| Ambos lados da revisão anterior
Revisão anterior
Próxima revisão
|
Revisão anterior
|
playground:seguranca [2021/11/08 17:31]
Letícia Gondim |
— (atual) |
| <html> | |
| <!-- fontes html bootstrap --> | |
| <link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.5.2/css/bootstrap.min.css" integrity="sha384JcKb8q3iqJ61gNV9KGb8thSsNjpSL0n8PARn9HuZOnIxN0hoP+VmmDGMN5t9UJ0Z" crossorigin="anonymous"> | |
| <link href="https://fonts.googleapis.com/icon?family=Material+Icons" rel="stylesheet"> | |
| <scriptsrc="https://stackpath.bootstrapcdn.com/bootstrap/4.5.2/js/bootstrap.min.js" integrity="sha384B4gt1jrGC7Jh4AgTPSdUtOBvfO8shuf57BaghqFfPlYxofvL8/KUEfYiJOMMV+rV" crossorigin="anonymous"></script> | |
| <meta name="viewport" content="width=device-width, initial-scale=1"> | |
| <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/4.5.2/css/bootstrap.min.css"> | |
| <script src="https://ajax.googleapis.com/ajax/libs/jquery/3.5.1/jquery.min.js"></script> | |
| <script src="https://cdnjs.cloudflare.com/ajax/libs/popper.js/1.16.0/umd/popper.min.js"></script> | |
| <script src="https://maxcdn.bootstrapcdn.com/bootstrap/4.5.2/js/bootstrap.min.js"></script> | |
| <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/4.7.0/css/font-awesome.min.css"> | |
| <!-- fim das fontes --> | |
| |
| <style> | |
| |
| | |
| li { | |
| font: 1.05rem 'Fira Sans', sans-serif; | |
| margin-bottom: .5rem; | |
| | |
| } | |
| |
| | |
| .scrollspy-example{ | |
| position: relative; | |
| overflow: auto; | |
| height: 1200px; | |
| } | |
| | |
| p { | |
| margin: 0; | |
| font-size: 16px; | |
| } | |
| | |
| ol { | |
| display: block; | |
| list-style-type: upper-roman; | |
| margin-top: 1em; | |
| margin-bottom: 1em; | |
| margin-left: 0; | |
| margin-right: 0; | |
| padding-left: 75px; | |
| |
| } | |
| |
| .header { | |
| text-align: center; | |
| line-height: 0.8; | |
| margin-bottom: 50px; | |
| margin-top: 100px; | |
| } | |
| |
| .header p { | |
| margin: 0 auto; | |
| line-height: 1.6; | |
| color: var(--grayishBlue); | |
| } | |
| |
| | |
| </style> | |
| |
| |
| |
| |
| |
| <div class="header"> | |
| <h4> PORTARIA Nº 97 DE 09 DE JUNHO DE 2021 </h4> | |
| <p>Institui a Política de Segurança da Informação - PSI aplicável aos dados e informações trafegadas na rede de dados da Superintendência Estadual de Tecnologia da Informação e Comunicação - SETIC, e dá outras providências.</p> | |
| <a href="" class="btn btn-primary btn-sm" type="button"><font color="#ffffff">Acesse em PDF</font></a> | |
| </div> | |
| <p>O SUPERINTENDENTE ESTADUAL DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO, no uso de suas atribuições legais, conferidas pelo art. 114-A, especialmente os incisos I, II, IV e XII, da Lei Complementar nº 965, de 20 de dezembro de 2017, e pelo Decreto de 01.01.2019, publicado no DOE n. 001, de 03.01.2019; | |
| <br> | |
| CONSIDERANDO a Política Nacional de Segurança da Informação, instituída pelo artigo 4º do Decreto nº 9.637, de 26 de dezembro de 2018, no âmbito da administração pública federal, com a finalidade de assegurar a segurança da informação a nível nacional, acarretando a necessidade de disciplinar esse tema por meio de normas de observância obrigatória; | |
| <br> | |
| CONSIDERANDO as recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2013, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, e que atende fielmente às exigências legais vigentes em nosso país, servindo de base para a formulação da presente Política de Segurança da Informação; | |
| <br> | |
| CONSIDERANDO que compete à SETIC planejar, estruturar e manter a infraestrutura tecnológica e operacional do Governo do Estado de Rondônia, operando e controlando sua estrutura de data center e interconexão de redes, mantendo a disponibilidade de seus ativos e garantindo a segurança das credenciais de acesso, da comunicação de dados e voz, bem como elaborar, coordenar, apoiar a implantação pelos Órgãos e supervisionar a conformidade das políticas de segurança da informação e comunicação da Administração Pública Estadual; | |
| <br> | |
| RESOLVE:</p><br><br> | |
| |
| <br><br> | |
| |
| |
| <div class="row mb-5"> | |
| <div class="col-3"> | |
| <div class="nav flex-column nav-pills" id="v-pills-tab" role="tablist" aria-orientation="vertical"> | |
| <nav id="list-example" class="list-group" class="navebar navabar-light bg-light" class="scrollspy-example"> | |
| <nav id="navbar-example3" class="navbar navbar-light bg-light"> | |
| <nav class="nav nav-pills flex-column"> | |
| <a class="nav-link" href="#item">CAPÍTULO I DISPOSIÇÕES PRELIMINARES</a> | |
| | |
| <a class="nav-link" href="#item-1">CAPÍTULO I DISPOSIÇÕES GERAIS</a> | |
| | |
| <a class="nav-link" href="#item-2">CAPÍTULO II DAS REFERÊNCIAS NORMATIVAS</a> | |
| | |
| <a class="nav-link" href="#item-3">CAPÍTULO III DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO</a> | |
| | |
| <a class="nav-link" href="#item-4">CAPÍTULO IV DOS DISPOSITIVOS MÓVEIS</a> | |
| | |
| <a class="nav-link" href="#item-5">CAPÍTULO V DAS REGRAS PARA UTILIZAÇÃO DO SERVIÇO DE ACESSO REMOTO EXTERNO</a> | |
| | |
| <a class="nav-link" href="#item-6">CAPÍTULO VI DA GESTÃO DE PESSOAS</a> | |
| | |
| <a class="nav-link" href="#item-7">CAPÍTULO VII DA GESTÃO E CLASSIFICAÇÃO DE ATIVOS</a> | |
