Política de Segurança da Informação e Comunicações - Crea-MT

Transcrição

CONSELHO REGIONAL DE ENGENHARIA E AGRONOMIA DO MATO GROSSO
SERVIÇO PÚBLICO FEDERAL–ORGÃO DE FISCALIZAÇÃO DA ENGENHARIA E DA AGRONOMIA
Av. Hist. Rubens de Mendonça, 491 - Araés - Cuiabá-MT - 78.008-000 - 0800-647-3033
www.crea-mt.org.br - [email protected]
POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO E COMUNICAÇÕES
DIRETRIZES E NORMAS
CREA-MT
_________________________________________________________________________________________________________
Av. Hist. Rubens de Mendonça, 491 - Araés - Cuiabá-MT - 78.008-000 (65) 3315-3073
Página | 1
CONSELHO REGIONAL DE ENGENHARIA E AGRONOMIA DE MATO GROSSO
DIRETORIA
Presidente
Juares Silveira Samaniego
1º Vice-Presidente
Kateri Dealtina Feslsy dos Anjos
2º Vice - Presidente
Joaquim Paiva de Paula
Diretor Administrativo
Davi Martinotto
Vice - Diretor Administrativo
Eduardo Delmondes Goes
Diretor Financeiro
Luiz Benedito de Lima Neto
Vice - Diretor Financeiro
André Luiz Schuring
GRUPO TÉCNICO DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES
Componentes:
GETEC - Marcos Antônio da Silva
SOP – Marcia Margareth dos Santos Caldas
GECOM – Rafaela Maximiano Alves
CRHU – Mariselia da Silva Campos
CONTROLADORIA – Manoel Roberto de Almeida Neto
_________________________________________________________________________________________________________
Página | 2
Escopo
A Política de segurança da Informação e Comunicações (PoSIC) tem como compromisso promover
ações que objetivam viabilizar e assegura a disponibilidade, a integridade, a confidencialidade e a
autenticidade das informações, visando orientar todos os membros, servidores e estagiários do
CREA-MT e demais agentes públicos ou particulares que, oficialmente, executem atividades
vinculada à atuação institucional com o CREA-MT. Deve, portanto, ser cumprida e aplicada em todas
as área da instituição.
A Gerência de Tecnologia da Informação é a Unidade competente para dirimir eventuais
dúvidas, aplicar e orientar quanto à aplicação da Política de Segurança da Informação do CREA‐MT.
Objetivos
O orientar sobre as legislações e normas de SIC, desenvolvidas pelos membros da comissão de segurança da
informação do CREA-MT, além de estudos técnicos sobre as legislações e normas de SIC. Nortear a definição
de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles
e processos para seu atendimento.
Abrangência e Vigência.
Requisitos de Segurança Humana;
Requisitos de Segurança Física;
Requisitos de Segurança Lógica;
Requisitos de Segurança dos Recursos Criptográficos.
A Política de segurança da Informação e Comunicações (PoSIC) do CREA-MT, tem prazo de
validade indeterminado, portanto, sua vigência se estenderá até a edição de outro marco normativo
que a atualize ou a revogue.
Conceitos e Definições
Os conceitos e definições constantes deste item se aplicam de forma a auxiliar a interpretação da Política de
Segurança da Informação e das Comunicações do CREA-MT e também no estabelecimento de futuras normas
complementares.
_________________________________________________________________________________________________________
Página | 3
A informação é um ativo essencial para os negócios do Conselho Regional de Engenharia e Agronomia de
Mato Grosso e consequentemente necessita ter uma proteção adequada, em especial nos ambientes
interconectados onde é crescente o número e a variedade de ameaças e vulnerabilidades.
A estrutura normativa da SIC do Conselho Regional de Engenharia e Agronomia de Mato Grosso será
composta por um conjunto de documentos com dois níveis hierárquicos distintos, relacionados a seguir:
Política de Segurança da Informação e Comunicações (PoSIC): Define a estrutura, as diretrizes e as obrigações
referentes à SIC.
Normas Internas (NIs): Estabelece responsabilidades e procedimentos definidos de acordo com as diretrizes
da PoSIC. Tem como objetivos:
Definir regras e instrumentos de controle para assegurar a conformidade de processos, produtos ou serviços;
Proporcionar meios mais eficientes na troca de informações, melhorando a confiabilidade das atividades
públicas e dos serviços prestados pelo Conselho Regional de Engenharia e Agronomia de Mato Grosso;
Evitar a existência de regulamentos conflitantes sobre processos, produtos ou serviços.
Para os fins desta Política de Segurança da Informação e Comunicação, considera-se:
Acesso Lógico – acesso a redes de computadores, sistemas e estações de trabalho por meio de
autenticação;
Acesso Remoto – ingresso, por meio de uma rede, aos dados de um computador fisicamente distante
da máquina do usuário;
ADSL (Asymmetric Digital Subscriber Line) – (Linha Digital Assimétrica para Assinante)
tecnologia de transmissão que possibilita o transporte de voz e dados a alta velocidade através da rede
telefônica convencional, analógica ou digital;
Ameaça – conjunto de fatores externos ou causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização;
Análise/avaliação de riscos – processo completo de análise e avaliação de riscos;
Ativo – qualquer bem, tangível ou intangível, que tenha valor para a organização;
_________________________________________________________________________________________________________
Página | 4
Ativo da Informação – os meios de armazenamento, transmissão e processamento, os sistemas de
informação, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso;
Ativo Sigiloso – qualquer bem tangível ou intangível que possa conter informações sigilosas que, se
acessadas por pessoas não autorizadas, podem causar danos significativos à organização;
Auditoria – verificação e avaliação dos sistemas e procedimentos internos com o objetivo de reduzir
fraudes, erros, práticas ineficientes ou ineficazes;
Autenticação – é o ato de confirmar que algo ou alguém é autêntico, ou seja, uma garantia de que
qualquer alegação de ou sobre um objeto é verdadeira;
Autenticidade – propriedade de que a informação foi produzida, expedida, modificada ou destruída
por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;
Banco de Dados (ou Base de Dados) – é um sistema de armazenamento de dados, ou seja, um
conjunto de registros que tem como objetivo organizar e guardar as informações.
Biometria – uso de mecanismos de identificação para restringir o acesso a determinados lugares ou
serviços. Exemplos de identificação biométrica: através da íris (parte colorida do olho), da retina
(membrana interna do globo ocular), da impressão digital, da voz, do formato do rosto e da geometria
da mão;
Bloqueio de acesso – processo que tem por finalidade suspender temporariamente o acesso;
Bluetooth – tecnologia de transmissão de dados via sinais de rádio de alta frequência, entre
dispositivos eletrônicos próximos;
Classificação da informação – atribuição, pela autoridade competente, de grau de sigilo dado à
informação, documento, material, área ou instalação;
Confidencialidade – propriedade de que a informação não esteja disponível ou revelada a pessoa
física, sistema, órgão ou entidade não autorizado e credenciado;
Contingência – descrição de medidas a serem tomadas por uma empresa, incluindo a ativação de
processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num
estado minimamente aceitável, o mais rápido possível, evitando assim uma paralisação prolongada
que possa gerar maiores prejuízos à corporação;
_________________________________________________________________________________________________________
Página | 5
Controle de Acesso – conjunto de procedimentos, recursos e meios utilizados com a finalidade de
conceder ou bloquear o acesso;
Cópia de Segurança (Backup) – copiar dados em um meio separado do original, de forma a protegêlos de qualquer eventualidade. Essencial para dados importantes;
Correio Eletrônico – é um método que permite compor, enviar e receber mensagens através de
sistemas eletrônicos de comunicação;
Credenciais ou contas de acesso – permissões, concedidas por autoridade competente após o
processo de credenciamento, que habilitam determinada pessoa, sistema ou organização ao acesso. A
credencial pode ser física como crachá,cartão e selo ou lógica como identificação de usuário e senha;
CMST – Coordenadoria de Manutenção e Suporte Técnico;
CRHU – Coordenadoria de Recursos Humanos;
Criptografia – é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada
da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário
(detentor da "chave secreta");
Custódia – consiste na responsabilidade de se guardar um ativo para terceiros. Entretanto, a custódia
não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros;
Dado – representação de uma informação, instrução, ou conceito, de modo que possa ser armazenado
e processado por um computador;
Direito de Acesso – é o privilégio associado a um cargo, pessoa ou processo para ter acesso a um
ativo;
Diretriz – descrição que orienta o que deve ser feito, e como, para se alcançar os objetivos
estabelecidos nas políticas;
Disponibilidade – propriedade de que a informação esteja acessível e utilizável sob demanda por
uma pessoa física ou determinado sistema, órgão ou entidade;
Dispositivos móveis – Consiste em equipamentos portáteis dotados de capacidade computacional,
e dispositivos removíveis de memória para armazenamento, entre os quais se incluem, não se
_________________________________________________________________________________________________________
Página | 6
limitando a estes: notebooks, netbooks, smartphones, tablets, pendrives, USB drives, HDs externos e
cartões de memória;
Download – (Baixar) copiar arquivos de um servidor (site) na internet para um computador pessoal;
Espelhamento – Sistema de proteção de dados onde o conteúdo é espelhado em tempo real. Todos
os dados são duplicados entre as áreas de armazenamento disponíveis.
Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) – grupo de
pessoas com a responsabilidade de receber, analisar e responder às notificações e atividades
relacionadas a incidentes de segurança em redes de computadores;
Ferramentas – é um conjunto de equipamentos, programas, procedimentos, normas e demais
recursos através dos quais se aplica a Política de Segurança da Informação do CREA-MT;
FTP (File Transfer Protocol) – (Protocolo de Transferência de Arquivo) é um protocolo da Internet
para transferência de arquivos;
GETEC –Gerência de Tecnologia da Informação do CREA-MT;
Gestão de Continuidade de Negócios – Processo de gestão global que identifica as potenciais
ameaças para uma organização e os impactos nas operações da instituição que essas ameaças, se
concretizando, poderiam causar, e fornecendo e mantendo um nível aceitável de serviço face a
rupturas e desafios à operação normal do dia-a-dia;
Gestão de Risco – conjunto de processos que permite identificar e implementar as medidas de
proteção necessárias para minimizar ou eliminar os riscos a que estão sujeitos os seus ativos de
informação, e equilibrá-los com os custos Operacionais e financeiros envolvidos;
Gestão de Segurança da Informação e Comunicações – conjunto de processos que permite
identificar e implementar as medidas de proteção necessárias para minimizar ou eliminar os riscos a
que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e
financeiros envolvidos;
