Superintendência de Tecnologia da Informação STI/SAADS/SINFRA 10/05/2016
POLITICAS DE SEGURANÇA PARA USO DA INTERNET DA SECRETARIA DE ESTADO DE INFRAESTRUTURA E LOGÍSTICA SINFRA Secretaria de Estado de Infraestrutura e Logística SINFRA Secretaria Adjunta de Administração Sistêmica SAADS Superintendência de Tecnologia da Informação STI Cuiabá MT Página 2
FICHA TÉCNICA GOVERNO DO ESTADO DE MATO GROSSO Pedro Taques Governador SECRETARIA DE ESTADO DE INFRAESTRUTURA E LOGÍSTICA Marcelo Duarte Monteiro Secretário de Estado SECRETARIA ADJUNTA DE ADMINISTRAÇÃO SISTÊMICA Marciane Prevedello Curvo Secretária Adjunta SUPERINTENDÊNCIA DE TECNOLOGIA DA INFORMAÇÃO Geraldo Tanamati Superintendente Politicas de Segurança para Uso da Internet da Secretaria de Estado de Infraestrutura e Logística Maio 2016. Versão 00/2016 Publicação elaborada pela Superintendência de Tecnologia da Informação, Secretaria de Estado de Infraestrutura e Logística. Todos os direitos reservados. A reprodução não autorizada desta publicação, no todo ou em parte, constitui violação dos direitos autorais (Lei nº 9.610/98) Secretaria de Estado de Infraestrutura e Logística SINFRA Centro Politico e Administrativo CPA Edificio Eng. Edgar Prado Arze Rua J, Quadra 1, Lote 5, Setor A Cuiabá-MT CEP 78049-906 Telefone: (65) 3613-6674 Página 3
SUMÁRIO APRESENTAÇÃO... 5 PORTARIA N.º 019/2016... 6 ANEXO - POLÍTICAS DE SEGURANÇA PARA USO DA INTERNET... 8 1. OBJETIVOS... 8 2. REFERÊNCIAS... 8 3. DEFINIÇÕES... 9 4. DIRETRIZES... 9 4.1. DISPONIBILIZAÇÃO DE ACESSOS... 10 4.2. RESTRIÇÃO DE ACESSOS... 10 4.3. INFORMAÇÕES... 11 4.4. MONITORAMENTO/AUDITORIA... 11 4.5. RECURSOS TECNOLÓGICOS... 12 DISPOSIÇÕES FINAIS... 12 Página 4
APRESENTAÇÃO O presente documento tem como escopo atender os objetivos estratégicos do Plano de Desenvolvimento Institucional PDI, determinar o uso responsável de conteúdos disponíveis na internet pelas unidades administrativas da SINFRA, estabelecer controles de segurança e agregar valor às unidades administrativas devido a disponibilidade, confiabilidade e a segurança na internet. Página 5
PORTARIA Nº 019/2016/GS/SINFRA DE 10 DE MAIO DE 2016 Dispõe sobre a Norma de Segurança para Uso da Internet no âmbito da Secretaria de Estado de Infraestrutura e Logística SINFRA. O SECRETÁRIO DE ESTADO DE INFRAESTRUTURA E LOGÍSTICA DO ESTADO DE MATO GROSSO, no uso de suas atribuições legais, nos termos do inciso II do artigo 71 da Constituição Estadual; CONSIDERANDO os objetivos estratégicos e suas respectivas iniciativas constantes no Plano de Desenvolvimento Institucional PDI da SINFRA; CONSIDERANDO a necessidade de uso responsável de conteúdos existentes na internet para uso exclusivo para desenvolvimento de projetos e serviços pelas unidades de negócios da SINFRA; CONSIDERANDO a necessidade de se estabelecer controles que assegurem o uso seguro da internet pelos agentes públicos e prestadores de serviços da SINFRA; CONSIDERANDO que a internet é uma zona de insegurança da informação, pelo uso inadequado de conteúdos pelos seus usuários e pela proliferação de hackers e crackers; CONSIDERANDO que a disponibilidade, a confiabilidade e a segurança na internet são fundamentais para gerar valor às unidades de negócios da SINFRA. RESOLVE: Art. 1º Ratificar a Resolução nº 010/2011-COSINT e seu anexo, de setembro de 2011, que trata da Norma de Segurança Estadual para Uso da Internet do Governo do Estado de Mato Grosso. Art. 2º Aprovar a Política de Segurança para Uso da Internet no âmbito da Secretaria de Estado de Infraestrutura e Logística SINFRA. Art. 3º Determinar o fiel cumprimento da resolução, citada no artigo anterior, nos horários de trabalho, quais sejam, das 08:00h às 12:00h e das 14:00h às 18:00h, para os agentes públicos e prestadores de serviços que possuem uma carga horária de 40h semanais, e das 06:00h às 12:00h ou das 12:00h às 18:00h para os agentes públicos e prestadores de serviços que possuem uma carga horária de 30h semanais. I. Agente Público: Toda e qualquer pessoa que exerce uma atribuição pública em sentido lato, seja estagiário, ocupante de função, cargo ou de emprego público. II. Prestador de Serviço Terceirizado: Toda e qualquer pessoa que possui uma relação contratual ou de convênio com a SINFRA. Página 6
