Superintendência Estadual de Tecnologia da Informação e Comunicação

Plataforma de documentação operacional e gerencial da SETIC

Ferramentas do usuário

Ferramentas do site

Visitou:
playground:seguranca

Essa é uma revisão anterior do documento!

PORTARIA Nº 97 DE 09 DE JUNHO DE 2021

Institui a Política de Segurança da Informação - PSI aplicável aos dados e informações trafegadas na rede de dados da Superintendência Estadual de Tecnologia da Informação e Comunicação - SETIC, e dá outras providências.

Acesse em PDF

O SUPERINTENDENTE ESTADUAL DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO, no uso de suas atribuições legais, conferidas pelo art. 114-A, especialmente os incisos I, II, IV e XII, da Lei Complementar nº 965, de 20 de dezembro de 2017, e pelo Decreto de 01.01.2019, publicado no DOE n. 001, de 03.01.2019;
CONSIDERANDO a Política Nacional de Segurança da Informação, instituída pelo artigo 4º do Decreto nº 9.637, de 26 de dezembro de 2018, no âmbito da administração pública federal, com a finalidade de assegurar a segurança da informação a nível nacional, acarretando a necessidade de disciplinar esse tema por meio de normas de observância obrigatória;
CONSIDERANDO as recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2013, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, e que atende fielmente às exigências legais vigentes em nosso país, servindo de base para a formulação da presente Política de Segurança da Informação;
CONSIDERANDO que compete à SETIC planejar, estruturar e manter a infraestrutura tecnológica e operacional do Governo do Estado de Rondônia, operando e controlando sua estrutura de data center e interconexão de redes, mantendo a disponibilidade de seus ativos e garantindo a segurança das credenciais de acesso, da comunicação de dados e voz, bem como elaborar, coordenar, apoiar a implantação pelos Órgãos e supervisionar a conformidade das políticas de segurança da informação e comunicação da Administração Pública Estadual;
RESOLVE:





CAPÍTULO I
DISPOSIÇÕES GERAIS

Art. 1º Fica instituída a Política de Segurança da Informação a segurança das informações trafegadas na rede de dados da Supe Tecnologia da Informação e Comunicação e conhecimentos.

Art. 2º Para os fins do disposto nesta PSI, a segurança da informação abrange:

  1. a segurança cibernética;
  2. a segurança física e a proteção de dados organizacionais;
  3. as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.

Art. 3º A PSI é uma declaração formal acerca do compromisso da SETIC com a proteção das informações de sua propriedade e/ou sob sua guarda, devendo ser cumprida por todos os envolvidos, internamente e externamente à Superintendência, sejam eles servidores, colaboradores, estagiários, prestadores de serviços, ou qualquer cidadão que tenha acesso a dados ou informações da rede de dados da SETIC.

Parágrafo único. O propósito da PSI é estabelecer diretrizes para as normas, procedimentos e instruções referentes à segurança da informação, atribuindo responsabilidades adequadas para o manuseio, tratamento, controle e proteção das informações.

Art. 4º São princípios da PSI:

  1. respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação;
  2. visão abrangente e sistêmica da segurança da informação;
  3. fortalecimento da cultura de segurança da informação na sociedade;
  4. responsabilidade da SETIC na coordenação de esforços e no estabelecimento de políticas, estratégias e diretrizes relacionadas à
  5. intercâmbio científico e tecnológico relacionado à segurança da informação entre os órgãos e entidades da Administração Pública Estadual;
  6. educação como alicerce fundamental para o fomento da cultura em segurança da informação;
  7. articulação entre as ações de segurança cibernética, defesa cibernética, proteção de dados e ativos da informação;
  8. dever dos órgãos, das entidades e dos agentes públicos de garantir o sigilo das informações imprescindíveis à segurança da sociedade e do Estado da intimidade da vida privada, da honra e da imagem das pessoas;
  9. cooperação entre os órgãos de investigação, os demais órgãos e as entidades públicas no processo de credenciamento de pessoas para acesso às informações sigilosas;
  10. integração e cooperação entre o Poder Público, o Setor Empresarial, a Sociedade e as Instituições Acadêmicas.