Gestor da Informação – pessoa responsável pela administração de informações geradas em seu
processo de trabalho e/ou sistemas de informação relacionados às suas atividades;
Gestor de Segurança da Informação e das Comunicações – é responsável pelas ações de segurança
da informação e comunicações no âmbito do CRE-MT;
_________________________________________________________________________________________________________
Página | 7
Hardware – É a parte física do computador, conjunto de componentes eletrônicos, circuitos
integrados e periféricos, como a máquina em si, placas, impressora, teclado e outros;
HTTP (Hyper Text Transfer Protocol) – (Protocolo de Transferência de Hipertexto) é uma
linguagem para troca de informação entre servidores e clientes da rede;
HTTPS (HyperText Transfer Protocol Secure) – (Protocolo de Transferência de Hipertexto
Seguro) é uma linguagem para troca de informação entre servidores e clientes da rede, com recursos
de criptografia, autenticação e integridade;
Incidente de Segurança – qualquer evento adverso, confirmado ou sob suspeita, ou ocorrência que
promova uma ou mais ações tendentes a comprometer ou ameaçar a disponibilidade, a integridade,
confidencialidade ou a autenticidade de qualquer ativo de informação do Conselho Regional de
Engenharia e Agronomia de Mato Grosso;
Informação – dados, processados ou não, que podem ser utilizados para produção e transmissão de
conhecimento, contidos em qualquer meio, suporte ou formato;
Informações Críticas – são as informações de extrema importância para a sobrevivência da
instituição;
Informação sigilosa – informação submetida temporariamente à restrição de acesso público em razão
de sua imprescindibilidade para a segurança da sociedade e do Estado, e aquelas abrangidas pelas
demais hipóteses legais de sigilo;
Instant Messenger – (Mensageiro instantâneo) é uma aplicação que permite o envio e o recebimento
de mensagens em tempo real;
Integridade – propriedade de que a informação não foi modificada ou destruída de maneira não
autorizada ou acidental;
Internet – rede mundial de computadores;
Internet Protocol – (Protocolo de Internet) é um protocolo de comunicação usado entre duas ou mais
máquinas em rede para encaminhamento dos dados;
Intranet – rede de computadores privada que faz uso dos mesmos protocolos da Internet. Pode ser
entendida como rede interna de alguma instituição em que geralmente o acesso ao seu conteúdo é
restrito;
_________________________________________________________________________________________________________
Página | 8
Log – é o termo utilizado para descrever o processo de registro de eventos relevantes num sistema
computacional. Esse registro pode ser utilizado para reestabelecer o estado original de um sistema ou
para que um administrador conheça o seu comportamento no passado. Um arquivo de log pode ser
utilizado para auditoria e diagnóstico de problemas em sistemas computacionais;
Logon – procedimento de identificação e autenticação do usuário nos Recursos de Tecnologia da
Informação. É pessoal e intransferível;
Logoff – processo de encerramento do uso de um sistema computacional ou recursos de rede,
removendo as credenciais de acesso;
On line – (Estar disponível ao vivo) no contexto da Internet significa estar disponível para acesso
imediato, em tempo real;
Perfil de acesso – conjunto de atributos de cada usuário, definidos previamente como necessários
para credencial de acesso;
Plano de Contingência - Descrever as medidas a serem tomadas por uma empresa, incluindo a
ativação de processos manuais, para fazer com que seus processos críticos voltem a funcionar
plenamente, ou num estado minimamente aceitável, o mais rápido possível, evitando assim uma
paralisação prolongada;
Plano de Continuidade de Negócios – documentação dos procedimentos e informações necessárias
para que os órgãos ou entidades da APF mantenham seus ativos de informação críticos e a
continuidade de suas atividades críticas em local alternativo num nível previamente definido, em
casos de incidentes;
Peer-to-peer (P2P) – (Ponto a ponto) permite conectar o computador de um usuário a outro, para
compartilhar ou transferir dados, como MP3, jogos, vídeos, imagens, entre outros;
Política de Segurança da Informação e das Comunicações (POSIC) – documento aprovado pela
autoridade responsável pelo órgão ou entidade da Administração Pública Federal, direta e indireta,
com o objetivo de fornecer diretrizes, critérios e Suporte administrativo suficientes à implementação
da segurança da informação e comunicações;
Protocolo – convenção ou padrão que controla e possibilita uma conexão, comunicação, transferência
de dados entre dois sistemas computacionais. Método padrão que permite a comunicação entre
processos, conjunto de regras e procedimentos para emitir e receber dados numa rede;
_________________________________________________________________________________________________________
Página | 9
Proxy – é um serviço intermediário entre as estações de trabalho de uma rede e a Internet. O servidor
de rede proxy serve para compartilhar a conexão com a Internet, melhorar o desempenho do acesso,
bloquear acesso a determinadas páginas;
Quebra de segurança – ação ou omissão, intencional ou acidental, que resulta no comprometimento
da segurança da informação e das comunicações;
Recursos Computacionais – recursos que processam, armazenam e/ou transmitem informações, tais
como aplicações, sistemas de informação, estações de trabalho, notebooks, servidores de rede,
equipamentos de conectividade e infraestrutura;
Rede Corporativa – conjunto de todas as redes locais sob a gestão da instituição;
Rede Pública – rede de acesso a todos;
Redes Sociais – estruturas sociais, disponíveis na rede mundial de computadores (Internet),
compostas por pessoas ou organizações, conectadas por um ou vários tipos de relações, que partilham
valores e objetivos comuns;
Replicação – é a manutenção de cópias idênticas de dados em locais diferentes. O objetivo de um
mecanismo de replicação de dados é permitir a manutenção de várias cópias idênticas de um mesmo
dado em vários sistemas de armazenamento;
Roteador – equipamento responsável pela troca de informações entre redes;
Sala Cofre – é uma sala fortificada que pode ser instalada em uma instituição, provendo um local
seguro de invasões e outras ameaças. São ambientes projetados para resistir a vários tipos de
catástrofes. Suportam, por exemplo, temperaturas de até 1.200 graus Celsius, inundações, cortes
bruscos de energia, gases corrosivos, explosões e até ataques nucleares;
Sala Segura – sala que proporciona um ambiente seguro no Datacenter, oferecendo maior garantia
no armazenamento de informações eletrônicas. Uma Sala Segura possui gerador próprio, instalação
elétrica independente, paredes especiais, piso elevado, ar-condicionado, detecção e combate a
incêndios, iluminação, sinalização de emergência e monitoração do ambiente;
Segurança da Informação e Comunicações – ações que objetivam viabilizar e assegurar a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;
_________________________________________________________________________________________________________
Página | 10
Senha Fraca ou Óbvia – é aquela onde se utilizam caracteres de fácil associação com o dono da
senha, ou que seja muito simples ou pequenas, tais como: datas de aniversário, casamento,
nascimento, o próprio nome, o nome de familiares, sequências numéricas simples, palavras e unidades
léxicas que constem de dicionários de qualquer língua, dentre outras;
Servidor de Rede – recurso de TI com a finalidade de disponibilizar ou gerenciar serviços ou
sistemas informáticos;
Servidor – pessoa legalmente investida em cargo público;
Sistemas de Informação – conjunto de meios de comunicação, computadores e redes de
computadores, assim como dados e informações que podem ser armazenados, processados,
recuperados ou transmitidos por serviços de telecomunicações, inclusive aplicativos, especificações
e procedimentos para sua operação, uso e manutenção;
Sistema de Segurança da Informação (SIC) – proteção de um conjunto de dados, no sentido de
preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da
segurança da informação os atributos de confidencialidade, integridade, disponibilidade e
autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações
eletrônicas ou sistemas de armazenamento;
Software – são todos os programas existentes em um computador, como sistema operacional,
aplicativos, entre outros;
Site – Conjunto de páginas virtuais dinâmicas ou estáticas, que tem como principal objetivo fazer a
divulgação da instituição;
Smartcard – dispositivo portátil utilizado para incrementar a segurança do processo de logon;
Streaming – transferência de dados (normalmente áudio e vídeo) em fluxo contínuo por meio da
Internet;
Switches – Um switch de rede é um equipamento eletrônico de comutação que funciona como um
nó central numa rede no formato estrela, armazenando em memória o endereço físico de todos os
computadores conectados a ele, relacionando cada endereço físico a uma de suas portas e permitindo
assim a interligação entre os dispositivos conectados;
Termo de Responsabilidade – termo assinado pelo usuário concordando em contribuir com a
disponibilidade, a integridade, a confidencialidade e a autenticidade das informações que tiver acesso,
bem como assumir responsabilidades decorrentes de tal acesso;
_________________________________________________________________________________________________________
Página | 11
Token – dispositivo portátil utilizado para incrementar a segurança do processo de logon;
Tratamento da informação – recepção, produção, reprodução, utilização, acesso, transporte,
transmissão, distribuição, armazenamento, eliminação e controle da informação, inclusive as
sigilosas;
Tratamento de Incidentes de Segurança em Redes Computacionais – serviço que consiste em
receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de
segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e
também a identificação de tendências;
Trilhas de Auditoria – são rotinas específicas programadas nos sistemas para fornecerem
informações de interesse da auditoria. São entendidas como o conjunto cronológico de registros (logs)
que proporcionam evidências do funcionamento do sistema. Esses registros podem ser utilizados para
reconstruir, rever/revisar e examinar transações desde a entrada de dados até a saída dos resultados
finais, bem como para avaliar/rastrear o uso do sistema, detectando e identificando usuários não
autorizados;
Usuário – diretor, conselheiro, inspetores, comissionado, empregado público do CREA-MT,
prestador de serviço, consultor externo, auditores e estagiários que obtiveram autorização do
responsável pela área interessada para desempenho de suas atividades ao acesso aos Ativos de
Informação do CREA-MT, formalizada por meio da assinatura do Termo de Responsabilidade;
VLAN (Virtual Local Area Network ou Virtual LAN) – (Rede Local Virtual) é um agrupamento
lógico de estações, serviços e dispositivos de rede que não estão restritos a um segmento físico de
uma rede local;
VPN (Virtual Private Network) – (Rede Privada Virtual) é uma rede de dados privada que faz uso