| | |
| <a class="nav-link" href="#item-8">CAPÍTULO VIII DO CONTROLE DE ACESSO</a> | |
| | |
| <a class="nav-link" href="#item-9">CAPÍTULO IX DO CORREIO ELETRÔNICO</a> | |
| | |
| <a class="nav-link" href="#item-10">CAPÍTULO X DO ACESSO À INTERNET</a> | |
| | |
| <a class="nav-link" href="#item-11">CAPÍTULO XI DAS ESTAÇÕES DE TRABALHO E DA REDE INTERNA</a> | |
| | |
| <a class="nav-link" href="#item-12">CAPÍTULO XII DA CRIPTOGRAFIA</a> | |
| | |
| <a class="nav-link" href="#item-13">CAPÍTULO XIII DA SEGURANÇA FÍSICA E DO AMBIENTE</a> | |
| | |
| <a class="nav-link" href="#item-14">CAPÍTULO XIV DA SEGURANÇA NAS OPERAÇÕES</a> | |
| | |
| <a class="nav-link" href="#item-15">CAPÍTULO XV DA SEGURANÇA NAS COMUNICAÇÕES</a> | |
| | |
| <a class="nav-link" href="#item-16">CAPÍTULO XVI DO DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS</a> | |
| | |
| <a class="nav-link" href="#item-17">CAPÍTULO XVII DA CONFORMIDADE</a> | |
| | |
| <a class="nav-link" href="#item-18">CAPÍTULO XVIII DISPOSIÇÕES FINAIS</a> | |
| | |
| <a class="nav-link" href="#anexo-1">ANEXO I</a> | |
| | |
| <a class="nav-link" href="#anexo-2">ANEXO II</a> | |
| | |
| |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
| </nav> | |
| </nav> | |
| </nav> | |
| </nav> | |
| </div> | |
| </div> | |
| <div class="col-9"> | |
| <div data-spy="scroll" data-target="#navbar-example3" data-offset="0" class="scrollspy-example"> | |
| | |
| | |
| <center> <h4 id="item-1"><font color="#428BD4"><h6>CAPÍTULO I </h6>DISPOSIÇÕES GERAIS</font></h4> </center> | |
| <p>Art. 1º Fica instituída a Política de Segurança da Informação a segurança das informações trafegadas na rede de dados da Supe Tecnologia da Informação e Comunicação e conhecimentos.</p> | |
| <p>Art. 2º Para os fins do disposto nesta PSI, a segurança da informação abrange: | |
| <ol> | |
| <li>a segurança cibernética;</li> | |
| <li>a segurança física e a proteção de dados organizacionais;</li> | |
| <li>as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.</li> | |
| </ol> | |
| <p>Art. 3º A PSI é uma declaração formal acerca do compromisso da SETIC com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os envolvidos, internamente e externamente à Superintendência, sejam eles servidores, colaboradores, estagiários, prestadores de serviços, ou qualquer cidadão que tenha acesso a dados ou informações da rede de dados da SETIC.</p> | |
| <p>Parágrafo único. O propósito da PSI é estabelecer diretrizes para as normas, procedimentos e instruções referentes à segurança da informação, atribuindo responsabilidades adequadas para o manuseio, tratamento, controle e proteção das informações.</p> | |
| <p>Art. 4º São princípios da PSI:</p> | |
| <ol> | |
| <li>respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;</li> | |
| <li>visão abrangente e sistêmica da segurança da informação;</li> | |
| <li>fortalecimento da cultura de segurança da informação na sociedade;</li> | |
| <li>responsabilidade da SETIC na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à</li> | |
| <li>intercâmbio científico e tecnológico relacionado à segurança da informação entre os órgãos e entidades da Administração Pública Estadual;</li> | |
| <li>educação como alicerce fundamental para o fomento da cultura em segurança da informação;</li> | |
| <li>articulação entre as ações de segurança cibernética, defesa cibernética, proteção de dados e ativos da informação;</li> | |
| <li>dever dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado da intimidade da vida privada, da honra e da imagem das pessoas;</li> | |
| <li>cooperação entre os órgãos de investigação, os demais órgãos e as entidades públicas no processo de credenciamento de pessoas para acesso às informações sigilosas;</li> | |
| <li>integração e cooperação entre o Poder Público, o Setor Empresarial, a Sociedade e as Instituições Acadêmicas.</li> | |
| </ol> | |
| <p>Art. 5º São objetivos da PSI:</p> | |
| <ol> | |
| <li>contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais;</li> | |
| <li>fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;</li> | |
| <li> aprimorar continuamente o arcabouço legal e normativo relacionado á segurança da informação;</li> | |
| <li>fomentar a formação e a qualificação dos recursos de pessoas necessários à área de segurança da informação;</li> | |
| <li>definir o escopo da segurança da informação na SETIC;</li> | |
| <li>permitir a adoção de soluções de segurança integradas;</li> | |
| <li>servir de referência para auditoria, apuração e avaliação de responsabilidades.</li> | |
| <li>orientar, por meio de suas diretrizes, todas as ações de segurança, para reduzir riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos tecnológicos;</li> | |
| <li>orientar ações relacionadas a:</li> | |
| </ol> | |
| <ol style="list-style-type: lower-alpha;"> | |
| <li>segurança dos dados custodiados por entidades públicas;</li> | |
| <li>segurança da informação das infraestruturas críticas;</li> | |
| <li>proteção das informações das pessoas físicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica;</li> | |
| <li>tratamento das informações com restrição de acesso.</li> | |
| </ol> | |