Art. 5º São objetivos da PSI:

  1. contribuir para a segurança do indivíduo, da sociedade e do Estado, por meio da orientação das ações de segurança da informação, observados os direitos e as garantias fundamentais;
  2. fomentar as atividades de pesquisa científica, de desenvolvimento tecnológico e de inovação relacionadas à segurança da informação;
  3. aprimorar continuamente o arcabouço legal e normativo relacionado á segurança da informação;
  4. fomentar a formação e a qualificação dos recursos de pessoas necessários à área de segurança da informação;
  5. definir o escopo da segurança da informação na SETIC;
  6. permitir a adoção de soluções de segurança integradas;
  7. servir de referência para auditoria, apuração e avaliação de responsabilidades.
  8. orientar, por meio de suas diretrizes, todas as ações de segurança, para reduzir riscos e garantir a integridade, sigilo e disponibilidade das informações dos sistemas de informação e recursos tecnológicos;
  9. orientar ações relacionadas a:
  1. segurança dos dados custodiados por entidades públicas;
  2. segurança da informação das infraestruturas críticas;
  3. proteção das informações das pessoas físicas que possam ter sua segurança ou a segurança das suas atividades afetada, observada a legislação específica;
  4. tratamento das informações com restrição de acesso.

Art. 6º A utilização dos recursos de Tecnologia da Informação e Comunicação - TIC pertencentes à SETIC destina-se estritamente às suas funções corporativas e será monitorada, tendo seus registros administrados e mantidos pelo setor interno de operações.


CAPÍTULO II
DAS REFERÊNCIAS NORMATIVAS

Art. 7º A presente PSI tem como fundamentos as seguintes referências legais e normativas:

  1. Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);
  2. Lei Federal nº 12.965, de 23 de abril de 2014 - Marco Civil da Internet;
  3. Lei Federal nº 12.527, de 18 de novembro de 2011 - Lei de Acesso à Informação (LAI);
  4. Decreto Federal nº 9.637 de 26 de dezembro de 2018 - Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação;
  5. Lei Complementar Estadual nº 68, de 09 de dezembro de 1992 - Dispõe sobre o Regime Jurídico dos Servidores Públicos Civil do Estado de Rondônia;
  6. Decreto Estadual nº 9.832 de 12 de junho de 2019 - Dispõe sobre o Comitê Gestor da Segurança da Informação;
  7. NBR/ISO/IEC 27001/2006 - Estabelece os elementos de um Sistema de Gestão de Segurança da Informação;
  8. NBR/ISO/IEC 27002/2013 - Institui o Código de Melhores Práticas para Gestão de Segurança da Informação;
  9. NBR/ISO/IEC 27005:2008 - Diretrizes para o gerenciamento dos riscos de Segurança da Informação;
  10. Cartilha de Segurança para Internet, desenvolvida pelo CERT.br, mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/;
  11. Instruções Normativas do Departamento de Segurança da Informação (DSI) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR):
  1. NC nº 01/IN01/DSIC/GSI/PR, de 13 de junho de 2008;
  2. NC nº 02, de 14 de outubro de 2008;
  3. NC nº 03, de 3 de julho de 2009;
  4. NC nº 07, de 16 de julho de 2014;
  5. NC nº 09, de 16 de julho de 2014;
  6. NC nº 10, de 10 de fevereiro de 2012;
  7. NC nº 11, de 10 de fevereiro de 2012;
  8. NC nº 12, de 10 de fevereiro de 2012;
  9. NC nº 13, de 10 de fevereiro de 2012;
  10. NC nº 14, de 10 de fevereiro de 2012;
  11. NC nº 16, de 21 de novembro de 2012;
  12. NC nº 17, de 10 de abril de 2013;
  13. NC nº 18, de 10 de abril de 2013;
  14. NC nº 19, de 16 de julho de 2014.

Art. 8º Para os efeitos desta PSI, serão utilizados os conceitos e definições do Glossário de Segurança da Informação do Departamento de Segurança da Informação - DSI do Gabinete de Segurança Institucional da Presidência da República - GSI/PR, instituído pela Portaria nº 93, de 26 de setembro de 2019, publicada no Diário Oficial da União em 01/10/2019, edição 190, seção 1, página 3, e disponível em: http://www.in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663 .