das infraestruturas públicas de telecomunicações, preservando a privacidade, logo é a extensão de
uma rede privada que engloba conexões com redes compartilhadas ou públicas. Com uma VPN podese enviar dados entre dois computadores através de uma rede compartilhada ou pública de uma
maneira que emula uma conexão ponto a ponto privada;
Vulnerabilidade – conjunto de fatores internos ou causa potencial de um incidente indesejado, que
podem resultar em risco para um sistema ou organização, os quais podem ser evitados por uma ação
interna de segurança da informação;
_________________________________________________________________________________________________________
Página | 12
Wireless (rede sem fio) – rede que permite a conexão entre computadores e outros dispositivos
através da transmissão e recepção de sinais de rádio.
PRINCÍPIOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO
Garantir direito pessoal e coletivo à intimidade e ao sigilo da correspondência e das comunicações
individuais;
A proteção dos dados, informações e conhecimentos produzidos no CREA-MT classificados como
sigilosos.
REGRAS GERAIS
Gestão de Segurança
Art. 1º - As diretrizes de segurança da informação, estabelecidas a seguir, são aplicáveis às
informações armazenadas e em trânsito, ao uso de todos os ativos de propriedade ou sob a
responsabilidade do CREA‐MT. A elas estão submetidos todos os conselheiros, diretores, inspetores,
funcionários do CREA‐MT, consultores externos, estagiários e prestadores de serviço, incumbindo a
cada um a responsabilidade e o comprometimento para a sua ação.
Art. 2º - As ações de segurança visam reduzir riscos e garantir a integridade, confidencialidade,
legalidade e disponibilidade das informações dos sistemas e recursos do CREA‐MT.
Art. 3º - A informação sob responsabilidade do CREA‐MT é um bem público e deve ser protegida
contra alteração, destruição e divulgação não autorizadas, acidentais ou intencionais;
Art. 4º - A segurança da informação é responsabilidade de todos.
Art. 5º - A Política de Segurança da Informação do CREA‐MT se destina a:
a) Servir de referência para auditoria, apuração e avaliação de responsabilidades.
b) Definir e executar procedimentos específicos para assegurar a confidencialidade, a disponibilidade,
a integridade e a legalidade da informação.
c) Capacitar e qualificar tecnicamente as pessoas no trato da informação.
d) Buscar as melhores práticas de segurança com base nas normas e legislação vigentes.
e) Identificar e avaliar regularmente, ameaças e riscos.
_________________________________________________________________________________________________________
Página | 13
Art. 6º - O cumprimento desta Política é obrigatório e deve ser considerado como condição de
emprego.
Art. 7º - A proteção da informação deve ser realizada de forma preventiva, bem como deve ser
garantida a recuperação da informação.
Art. 8º - As restrições de acesso às informações devem ser estabelecidas de acordo com a
classificação definida pelo gestor da informação.
Art. 9º - A permissão de acesso à informação está sempre relacionada à necessidade da função
desempenhada dentro do CREA‐MT e não à própria pessoa.
Art. 10º - Acesso à rede e aos sistemas corporativos, por agentes públicos do CREA‐MT ou não,
através de equipamentos operados fora das instalações físicas, deve ser realizado atendendo as
diretrizes desta Política e os normativos específicos sobre o assunto.
Art. 11º - Todas as informações corporativas devem possuir mecanismos de cópia e recuperação de
modo a assegurar a continuidade dos negócios do CREA-MT, devendo os arquivos de backup ser
guardados e protegidos em local adequado e de acesso restrito.
Art. 12º - Os ambientes e sistemas elétricos de desenvolvimento, homologação, rede, suporte e
produção de sistemas corporativos devem ser segregados.
Art. 13º - A responsabilização do usuário pelos atos que comprometam a segurança do sistema de
informação.
Art. 14º - Todos os ativos de informação estão sujeitos a monitoração e auditora, e que os registros
assim obtidos poderão ser utilizados para detecção de violações da PoSIC e demais regulamentações
em vigor.
Art. 15º - Os recursos de tecnologia da informação de propriedade do CREA-MT são fornecidos para
uso corporativo, para os fins a que se destinam e no interesse da administração. É considerada
imprópria a utilização desses recursos para propósitos não profissionais ou não autorizados. Os
usuários e visitantes que tomarem conhecimento dessa prática devem levá-la ao conhecimento do
superior imediato para que sejam aplicadas as ações disciplinares cabíveis.
Art. 16º - É vedado expressamente o uso dos ativos de informação de propriedade do CREA-MT,
para constranger, assediar, ofender, caluniar, ameaçar ou causar prejuízos a qualquer pessoa física ou
_________________________________________________________________________________________________________
Página | 14
jurídica, veicular opiniões político‐partidárias e quaisquer outras atividades que contrariem os
objetivos institucionais do CREA‐MT;
Art. 17º - É expressamente proibido o acesso, uso, guarda e encaminhamento de material mão ético,
discriminatório, malicioso, obsceno ou ilegal por intermédio de quaisquer dos meios recursos de
comunicação disponibilizados pelo CREA-MT;
Art. 18º - A utilização imprópria sujeita seu autor à aplicação das ações legais e disciplinares cabíveis;
Art. 19º - Informações confidenciais do CREA-MT não podem ser transportadas em qualquer meio
sem as devidas autorizações e proteções.
Art. 20º - Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em
áreas expostas.
Art. 21º - A identificação do usuário deve ser pessoal e intransferível, qualquer que seja a forma,
permitindo de maneira clara e irrefutável o reconhecimento do envolvido.
Art. 22º - Economicidade da proteção dos ativos de informação;
Art. 23º - O uso geral dos Ativos de Informação do CREA‐MT obedece aos seguintes procedimentos:
I - Os usuários definidos neste instrumento terão acesso ao uso dos ativos de informação do CREA‐
MT mediante termo de responsabilidade formal e fornecimento de senha pessoal;
II - Os profissionais registrados no CREA‐MT terão acesso às informações pessoais e aplicativos
disponíveis nos serviços “on‐line” mediante o fornecimento de senha pessoal;
III - O acesso de usuários e profissionais será imediatamente cancelado após seu desligamento do
CREA‐MT, sob quaisquer motivos;
IV - O uso das informações obtidas mediante o acesso autorizado é da estrita responsabilidade legal
do usuário e/ou do profissional que a acessar;
Art. 24º - Ao utilizar os Ativos de Informação do CREA‐MT, o usuário concorda com esta política.
_________________________________________________________________________________________________________
Página | 15
Gestão de Monitoramento e Auditoria.
Art. 25º - Para garantir a segurança a GETEC do CREA-MT poderá:
I - Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico,
conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a
informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos
efetuados, bem como material manipulado;
II - Havendo evidência de atividade que possa comprometer a segurança da rede ou dos
computadores, monitorar as atividades de um determinado recurso, além de inspecionar arquivos, a
bem do interesse da organização;
III - Suspender todos os privilégios de determinado usuário em relação ao uso de redes e
computadores sob sua responsabilidade, por razões ligadas à segurança física e ao bem estar dos
usuários, ou por razões disciplinares ou relacionadas à Segurança da Informação e ao bem‐estar dos
outros membros da rede;
IV - Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso
de exigência judicial, solicitação do gerente (ou superior) ou por determinação do Comitê de
Segurança da Informação;
V - Realizar, a qualquer tempo, inspeção física nas máquinas de propriedade do CREA-MT;
VI - Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das
informações e dos perímetros de acesso.
Gestão de Armazenamento ou em Trânsito pelo CREA-MT
Art. 26º - Classificação quanto à confidencialidade:
a) Confidencial: informações que devem ser mantidas em confidencialidade, caso sejam divulgadas
erroneamente, afetam profundamente a continuidade dos negócios da instituição;
b) Restrita: informações cujo acesso e manuseio são apenas para pessoas autorizadas, caso sejam
divulgadas erroneamente, afetam a continuidade de um ou mais processos de negócio da Instituição;
_________________________________________________________________________________________________________
Página | 16
c) Interna: informação que em princípio não é confidencial, mas que só deve ser utilizada
internamente na Instituição, não sendo de acesso público, pois caso sejam divulgadas erroneamente,
podem denegrir a imagem da instituição ou causar prejuízos indiretos não desejáveis;
d) Pública: informações que podem ser de conhecimento público e não possuem restrições para
divulgação.
Art. 27º - Classificação quanto à integridade:
a) Vital: Necessita de proteção especial no que diz respeito a sua integridade, pois a Instituição deve
poder garantir que a mesma se preservou em seu estado original por todo o tempo de guarda da
mesma, podendo impactar de modo profundo o negócio;
b) Relevante: é aquela cuja perda da integridade pode gerar transtornos de baixo impacto para a
empresa. Devem adotados controles usuais para a garantia da integridade como a manutenção de uma
cópia ou original de segurança, controle e registro dos acessos, etc.;
c) Básica (ou normal): é aquela cuja perda de integridade a partir de um determinado prazo não
implica impactos à Instituição, e, portanto não exige controles de auditoria e de acesso.
Art. 28º - Classificação Quanto a Disponibilidade:
I - As informações para esta categoria serão classificadas através de um número que deverá
representar o tempo máximo de indisponibilidade aceitável para aquela informação num determinado
período a ser definido, devendo ser considerado o padrão definido na Tabela de Temporalidade fixada
em instrumento próprio.
Art. 29º - O uso da rede do CREA‐MT obedece aos seguintes procedimentos:
I - O acesso à rede será autorizado mediante solicitação formal, constante do anexo I;
II - A rede do CREA‐MT é protegida de acessos externos por firewall, que bloqueia todos os acessos
potencialmente perigosos à rede e permite a comunicação segura aos acessos autenticados;
III - Todos os servidores e estações de trabalho do CREA‐MT utilizam programas antivírus, cujas
versões são atualizadas periodicamente;
;
_________________________________________________________________________________________________________
Página | 17
IV - Todos os sistemas possuem restrições de acesso aos usuários de acordo com definições dos
gestores da informação.
Art. 30º - Por questões de segurança, as senhas terão um tempo de vida útil pré-determinado, devendo
ser substituídas periodicamente, ou a qualquer momento por solicitação do usuário.
Art. 31º - Cabe ao gestor da informação providenciar o backup das informações periodicamente, de
acordo com as necessidades de cada sistema.
Art. 32º - Deve‐se evitar ao máximo a utilização de arquivos provenientes de outras mídias como
disquetes, CD‐ROM e pen‐drives, porém se a utilização se tornar indispensável, os mesmos deverão