| <p>Art. 6º A utilização dos recursos de Tecnologia da Informação e Comunicação - TIC pertencentes à SETIC destina-se estritamente às suas funções corporativas e será monitorada, tendo seus | |
| registros administrados e mantidos pelo setor interno de operações.</p> | |
| <br> | |
| <center><h4 id="item-2"><font color="#428BD4"><h6>CAPÍTULO II </h6>DAS REFERÊNCIAS NORMATIVAS</font></h4></center> | |
| <p>Art. 7º A presente PSI tem como fundamentos as seguintes referências legais e normativas: </p> | |
| <ol> | |
| <li>Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); </li> | |
| <li>Lei Federal nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet; | |
| <li>Lei Federal nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação (LAI); </li> | |
| <li>Decreto Federal nº 9.637 de 26 de dezembro de 2018 - Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação; </li> | |
| <li>Lei Complementar Estadual nº 68, de 09 de dezembro de 1992 - Dispõe sobre o Regime Jurídico dos Servidores Públicos Civil do Estado de Rondônia; </li> | |
| <li>Decreto Estadual nº 9.832 de 12 de junho de 2019 - Dispõe sobre o Comitê Gestor da Segurança da Informação; </li> | |
| <li>NBR/ISO/IEC 27001/2006 - Estabelece os elementos de um Sistema de Gestão de Segurança da Informação; </li> | |
| <li>NBR/ISO/IEC 27002/2013 - Institui o Código de Melhores Práticas para Gestão de Segurança da Informação; </li> | |
| <li>NBR/ISO/IEC 27005:2008 - Diretrizes para o gerenciamento dos riscos de Segurança da Informação; </li> | |
| <li>Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/; </li> | |
| <li>Instruções Normativas do Departamento de Segurança da Informação (DSI) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR):</li> | |
| </ol> | |
| <ol style="list-style-type: lower-alpha;"> | |
| <li>NC nº 01/IN01/DSIC/GSI/PR, de 13 de junho de 2008;</li> | |
| <li>NC nº 02, de 14 de outubro de 2008; </li> | |
| <li>NC nº 03, de 3 de julho de 2009; </li> | |
| <li>NC nº 07, de 16 de julho de 2014; </li> | |
| <li>NC nº 09, de 16 de julho de 2014; </li> | |
| <li>NC nº 10, de 10 de fevereiro de 2012; </li> | |
| <li>NC nº 11, de 10 de fevereiro de 2012; </li> | |
| <li>NC nº 12, de 10 de fevereiro de 2012; </li> | |
| <li>NC nº 13, de 10 de fevereiro de 2012; </li> | |
| <li>NC nº 14, de 10 de fevereiro de 2012; </li> | |
| <li>NC nº 16, de 21 de novembro de 2012;</li> | |
| <li>NC nº 17, de 10 de abril de 2013; </li> | |
| <li>NC nº 18, de 10 de abril de 2013; </li> | |
| <li>NC nº 19, de 16 de julho de 2014.</li> | |
| </ol> | |
| | |
| <p>Art. 8º Para os efeitos desta PSI, serão utilizados os conceitos e definições do Glossário de Segurança da Informação do Departamento de Segurança da Informação - DSI do Gabinete de Segurança Institucional da Presidência da República - GSI/PR, instituído pela Portaria nº 93, de 26 de setembro de 2019, publicada no Diário Oficial da União em 01/10/2019, edição 190, seção 1, página 3, e disponível em: http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 . </p> | |
| |
| <br> | |
| <center> <h4 id="item-3"><font color="#428BD4"><h6>CAPÍTULO III </h6>DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO</font></h4></center> | |
| | |
| <p>Art. 9º A SETIC estabelecerá uma estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação em seu âmbito. </p> | |
| | |
| <p>Art. 10º Fica criada a Comissão Permanente de Segurança da Informação - CPSI no âmbito da SETIC, responsável pela gestão da segurança da informação, exercendo suas competências nos termos desta Portaria. </p> | |
| | |
| <p>Art. 11º A CPSI será composta por 04 (quatro) servidores com formação técnica na área ou notório conhecimento, presidida por um servidor efetivo dentre estes, a serem designados por portaria própria, pelo Superintendente Estadual de Tecnologia da Informação e Comunicação. </p> | |
| | |
| <p>Art. 12º É obrigação de todo servidor que tomar conhecimento de incidente que afete a segurança da informação registrar o ocorrido através de chamado no sistema GLPI (Gestionnaire Libre de Parc Informatique) mantido pela SETIC, para análise da CPSI. </p> | |
| |
| <br> | |
| <center> <h4 id="item-4"><font color="#428BD4"><h6>CAPÍTULO IV </h6>DOS DISPOSITIVOS MÓVEIS</font></h4> </center> | |
| | |
| <p>Art. 13º Entende-se por “dispositivo móvel” qualquer equipamento eletrônico com atribuições de mobilidade, de propriedade da SETIC ou de propriedade particular, a exemplo de notebooks, smartphones, tablets, televisores e sistemas de assistentes virtuais inteligentes. </p> | |
| | |
| <p>Art. 14º Os dispositivos móveis corporativos serão regidos pelas seguintes regras: </p> | |
| <ol> | |
| <li>quando fornecidos pela SETIC, serão cadastrados, garantindo a sua identificação única, bem como a do usuário responsável pelo uso; </li> | |
| <li>serão utilizados única e exclusivamente por aqueles usuários que assumiram a responsabilidade pelo seu uso; </li> | |
| <li>será expressamente vedado aos usuários instalar aplicativos ou recursos não disponibilizados inicialmente no dispositivo sem permissão da CPSI; </li> | |
| <li>serão implementados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis; </li> | |
| <li>os usuários serão orientados a respeito dos procedimentos de segurança acerca dos dispositivos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade, não sendo admitida a alegação de seu desconhecimento nos casos de uso indevido. </li> | |