CAPÍTULO III
DA ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO

Art. 9º A SETIC estabelecerá uma estrutura de gerenciamento para iniciar e controlar a implementação da segurança da informação em seu âmbito.

Art. 10º Fica criada a Comissão Permanente de Segurança da Informação - CPSI no âmbito da SETIC, responsável pela gestão da segurança da informação, exercendo suas competências nos termos desta Portaria.

Art. 11º A CPSI será composta por 04 (quatro) servidores com formação técnica na área ou notório conhecimento, presidida por um servidor efetivo dentre estes, a serem designados por portaria própria, pelo Superintendente Estadual de Tecnologia da Informação e Comunicação.

Art. 12º É obrigação de todo servidor que tomar conhecimento de incidente que afete a segurança da informação registrar o ocorrido através de chamado no sistema GLPI (Gestionnaire Libre de Parc Informatique) mantido pela SETIC, para análise da CPSI.


CAPÍTULO IV
DOS DISPOSITIVOS MÓVEIS

Art. 13º Entende-se por “dispositivo móvel” qualquer equipamento eletrônico com atribuições de mobilidade, de propriedade da SETIC ou de propriedade particular, a exemplo de notebooks, smartphones, tablets, televisores e sistemas de assistentes virtuais inteligentes.

Art. 14º Os dispositivos móveis corporativos serão regidos pelas seguintes regras:

  1. quando fornecidos pela SETIC, serão cadastrados, garantindo a sua identificação única, bem como a do usuário responsável pelo uso;
  2. serão utilizados única e exclusivamente por aqueles usuários que assumiram a responsabilidade pelo seu uso;
  3. será expressamente vedado aos usuários instalar aplicativos ou recursos não disponibilizados inicialmente no dispositivo sem permissão da CPSI;
  4. serão implementados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis;
  5. os usuários serão orientados a respeito dos procedimentos de segurança acerca dos dispositivos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade, não sendo admitida a alegação de seu desconhecimento nos casos de uso indevido.

Art. 15º Os dispositivos móveis de propriedade de particulares serão regidos pelas seguintes regras:

  1. o usuário proprietário de dispositivo móvel particular deverá solicitar ao seu chefe imediato a autorização para acesso aos recursos corporativos, conforme necessário;
  2. o chefe imediato definirá a quais recursos ou dados corporativos o dispositivo móvel particular terá acesso;
  3. serão individualmente autorizados pela CPSI, mediante solicitação expressa;
  4. serão cadastrados, garantindo a sua identificação única, bem como a do usuário responsável pelo uso;
  5. serão utilizados mecanismos de autenticação, autorização e registro de acesso do usuário, bem como do dispositivo às conexões de rede e recursos disponíveis;
  6. os usuários serão orientados a respeito dos procedimentos de segurança para os recursos e acessos que lhes forem disponibilizados, mediante a assinatura de Termo de Uso e Responsabilidade, não sendo admitida a alegação de seu desconhecimento nos casos de uso indevido.

Art. 16º Os dispositivos móveis de visitantes serão regidos pelas seguintes regras:

  1. a concessão de seu uso estará vinculada à conscientização do usuário acerca das normas internas de utilização da rede;
  2. obedecerão a procedimentos de controle e concessão de acesso a serem estabelecidos para visitantes que, durante sua permanência nas instalações da SETIC, necessitem conectar seus dispositivos móveis à internet.

Parágrafo único. Considerar-se-á visitante todo e qualquer usuário de rede que não integre o quadro de servidores públicos da SETIC.

Art. 17º O uso indevido do dispositivo móvel caracteriza que o usuário assumiu todos os riscos por sua conduta, tornando-se o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha a causar à SETIC ou a terceiros.

Art. 18º É responsabilidade do usuário, no caso de furto, roubo, extravio ou danos materiais a um dispositivo móvel fornecido pela SETIC, notificar imediatamente seu chefe imediato e a CPSI, devendo simultaneamente procurar a ajuda das autoridades policiais registrando boletim de ocorrência policial, logo que possível, nos casos de furto ou roubo do dispositivo.