passar pelo antivírus antes de serem utilizados nos computadores.
Art. 33º - O uso de cada senha é da inteira responsabilidade do usuário que a detiver, cabendo a este
zelar por sua confidencialidade.
Art. 34º - Ao ausentar‐se do seu local de trabalho, o usuário deverá fechar todos os programas
utilizados, e desconectar-se de sua estação de trabalho, evitando o acesso por pessoas não autorizadas.
Uso de Pasta (REDE)
Art. 35º - O uso das pastas de rede do CREA‐MT obedece aos seguintes procedimentos:
I . Pasta “Público”
a) Os conteúdos das pastas serão públicos, com acesso a leitura para todos, sendo da responsabilidade
de cada gerência a sua administração no que diz respeito à pertinência, correção e atualização das
informações ali contidas;
b) Somente os responsáveis pelas pastas terão autorização para gerenciar os conteúdos (inclusão,
exclusão, edição);
c) Essas pastas se destinam, prioritariamente, à divulgação pública interna de informações, instruções,
notas, instrumentos, práticas, esclarecimentos, etc;
d) Não será permitido o uso da pasta pública para fins pessoais.
_________________________________________________________________________________________________________
Página | 18
II . Pasta “Temporário”
a) Esta pasta se destina a ser utilizada prioritariamente para transmissão interna de arquivos de uso
temporário, sem limitação de tamanho;
b) Os conteúdos são de inteira responsabilidade de seus emissores que podem fazer a
inclusão/exclusão/edição sem qualquer tipo de limitação;
c) O conteúdo da pasta “Temporário” será inteiramente apagado toda sexta‐feira e não haverá cópia
dos arquivos postados.
III . Pasta “Setor”
a) Os conteúdos da pasta "Setor" se destinam a gestão interna de documentos de cada área, sendo
usado para o compartilhamento de arquivos em grupos de atividades afins;
b) Cabe aos seus usuários de cada pasta a gestão de seu conteúdo, sua manutenção e atualização,
sendo o acesso a cada pasta restrito aos seus membros;
c) A capacidade da pasta de cada setor é limitada a 01 GB, após o que o usuário não poderá mais
gravar nenhum dado a não ser que proceda alguma exclusão;
d) Não deve ser utilizada para arquivos pessoais, nem para arquivos de programas e aplicativos;
e) Devem serem gravados documentos relacionados ao trabalho cotidiano e à produção jurídica e
administrativa local, que demande compartilhamento ou resguardo institucional;
f) As permissões de acesso deverão ser concedidas em nível de grupos;
g) Só será permitido o acesso a qualquer pasta ou arquivo no servidor mediante solicitação formal,
pelo responsável do setor;
h) É proibida a exposição de material de natureza pornográfica e racista, armazenado, distribuído,
editado ou gravado através do uso dos recursos computacionais da rede;
_________________________________________________________________________________________________________
Página | 19
i) Não é permitido criar ou remover arquivos fora da área alocada ao usuário ou que venham a
comprometer o desempenho e funcionamento dos sistemas;
j) É vedada a gravação de dados e informações de natureza particular;
l) É obrigatório armazenar os arquivos inerentes ao serviço de cada setor em suas respectivas pastas
para garantir o backup dos mesmos;
m) Deverão ser gravados no servidor apenas documentos de interesse da instituição;
n) Documentos de interesse dos setores deverão ser criados ou compartilhados na "Pasta Pública" da
Rede;
o) O compartilhamento deve ser restrito aos diretórios necessários da rede, nunca compartilhando o
diretório da "Pasta Pública"
IV . Pasta “Usuário”
a) Estas pastas se destinam a arquivos de uso exclusivo do usuário;
b) Cabe exclusivamente ao usuário o gerenciamento e o conteúdo está sujeito a monitoração do
CREA‐MT;
c) A capacidade de cada pasta é limitada a 200 MB, após o que o usuário não poderá mais gravar
nenhum dado a não ser que proceda alguma exclusão;
d) Não deve ser utilizada para arquivos pessoais, nem para arquivos de programas e aplicativos.
Observação. Não será permitida a guarda de arquivos de imagens, vídeos e música, exceto quando
os arquivos forem necessários para a execução de determinada tarefa ou fizerem parte de recursos
de um determinado sistema de informação e mediante autorização prévia da Gerência de Tecnologia
da Informação.
_________________________________________________________________________________________________________
Página | 20
Armazenamento de Arquivos
Art. 36º - Os arquivos da rede do CREA-MT estão disponibilizados em unidades mapeadas na própria
máquina do usuário, da maneira que se segue (Pasta do Setor - Pasta Pública e Pasta do Usuário),
onde é feito backup (cópia de segurança) diário destes arquivos, possibilitando ao usuário a
recuperação dos mesmos em caso de perda acidental; esta pasta não deverá ser utilizada, em hipótese
alguma, para gravação de arquivos particulares de qualquer tipo, arquivos de instalação ou quaisquer
outros que não sejam os de trabalho.
I - Fica proibido salvar arquivos ou pastas com nomes de usuários ou pessoas na pasta de trabalho
do Setor;
II - Compete ao setor de Informática a realização de backup (cópia de segurança) diário do conteúdo
desta pasta;
III - Os arquivos que estiverem em desacordo com o exposto acima poderão ser apagados (excluídos)
ou postos em quarentena sem prévio aviso aos usuários.
Art. 37º - É proibido o uso da área de trabalho do sistema operacional em uso no CREA-MT para
armazenamento de dados, ficando ao Setor de Informática isenta de responsabilidade em caso da
perda de informações ali contidas.
Art. 38º - É proibido o uso do drive C: (disco local) para a guarda de arquivos pessoais ou de trabalho,
devendo os mesmos ser salvos nos locais já mencionados nos itens anteriores.
Art. 39º - Caso queira grava arquivo no computador, deve ser realizado no drive D. nesse caso a
responsabilidade pelo backup é do funcionário.
Art. 40º - Para a recuperação de pastas ou arquivos excluídos ou antigos o autor ou representante
deverá solicitar uma ordem de serviço, com o máximo de detalhamento possível, para a localização
e identificação do arquivo ou pasta excluída;
Art. 41º - Evitar o armazenamento na rede de arquivos de instalação, imagens e arquivos sem uso.
Tal procedimento sobrecarrega os discos dos servidores, tornando sua utilização mais lenta. As fitas
de backup também se tornarão maiores, devido a este fato;
Art. 42º - Os funcionários da Gerência da Tecnologia da Informação do e da Coordenadoria de
Manutenção e Suporte Técnico não fará backup de máquina de usuário, por solicitação deste ou caso
necessite formatar o disco rígido da estação de trabalho.
_________________________________________________________________________________________________________
Página | 21
Art. 43º - A Administração da Rede possui infraestrutura de restauração de arquivo de até 30 dias.
Deveres dos Usuários
Art. 44º - São de responsabilidade do usuário acionamento e o desligamento dos equipamentos de
informática, pertencentes à mesma, no início e término de cada expediente;
Art. 45º - Ao usuário não é permitido instalar programas de qualquer natureza nos
microcomputadores. Qualquer necessidade de aplicativos deverá ser solicitada ao Setor de
Informática.
Art. 46º - É proibido o remanejamento e a remoção de qualquer equipamento de informática sem
aviso prévio ao Setor de Informática.
Art. 47º - É vedada a manipulação dos equipamentos de rede (switches, hubs, fiação, cabeamento de
rede, entre outros) por pessoal não pertencente ao Setor de Informática.
Art. 48º - Uma vez que cabe ao Presidente/Diretoria autorizar qualquer tipo de compra referente à
informática (Software ou Hardware), caberá ao GETEC elaborar o termo de referência acerca dos
assuntos de compra ou contratação de serviço.
Art. 49º - O Setor de Informática se desobriga a dar suporte a software ou hardware que não tenha
sido adquirido por seu intermédio ou com seu parecer.
Art. 50º - Perante a necessidade de utilização de software não homologado, a chefia imediata deverá
solicitar formalmente ao Gerência de Tecnologia da Informação a homologação do mesmo contendo
os seguintes itens:
a) Especificações detalhadas do software solicitado;
b) Quantidade de licenças;
c) Suporte ao software (necessidade de suporte);
d) Justificativa.
Observação: O processo de homologação de software deve avaliar, sobretudo, o impacto da utilização
deste na segurança da informação do CREA-MT e o suporte para o mesmo.
_________________________________________________________________________________________________________
Página | 22
Art. 51º - Não conectar ou desconectar nenhum periférico com o equipamento ligado. Tal
procedimento pode danificar o mesmo, exceto pen drivers e equipamento plug & play.
Art. 52º - É terminantemente proibido ao usuário o acesso ou manutenção no interior do gabinete do
computador, assim como troca ou retirada de componentes do mesmo. Caso necessário deverá ser
acionado o Setor de Informática;
Art. 53º - A Administração e Segurança da Rede não possuem rotina de backup para estações de
trabalho, ou seja, todo material institucional produzido e/ou alterado deverá ser gravado,
necessariamente, no servidor de arquivo.
Art. 54º - Utilizar apenas os softwares autorizados, que forem legalmente adquiridos e instalados
pelo setor de Informática. É terminantemente proibida a utilização de cópias ilegais de software nos
computadores do CREA-MT, bem como a solicitação de cópias de softwares legalmente adquiridos
pelo CREA-MT para uso particular.
Art. 55º - Os serviços em equipamentos particulares não serão permitidos nas dependências do
CREA-MT, exceto com a autorização do Setor de Informática.
Art. 56º - Não é permitido cópia de softwares pertencentes ao Setor de Informática;
Art. 57º - É proibido utilizar a identidade (caixa postal eletrônica ou conta de sistemas) e senha de
terceiros, sem a devida autorização;
Art. 58º - Não é permitido o uso de material de consumo de informática para fins particulares.
Uso da Internet
Art. 59º - Todas as diretrizes da POSIC do CREA-MT, visam basicamente o desenvolvimento de um
comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e
permanente da rede corporativa da instituição com a internet ofereça um grande potencial de
benefícios, ela abre a porta para riscos significativos para os ativos de informação.
Art. 60º - Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está
sujeita a divulgação e auditoria. Portanto, o CREA-MT, em total conformidade legal, reserva-se o
direito de monitorar e registrar todos os acessos a ela.
_________________________________________________________________________________________________________
Página | 23
Art. 61º - Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de
propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio
eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na
estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança
da Informação e Comunicação.
Art. 62º - O CREA-MT, ao monitorar a rede interna, pretende garantir a integridade dos dados e
programas.
Art. 63º - Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o
devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão
informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas
poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal,
sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes.
Art. 64º - A internet disponibilizada pela instituição aos seus colaboradores, independentemente de
sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento
dos trabalhos nas unidades.
Art. 65º - Como é do interesse do Conselho Regional de Engenharia e Agronomia de Mato Grosso,
que seus colaboradores estejam bem informados, o uso de sites de notícias ou de serviços, por
exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente
comerciais, não perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os
seus objetivos de negócio.
Art. 66º - Somente os colaboradores que estão devidamente autorizados a falar em nome do CREAMT para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast,
seja por documento físico, entre outros.
Art. 67º - Apenas os colaboradores autorizados pela instituição poderão copiar, captar, imprimir ou
enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de
Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos
legais.
Art. 68º - É proibida a divulgação e/ou o compartilhamento indevido de informações da área
administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de batepapo ou
chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.
_________________________________________________________________________________________________________
Página | 24
Art. 69º - Os colaboradores com acesso à internet poderão fazer o download (baixa) somente de
programas ligados diretamente às suas atividades no CREA-MT e deverão providenciar o que for
necessário para regularizar a licença e o registro desses programas, desde que autorizados pela
GETEC.
Art. 70º - O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham
direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer
software não autorizado baixado será excluído pela Coordenadoria de Manutenção e Suporte Técnico
(CMST).
Art. 71º - Os colaboradores não poderão em hipótese alguma utilizar os recursos do CREA-MT para
fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de
acordo com a legislação nacional.
Art. 72º - O download e a utilização de programas de entretenimento, jogos ou músicas (em qualquer
formato) poderão ser realizados por usuários que tenham atividades profissionais relacionadas a essas
categorias. Para tal, grupos de segurança, cujos integrantes deverão ser definidos pelos respectivos
gestores, precisam ser criados a fim de viabilizar esse acesso especial. Mediante solicitação e
aprovação da área técnica responsável, o uso de jogos será passível de concessão, em regime de
exceção, quando eles tiverem natureza intrínseca às atividades de cursos relacionados ao
desenvolvimento de jogos.
Art. 73º - Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados,
distribuídos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessário,
grupos de segurança deverão ser criados para viabilizar esse perfil de usuário especial e seus
integrantes definidos pelos respectivos gestores.
Art. 74º - Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer
software licenciado ao CREA-MT ou de dados de sua propriedade aos seus parceiros e clientes, sem
expressa autorização do responsável pelo software ou pelos dados.
Art. 75º - Os colaboradores não poderão utilizar os recursos do CREA-MT para deliberadamente
propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de
controle de outros computadores.
Art. 76º - O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não serão permitidos. Já os
serviços de streaming (rádios on-line, canais de broadcast e afins) serão permitidos a grupos
específicos. Porém, os serviços de comunicação instantânea (SKYPE, GOOGLE TALK e afins) serão
_________________________________________________________________________________________________________
Página | 25
inicialmente disponibilizados aos usuários específicos e poderão ser bloqueados caso o gestor
requisite formalmente à Gerencia de Tecnologia da Informação.
Art. 77º - Não é permitido acesso a sites de proxy.
Uso do Correio Eletrônico
Art. 78º - O objetivo desta norma é informar aos colaboradores, diretores, conselheiro, inspetores,
comissionados e estagiários quais são as atividades permitidas e proibidas quanto ao uso do correio
eletrônico corporativo.
Art. 79º - O uso do correio eletrônico do CREA-MT é para fins corporativos e relacionados às
atividades do colaborador usuário dentro da instituição. A utilização desse serviço para fins pessoais
é permitida desde que feita com bom senso, não prejudique o CREA-MT e também não cause impacto
no tráfego da rede.
Art. 80º - Cada setor do CREA-MT manterá no mínimo uma conta de correio eletrônico, destinada
a comunicações institucionais.
Art. 81º - O acesso indevido às informações tramitadas por meio do serviço de correio eletrônico
corporativo do CREA-MT, ou contidas em seus ambientes, será punido na forma da lei.
Art. 82 - O acesso ao serviço de correio eletrônico dar-se-á por meio de senha de uso pessoal e
intransferível, vedada sua divulgação.
Art. 83º - Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico do CREAMT:
a) enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso
legítimo da instituição;
b) enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de
usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
c) enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou o CREA-MT ou
suas unidades vulneráveis a ações civis ou criminais;
_________________________________________________________________________________________________________
Página | 26
d) divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem
autorização expressa e formal concedida pelo proprietário desse ativo de informação;
e) falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de
remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
f) apagar mensagens pertinentes de correio eletrônico quando qualquer uma das unidades do CREAMT estiver sujeita a algum tipo de investigação.
Art. 84º - Produzir, transmitir ou divulgar mensagem que:
a) Contenha qualquer ato ou forneça orientação que conflite ou contrarie os interesses do CREA-MT;
b) Contenha ameaças eletrônicas, como: spam, mail bombing, vírus de computador;
c) Contenha arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll,
.inf) ou qualquer outra extensão que represente um risco à segurança;
d) Vise obter acesso não autorizado a outro computador, servidor ou rede;
e) Vise interromper um serviço, servidores ou rede de computadores por meio de qualquer método
ilícito ou não autorizado;
f) Vise burlar qualquer sistema de segurança;
g) Vise vigiar secretamente ou assediar outro usuário;
h) Vise acessar informações confidenciais sem explícita autorização do proprietário;
i) Vise acessar indevidamente informações que possam causar prejuízos a qualquer pessoa;
Inclua imagens criptografadas ou de qualquer forma mascaradas;
j) Contenha anexo(s) superior(es) a 10 MB para envio (interno e internet) e 10 MB para recebimento
(internet)
l) Tenha conteúdo considerado impróprio, obsceno ou ilegal;
m) Seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador,
pornográfico entre outros;
_________________________________________________________________________________________________________
Página | 27
n) Contenha perseguição preconceituosa baseada em sexo, raça, incapacidade física ou mental ou
outras situações protegidas;
o) Tenha fins políticos locais ou do país (propaganda política);
p) Inclua material protegido por direitos autorais sem a permissão do detentor dos direitos.
Art. 85º - As mensagens de correio eletrônico sempre deverão incluir assinatura com o seguinte
formato:
• Nome do colaborador
• Gerência ou departamento
• Nome da empresa
• Telefone(s)
Art. 86º - Regras para o uso do Correio Eletrônico:
I . Não abrir anexos com as extensões .bat, .exe, .src, .lnk e .com, ou de quaisquer outros formatos
alertados pelo setor de Tecnologia da Informação, se não tiver certeza absoluta de que solicitou esse
e-mail.
II. Não reenviar e-mails do tipo corrente, aviso de vírus, avisos da Microsoft/AOL/Symantec, criança
desaparecida, criança doente, pague menos em alguma coisa, não pague alguma coisa, etc.
III. Não utilizar o e-mail da empresa para assuntos pessoais.
IV. Evitar enviar anexos com tamanho superior a 10MB.
V. Adotar o hábito de ler sua caixa de e-mails diariamente (pela manhã e à tarde), de modo a evitar
que se acumulem os e-mails. E-mails a serem lidos ou enviados em demasia congestionar o navegador
e faz com que o sistema não responda. Com isso, novas mensagens podem não ser recebidas até que
as anteriores sejam baixadas por completo.
VI. Utilizar o e-mail para comunicações oficiais internas, as quais não necessitem obrigatoriamente
do meio físico escrito. Isto diminui custo com impressão e aumenta a agilidade na entrega e leitura
do documento.
Art. 87º - Regras para criação de e-mails e listas de discussão de e-mails:
_________________________________________________________________________________________________________
Página | 28
I . O serviço de e-mails do CREA-MT será administrado pela Gerência de Tecnologia da Informação
e pela Coordenadoria de Manutenção e Suporte Técnico que seguirá as normas abaixo:
a) A criação, alteração ou remoção de e-mail institucional será efetuada a partir de solicitação por
O.S, memorando do CREA-MT;
b) Os e-mails criados terão cota de armazenamento de tamanho fixo, de acordo com os procedimentos
internos do setor de Tecnologia da Informação;
c) Os e-mails que passarem de seis (06) meses sem serem utilizados serão removidos do servidor.
d) Os funcionários deverão administrar sua caixa postal semanalmente: removendo mensagens
desnecessárias para evitar que caixa de entrada fiquei cheia.
Identificação e Senha
Art. 88º - Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário,
evitando e prevenindo que uma pessoa se faça passar por outra perante o CREA-MT e/ou terceiros.
Art. 89º - O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime
tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
Art. 90º - Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de
identificação e deverá ser aplicada a todos os colaboradores.
Art. 91º - Todos os dispositivos de identificação utilizados no CREA-MT, como o número de registro
do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas
digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados
inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.
Art. 92º - O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso
correto perante a instituição e a legislação (cível e criminal).
Art. 93º - Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser
compartilhado com outras pessoas em nenhuma hipótese.
_________________________________________________________________________________________________________
Página | 29
Art. 94º - Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade
perante o CREA-MT e a legislação (cível e criminal) será dos usuários que dele se utilizarem.
Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá
ser responsabilizado.
Art. 95º - É proibido o compartilhamento de login para funções de administração de sistemas.