| </ol> | |
| | |
| <p>Art. 15º Os dispositivos móveis de propriedade de particulares serão regidos pelas seguintes regras: </p> | |
| <ol> | |
| <li>o usuário proprietário de dispositivo móvel particular deverá solicitar ao seu chefe imediato a autorização para acesso aos recursos corporativos, conforme necessário; </li> | |
| <li>o chefe imediato definirá a quais recursos ou dados corporativos o dispositivo móvel particular terá acesso; </li> | |
| <li>serão individualmente autorizados pela CPSI, mediante solicitação expressa; </li> | |
| <li>serão cadastrados, garantindo a sua identificação única, bem como a do usuário responsável pelo uso;</li> | |
| <li>serão utilizados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis; </li> | |
| <li>os usuários serão orientados a respeito dos procedimentos de segurança para os recursos e acessos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade, não sendo admitida a alegação de seu desconhecimento nos casos de uso indevido. </li> | |
| </ol> | |
| | |
| <p>Art. 16º Os dispositivos móveis de visitantes serão regidos pelas seguintes regras: </p> | |
| <ol> | |
| <li>a concessão de seu uso estará vinculada à conscientização do usuário acerca das normas internas de utilização da rede; </li> | |
| <li>obedecerão a procedimentos de controle e concessão de acesso a serem estabelecidos para visitantes que, durante sua permanência nas instalações da SETIC, necessitem conectar seus dispositivos móveis à internet. </li> | |
| </ol> | |
| <p>Parágrafo único. Considerar-se-á visitante todo e qualquer usuário de rede que não integre o quadro de servidores públicos da SETIC. </p> | |
| | |
| <p>Art. 17º O uso indevido do dispositivo móvel caracteriza que o usuário assumiu todos os riscos por sua conduta, tornando-se o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha a causar à SETIC ou a terceiros. </p> | |
| | |
| <p>Art. 18º É responsabilidade do usuário, no caso de furto, roubo, extravio ou danos materiais a um dispositivo móvel fornecido pela SETIC, notificar imediatamente seu chefe imediato e a CPSI, devendo simultaneamente procurar a ajuda das autoridades policiais registrando boletim de ocorrência policial, logo que possível, nos casos de furto ou roubo do dispositivo. </p> | |
| |
| | |
| <br> | |
| <center> <h4 id="item-5"><font color="#428BD4"><h6>CAPÍTULO V </h6>DAS REGRAS PARA UTILIZAÇÃO DO SERVIÇO DE ACESSO REMOTO EXTERNO</font></h4></center> | |
| | |
| <p>Art. 19º As regras para utilização do serviço de acesso remoto externo à rede de dados da SETIC visam à prevenção do acesso não autorizado às informações, evitando ameaças à integridade e sigilo das informações contidas na rede. </p> | |
| | |
| <p>Art. 20º O acesso remoto externo à rede de dados da SETIC e a seus serviços corporativos somente será disponibilizado aos usuários que, oficialmente, executem atividade vinculada à atuação governamental e necessitam daquele acesso para execução de atividades externas, desde que devidamente autorizados pelo chefe imediato e certificados pela SETIC. </p> | |
| | |
| <p>Art. 21º É vedada a utilização do acesso remoto para fins não relacionados às atividades corporativas. </p> | |
| | |
| <p>§ 1º A SETIC irá monitorar e registrar toda conexão remota e de acesso à sua rede de dados. </p> | |
| | |
| <p>§ 2º Os administradores de redes poderão ter permissão de acesso remoto aos recursos de TIC da SETIC, quando necessário para o desempenho de suas atribuições. </p> | |
| | |
| <p>Art. 22º A solicitação de acesso remoto ocorrerá por meio de chamado registrado no sistema GLPI, contendo as seguintes informações do usuário e do serviço: nome completo; CPF; setor; email e telefone de contato; IP de destino; porta do serviço; tempo de validade do acesso remoto e justificativa. </p> | |
| | |
| <p>Art. 23º O serviço de acesso remoto será cancelado nas seguintes </p> | |
| |
| <ol> | |
| <li>finalização do período especificado na solicitação; </li> | |
| <li>perda da necessidade de utilização do serviço; </li> | |
| <li>transferência ou exoneração do usuário; </li> | |
| <li>identificação de vulnerabilidade, risco ou uso indevido no acesso concedido. </li> | |
| </ol> | |
| | |
| | |
| <p>Art. 24º As conexões remotas à rede de dados da SETIC cumprirão os seguintes requisitos: </p> | |
| <ol> | |
| <li>utilização de certificado digital; </li> | |
| <li>criptografia das senhas e das informações que trafegam entre a estação remota e a rede. </li> | |
| </ol> | |
| |
| | |
| <br> | |
| <center><h4 id="item-6"><font color="#428BD4"><h6>CAPÍTULO VI </h6>DA GESTÃO DE PESSOAS</font></h4></center> | |
| <p>Art. 25º As responsabilidades pela segurança da informação devem ser mencionadas nas descrições de cargos e funções, bem como nos termos e condições das contratações que envolvam o manuseio de dados, informações ou conhecimentos da SETIC. </p> | |
| | |
| <p>Parágrafo único. Os papéis e responsabilidades pela segurança dos ativos de informação deverão ser definidos conforme o cargo, função, estágio ou vínculo estabelecido com a SETIC. </p> | |
| | |
| <p>Art. 26º Todos os usuários deverão ser sensibilizados e treinados acerca dos procedimentos de segurança da informação. </p> | |