CAPÍTULO V
DAS REGRAS PARA UTILIZAÇÃO DO SERVIÇO DE ACESSO REMOTO EXTERNO

Art. 19º As regras para utilização do serviço de acesso remoto externo à rede de dados da SETIC visam à prevenção do acesso não autorizado às informações, evitando ameaças à integridade e sigilo das informações contidas na rede.

Art. 20º O acesso remoto externo à rede de dados da SETIC e a seus serviços corporativos somente será disponibilizado aos usuários que, oficialmente, executem atividade vinculada à atuação governamental e necessitam daquele acesso para execução de atividades externas, desde que devidamente autorizados pelo chefe imediato e certificados pela SETIC.

Art. 21º É vedada a utilização do acesso remoto para fins não relacionados às atividades corporativas.

§ 1º A SETIC irá monitorar e registrar toda conexão remota e de acesso à sua rede de dados.

§ 2º Os administradores de redes poderão ter permissão de acesso remoto aos recursos de TIC da SETIC, quando necessário para o desempenho de suas atribuições.

Art. 22º A solicitação de acesso remoto ocorrerá por meio de chamado registrado no sistema GLPI, contendo as seguintes informações do usuário e do serviço: nome completo; CPF; setor; email e telefone de contato; IP de destino; porta do serviço; tempo de validade do acesso remoto e justificativa.

Art. 23º O serviço de acesso remoto será cancelado nas seguintes

  1. finalização do período especificado na solicitação;
  2. perda da necessidade de utilização do serviço;
  3. transferência ou exoneração do usuário;
  4. identificação de vulnerabilidade, risco ou uso indevido no acesso concedido.

Art. 24º As conexões remotas à rede de dados da SETIC cumprirão os seguintes requisitos:

  1. utilização de certificado digital;
  2. criptografia das senhas e das informações que trafegam entre a estação remota e a rede.

CAPÍTULO VI
DA GESTÃO DE PESSOAS

Art. 25º As responsabilidades pela segurança da informação devem ser mencionadas nas descrições de cargos e funções, bem como nos termos e condições das contratações que envolvam o manuseio de dados, informações ou conhecimentos da SETIC.

Parágrafo único. Os papéis e responsabilidades pela segurança dos ativos de informação deverão ser definidos conforme o cargo, função, estágio ou vínculo estabelecido com a SETIC.

Art. 26º Todos os usuários deverão ser sensibilizados e treinados acerca dos procedimentos de segurança da informação.

Parágrafo único. A SETIC implementará programa de sensibilização para disseminação das informações relativas à segurança da informação, a fim de assegurar que todos os administradores e/ou usuários de sistemas, redes e operações da SETIC estejam cientes dos potenciais riscos de segurança e exposição a que estão submetidos, dando especial ênfase às equipes que possuem tratativas e relações diretas com os usuários finais, e incluindo treinamentos de proteção contra ataques típicos de engenharia social.

Art. 27º O controle operacional de uma atividade crítica não poderá ser atribuição exclusiva de uma única pessoa.

Art. 28º Os procedimentos de segurança da informação serão documentados e implementados, garantindo que todos os servidores, pessoal contratado ou prestadores de serviços transferidos, remanejados, promovidos ou exonerados, tenham todos os seus privilégios de acesso aos sistemas, informações e recursos devidamente revistos, modificados ou revogados, conforme o caso.

§ 1º Quando do afastamento, mudança de responsabilidades e de lotação ou atribuições dentro da organização será de responsabilidade do chefe imediato e do setor de Gestão de Pessoas respectivo a revisão imediata dos direitos de acesso e uso dos ativos.

§ 2º Quando da efetivação do desligamento de usuário, serão suspensos todos os direitos de acesso e uso dos ativos a ele atribuídos, e os ativos por ele produzidos serão mantidos pela SETIC, garantindo o reconhecimento e o esclarecimento da propriedade.

§ 3º Serão registrados e mantidos no sistema E-Estado relatórios sobre movimentações de entrada e saída de servidores.