Art. 96º - O Departamento de Recursos Humanos (CRHU) do CREA-MT é o responsável pela
emissão e pelo controle dos documentos físicos de identidade dos colaboradores.
Art. 97º - A Gerência de Sistemas responde pela criação da identidade lógica dos colaboradores na
instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários.
Art. 98º - Devem ser distintamente identificados os visitantes, estagiários, empregados temporários,
empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar
o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha
conforme as orientações apresentadas.
Art. 99º - Os usuários que não possuem perfil de administrador deverão ter senha de tamanho
variável, possuindo no mínimo 8 (oito) caracteres alfanuméricos, utilizando caracteres especiais (@
# $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) sempre que possível.
Art. 100º - Já os usuários que possuem perfil de administrador ou acesso privilegiado deverão utilizar
uma senha de no mínimo 10 (dez) caracteres, alfanumérica, utilizando caracteres especiais (@ # $ %)
e variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.
Art. 101º - É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a
proteção e a guarda dos dispositivos de identificação que lhe forem designados.
Art. 102º - As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel,
etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em
informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa
de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações
óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.
Art. 103º - Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade).
_________________________________________________________________________________________________________
Página | 30
Art. 104º - Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso
suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.
Art. 105º - A periodicidade máxima para troca das senhas é 60 (sessenta) dias, não podendo ser
repetidas as últimas senhas. Os sistemas críticos e sensíveis para a instituição e os logins com
privilégios administrativos devem exigir a troca de senhas a cada 30 dias. Os sistemas devem forçar
a troca das senhas dentro desse prazo máximo.
Art. 106º - Todos os acessos devem ser imediatamente bloqueados quando se tornarem
desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o
Departamento de Recursos Humanos deverá imediatamente comunicar tal fato a Gerência de
Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica
aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de
testes e outras situações similares.
Art. 107º - Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou
comparecer pessoalmente à área técnica responsável para cadastrar uma nova.
Equipamentos Portáteis
Art. 108º - Quando se descreve “equipamentos portáteis” entende-se qualquer equipamento
eletrônico com atribuições de mobilidade de propriedade da instituição, ou aprovado e permitido por
sua Gerência de Tecnologia da Infomação, como: notebooks, ultrabook, netbook, smartphones,
pendrives, tablet, Ipad.
Art. 109º - Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o
uso de dispositivos móveis e deverá ser aplicada a todo o diretor, conselheiro, inspetor, comissionado,
empregado público do CREA-MT, prestador de serviço, consultor externo, auditor e estagiário que
utilizem tais equipamentos.
Art. 110º - A Gerência de Tecnologia da Informação do CREA-MT, na questão de política de
segurança da informação e comunicação dos equipamentos fornecidos pelo CREA-MT, reserva-se o
direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de
segurança.
Art. 111º - O diretor, conselheiro, inspetor, comissionado, empregado público do CREA-MT,
prestador de serviço, consultor externo, auditor e estagiário, portanto, assume o compromisso de não
_________________________________________________________________________________________________________
Página | 31
utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio
ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em
razão de suas funções no CREA-MT, mesmo depois de terminado o vínculo contratual mantido com
a instituição.
Art. 112º - O suporte técnico aos dispositivos móveis de patrimônio do CREA-MT e aos seus usuários
deverá seguir o mesmo fluxo de suporte do Conselho.
Art. 113º - Todos deverão utilizar senhas de bloqueio automático para seu dispositivo móvel.
Art. 114º - Os equipamentos portáteis devem respeitar as mesmas regras estabelecidas para estações
de trabalho.
Art. 115º - Equipamentos portáteis de patrimônio do CREA-MT devem ser guardados em local
seguro, com controle de acesso e garantia quanto à sua integridade.
Art. 116º - O usuário, ao solicitar o empréstimo de equipamentos portáteis do CREA-MT, deve
assinar o Termo de Responsabilidade.
Art. 117º - Somente técnicos autorizados pelo suporte técnico do CREA-MT devem configurar os
equipamentos portáteis para acesso à rede do CREA-MT;
Art. 118º - O usuário deve evitar armazenar nformações confidenciais em equipamentos portáteis do
CREA-MT.
Art. 119º - Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas
operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a
devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de
um técnico da Suporte Técnico do CREA-MT.
Art. 120º - O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas
e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico do Suporte Técnico
do CREA-MT.
Art. 121º - A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos
pelo CREA-MT constituirá uso indevido do equipamento e infração legal aos direitos autorais do
fabricante.
_________________________________________________________________________________________________________
Página | 32
Art. 122º - É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua
casa, hotéis e instituições.
Art. 123º - É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel
fornecido pelo CREA-MT, notificar imediatamente seu gestor direto e a Gerência de Tecnologia da
Informação. Também deverá procurar a ajuda das autoridades policiais registrando, assim que
possível, um boletim de ocorrência (BO).
Art. 124º - O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará
a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos,
diretos ou indiretos, presentes ou futuros, que venha causar ao CREA-MT e/ou a terceiros.
Art. 125º - O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir
acessórios e posteriormente conectá-los à rede do CREA-MT deverá submeter previamente tais
equipamentos ao processo de autorização da Gerência de Tecnologia da Informação.
Art. 126º - Equipamentos portáteis, como smartphones, palmtops, ipad, tablet, netbook, notebook,
ultrabook, pen drives e players de qualquer espécie, quando não fornecidos ao colaborador pela
instituição, não serão validados para uso e conexão em sua rede corporativa.
Ativos de Rede
Art. 127º - As portas dos switches somente devem estar ativas se utilizadas e inventariadas.
Art. 128º - Os switches e access points devem possuir controle de acesso.
Art. 129º - Todo roteador utilizado na rede do CREA-MT deve prover, no mínimo, o uso de ACLs
(Access lists) e o filtro de pacotes
Art. 130º - Todo ativo de rede deve estar em local seguro. Os switches departamentais devem estar
instalados em racks devidamente fechados e seguros.
Art. 131º - Os ativos de rede só podem ser instalados na rede do CREA-MT após a sua adequação
aos padrões de segurança definidos pela Coordenadoria de Manutenção e Suporte Técnico.
Art. 132º - Os ativos de rede somente devem ser liberados para uso após a efetiva homologação,
realizada em ambiente apropriado, distinto do ambiente de produção, e devidamente documentado.
_________________________________________________________________________________________________________
Página | 33
Art. 133º - As intervenções no ambiente de rede somente serão permitidas mediante supervisão pelos
técnicos autorizados pelo Gerência de Tecnologia da Informação.
Art. 134º - Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas de
fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta.
Art. 135º - Profissionais técnicos no exercício de suas funções, não devem utilizar a rede de dados
do CREA-MT para testes, devendo para isto o CREA-MT, prover segmento de rede independente;
Art. 136º - O CREA-MT reserva o direito de realizar investigações em qualquer dos equipamentos
que integrem a sua rede local.
Rede Sem Fio
Art. 137º - A utilização da rede sem fio para acesso à rede do CREA-MT somente será efetuada
com autenticação utilizando mecanismos de protocolo seguro;
Art. 138º - Qualquer equipamento que utilize a rede sem fio do CREA-MT deve respeitar as regras
estabelecidas para Estações de Trabalho, Notebooks, Ultrabooks, Netbooks, Tables, Ipads,
Smartphones, inclusive, quando justificados, os equipamentos particulares;
Art. 139º - Somente os técnicos autorizados pela Gerência da Tecnologia da Informação devem
estabelecer os procedimentos e configurações de segurança de rede sem fio;
Art. 140º - A Coordenadoria de Manutenção e Suporte Técnico, deve verificar a adequação das
Estações de Trabalho e instruir os usuários sobre os procedimentos para acesso à rede sem fio de
acordo com os requisitos estabelecidos.
Impressoras
Art. 141º - O uso das impressoras integrantes da rede do CREA‐MT obedece aos seguintes
procedimentos:
I. Estas instruções se aplicam às impressoras locais e de rede;
_________________________________________________________________________________________________________
Página | 34
II. É expressamente vedado o uso de impressoras para fins particulares, a qualquer título;
III. São expressamente vedados: movimentação, cessão, empréstimo, instalação e reinstalação de
impressoras a que título for. Os equipamentos somente poderão ser movimentados e instalados por
técnicos da Gerência de Tecnologia da Informação, mediante solicitação encaminhada através da
Solicitação de Serviços(SGS) no Sistema Apolo, na qual deverá constar a autorização do Gerente;
IV. Cabe ao usuário a requisição de insumos – tinta, toner, papel ‐ para o bom funcionamento do
equipamento;
V. No caso de parada de serviço não deve o usuário tentar reiniciar o equipamento;
VI. Nenhum procedimento tal como retirada de papel atolado, substituição de cartuchos, etc., pode
ser feito com a impressora ligada e por empregado ou prestador de serviços sem o devido treinamento;
VII. A configuração da impressora na estação de trabalho do usuário somente deverá ser realizada
pelos técnicos autorizados pela CMST;
VIII. Os usuários não devem deixar informações críticas, sigilosas ou sensíveis da instituição em
equipamentos de impressão, de tal forma que pessoas não autorizadas possam obter acesso a elas.
Solicitação de Manutenção e Configuração
Art. 142º - Toda solicitação de atendimento para instalação, suporte e configuração dos recursos
computacionais deve ser efetuada mediante Solicitação de Serviços(SGS) no Sistema Apolo.
Art. 143º - Nas dependências físicas do CREA-MT somente é permitida a execução dos serviços de
suporte técnico nos equipamentos de propriedade do conselho ou cedidos formalmente, sendo
proibida a assistência técnica em equipamentos particulares.
Art. 144º - O usuário deve acompanhar o técnico durante a manutenção da sua estação de trabalho.
