de forma que todos os usuários possam fazer uso consciente de toda a infraestrutura do conselho. Este documento deve ser utilizado juntamente ao Termo de Compromisso com PSI, deve ser amplamente distribuído e de fácil acesso a todos os interessados. O Termo de Compromisso com PSI deverá ser assinado por toda pessoa física ou jurídica que mantenha relações com o CREA-RS, sendo ela de natureza empregatícia, contratual, associativa ou outras. 16