CAPÍTULO VII
DA GESTÃO E CLASSIFICAÇÃO DE ATIVOS

Art. 29º Os ativos tecnológicos de propriedade da SETIC ou por esta mantidos, a exemplo de redes, sistemas, softwares, estações de trabalho, serviços de Internet, correio eletrônico, entre outros, serão utilizados exclusivamente para o trabalho e os interesses do Estado e da comunidade, e serão administrados e monitorados individualmente.

Art. 30º Equipamentos, tráfego de rede, hardware, softwares de terceiros e sistemas pertencentes a SETIC poderão ser auditados com o objetivo de manutenção preventiva e segurança.

Art. 31º Para todo ativo tecnológico da SETIC será designado um proprietário, assim entendido o servidor responsável pela guarda, manutenção e uso do ativo.

Parágrafo único. O proprietário poderá delegar para um custodiante as tarefas de rotina diária daquele ativo, mediante acordo formal, caso em que a responsabilidade pelo ativo permanece com o proprietário.

Art. 32º Todos os ativos tecnológicos da SETIC serão identificados e classificados quanto à sua importância e criticidade, contendo as informações que ajudem a assegurar a sua proteção efetiva: nome do ativo, proprietário, custodiante, patrimônio, localização, cópia de segurança, criticidade, dentre outros específicos.

Art. 33º A classificação quanto à criticidade dos ativos obedecerá aos seguintes critérios:

  1. Muito Alta (prioridade 0) - quando a interrupção do ativo provoca parada total das atividades;
    2. Alta (prioridade 1) - quando a interrupção do ativo provoca perda das atividades de um ou mais setores;
  2. Média (prioridade 2) - quando a interrupção do ativo provoca perda das atividades de parte de um setor;
  3. Baixa (prioridade 3) - quando a interrupção do ativo provoca perdas de atividade secundárias.

Art. 34º Os ativos tecnológicos, principalmente os classificados como Muito Alta ou Alta criticidade, serão instalados em áreas protegidas contra acessos físicos indesejados.

Art. 35º A rede de dados da SETIC deverá possuir nobreaks e gerador de energia para alimentar eletricamente os equipamentos e os locais classificados como Muito Alta ou Alta criticidade.

Art. 36º O direito de administrador somente será concedido aos usuários de computador previamente autorizados pela CPSI.

Art. 37º Os arquivos com conteúdo de grande importância, cuja perda represente prejuízo para a SETIC ou para o Estado, serão submetidos a uma rotina de backup periódico, mantendo-se uma cópia de segurança em um servidor de rede e outra cópia na nuvem da SETIC.

Art. 38º Somente será permitido utilizar softwares que tenham sido aprovados pela CPSI, a fim de assegurar a integridade da rede corporativa e não permitir que as licenças de software sejam violadas.

§ 1º A instalação de softwares, inclusive navegadores e outros sistemas relacionados à internet, nos equipamentos computacionais da SETIC será feita apenas pelo setor de Service Desk, e desde que o software esteja autorizado pela CPSI, vedada a instalação pelo usuário.

§ 2º Havendo instalação de softwares e sistemas nos equipamentos computacionais da SETIC, sem autorização e/ou licença devida, o usuário se tornará o responsável exclusivo pela sua utilização, arcando com eventuais penalidades e multas de acordo com a legislação vigente.

§ 3º Somente serão instalados softwares e sistemas com suas licenças de uso em dia e devidamente registrados junto ao fabricante.

Art. 39º Os dados, as informações e os sistemas de informação da rede de dados da SETIC serão protegidos preventivamente contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a disponibilidade, integridade, confidencialidade e autenticidade desses ativos e das atividades e serviços da rede de dados da SETIC.

Art. 40º As informações da rede de dados da SETIC serão classificadas por meio de um processo contínuo, determinando os controles e níveis de proteção adequados para as informações de natureza restrita ou sigilosa, de acordo com o valor, sensibilidade e criticidade de cada tipo de informação.

Art. 41º As informações criadas, editadas e/ou armazenadas nos dispositivos da SETIC são propriedade do Governo do Estado de Rondônia, serão controladas e geridas pela SETIC, podendo ser acessadas sempre que necessário com a preservação da sua integridade e confidencialidade, sendo adequadamente protegidas e utilizadas exclusivamente para fins relacionados às atividades corporativas.