Art. 145º - Todo equipamento que tiver a necessidade de ser deslocado para manutenção ou
configuração, deverá estar devidamente identificado.
_________________________________________________________________________________________________________
Página | 35
Art. 146º - O usuário deve estar ciente da saída do equipamento de seu local de trabalho caso seja
necessária a retirada do mesmo para manutenção.
Art. 147º - Todo recurso computacional que sair das dependências físicas do CREA-MT por motivo
de manutenção deverá ser registrado pelo responsável da unidade e deverá ter suas informações
institucionais críticas previamente excluídas.
Art. 148º - A saída do equipamento deverá ser autorizada pela Gerência de Tecnologia da
Informação.
Art. 149º - O usuário deve manter o número, do registro do chamado ou número do documento de
solicitação formal, do pedido de suporte por ele realizado para controle e acompanhamento do
respectivo chamado.
Datacenter
Art. 150º - O acesso ao Datacenter somente deverá ser feito por colaboradores lotados pela Gerência
de Tecnologia da Informação.
Art. 151º - Todo acesso ao Datacenter, pelo sistema de autenticação forte, deverá ser registrado
(usuário, data e hora) mediante software próprio.
Art. 152º - O usuário "administrador" do sistema de autenticação forte ficará de posse e administração
do coordenador de manutenção e suporte técnico, de acordo com o Procedimento de Controle de
Contas Administrativas.
Art. 153º - A lista de funções com direito de acesso ao Datacenter deverá ser constantemente
atualizada, de acordo com os termos do Procedimento de Controle de Acesso ao Datacenter, e salva
no diretório de rede.
Art. 154º - Nas localidades em que não existam colaboradores da área de tecnologia da informação,
pessoas de outros departamentos deverão ser cadastradas no sistema de acesso para que possam
exercer as atividades operacionais dentro do Datacenter, como: troca de fitas de backup, suporte em
eventuais problemas, e assim por diante.
_________________________________________________________________________________________________________
Página | 36
Art. 155º - O acesso de visitantes ou terceiros somente poderá ser realizado com acompanhamento
de um colaborador autorizado, que deverá preencher a solicitação de acesso prevista no Procedimento
de Controle de Acesso ao Datacenter, bem como assinar o Termo de Responsabilidade.
Art. 156º - O acesso ao Datacenter, por meio de chave, apenas poderá ocorrer em situações de
emergência, quando a segurança física do Datacenter for comprometida, como por incêndio,
inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não estiver
funcionando.
Art. 157º - Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar
autorização com antecedência a qualquer colaborador responsável pela administração de liberação de
acesso, conforme lista salva em Procedimento de Controle de Acesso ao Datacenter.
Art. 158º - Deverão existir duas cópias de chaves da porta do Datacenter. Uma das cópias ficará de
posse do coordenador responsável pelo Datacenter, a outra, de posse do coordenador de serviços
gerais.
Art. 159º - O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere
lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de
Serviços Gerais.
Art. 160º - Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou
inflamável.
Art. 161º - A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará com o
preenchimento da solicitação de liberação pelo colaborador solicitante e a autorização formal desse
instrumento pelo responsável do Datacenter, de acordo com os termos do Procedimento de Controle
e Transferência de Equipamentos.
Art. 162º - No caso de desligamento de empregados ou colaboradores que possuam acesso ao
Datacenter, imediatamente deverá ser providenciada a sua exclusão do sistema de autenticação forte
e da lista de colaboradores autorizados, de acordo com o processo definido no Procedimento de
Controle de Acesso ao Datacenter.
_________________________________________________________________________________________________________
Página | 37
Backup
Art. 163º - Todos os backups devem ser automatizados por sistemas de agendamento automatizado
para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de
backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados
aos sistemas de informática.
Art. 164º - Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar
pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de
vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.
Art. 165º - As mídias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser
acondicionadas em local seco, climatizado, seguro (de preferência em cofres corta-fogo segundo as
normas da ABNT) e distantes o máximo possível do Datacenter.
Art. 166º - As fitas de backup devem ser devidamente identificadas, inclusive quando for necessário
efetuar alterações de nome, e de preferência com etiquetas não manuscritas, dando uma conotação
mais organizada e profissional.
Art. 167º - O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos
responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de
restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante.
Art. 168º - É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu
desgaste natural, bem como deverá ser mantido um estoque constante das mídias para qualquer uso
emergencial.
Art. 169º - Mídias que apresentam erros devem primeiramente ser formatadas e testadas. Caso o erro
persista, deverão ser inutilizadas.
Art. 170º - É necessário que seja inserido, periodicamente, o dispositivo de limpeza nas unidades de
backup nos termos do Procedimento de Controle de Mídias de Backup.
Art. 171º - As mídias de backups históricos ou especiais deverão ser armazenadas em instalações
seguras, preferencialmente com estrutura de sala-cofre, distante no mínimo 10 quilômetros do
Datacenter.
_________________________________________________________________________________________________________
Página | 38
Art. 172º - Os backups imprescindíveis, críticos, para o bom funcionamento dos negócios do CREAMT, exigem uma regra de retenção especial, conforme previsto nos procedimentos específicos e de
acordo com a Norma de Classificação da Informação, seguindo assim as determinações fiscais e
legais existentes no país.
Art. 173º - Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro
horário disponível, assim que o responsável tenha identificado e solucionado o problema.
Art. 174º - Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse
backup, eles deverão ser autorizados apenas mediante justificativa de necessidade nos termos do
Procedimento de Controle de Backup e Restore.
Art. 175º - Quaisquer atrasos na execução de backup ou restore deverão ser justificados formalmente
pelos responsáveis nos termos do Procedimento de Controle de Mídias de Backup.
Art. 176º - Testes de restauração (restore) de backup devem ser executados por seus responsáveis,
nos termos dos procedimentos específicos, aproximadamente a cada 30 ou 60 dias, de acordo com a
criticidade do backup.
Art. 177º - Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente
do original, para que assim não sobreponha os arquivos válidos.
Art. 178º - Para formalizar o controle de execução de backups e restores, deverá haver um formulário
de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos responsáveis e
auditado pelo coordenador de infraestrutura, nos termos do Procedimento de Controle de Backup e
Restore.
Art. 179º - Os colaboradores responsáveis descritos nos devidos procedimentos e na planilha de
responsabilidade poderão delegar a um custodiante a tarefa operacional quando, por motivos de força
maior, não puderem operacionalizar. Contudo, o custodiante não poderá se eximir da
responsabilidade do processo.
Intranet
Art. 180º - São usuários da Intranet do CREA-MT os membros, servidores, estagiários e os demais
agentes públicos ou particulares que oficialmente executem atividade vinculada à atuação
institucional do CREA-MT,
_________________________________________________________________________________________________________
Página | 39
Art. 181º - A Intranet deverá ser utilizada como mecanismo de divulgação de notícias e
disponibilização de serviços de caráter institucional.
Art. 182º - O acesso à Intranet deve restringir-se à esfera profissional com conteúdo relacionado às
atividades desempenhadas pelo Órgão, observando-se sempre a conduta compatível com a
moralidade administrativa.
Art. 183º - O acesso aos serviços de Intranet deve ser realizado mediante autenticação da conta do
usuário, sendo que todos os acessos realizados serão auditados, constituindo um histórico de acessos,
podendo ser consultado ou publicado a critério da instituição.
Art. 184º - As contas de usuários deverão ter níveis de acesso distintos, conforme a necessidade dos
serviços, de acordo com os perfis definidos pelo Chefe da unidade.
Art. 185º - Cada usuário é responsável pelas ações e acessos realizados por meio da sua Conta de
Acesso.
Art. 186º - Os usuários devem estar capacitados a utilizar os serviços de modo a garantir a sua
utilização adequada.
Art. 187º - As aplicações a serem disponibilizadas na Intranet devem ser previamente analisadas,
homologadas e aprovadas pela Gerência de Tecnologia da Informação.
Art. 188º - As contas de serviços utilizadas em servidores de rede, backup, correio eletrônico, banco
de dados, aplicações, entre outros, devem ser utilizadas somente para execução de ações ligadas à sua
natureza, de forma automática, sem intervenção manual através de logon / acesso.
Art. 189º - As contas com privilégio de administração de rede devem ser utilizadas somente para
execução das atividades correspondentes à administração do ambiente conforme as responsabilidades
atribuídas, em equipamentos previamente definidos. As variáveis necessárias para acesso e
administração devem ser de conhecimento restrito aos administradores dos equipamentos de rede e
chefia respectiva.
_________________________________________________________________________________________________________
Página | 40
Referências Legais e Normativas
Código Civil, Art. 1.016, que institui que os administradores respondem solidariamente perante a
sociedade e os terceiros prejudicados, por culpa no desempenho de suas funções;
Decreto nº 1.171, de 24 de junho de 1994 que aprova o Código de Ética Profissional do Servidor
Público Civil do Poder Executivo Federal, e outras providências;
Decreto nº 3.505, de 13 de junho de 2000, que institui a Política de Segurança da Informação nos
órgãos e entidades da Administração Pública Federal;
Decreto nº 4.553, de 27 de dezembro de 2002, que dispõe sobre a salvaguarda de dados, informações,
documentos e materiais sigilosos de interesse de segurança da sociedade e do Estado, no âmbito da
Administração Pública Federal, e dá outras providências;
Decreto nº 5.482, de 30 de junho de 2005, que dispõe sobre a divulgação de dados e informações
pelos órgãos e entidades da administração pública federal, por meio da Rede Mundial de
Computadores (Internet);
Decreto nº 6.029, de 1º de fevereiro de 2007, que institui o Sistema de Gestão da Ética do Poder
Executivo Federal, e dá outras providências;