| | |
| <p>Parágrafo único. A SETIC implementará programa de sensibilização para disseminação das informações relativas à segurança da informação, a fim de assegurar que todos os administradores e/ou usuários de sistemas, redes e operações da SETIC estejam cientes dos potenciais riscos de segurança e exposição a que estão submetidos, dando especial ênfase às equipes que possuem tratativas e relações diretas com os usuários finais, e incluindo treinamentos de proteção contra ataques típicos de engenharia social. </p> | |
| | |
| <p>Art. 27º O controle operacional de uma atividade crítica não poderá ser atribuição exclusiva de uma única pessoa. </p> | |
| | |
| <p>Art. 28º Os procedimentos de segurança da informação serão documentados e implementados, garantindo que todos os servidores, pessoal contratado ou prestadores de serviços transferidos, remanejados, promovidos ou exonerados, tenham todos os seus privilégios de acesso aos sistemas, informações e recursos devidamente revistos, modificados ou revogados, conforme o caso. </p> | |
| | |
| <p>§ 1º Quando do afastamento, mudança de responsabilidades e de lotação ou atribuições dentro da organização será de responsabilidade do chefe imediato e do setor de Gestão de Pessoas respectivo a revisão imediata dos direitos de acesso e uso dos ativos. </p> | |
| | |
| <p>§ 2º Quando da efetivação do desligamento de usuário, serão suspensos todos os direitos de acesso e uso dos ativos a ele atribuídos, e os ativos por ele produzidos serão mantidos pela SETIC, garantindo o reconhecimento e o esclarecimento da propriedade.</p> | |
| | |
| <p>§ 3º Serão registrados e mantidos no sistema E-Estado relatórios sobre movimentações de entrada e saída de servidores. </p> | |
| |
| <br> | |
| <center> <h4 id="item-7"><font color="#428BD4"><h6>CAPÍTULO VII </h6>DA GESTÃO E CLASSIFICAÇÃO DE ATIVOS</font></h4></center> | |
| <p>Art. 29º Os ativos tecnológicos de propriedade da SETIC ou por esta mantidos, a exemplo de redes, sistemas, softwares, estações de trabalho, serviços de Internet, correio eletrônico, entre outros, serão utilizados exclusivamente para o trabalho e os interesses do Estado e da comunidade, e serão administrados e monitorados individualmente. </p> | |
| |
| <p>Art. 30º Equipamentos, tráfego de rede, hardware, softwares de terceiros e sistemas pertencentes a SETIC poderão ser auditados com o objetivo de manutenção preventiva e segurança. </p> | |
| | |
| <p>Art. 31º Para todo ativo tecnológico da SETIC será designado um proprietário, assim entendido o servidor responsável pela guarda, manutenção e uso do ativo. </p> | |
| | |
| <p>Parágrafo único. O proprietário poderá delegar para um custodiante as tarefas de rotina diária daquele ativo, mediante acordo formal, caso em que a responsabilidade pelo ativo permanece com o proprietário. </p> | |
| | |
| <p>Art. 32º Todos os ativos tecnológicos da SETIC serão identificados e classificados quanto à sua importância e criticidade, contendo as informações que ajudem a assegurar a sua proteção efetiva: nome do ativo, proprietário, custodiante, patrimônio, localização, cópia de segurança, criticidade, dentre outros específicos. </p> | |
| | |
| <p>Art. 33º A classificação quanto à criticidade dos ativos obedecerá aos seguintes critérios: </p> | |
| <ol> | |
| <li>Muito Alta (prioridade 0) - quando a interrupção do ativo provoca parada total das atividades; </li> | |
| <il>Alta (prioridade 1) - quando a interrupção do ativo provoca perda das atividades de um ou mais setores; </li> | |
| <li>Média (prioridade 2) - quando a interrupção do ativo provoca perda das atividades de parte de um setor; </li> | |
| <li>Baixa (prioridade 3) - quando a interrupção do ativo provoca perdas de atividade secundárias.</li> | |
| </ol> | |
| | |
| <p>Art. 34º Os ativos tecnológicos, principalmente os classificados como Muito Alta ou Alta criticidade, serão instalados em áreas protegidas contra acessos físicos indesejados. </p> | |
| | |
| <p>Art. 35º A rede de dados da SETIC deverá possuir nobreaks e gerador de energia para alimentar eletricamente os equipamentos e os locais classificados como Muito Alta ou Alta criticidade. </p> | |
| | |
| <p>Art. 36º O direito de administrador somente será concedido aos usuários de computador previamente autorizados pela CPSI. </p> | |
| | |
| <p>Art. 37º Os arquivos com conteúdo de grande importância, cuja perda represente prejuízo para a SETIC ou para o Estado, serão submetidos a uma rotina de backup periódico, mantendo-se uma cópia de segurança em um servidor de rede e outra cópia na nuvem da SETIC.</p> | |
| |
| <p>Art. 38º Somente será permitido utilizar softwares que tenham sido aprovados pela CPSI, a fim de assegurar a integridade da rede corporativa e não permitir que as licenças de software sejam violadas. </p> | |
| | |
| <p>§ 1º A instalação de softwares, inclusive navegadores e outros sistemas relacionados à internet, nos equipamentos computacionais da SETIC será feita apenas pelo setor de Service Desk, e desde que o software esteja autorizado pela CPSI, vedada a instalação pelo usuário. </p> | |
| | |