Art. 4º O Agente Público ou Prestador de Serviço que infringir o disposto desta portaria poderá ser penalizado, conforme o disposto no Estatuto do Servidor Público do Estado de Mato Grosso (Lei Complementar nº 04 de 15 de outubro de 1990), o Código Penal Brasileiro e ou legislação ou normas pertinentes, mediante instauração de procedimento administrativo. Art. 5º O anexo das Políticas de Segurança para o uso da Internet, estará disponível no sitio da SINFRA, através do endereço http://www.sinfra.mt.gov.br/portarias. Art. 6º Esta Portaria entra em vigor na data de sua publicação. Expedida, registrada, cumpra-se. Gabinete do Secretário de Estado de Infraestrutura e Logística de Mato Grosso, em Cuiabá MT, 10 de maio de 2016. MARCELO DUARTE MONTEIRO Secretário de Estado de Infraestrutura e Logística Secretaria de Estado de Infraestrutura e Logística SINFRA Página 7
ANEXO POLÍTICAS DE SEGURANÇA PARA USO DA INTERNET INTRODUÇÃO Esta norma faz parte dos instrumentos normativos de Segurança da Informação da SINFRA. Neste documento constam orientações e regras de conduta que devem ser observados por todas as unidades da SINFRA e seus agentes públicos e prestadores de serviço, de forma a garantir o uso responsável da Internet através dos recursos disponibilizados pela Administração Pública do Poder Executivo Estadual. 1 OBJETIVOS Estabelecer normas aplicáveis aos agentes públicos e prestadores de serviço, aqui denominados de usuários, quando utilizando recursos da Administração Pública no âmbito do Poder Executivo Estadual para acesso à rede mundial de computadores Internet. 2 REFERÊNCIAS Resolução nº 003/2010/COSINT que aprova as Políticas e Diretrizes de Segurança da Informação Estadual. NBR/ISO/IEC 27001:2005 de 30/04/2006 - Código de prática para gestão da segurança da informação. Lei 3.505, de 13/06/00 que institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal. Lei 4.553, de 27/12/2002 que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da Página 8
sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências. Resolução nº 005/2005 de 03/03/3005 que institui as Políticas e Diretrizes do SEITI. Resolução nº 010/2011-COSINT e seu anexo, de setembro de 2011, que trata da Norma de Segurança Estadual para Uso da Internet. Lei Complementar nº 04 de 15 de outubro de 1990). Código Penal Brasileiro. 3 DEFINIÇÕES Agente Público: Toda e qualquer pessoa que exerce uma atribuição pública em sentido lato, seja estagiário, ocupante de função, cargo ou de emprego público. Autenticação: Verificação da identidade de um usuário, de um dispositivo, ou de outra entidade em um sistema computadorizado, frequentemente como um pré-requisito a permitir o acesso aos recursos em um sistema. Browser: um navegador, também conhecido pelos termos ingleses web browser ou simplesmente browser, é um programa de computador que habilita seus usuários a interagirem com documentos virtuais da Internet, também conhecidos como páginas HTML, que estão hospedadas num servidor Web. Exemplos de browser: Internet Explorer, Mozilla Firefox, Opera, Safari e Chrome. Código Malicioso: Também conhecido por malware, é um programa desenvolvido especificamente para executar ações danosas em um computador. Download: (significa descarregar ou baixar, em português) é a transferência de dados de um computador remoto para um computador local. Entidade Governamental: Incluem-se entre as entidades governamentais do poder executivo, para fins deste documento, as agências, auditorias, autarquias, empresas, federações, fundações, governadoria, procuradorias, secretarias e unidades desconcentradas. Internet: é a rede mundial de computadores interconectados. A Internet é um conglomerado de redes em escala mundial de milhões de computadores interligados pelo Protocolo de Internet que permite o acesso a informações e todo tipo de transferência de dados. MP3: é uma abreviação de MPEG-1 Audio Layer 3 e é um formato de áudio digital codificado. Página 9
Página web: também conhecida pelo equivalente inglês webpage, é uma "página" na world wide web, geralmente em formato HTML e com ligações de hipertexto que permitem a navegação de uma página, ou secção, para outra. Recurso: além da própria informação, todo o meio direto ou indireto utilizado para o seu tratamento, tráfego e armazenamento. Upload: é a transferência de dados de um computador local para um servidor. Caso ambos estejam em rede, pode-se usar um servidor de FTP, HTTP ou qualquer outro protocolo que permita a transferência. É parecido com Download, só que em vez de carregar arquivos para a sua máquina, você os envia para o servidor. Usuário: quem utiliza de forma autorizada recursos de informação da Administração Pública no âmbito do Poder Executivo do Estado de Mato Grosso. Vírus: É um programa ou parte de um programa, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos do computador. 4 DIRETRIZES 4.1 Disponibilização de Acessos 4.1.1 O acesso à Internet será provido aos usuários que necessitem desse recurso para o desempenho de suas funções. 4.1.2 A SINFRA disponibiliza o acesso à Internet e implementará um sistema de identificação e autenticação única e inequívoca dos usuários. 