Decreto nº 6.931, de 11 de agosto de 2009 - art. 8º do Anexo I – competência do Departamento de
Segurança da Informação e Comunicações;
Decreto Nº 7.845, de 14 de novembro de 2012 - os procedimentos para credenciamento de segurança
e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de
Segurança e Credenciamento;
Decreto nº 7.724 de 16/05/2012, que regulamenta a Lei 12.527, de 18/11/2011 – Dispõe sobre o
acesso a informações;
Instrução Normativa GSI Nº 1, de 13 de junho de 2008, que disciplina a Gestão de Segurança da
Informação e Comunicações na Administração Pública Federal;
Instrução Normativa GSI Nº 2, de 5 de fevereiro de 2013 - Dispõe sobre o Credenciamento de
segurança para o tratamento de informação classificada, em qualquer grau de sigilo, no âmbito do
Poder Executivo Federal. (Publicada no DOU Nº 32, de 18 Fev 2013- Seção 1).
_________________________________________________________________________________________________________
Página | 41
Instrução Normativa GSI Nº 3, de 6 de março de 2013 - Dispõe sobre os parâmetros e padrões
mínimos dos recursos criptográficos baseados em algoritmos de Estado para criptografia da
informação classificada no âmbito do Poder Executivo Federal. (Publicada no DOU Nº 50, de 14 Mar
2013- Seção 1).
ISO/IEC Guide 73:2002 - Gestão de Riscos / Vocabulário - Recomendações para uso em normas;
Lei nº 8.112, de 11 de dezembro de 1990, que dispõe sobre o regime jurídico dos servidores públicos
civis da União, das autarquias e das fundações públicas federais.
Lei nº 8.159, de 08 de janeiro de 1991, dispõe sobre a política nacional de arquivos públicos e privados
e dá outras providências e alterações legais;
Lei n° 9.610, de 19 de fevereiro de 1998, que altera, atualiza e consolida a legislação sobre direitos
autorais;
Lei nº 9.983, de 14 de julho de 2000: Altera o Decreto Lei nº 2848/40 – Código Penal, sobre
tipificação de crimes por computador contra a Previdência Social e a Administração Pública;
Lei nº 12.527, de 18 de novembro de 2011 – Lei de acesso a informação;
NBR ISO/IEC 17799:2005 – Código de Práticas para a Gestão da Segurança da Informação;
NBR/ISO/IEC 27002/2005, que institui o código de melhores práticas para gestão de segurança da
informação;
NBR/ISO/IEC 27001/2006, que estabelece os elementos de um Sistema de Gestão de Segurança da
Informação;
Norma ABNT NBR/ISO/IEC 15999:2007, que institui o código de melhores práticas para Gestão de
continuidade de negócios.
Norma ABNT NBR/ISO/IEC 27001:2006, que estabelece os elementos de um Sistema de Gestão de
Segurança da Informação e Comunicações.
Norma ABNT NBR/ISO/IEC 27002:2005, que institui o código de melhores práticas para Gestão de
_________________________________________________________________________________________________________
Página | 42
Norma ABNT NBR ISO/IEC 27005:2008, que fornece as diretrizes para a Gestão de Riscos de
Norma Complementar nº 01/IN01/DSIC/GSIPR, Atividade de Normatização.
Norma Complementar nº 02/IN01/DSIC/GSIPR, Metodologia de Gestão de Segurança da Informação
e Comunicações.
Norma Complementar nº 03/IN01/DSIC/GSIPR, Diretrizes para a Elaboração de Política de
Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal;
Norma Complementar nº 04/IN01/DSIC/GSIPR, e seu anexo, Diretrizes para o processo de Gestão
de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da
Administração Pública Federal;
Norma Complementar nº 05/IN01/DSIC/GSIPR, e seu anexo, Disciplina a criação de Equipes de
Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da
Administração Pública Federal;
Norma Complementar nº 06/IN01/DSIC/GSIPR, Estabelece Diretrizes para Gestão de Continuidade
de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, nos órgãos e
entidades da Administração Pública Federal, direta e indireta – APF;
Norma Complementar nº 07/IN01/DSIC/GSIPR, Estabelece as Diretrizes para Implementação de
Controles de Acesso Relativos à Segurança da Informação e Comunicações, nos órgãos e entidades
da Administração Pública Federal, direta e indireta – APF;
Norma Complementar nº 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes para Gerenciamento de
Incidentes em Redes Computacionais nos órgãos e entidades da Administração Pública Federal;
Norma Complementar nº 09/IN01/DSIC/GSIPR, Estabelece orientações específicas para o uso de
recursos criptográficos como ferramenta de controle de acesso em Segurança da Informação e
Comunicações, nos órgãos ou entidades da Administração Pública Federal, direta e indireta;
Norma Complementar nº 10/IN01/DSIC/GSIPR, Estabelece diretrizes para o processo de Inventário
e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações
(SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF;
_________________________________________________________________________________________________________
Página | 43
Norma Complementar nº 11/IN01/DSIC/GSIPR, Estabelece diretrizes para avaliação de
conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos
ou entidades da Administração Pública Federal, direta e indireta – APF;
Norma Complementar nº 12/IN01/DSIC/GSIPR, Estabelece diretrizes e orientações básicas para o
uso de dispositivos móveis nos aspectos referentes à Segurança da Informação e Comunicações (SIC)
nos órgãos e entidades da Administração Pública Federal (APF), direta e indireta;
Norma Complementar nº 13/IN01/DSIC/GSIPR, Estabelece diretrizes para a Gestão de Mudanças
nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da
Administração Pública Federal, direta e indireta (APF);
Norma Complementar nº 14/IN01/DSIC/GSIPR, Estabelece diretrizes para a utilização de
tecnologias de Computação em Nuvem, nos aspectos relacionados à Segurança da Informação e
Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF), direta e
indireta;
Norma Complementar nº 15/IN01/DSIC/GSIPR, Estabelece diretrizes de Segurança da Informação e
Comunicações para o uso de redes sociais, nos órgãos e entidades da Administração Pública Federal
(APF), direta e indireta;
Norma Complementar nº 16/IN01/DSIC/GSIPR, Estabelece as Diretrizes para o Desenvolvimento e
Obtenção de Software Seguro nos Órgãos e Entidades da Administração Pública Federal, direta e
indireta;
Documentos Referenciados
REF.
1
2
3
4
5
6
NOME DO DOCUMENTO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO CREA‐MT
POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DA AUTORIDADE CERTIFICADORA
AUTORIDADE CERTIFICADORA DO SERPRO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES DIRETRIZES E NORMAS
PSI – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - DOCUMENTO DE DIRETRIZES E NORMAS
ADMINISTRATIVAS
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES - 2015
INSTITUIÇÃO
CREA-MT
SEPRO
–
SERPROACF
AGU
SENAC-SP
OS
CFM
INMETRO
_________________________________________________________________________________________________________
Página | 44
ANEXO I
Termo de Responsabilidade ao Acesso a Rede Interna, Internet e
Sistema Corporativo do CREA-MT.
Eu,____________________________________________________________________________,
Matrícula________, Setor__________________________________________________, Identidade
nº__________________,
Orgão
expedidor/
UF______________________,
CPF
nº________________________, na qualidade de usuário dos recursos de Tecnologia de Informação
disponibilizados pelo CREA-MT, declaro estar ciente e concordar com a Política de Segurança da
Informação composta por suas Diretrizes Gerais, Normas, Procedimentos e Instruções, que está
disponível na Intranet.
Declaro assumir toda e qualquer responsabilidade de controle, guarda e conservação dos
equipamentos relacionados nesta política. Tenho ciência de que a retirada deste equipamento para
manutenção, bem como a instalação de qualquer software, deverá ser feita somente por funcionários
da Administração e Segurança da Rede, devidamente identificados.
Declaro estar ciente de que os arquivos, documentos e e-mails que se encontram em computadores
e/ou servidores de rede do CREA-MT são de propriedade do CREA-MT. Portanto, ao desligar-me
do Conselho, não poderei fazer cópias de documentos, ou de softwares licenciados ao CREA-MT.
Declaro estar ciente de que devo gravar os arquivos produzidos e manipulados por mim na rede de
computadores do CREA-MT e de que não existe rotina de backup para arquivos particulares nas
estação de trabalho.
Declaro, também, estar ciente de que os acessos por mim realizados à Internet, bem como o conteúdo
das mensagens enviadas através do correio eletrônico corporativo são monitorado automaticamente.
Declaro que em razão da sua relação contratual com o CREA-MT, estabelece contato com
informações com graus diferentes de confidencialidade, cuja divulgação e acesso dependem de
autorização expressa da chefia a que estiver subordinado.
Declaro informar imediatamente, à chefia a que estiver subordinado, acerca de qualquer ação,
intencional ou culposa, que possa prejudicar o sigilo, a disponibilidade e a integridade das
informações.
_________________________________________________________________________________________________________
Página | 45
ANEXO I
Termo de Responsabilidade ao Acesso a Rede Interna, Internet e Sistema
Corporativo do CREA-MT.
Declaro que recebi quando da sua contratação uma identificação de conta (login) e um código (senha)
para ter acesso aos serviços de Rede Interna, Internet e Sistema Corporativo do CREA-MT.
Declaro que é de meu conhecimento que o login e a senha, fornecidos pelo CREA-MT tem natureza
jurídica equivalente a ferramenta de trabalho proporcionada pelo empregador ao empregado para a
consecução dos seus serviços, devendo ser usados exclusivamente no interesse do CREA-MT.
Declaro que é de meu conhecimento que o endereço eletrônico de correio (e-mail) fornecido pelo
CREA-MT tem natureza jurídica equivalente a ferramenta de trabalho proporcionada pelo
empregador ao empregado para a consecução dos seus serviços, devendo ser usado exclusivamente
para comunicações corporativas e de interesse do CREA-MT.
Declaro que é de meu conhecimento que sua conta, assim como os dispositivos de armazenamento
disponíveis na estação de trabalho sob sua responsabilidade, poderão ser monitoradas e auditadas a
qualquer tempo, independentemente de notificação prévia.
Declaro que é de meu conhecimento que responderei por qualquer ato de infração comprovadamente
originado pelo uso de sua conta e senha.
Declaro estar ciente que a não observância dessas regras será entendida como falta sujeita às sanções
disciplinares previstas no Regimento do CREA-MT ou CLT.
Declaro que recebi uma via deste documento, sendo do seu conhecimento que outra via está arquivada
na sua pasta funcional.
Data:
Empregado:
(Ciente) Coordenadoria de Recursos Humanos:
_________________________________________________________________________________________________________
Página | 46

Política de Segurança da Informação e Comunicações - Crea-MT

Transcrição

Documentos relacionados

ART WEB - Crea-MT

nossa Apólice - Baroli Corretora

E.E. Presidente Médici

Edital Encerramento de Trânsito – Festas do Santissiomo

BARYE, ANTOINE-LOUIS. (1796-1875)

ARYANNE GASTINO DE SOUZA

SERVIÇO PÚBLICO FEDERAL CONSELHO FEDERAL DE

certificado certificado rtificado

SERVIÇO PÚBLICO FEDERAL CONSELHO FEDERAL DE

0.212586001416404697_qcp_cv_71_2014.