CAPÍTULO VIII
DO CONTROLE DE ACESSO

Art. 42º A conta de acesso é o instrumento para identificação do usuário na rede de dados da SETIC e caracteriza-se por ser de uso individual e intransferível, vedando-se a sua divulgação sob qualquer hipótese.

§ 1º Contas para terceiros e estagiários deverão ser criadas com prazo final de atividade, prorrogável em caso de necessidade, sendo imediatamente bloqueadas após o vencimento assinalado.

§ 2º Contas para terceiros e estagiários deverão ser mantidas em Unidades Organizacionais - OU separadas das contas relativas ao órgão de lotação, mesmo nos casos de possuírem os mesmos privilégios.

Art. 43º A solicitação de criação de conta de acesso de usuário aos serviços de rede de dados da SETIC será feita pelo chefe imediato, via chamado registrado no sistema GLPI.

§ 1º O chamado informará o nome completo do usuário, CPF, e-mail particular, setor no qual desempenha suas atividades, matrícula, justificativa da necessidade da conta de acesso e quais serviços serão necessários, como rede local, internet, correio eletrônico, sistemas e/ou dados.

§ 2º A SETIC efetuará a análise do cadastro e, caso aprovado, informará ao interessado o seu usuário e a senha inicial provisória, bem como encaminhará Termo de Compromisso para assinatura, acompanhado de cópia desta Política de Segurança da Informação, tudo através do email particular informado.

Art. 44º A solicitação de exclusão de uma conta ou acesso a um sistema, será solicitada pelo chefe imediato à CPSI, por meio de memorando no Sistema de Processo Eletrônico Oficial do Estado, assinado, informando o nome completo do usuário, o acesso que deve ser removido e justificativa da exclusão.

Parágrafo único. Quando da mudança de setor ou exoneração, o chefe imediato deverá comunicar ao setor de Data Center, via chamado no GLPI, para que o remanejamento ou bloqueio do usuário seja realizado.

Art. 45º A senha de acesso é confidencial, intransferível, individual, e não compartilhável, devendo ser trocada pelo usuário no primeiro acesso e, posteriormente, a cada 42 dias.

§ 1º A senha deverá conter no mínimo 7 (sete) caracteres, não sendo recomendados:

  1. o mesmo nome do login de usuário para senha, por exemplo: Usuário: “maria”, Senha: “maria”;
  2. o nome do usuário ou combinações deste;
  3. nomes de familiares, animais de estimação, datas de aniversário ou número de telefone;
  4. nome de clubes de esportes;
  5. informações pessoais ou fáceis de serem obtidas;
  6. repetição de números e/ou letras, por exemplo: “111111”, “aaabbb”;
  7. palavras que existam em dicionários, catálogos ou listas conhecidas, mesmo que escritas de trás para frente.

§ 2º São recomendados para uso em senhas:

  1. caracteres alfanuméricos, por exemplo: “Ip253O4”;
  2. caracteres mistos com maiúsculas e minúsculas, a exemplo de “IpSTmya”;
  3. caracteres especiais, como “#”, “@”, “$”, “%”, “&”, “!”, “*”, “?”, “_”, “/”, “>”: “,”; “{“, “]”, “=”, “+”.

§ 3º Não será permitida a repetição das 4 (quatro) últimas senhas utilizadas.

§ 4º Não deverão ser reveladas senhas pelo telefone, e-mail ou por qualquer outro meio, mesmo que para o chefe, assistentes ou secretárias.

§ 5º Não deverão ser reveladas senhas para colegas de trabalho, nem mesmo quando o servidor estiver em férias ou licença.

Art. 46º A conta será bloqueada depois de 5 (cinco) tentativas inválidas de entrada, podendo o seu desbloqueio ser obtido por meio de chamado no GLPI.

Art. 47º As contas inativas por mais de 90 (noventa) dias corridos serão bloqueadas, podendo o seu desbloqueio ser obtido por meio de chamado no GLPI.

Art. 48º O chefe imediato será o responsável pelas contas de acesso à rede de dados pertencentes ao seu setor.

§ 1º O usuário é o responsável por qualquer acesso aos serviços realizados com sua conta.