| <p>§ 2º Havendo instalação de softwares e sistemas nos equipamentos computacionais da SETIC, sem autorização e/ou licença devida, o usuário se tornará o responsável exclusivo pela sua utilização, arcando com eventuais penalidades e multas de acordo com a legislação vigente. </p> | |
| | |
| <p>§ 3º Somente serão instalados softwares e sistemas com suas licenças de uso em dia e devidamente registrados junto ao fabricante. </p> | |
| | |
| <p>Art. 39º Os dados, as informações e os sistemas de informação da rede de dados da SETIC serão protegidos preventivamente contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a disponibilidade, integridade, confidencialidade e autenticidade desses ativos e das atividades e serviços da rede de dados da SETIC. </p> | |
| | |
| <p>Art. 40º As informações da rede de dados da SETIC serão classificadas por meio de um processo contínuo, determinando os controles e níveis de proteção adequados para as informações de natureza restrita ou sigilosa, de acordo com o valor, sensibilidade e criticidade de cada tipo de informação. </p> | |
| | |
| <p>Art. 41º As informações criadas, editadas e/ou armazenadas nos dispositivos da SETIC são propriedade do Governo do Estado de Rondônia, serão controladas e geridas pela SETIC, podendo ser acessadas sempre que necessário com a preservação da sua integridade e confidencialidade, sendo adequadamente protegidas e utilizadas exclusivamente para fins relacionados às atividades corporativas.</p> | |
| |
| |
| |
| <br> | |
| <center> <h4 id="item-8"><font color="#428BD4"><h6>CAPÍTULO VIII </h6>DO CONTROLE DE ACESSO</font></h4></center> | |
| | |
| <p>Art. 42º A conta de acesso é o instrumento para identificação do usuário na rede de dados da SETIC e caracteriza-se por ser de uso individual e intransferível, vedando-se a sua divulgação sob qualquer hipótese. </p> | |
| | |
| <p>§ 1º Contas para terceiros e estagiários deverão ser criadas com prazo final de atividade, prorrogável em caso de necessidade, sendo imediatamente bloqueadas após o vencimento assinalado. </p> | |
| |
| | |
| <p>§ 2º Contas para terceiros e estagiários deverão ser mantidas em Unidades Organizacionais - OU separadas das contas relativas ao órgão de lotação, mesmo nos casos de possuírem os mesmos privilégios. </p> | |
| | |
| <p>Art. 43º A solicitação de criação de conta de acesso de usuário aos serviços de rede de dados da SETIC será feita pelo chefe imediato, via chamado registrado no sistema GLPI. </p> | |
| | |
| <p>§ 1º O chamado informará o nome completo do usuário, CPF, e-mail particular, setor no qual desempenha suas atividades, matrícula, justificativa da necessidade da conta de acesso e quais serviços serão necessários, como rede local, internet, correio eletrônico, sistemas e/ou dados.</p> | |
| | |
| <p>§ 2º A SETIC efetuará a análise do cadastro e, caso aprovado, informará ao interessado o seu usuário e a senha inicial provisória, bem como encaminhará Termo de Compromisso para assinatura, acompanhado de cópia desta Política de Segurança da Informação, tudo através do email particular informado. </p> | |
| | |
| <p>Art. 44º A solicitação de exclusão de uma conta ou acesso a um sistema, será solicitada pelo chefe imediato à CPSI, por meio de memorando no Sistema de Processo Eletrônico Oficial do Estado, assinado, informando o nome completo do usuário, o acesso que deve ser removido e justificativa da exclusão. </p> | |
| | |
| <p>Parágrafo único. Quando da mudança de setor ou exoneração, o chefe imediato deverá comunicar ao setor de Data Center, via chamado no GLPI, para que o remanejamento ou bloqueio do usuário seja realizado. </p> | |
| | |
| <p>Art. 45º A senha de acesso é confidencial, intransferível, individual, e não compartilhável, devendo ser trocada pelo usuário no primeiro acesso e, posteriormente, a cada 42 dias. </p> | |
| | |
| <p>§ 1º A senha deverá conter no mínimo 7 (sete) caracteres, não sendo recomendados: </p> | |
| <ol> | |
| <li>o mesmo nome do login de usuário para senha, por exemplo: Usuário: “maria”, Senha: “maria”; </li> | |
| <li>o nome do usuário ou combinações deste; </li> | |
| <li>nomes de familiares, animais de estimação, datas de aniversário ou número de | |
| telefone; </li> | |
| <li>nome de clubes de esportes; </li> | |
| <li>informações pessoais ou fáceis de serem obtidas; </li> | |
| <li>repetição de números e/ou letras, por exemplo: “111111”, “aaabbb”; </li> | |
| |
| <li>palavras que existam em dicionários, catálogos ou listas conhecidas, mesmo que escritas de trás para frente. </li> | |
| </ol> | |
| | |
| <p>§ 2º São recomendados para uso em senhas: </p> | |
| <ol> | |
| <li>caracteres alfanuméricos, por exemplo: “Ip253O4”; </li> | |
| <li>caracteres mistos com maiúsculas e minúsculas, a exemplo de “IpSTmya”; </li> | |
| <li>caracteres especiais, como “#”, “@”, “$”, “%”, “&”, “!”, “*”, “?”, “_”, “/”, “>”: “,”; “{“, “]”, “=”, “+”. </li> | |
| </ol> | |
| | |
| <p>§ 3º Não será permitida a repetição das 4 (quatro) últimas senhas utilizadas.</p> | |
| | |
| <p>§ 4º Não deverão ser reveladas senhas pelo telefone, e-mail ou por qualquer outro meio, mesmo que para o chefe, assistentes ou secretárias. </p> | |
| | |
| <p>§ 5º Não deverão ser reveladas senhas para colegas de trabalho, nem mesmo quando o servidor estiver em férias ou licença. </p> | |
| | |
| <p>Art. 46º A conta será bloqueada depois de 5 (cinco) tentativas inválidas de entrada, podendo o seu desbloqueio ser obtido por meio de chamado no GLPI. </p> | |
| | |
| <p>Art. 47º As contas inativas por mais de 90 (noventa) dias corridos serão bloqueadas, podendo o seu desbloqueio ser obtido por meio de chamado no GLPI. </p> | |
| | |
| <p>Art. 48º O chefe imediato será o responsável pelas contas de acesso à rede de dados pertencentes ao seu setor. </p> | |
| | |
| <p>§ 1º O usuário é o responsável por qualquer acesso aos serviços realizados com sua conta. </p> | |
| | |
| <p>§ 2º No caso de evidências de uso irregular dos recursos de acesso a serviços, o usuário terá seu acesso bloqueado para averiguação e, em sendo constatada irregularidade, será realizado o imediato cancelamento do acesso ao serviço e serão aplicadas as penalidades, de acordo com a legislação vigente. </p> | |
| | |
| <p>§ 3º O usuário infrator deverá ser notificado e a ocorrência de transgressão comunicada ao seu chefe imediato, à diretoria correspondente e à CPSI. </p> | |
| |
| |
| | |
| <br> | |
| <center> <h4 id="item-9"><font color="#428BD4"><h6>CAPÍTULO IX </h6>DO CORREIO ELETRÔNICO</font></h4></center> | |
| | |
| <p>Art. 49º O uso do correio eletrônico, também denominado e-mail, é limitado aos fins corporativos e relacionados às atividades do usuário como um instrumento de comunicação interna e externa, no desempenho de funções profissionais na SETIC. </p> | |
| | |
| <p>Art. 50º O correio eletrônico corporativo oficial é unicamente aquele de domínio "@setic.ro.gov.br", com exclusão de qualquer outro, não sendo aceitas como oficiais mensagens enviadas por domínio diverso. </p> | |
| | |
| <p>Art. 51º A nomenclatura de endereços eletrônicos deve obedecer à composição utilizada para login do usuário (<último sobrenome>), seguido de "@setic.ro.gov.br". </p> | |
| | |
| <p>Parágrafo único. É proibida a utilização de apelidos na nomenclatura de endereços eletrônicos. </p> | |
| | |
| <p>Art. 52º O uso do correio eletrônico é pessoal e intransferível, sendo o titular da conta responsável por toda mensagem enviada pelo seu endereço de e-mail eletrônico.</p> | |
| | |
| <p>§ 1º Para os grupos de endereços, ou e-mail de grupo, o criador do grupo será proprietário da conta e responsável por todas as mensagens enviadas. </p> | |
| | |
| <p>§ 2º E-mails setoriais, quando necessários, serão de responsabilidade do chefe do setor, exigindose a apresentação de documento de nomeação do mesmo para a criação do e-mail. </p> | |
| | |
| <p>Art. 53º O acesso às mensagens de correio eletrônico está restrito ao remetente e ao destinatário, sendo o seu conteúdo inviolável, salvo por determinação administrativa ou por motivo de segurança institucional, casos em que o acesso deverá ser expressamente autorizado pela CPSI. </p> | |
| | |
| <p>Parágrafo único. A leitura indevida de mensagens de correio eletrônico alheias estará sujeita às sanções administrativas, cíveis e criminais previstas na legislação vigente. </p> | |
| | |
| <p>Art. 54º As mensagens de correio eletrônico deverão ser escritas em linguagem profissional e impessoal, observando a norma padrão da língua portuguesa, zelando pela imagem da SETIC e do Governo do Estado, pelo pleno respeito à legislação vigente e pelos princípios éticos da organização. </p> | |
| | |
| <p>Art. 55º Os usuários devem sempre verificar se a mensagem recebida é de fonte fidedigna, a fim de impedir a instalação de arquivos maliciosos e, em havendo alguma suspeita quanto à mensagem, seu teor ou origem, o usuário deve informá-la à CPSI. </p> | |
| | |
| <p>Art. 56º O e-mail corporativo não deve ser considerado um ambiente seguro pois, considerando que as mensagens de e-mail são transmitidas através da internet, um meio não | |
| propriamente seguro, a SETIC não pode garantir que as mensagens sejam lidas somente pelo remetente e o destinatário final, ou que não sejam alteradas durante o percurso, ou ainda que tenham sido criadas pela fonte declarada. </p> | |
| | |
| <p>Art. 57º São deveres, responsabilidades do usuário e recomendações para o uso do correio eletrônico: </p> | |
| <ol> | |
| <li>o usuário é o responsável pelas mensagens enviadas por intermédio do seu endereço de correio eletrônico; </li> | |
| <li>o mau uso de uma conta de correio por terceiros será responsabilidade de seu titular, sujeitando-o às penalidades de acordo com a legislação vigente; </li> | |
| <li>não enviar mensagens não autorizadas, divulgando informações sigilosas e/ou de propriedade da SETIC; </li> | |
| <li>não utilizar o e-mail corporativo para assuntos pessoais; </li> | |
| <li>adotar o hábito de leitura dos e-mails diariamente; </li> | |
| <li>enviar e-mails apenas para destinatários que realmente precisam da informação; </li> | |
| <li>não acessar, quando não autorizado, a caixa postal de outro usuário e/ou ao Banco de Dados do correio eletrônico; </li> | |
| <li>não enviar, armazenar nem manusear material que contrarie o disposto nesta PSI, a legislação vigente, a moral, os bons costumes e a ordem pública; </li> | |
| <li>não enviar, armazenar nem manusear material que caracterize a divulgação, incentivo ou prática de atos ilícitos, proibidos pela lei ou pela presente PSI, lesivos aos direitos e interesses da SETIC ou de terceiros, ou que, de qualquer forma, possam danificar, inutilizar, sobrecarregar ou deteriorar os recursos tecnológicos, bem como os documentos e arquivos de qualquer tipo, do usuário ou de terceiros; </li> | |
| <li>não enviar, armazenar nem manusear material que caracterize: </li> | |
| </ol> | |
| <ol style="list-style-type: lower-alpha;"> | |
| <li>promoção, divulgação ou incentivo a ameaças, difamação ou assédio a outras pessoas; </li> | |
| <li>assuntos de caráter obsceno; </li> | |
| <li>prática de qualquer tipo de discriminação relativa à raça, sexo ou credo religioso; | |
| <li>distribuição de qualquer material que caracterize violação de direito autoral garantido por lei;</li> | |
| <li>uso para atividades com fins comerciais e/ou o uso extensivo para assuntos pessoais ou privados; </li> | |
| </ol> | |
| <ol start=”9”> | |
| <li>não utilizar o sistema de correio eletrônico para envio de mensagens do tipo | |
| “corrente”; </li> | |
| <li>não utilizar as listas e/ou caderno de endereços da SETIC para a distribuição de mensagens que não sejam de estrito interesse funcional e/ou sem a devida permissão do responsável; </li> | |
| <li>evitar todo e qualquer procedimento de uso do correio eletrônico não previsto nesta PSI, que possa afetar de forma negativa a SETIC ou o Governo do Estado de Rondônia; </li> | |
| <li>caso receba uma mensagem de correio eletrônico originada na internet de um remetente não confiável ou suspeito, esta deverá ser descartada, antes mesmo de ser aberta; </li> | |
| <li>garantir que cada um dos arquivos anexados possua o seu nível de confidencialidade, de acordo com a classificação da informação, em relação ao destinatário e aos copiados; </li> | |
| <li>encaminhar arquivos anexados por correio eletrônico somente quando for imprescindível, principalmente, quando houver usuários externos envolvidos na troca de mensagens; </li> | |
| <li>não enviar mensagens que representem sua opinião pessoal, colocando-a em nome da SETIC.</li> | |
| </ol> | |
| | |
| <p>Art. 58º São deveres, responsabilidades e recomendações dos administradores do correio eletrônico: </p> | |
| <ol> | |
| <li>verificar periodicamente a conta postmaster, para detectar eventuais problemas que possam estar ocorrendo no servidor e na entrega de e-mail dos usuários; </li> | |
| <li>criar as contas “security” e “abuse” nos servidores de domínio; </li> | |
| <li>configurar o servidor de correio para enviar e-mail só após a autenticação do Usuário, utilizando configurações do tipo “smtp auth”, “smtp after pop”, etc; </li> | |
| <li>implementar medidas para filtragem de vírus no sistema de correio eletrônico; </li> | |
| <li>implementar medidas para filtragem de spam e e-mails indesejados (correntes, mensagens obscenas, propaganda, etc.) no sistema de correio eletrônico; </li> | |
| <li>monitorar o funcionamento do servidor de correio eletrônico, em termos de número de conexões, número de mensagens enviadas e recebidas, número de mensagens bloqueadas, banda consumida na rede, etc. </li> | |
| </ol> | |
| | |
| <p>Art. 59º Os anexos serão utilizados quando estritamente necessários para as atividades relacionadas ao trabalho e devem ter tamanhos máximos de 25 MB por mensagem. </p> | |
| | |
| <p>Parágrafo único. Não é permitido anexar arquivos classificados como de acesso restrito ou sigiloso. </p> | |
| <p>Art. 60º Ficam limitadas ao tamanho máximo de 5 GB as caixas de e-mail, sendo dever dos usuários excluir e-mails considerados desnecessários para a sua atividade funcional. </p> | |
| |
| | |
| <br><br><br><br> | |
| <center> <h4 id="item-10"><font color="#428BD4"><h6>CAPÍTULO X </h6>DO ACESSO À INTERNET</font></h4></center> | |
| <br><br><br><br> | |
| <center><h4 id="item-11"><font color="#428BD4"><h6>CAPÍTULO XI </h6>DAS ESTAÇÕES DE TRABALHO E DA REDE INTERNA</font></h4></center> | |
| <br><br><br><br> | |
| <center> <h4 id="item-12"><font color="#428BD4"><h6>CAPÍTULO XII </h6>DA CRIPTOGRAFIA</font></h4></center> | |
| <br><br><br><br> | |
| <center> <h4 id="item-13"><font color="#428BD4"><h6>CAPÍTULO XIII </h6>DA SEGURANÇA FÍSICA E DO AMBIENTE</font></h4></center> | |
| <br><br><br><br> | |
| <center> <h4 id="item-14"><font color="#428BD4"><h6>CAPÍTULO XIV </h6>DA SEGURANÇA NAS OPERAÇÕES</font></h4></center> | |
| <br><br><br><br> | |
| <center> <h4 id="item-15"><font color="#428BD4"><h6>CAPÍTULO XV </h6>DA SEGURANÇA NAS COMUNICAÇÕES</font></h4></center> | |
| <br><br><br><br> | |
| <center> <h4 id="item-16"><font color="#428BD4"><h6>CAPÍTULO XVI </h6>DO DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS</font></h4></center> | |
| <br><br><br><br> | |
| <center><h4 id="item-17"><font color="#428BD4"><h6>CAPÍTULO XVII </h6>DA CONFORMIDADE</font></h4></center> | |
| <br><br><br><br> | |
| <center> <h4 id="item-18"><font color="#428BD4"><h6>CAPÍTULO XVIII </h6>DISPOSIÇÕES FINAIS</font></h4></center> | |
| <br><br><br><br> | |
| <center><h4 id="anexo-1"><font color="#428BD4">ANEXO I</font></h4></center> | |
| <br><br><br><br> | |
| <center> <h4 id="anexo-2"><font color="#428BD4">ANEXO II</font></h4> | |
| | |
| | |
| | |
| <br> | |
| </div> | |
| </div> | |
| </div> | |
| </html> | |
| |
| |
| |
Superintendência Estadual de Tecnologia da Informação e Comunicação