4.1.3 Para ter acesso à Internet o usuário deve receber orientações quanto ao uso correto desse recurso para assegurar que todos estão cientes das implicações referentes à segurança. 4.1.4 O acesso à rede interna ou Intranet, via Internet, deve ser autenticado e criptografado. 4.2 Restrições de Acesso 4.2.1 É expressamente proibido utilizar a Internet de forma que possa prejudicar a imagem da Administração Pública ou de quaisquer de suas entidades, ou que prejudique o andamento dos trabalhos destas, ou que coloque em risco os ativos da rede de computadores da SINFRA ou estadual (INFOVIA-MT), ou ainda nas seguintes situações, dentre outras: 4.2.1.1 Páginas de bate-papo, comunidades de discussão, sites de relacionamento e similares sem autorização e fora dos interesses da Administração Pública; 4.2.1.2 Criação de comércio eletrônico fora dos interesses da Administração Pública; Página 10
4.2.1.3 Acesso a sites fora dos interesses da Administração Pública, principalmente os de conteúdo pornográfico, racista, pedófilo, que façam apologia ao uso de drogas etc.; 4.2.1.4 Download de programas, jogos, protetores de telas, música, vídeos, imagens, streaming de vídeo e de áudio, torrent, p2p, etc.; 4.2.1.5 Participação em jogos. 4.2.2 As situações descritas no item anterior são consideradas legais se, e somente se, o usuário estiver no cumprimento de suas atribuições profissionais legítimas e de interesse da administração pública estadual. 4.2.2.1 A SINFRA disciplinará o uso da Internet em outras situações não previstas neste documento, desde que não fira o que estabelece o item 5.2.1. 4.2.3 No caso de download de interesse comum a várias áreas, convém que este seja realizado pela área responsável pela tecnologia da informação e disponibilizado aos interessados. 4.2.4 Somente os usuários devidamente autorizados e em conformidade com suas atribuições funcionais podem fazer downloads, seguindo os procedimentos de segurança adotados pela SINFRA. 4.2.5 Os usuários que estiverem acessando a Internet devem encerrar sua conexão após término da navegação e bloquear a estação de trabalho sempre que se afastarem dela temporariamente, a fim de evitar que um usuário execute acessos em nome de outro. 4.3 Informações 4.3.1 Toda informação originada na Internet deve ser considerada suspeita até que seja confirmada por outros meios. 4.3.2 Antes de usar qualquer programa que tenha sido copiado da Internet, este deve ser testado e homologado pela Superintendência de Tecnologia da Informação - STI em um equipamento preparado e isolado da rede da SINFRA. 4.3.3 Antes de baixar (download) arquivos de qualquer natureza, desde que em atendimento aos interesses da administração pública, tais como textos, imagens, vídeos e sons, deverão ser observados os direitos de uso. 4.3.4 Não é permitido upload (publicação, disponibilização) de programas ou de qualquer informação sem autorização da entidade proprietária ou custodiante de tal material. 4.4 Monitoramento / Auditoria Página 11
4.4.1 A SINFRA, através da STI, se reserva o direito, a qualquer tempo e sem aviso prévio, de examinar os registros de acessos à Internet para verificação de atendimento à Política de Segurança. Tais registros podem referir-se a web sites visitados, arquivos copiados da Internet, tempo gasto nos acessos e outras informações necessárias para a otimização dos recursos de acesso e realização de auditoria. 4.5 Recursos Tecnológicos 4.5.1 Toda conexão à Internet deve passar por equipamentos de segurança garantindo o controle de acesso e a aplicação dos demais mecanismos de segurança e, em caso contrário, o equipamento deve estar isolado da rede da SINFRA. 4.5.2 Cada dispositivo com acesso à Internet (estação de trabalho, notebook, servidor e outros) deve possuir um sistema de proteção instalado, ativado e atualizado contra vírus ou qualquer outro software malicioso. 4.5.2.1 Todo arquivo de texto, programa ou dado copiado da Internet deve ser verificado automaticamente quanto à presença de vírus ou qualquer outro software malicioso antes da sua utilização. 4.5.3 A STI proverá as configurações de segurança a serem implementadas no navegador das estações de trabalho, caso necessário. 5 DISPOSIÇÕES FINAIS 5.1 Casos omissos neste documento devem ser tratados pela Superintendência de Tecnologia da Informação desta secretaria. 5.2 Não é dado ao Agente Público ou Prestador de Serviço o direito de alegar desconhecimento da presente norma. 5.3 O não cumprimento da presente norma acarretará ao Agente Público ou Prestador de Serviço as penalidades cabíveis, previstas no âmbito administrativo, cível e criminal. Página 12