§ 2º No caso de evidências de uso irregular dos recursos de acesso a serviços, o usuário terá seu acesso bloqueado para averiguação e, em sendo constatada irregularidade, será realizado o imediato cancelamento do acesso ao serviço e serão aplicadas as penalidades, de acordo com a legislação vigente.

§ 3º O usuário infrator deverá ser notificado e a ocorrência de transgressão comunicada ao seu chefe imediato, à diretoria correspondente e à CPSI.


CAPÍTULO IX
DO CORREIO ELETRÔNICO

Art. 49º O uso do correio eletrônico, também denominado e-mail, é limitado aos fins corporativos e relacionados às atividades do usuário como um instrumento de comunicação interna e externa, no desempenho de funções profissionais na SETIC.

Art. 50º O correio eletrônico corporativo oficial é unicamente aquele de domínio "@setic.ro.gov.br", com exclusão de qualquer outro, não sendo aceitas como oficiais mensagens enviadas por domínio diverso.

Art. 51º A nomenclatura de endereços eletrônicos deve obedecer à composição utilizada para login do usuário (<último sobrenome>), seguido de "@setic.ro.gov.br".

Parágrafo único. É proibida a utilização de apelidos na nomenclatura de endereços eletrônicos.

Art. 52º O uso do correio eletrônico é pessoal e intransferível, sendo o titular da conta responsável por toda mensagem enviada pelo seu endereço de e-mail eletrônico.

§ 1º Para os grupos de endereços, ou e-mail de grupo, o criador do grupo será proprietário da conta e responsável por todas as mensagens enviadas.

§ 2º E-mails setoriais, quando necessários, serão de responsabilidade do chefe do setor, exigindose a apresentação de documento de nomeação do mesmo para a criação do e-mail.

Art. 53º O acesso às mensagens de correio eletrônico está restrito ao remetente e ao destinatário, sendo o seu conteúdo inviolável, salvo por determinação administrativa ou por motivo de segurança institucional, casos em que o acesso deverá ser expressamente autorizado pela CPSI.

Parágrafo único. A leitura indevida de mensagens de correio eletrônico alheias estará sujeita às sanções administrativas, cíveis e criminais previstas na legislação vigente.

Art. 54º As mensagens de correio eletrônico deverão ser escritas em linguagem profissional e impessoal, observando a norma padrão da língua portuguesa, zelando pela imagem da SETIC e do Governo do Estado, pelo pleno respeito à legislação vigente e pelos princípios éticos da organização.

Art. 55º Os usuários devem sempre verificar se a mensagem recebida é de fonte fidedigna, a fim de impedir a instalação de arquivos maliciosos e, em havendo alguma suspeita quanto à mensagem, seu teor ou origem, o usuário deve informá-la à CPSI.

Art. 56º O e-mail corporativo não deve ser considerado um ambiente seguro pois, considerando que as mensagens de e-mail são transmitidas através da internet, um meio não propriamente seguro, a SETIC não pode garantir que as mensagens sejam lidas somente pelo remetente e o destinatário final, ou que não sejam alteradas durante o percurso, ou ainda que tenham sido criadas pela fonte declarada.

Art. 57º São deveres, responsabilidades do usuário e recomendações para o uso do correio eletrônico:

  1. o usuário é o responsável pelas mensagens enviadas por intermédio do seu endereço de correio eletrônico;
  2. o mau uso de uma conta de correio por terceiros será responsabilidade de seu titular, sujeitando-o às penalidades de acordo com a legislação vigente;
  3. não enviar mensagens não autorizadas, divulgando informações sigilosas e/ou de propriedade da SETIC;
  4. não utilizar o e-mail corporativo para assuntos pessoais;
  5. adotar o hábito de leitura dos e-mails diariamente;
  6. enviar e-mails apenas para destinatários que realmente precisam da informação;
  7. não acessar, quando não autorizado, a caixa postal de outro usuário e/ou ao Banco de Dados do correio eletrônico;
  8. não enviar, armazenar nem manusear material que contrarie o disposto nesta PSI, a legislação vigente, a moral, os bons costumes e a ordem pública;
  9. não enviar, armazenar nem manusear material que caracterize a divulgação, incentivo ou prática de atos ilícitos, proibidos pela lei ou pela presente PSI, lesivos aos direitos e interesses da SETIC ou de terceiros, ou que, de qualquer forma, possam danificar, inutilizar, sobrecarregar ou deteriorar os recursos tecnológicos, bem como os documentos e arquivos de qualquer tipo, do usuário ou de terceiros;
  10. não enviar, armazenar nem manusear material que caracterize:
  1. promoção, divulgação ou incentivo a ameaças, difamação ou assédio a outras pessoas;
  2. assuntos de caráter obsceno;
  3. prática de qualquer tipo de discriminação relativa à raça, sexo ou credo religioso;
  4. distribuição de qualquer material que caracterize violação de direito autoral garantido por lei;
  5. uso para atividades com fins comerciais e/ou o uso extensivo para assuntos pessoais ou privados;
  1. não utilizar o sistema de correio eletrônico para envio de mensagens do tipo “corrente”;
  2. não utilizar as listas e/ou caderno de endereços da SETIC para a distribuição de mensagens que não sejam de estrito interesse funcional e/ou sem a devida permissão do responsável;
  3. evitar todo e qualquer procedimento de uso do correio eletrônico não previsto nesta PSI, que possa afetar de forma negativa a SETIC ou o Governo do Estado de Rondônia;
  4. caso receba uma mensagem de correio eletrônico originada na internet de um remetente não confiável ou suspeito, esta deverá ser descartada, antes mesmo de ser aberta;
  5. garantir que cada um dos arquivos anexados possua o seu nível de confidencialidade, de acordo com a classificação da informação, em relação ao destinatário e aos copiados;
  6. encaminhar arquivos anexados por correio eletrônico somente quando for imprescindível, principalmente, quando houver usuários externos envolvidos na troca de mensagens;
  7. não enviar mensagens que representem sua opinião pessoal, colocando-a em nome da SETIC.

Art. 58º São deveres, responsabilidades e recomendações dos administradores do correio eletrônico:

  1. verificar periodicamente a conta postmaster, para detectar eventuais problemas que possam estar ocorrendo no servidor e na entrega de e-mail dos usuários;
  2. criar as contas “security” e “abuse” nos servidores de domínio;
  3. configurar o servidor de correio para enviar e-mail só após a autenticação do Usuário, utilizando configurações do tipo “smtp auth”, “smtp after pop”, etc;
  4. implementar medidas para filtragem de vírus no sistema de correio eletrônico;
  5. implementar medidas para filtragem de spam e e-mails indesejados (correntes, mensagens obscenas, propaganda, etc.) no sistema de correio eletrônico;
  6. monitorar o funcionamento do servidor de correio eletrônico, em termos de número de conexões, número de mensagens enviadas e recebidas, número de mensagens bloqueadas, banda consumida na rede, etc.

Art. 59º Os anexos serão utilizados quando estritamente necessários para as atividades relacionadas ao trabalho e devem ter tamanhos máximos de 25 MB por mensagem.

Parágrafo único. Não é permitido anexar arquivos classificados como de acesso restrito ou sigiloso.

Art. 60º Ficam limitadas ao tamanho máximo de 5 GB as caixas de e-mail, sendo dever dos usuários excluir e-mails considerados desnecessários para a sua atividade funcional.





CAPÍTULO X
DO ACESSO À INTERNET





CAPÍTULO XI
DAS ESTAÇÕES DE TRABALHO E DA REDE INTERNA





CAPÍTULO XII
DA CRIPTOGRAFIA





CAPÍTULO XIII
DA SEGURANÇA FÍSICA E DO AMBIENTE





CAPÍTULO XIV
DA SEGURANÇA NAS OPERAÇÕES





CAPÍTULO XV
DA SEGURANÇA NAS COMUNICAÇÕES





CAPÍTULO XVI
DO DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS





CAPÍTULO XVII
DA CONFORMIDADE





CAPÍTULO XVIII
DISPOSIÇÕES FINAIS





ANEXO I





ANEXO II


playground/seguranca.1636392701.txt.gz · Última modificação: 2022/01/25 15:26 (edição externa)

Ferramentas da página

Exceto onde for informado ao contrário, o conteúdo neste wiki está sob a seguinte licença: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki