segurança da informação

Transcrição

tipo
nome
código
revisão
data
página
política
política de segurança da informação
PSI.01
3
19.06.2015
1 de 18
A Gráfica Editora Aquarela apresenta sua Política de Segurança da
Informação baseada na norma da ABNT NBR ISO 27001 e com enfoque na estrutura de negócios da empresa.
Este documento descreve a política de Segurança da Informação da
Aquarela e a aplicação da mesma por software, hardware e mecanismos de proteção necessários para fortalecer e ampliar a segurança
da informação contra ações indesejáveis.
objetivo
A Política de Segurança da Informação tem o objetivo de orientar, definir
conduta e responsabilidades de todos colaboradores para garantir a integridade, a confidencialidade, a disponibilidade, a autenticidade e o não
repúdio das informações trafegadas.
divulgação
A Política de Segurança da Informação da Gráfica Aquarela deverá ser de
conhecimento de todos os usuários e funcionários e deve ser divulgada
da seguinte forma:
Impressa: na contratação do funcionário cuja função necessite utilizar
recursos computacionais;
Palestra Anual;
Digital: acesso através do site www.grafica-aquarela.com.br no link “Segurança da Informação”.
Analisado Criticamente/Aprovado por:
Comitê de Segurança da Informação
tipo
nome
código
revisão
data
página
1
comitê de segurança
da informação
2
acordo
de confidencialidade
3
classificação
de documentos
política
PSI.01
3
19.06.2015
2 de 18
O Comitê de Segurança da Informação tem por objetivo ajudar na criação
e revisão de políticas, normas e procedimentos gerais relacionados à segurança da informação, sempre suportados pela norma ABNT NBR 27.001.
O comitê é formado por um grupo de gestores dos departamentos de
Compras, Pré Impressão, Recursos Humanos, Impressão Digital e Tecnologia da Informação. As reuniões devem acontecer anualmente, exceto se
convocadas por algum dos membros por demanda emergencial. As atas
das reuniões serão assinadas por todos os membros presentes e arquivadas no departamento de TI.
Todos os funcionários ou terceiros devem assinar o documento “Termo de
Confidencialidade e Responsabilidade” fornecido pelo departamento de Recursos Humanos no ato da contratação.
Nos contratos de clientes e fornecedores firmados com a Gráfica Aquarela
deve obrigatoriamente constar uma cláusula de confidencialidade. Todos os
contratos devem ser validados pelo departamento jurídico da Gráfica Aquarela.
As informações da Gráfica Aquarela são classificadas como públicas e confidenciais, sendo que somente os documentos confidenciais devem ser
identificados com a palavra “confidencial”. As informações estão contidas
em documentos impressos, arquivos digitais, e-mails e em sistemas utilizados pela empresa.
O acesso às informações é concedido ou revogado conforme a necessidade da atividade desenvolvida pelo usuário e mediante autorização da
gerência ou responsável pelo departamento ou pela informação.
tipo
nome
código
revisão
data
página
4
seleção
5
requisição
e devolução
de ativos
6
liberações,
alterações e revogação
de direitos e acesso
política
PSI.01
3
19.06.2015
3 de 18
A seleção de terceiros e fornecedores deve ser realizada com base nos procedimentos internos “IT–GCP 01—Seleção de Fornecedores”, “IT–GCP 02—
Aquisição de Materiais e Serviços”, “IT–GCP 03—Avaliação de Fornecedores”
e “IT–GCP 04—Recebimento e Inspeção de Materiais” correspondentes aos
documentos de Gestão Integrada.
Para seleção de pessoas o Departamento de RH deve seguir como procedimento o documento “DR–GRH—03 Diretrizes para Recrutamento e Seleção”.
Nenhum acesso físico ou digital é permitido a futuros fornecedores, candidatos em processos de seleção e visitantes sem autorização do departamento de TI.
Os ativos de informática da Gráfica Aquarela devem ser solicitados por
e-mail pela gerência ou responsável do departamento, direcionado ao
departamento de TI.
A devolução dos ativos de informática ocorre nos casos de quebra, descontinuidade do ativo, alteração de função, desligamento do funcionário
ou encerramento de contrato de fornecedor ou terceiro.
Em caso de desligamento do funcionário, o departamento de TI deve ser
informado pela gerência ou responsável através de um e-mail e verificar
quais ativos devem ser devolvidos. A relação dos ativos é encaminhada ao
departamento de Recursos Humanos para que os ativos sejam devolvidos
assim que o usuário for comunicado do desligamento.
Em caso de encerramento, quebra ou cancelamento de contrato, o departamento de TI também deve ser informado pelo responsável do contrato
através de um e-mail e providenciar a retirada dos ativos.
Os acessos às informações e aos recursos de processamento da informação são liberados, alterados ou revogados conforme a solicitação da
gerência ou responsável pelo departamento.
Nas ocorrências em que o acesso às informações solicitadas pertencerem
a outro departamento, o gerente ou responsável pela informação deve
também autorizar, alterar, revogar ou impedir o acesso.
Toda solicitação deve ser formalizada por e-mail direcionado ao departamento de TI.
tipo
nome
código
revisão
data
página
7
controle
de entrada física
política
PSI.01
3
19.06.2015
4 de 18
O controle de entrada física deve ser realizado através de monitoramento
de câmeras, relatórios, equipamentos de controle de acesso e portões de
entrada em sistema de “gaiolas”.
A solicitação para liberação de acesso só pode ser realizada pela diretoria, gerência ou responsável pelo departamento.
Portaria: é responsável pela entrada de veículos, monitoramento das câmeras, relatórios e entrega de crachás. Todos os visitantes devem portar
um crachá de visitante identificado pela cor laranja nas dependências da
Gráfica Aquarela. O mesmo deve ser solicitado pela portaria após o término da visita.
A entrada de visitantes, clientes, terceiros e fornecedores deve ser autorizada quando solicitada por e-mail, que deve ser encaminhado à Portaria
([email protected]) com nome do visitante, nº documento de identidade e nome da empresa. No caso de necessidade de entrada
do veículo, deverão ser informados o modelo e placa.
Recursos Humanos: após a entrega do crachá ao visitante, caso necessário, o responsável pela visita deverá solicitar ao RH a liberação do acesso.
O funcionário que estará acompanhando visitante, terceiro ou fornecedor é
responsável pela circulação dos mesmos nas dependências da Gráfica Aquarela.
8
segurança em escritórios,
salas e instalações
A segurança dos departamentos, salas e instalações da Gráfica Aquarela
será realizada através de um sistema de controle de acesso com equipamentos de liberação de portas, de câmeras e circulação de vigilantes.
Somente o responsável pelo departamento pode autorizar ou restringir
o acesso. A solicitação deve ser formalizada via e-mail e encaminhada
para o departamento de Recursos Humanos para realizar o cadastro.
tipo
nome
código
revisão
data
página
9
acesso do público,
áreas de entrega e de
carregamento
10
instalação e proteção
dos equipamentos
11
reutilização
e descarte de
equipamentos e mídias
política
PSI.01
3
19.06.2015
5 de 18
Todos devem se identificar antes de entrar nas dependências da Gráfica
Aquarela. Somente pessoas e veículos autorizados podem ter acesso aos
locais de entrega e carregamento.
A sala onde estão instalados os servidores, equipamentos de rádio e internet,
deve ser refrigerada e com monitoramento por câmeras.
O acesso à sala de servidores, equipamentos de rádio e internet só pode
ser feito pelo departamento de TI ou com o acompanhamento e/ou autorização deste.
Para a proteção de equipamentos deverá haver rede elétrica estabilizada, geradores e nobreak com a duração da bateria de aproximadamente 10 minutos.
Para reutilização ou descarte de mídias com armazenamento de dados, como
o disco rígido, deve ser utilizado o software Dban, que tem a função de deixar
a mídia ao estado original, impedindo a recuperação de dados posteriormente.
Em caso de descarte do disco rígido, o mesmo deve ser perfurado pela
equipe da manutenção com o acompanhamento do departamento de TI.
Somente após esse procedimento, poderá ser destinado a doação.
Os periféricos (hardwares) do computador sempre que possível devem
ser reutilizados. Quando o reaproveitamento não for possível, o material
deverá ser destinado a doação para empresas certificadas que realizam a
coleta do lixo eletrônico.
As mídias de CD’s e DVD’s devem ser encaminhadas ao departamento
de TI para realizar a fragmentação na presença do solicitante. Após esse
procedimento elas podem ser descartadas.
As mídias de terceiros só podem ser reaproveitadas ou descartadas mediante autorização do proprietário.
Os papéis com informações sensíveis devem ser fragmentados imediatamente antes de serem descartados. Todos os departamentos possuem fragmentadores e possuem uma identificação clara para utilização dos colaboradores.
tipo
nome
código
revisão
data
página
12
remoção
de propriedade
13
gestão
de mudanças
política
PSI.01
3
19.06.2015
6 de 18
A remoção de equipamentos, softwares e dados da Gráfica Aquarela deve
ser realizada somente com autorização da diretoria, gestor ou responsável
da área e o departamento de TI deve realizar ou acompanhar a remoção.
Todas as mudanças físicas ou lógicas envolvendo dados computacionais,
devem ser controladas pelo departamento de TI. Os departamentos que
possuem sistemas ou softwares direcionados à atividade, devem informar
através de e-mail, com antecedência, ao departamento de TI as necessidades futuras de mudanças. As emergências também devem ser formalizadas e notificadas ao departamento de TI.
Para aquisições de softwares, hardwares, upgrades, entre outros, a solicitação deve ser realizada ao departamento de TI pelo gestor do departamento por e-mail. Se alguma aquisição for realizada diretamente
pelo gestor do departamento, o mesmo deve comunicar formalmente ao
departamento de TI com todos os dados da aquisição, inclusive a licença.
As atualizações e manutenções de sistemas, servidores, computadores,
estrutura de rede entre outros, devem ser programadas e comunicadas
com antecedência aos usuários afetados. Os comunicados devem ser realizados através de e-mail e contendo as seguintes informações: sistema
ou serviço afetado, data e hora de início e fim da operação e previsão de
indisponibilidade ou retorno de serviços/sistemas.
Em situações emergenciais de queda, inatividade ou precariedade dos
serviços de softwares ou hardwares deverá ser feita comunicação a todos
os usuários.
Todas as mudanças devem ser documentadas e relacionadas em uma planilha salva no diretório “TI” disponível na rede com acesso somente ao
departamento de TI.
tipo
nome
código
revisão
data
página
14
segregação
de funções
15
ambiente
de teste
16
controle contra
códigos maliciosos
política
PSI.01
3
19.06.2015
7 de 18
Deve ser utilizada a ferramenta da Microsoft do Windows Server 2008,
Active Directory ou outro compatível para segregar os usuários e direitos
de acesso aos dados computacionais da rede.
A organização do AD (Active Directory) deve ser dividida em Unidades
Organizacionais com os nomes dos departamentos. Dentro de cada Unidade devem estar cadastrados os usuários e grupos correspondentes ao
departamento.
As atualizações dos sistemas de informação da empresa deverão ser realizadas no ambiente de teste primeiramente, para validação pelos usuários.
O departamento de TI comunicará aos usuários através de e-mail sobre
a atualização do ambiente de teste, com o intuito de identificarem erros,
correções ou novos recursos do sistemas. Deve ser estabelecido um prazo
para realização dos testes e uma data para atualização do sistema.
Para prevenção e proteção contra ações indesejadas de códigos maliciosos,
a Gráfica Aquarela deve ter um Firewall instalado de modo Appliance, na
entrada dos links de internet.
Deverá também ser utilizado antivírus do tipo McAfee Total Protection com
programação de busca e atualizações permanentes e on-line.
Deverá possuir um servidor AntiSpam que filtre a entrada e saída de e-mails.
Não é autorizada a instalação de qualquer software por usuários de dados
computacionais. Somente o departamento de TI realiza ou autoriza a instalação ou atualização.
tipo
nome
código
revisão
data
página
17
controles de rede
política
PSI.01
3
19.06.2015
8 de 18
Os controles de redes deverão ser realizados através de regras de bloqueios no firewall, com configuração de perfil do usuário no computador,
configuração de extensão de arquivos em e-mails e rotinas de verificação
de portas abertas e reputação na internet. Devem ser usadas as ferramentas abaixo, habilitadas para garantir o controle e segurança de rede:
IPS (Intrusion Prevention System): realiza a inspeção dos pacotes usando
assinaturas de ataques conhecidos para identificar códigos maliciosos e
bloqueá-los.
Controle de aplicações (Application Control): permite a granularidade
do controle de acesso a aplicações como: Skype, teamviewer, messenger,
logmein, facebook, orkut, twitter, etc. O controle de aplicações funciona
também para bloquear aplicações indesejadas que atravessam sistemas
de segurança quando sua conexão é criptografada ou usa a mesma porta
de um outro serviço. As assinaturas são atualizadas automaticamente
pelo fabricante.
Controle de reputação (Reputation): bloqueia ou libera automaticamente
páginas com reputação ruim, para HTTP e para HTTPS (para HTTPS depende do DPI habilitado—Deep Inspection) conforme sua configuração. Limitar um acesso a um site que possui uma má reputação é extremamente
importante, pois se o mesmo está com uma reputação ruim, provavelmente está vulnerável a ataques.
Aplicação do Safe Search: controla a pesquisa de conteúdo impróprio nos
principais mecanismos de busca da internet, impedindo que um usuário
consiga encontrar sites com pornografia, crimes cibernéticos, entre outros
O filtro é baseado no próprio projeto safesearch. Por exemplo: o usuário
busca as palavras "PORNO" ou "PEDOFILIA" no site do Google, mas será
impedido de localizar conteúdos impróprios após habilitação do Safe Search.
tipo
nome
código
revisão
data
página
17
controles de rede
política
PSI.01
3
19.06.2015
9 de 18
As redes da Pré Impressão e Wireless devem conter os bloqueios abaixo:
—Bloqueio ao acesso de redes sociais;
—Bloqueio ao acesso de softwares de mensagens instantâneas;
—Bloqueio ao acesso de sites de transferência de arquivos;
—Bloqueio ao acesso à rede ponto a ponto;
—Bloqueio de upload e download em nosso FTP de arquivos com extensões consideradas perigosas.
Os e-mails não podem trafegar com arquivos com extensões consideradas perigosas. Caso o usuário necessite receber ou enviar um arquivo com
extensão bloqueada, o seu gestor deve solicitar através de um e-mail ao
departamento de TI a liberação do mesmo temporariamente.
Os perfis dos usuários nos computadores devem ser cadastrados como
“Usuário Padrão” ou “Convidado” tendo acesso diferenciado do usuárioadministrador local. Somente o departamento de TI possuirá a senha do
usuário administrador local dos computadores.
Deve ser realizada semanalmente pelo departamento de TI, a verificação
de portas abertas da rede da Gráfica Aquarela e a reputação do domínio
ou IP público através do site http://www.mxtoolbox.com/. As verificações
devem ser armazenadas no diretório “TI” disponível na rede com acesso
liberado somente ao departamento de TI.
As senhas de usuário “Administrador” dos servidores devem ser mantidas
em dupla custódia conforme o item 23 desta política.
A rede da impressão digital somente poderá ter acesso liberado aos sites,
FTP’s ou ferramentas para transmissão de dados dos clientes, ficando
restrito todo e qualquer acesso externo.
tipo
nome
código
revisão
data
página
18
gerenciamento
de mídias removíveis
19
procedimento para
tratamento da informação
política
PSI.01
3
19.06.2015
10 de 18
As entradas de mídias removíveis devem ser bloqueadas de modo lógico
nos computadores e servidores. Somente o usuário administrador da máquina local pode bloquear e desbloquear o acesso. Caso haja necessidade
de utilização de mídias removíveis, como por exemplo, leitora para o cartão
de certificado digital, o gestor deverá solicitar através de e-mail ao departamento de TI a liberação do acesso e o período que o mesmo será mantido.
As solicitações devem ser documentadas e relacionadas em uma planilha
salva no diretório “TI” disponível na rede com acesso liberado somente ao
departamento de TI.
Somente informações relacionadas às atividades exercidas na Gráfica
Aquarela podem ser mantidas ou arquivadas na rede, em softwares, computadores, em mídias removíveis ou armários.
Somente pessoas autorizadas pela diretoria, gerência ou responsável pelo
departamento poderão ter acesso às informações de rede. Todos os usuários devem guardar arquivos eletrônicos ou digitais correspondentes à sua
atividade na rede, para garantir a proteção aos dados, acesso indevido, disponibilidade da informação e quando necessário à recuperação de dados.
As mídias removíveis devem ser armazenadas corretamente contendo identificação da informação, em lugares que não estejam expostos a elevadas
temperaturas, a umidade e ao acesso indevido.
O período de armazenamento das informações como documentos fiscais,
documentos comprobatórios para fins jurídicos, entre outros, são os determinados por legislação específica. Nos demais casos a diretoria, gerência ou responsável pelo departamento podem determinar o período
de armazenagem.
Todos os funcionários que acessam ou utilizam dados computacionais, no
momento da contratação deverão assinar o documento “Termo de confidencialidade e Responsabilidade”.
tipo
nome
código
revisão
data
página
20
mídias em trânsito
21
mensagens eletrônicas
política
PSI.01
3
19.06.2015
11 de 18
Toda mídia deve ser embalada e transportada de maneira segura de forma
que o acesso não autorizado seja inibido. Os arquivos preferencialmente devem ser gravados em mídias que não possibilitem alterações ou limpeza dos
dados. Quando necessário, os arquivos deverão conter bloqueios por senhas.
A retirada de mídias deverá ser solicitada ao departamento de expedição
via e-mail com as informações do local, horário e responsável pela entrega
da mídia.
No envio de mídias, deverá ser preenchido protocolo e entregue junto com
a mídia ao departamento de expedição. Na entrega, o destinatário deverá
assinar o protocolo.
Para o uso adequado das ferramentas eletrônicas da Gráfica Aquarela,
todos os funcionários devem seguir as orientações abaixo:
Termos utilizados:
“Sistema de Comunicação Eletrônica” se refere a correio de voz, correio
eletrônico, intranet ou acessos Internet possuídos, arrendados, operados,
mantidos ou gerenciados pela Gráfica Aquarela;
“Mensagens” se refere a todas as mensagens, arquivos, ou outro tipo de
dado criado, carregado, descarregado, enviado, recebido ou armazenado
em qualquer Sistema de Comunicação Eletrônica.
Propriedade do sistema e dos dados
Todos os Sistemas de Comunicação Eletrônica são propriedade da Gráfica
Aquarela. Todas as mensagens neles armazenadas são de registro e propriedade da Gráfica Aquarela, de seus clientes ou fornecedores.
Somente para uso comercial
As mensagens devem ser limitadas apenas à realização dos negócios da
Gráfica Aquarela. Os Sistemas de Comunicação Eletrônica não podem ser
utilizados para qualquer outra finalidade.
tipo
nome
código
revisão
data
página
21
política
PSI.01
3
19.06.2015
12 de 18
Conteúdo das mensagens
As mensagens não podem possuir conteúdo que possa, de forma razoável, ser considerado ofensivo, destrutivo, difamatório ou pejorativo, incluindo, mas não limitado a comentários ou imagens sexuais, calúnias
raciais, ou outros comentários ou imagens que possam ofender a alguém
por sua raça, nacionalidade, gênero, orientação sexual, crença religiosa,
orientação política ou restrição física.
Direitos de propriedade
É proibido carregar ou descarregar de sistemas de terceiros, material sujeito às leis de direito autoral ou classificados como segredo, sem autorização escrita. Material sujeito às leis de direito autoral, classificado como
shareware ou freeware pode ser descarregado para os propósitos designados pelo detentor do respectivo direito autoral.
Sem expectativa de privacidade
Ninguém deve assumir que qualquer mensagem seja privativa. Apesar
das características dos sistemas darem uma aparência de privacidade—
incluindo senhas e a aparente possibilidade e se apagar mensagens—as
mensagens não são necessariamente privativas por duas razões:
—Os Sistemas de Comunicação Eletrônica podem não ser seguros. A segurança dos arquivos eletrônicos de sistemas compartilhados e redes é,
frequentemente, semelhante ao de um documento em um envelope não
lacrado—geralmente respeitado, porém facilmente lido por alguém determinado a fazê-lo. Você deve assumir que suas mensagens podem ser
ouvidas ou lidas por alguém que não seja o destinatário. Mesmo quando
uma mensagem é apagada, esta ainda pode ter uma cópia de segurança
(backup) em algum lugar, ou é passível de ser recuperada.
—As mensagens podem ser auditadas pela empresa a qualquer momento.
“Sistema de Comunicação Eletrônica” se refere a correio de voz, correio
eletrônico, intranet ou acessos Internet possuídos, arrendados, operados,
mantidos ou gerenciados pela Gráfica Aquarela;
tipo
nome
código
revisão
data
página
21
política
PSI.01
3
19.06.2015
13 de 18
Direito de Monitorar
A Gráfica Aquarela se reserva o direito de monitorar, acessar, recuperar
e ler todas as mensagens, e divulgar qualquer uma para as autoridades
judiciais e policiais e terceiros, sem aviso prévio ao remetente ou destinatário da mensagem. Funcionários que têm sob sua responsabilidade
profissional a integridade e segurança de dados, podem revisar as mensagens recebidas ou enviadas por qualquer funcionário, desde que para
os seguintes propósitos:
—Identificar e diagnosticar problemas de hardware ou software;
—Evitar má utilização dos sistemas;
—Determinar se houve violação de confidencialidade, segurança ou violação desta política;
—Investigar má conduta ou atividades não éticas, ilegais ou não apropriadas;
—Garantir o cumprimento dos direitos autorais, obrigações contratuais e licenças;
—Cumprir com as obrigações legais às quais a Gráfica Aquarela está sujeita;
—Cumprir as requisições legais e regulamentadas de informações e Proteger os interesses comerciais da Gráfica Aquarela.
Nenhum outro tipo de monitoração ou revisão pode ser feita sem a prévia
aprovação do Diretor Geral da empresa.
A Gráfica Aquarela não autoriza a utilização de mensagens eletrônicas
com as seguintes descrições:
—Linguagem que possa ser considerada ofensiva, destrutiva, difamatória
ou pejorativa.
—Para fins pessoais (mensagens para amigos e familiares, cadastro em
site da internet, passar mensagens a outros funcionários que não sejam
relacionadas ao trabalho).
—Manter nos computadores da empresa cópias ou instalação de programas
que não sejam licenciados e que não estejam relacionados com os negócios.
—Divulgação ou compartilhamento de senha e/ou identificação de usuário
com outras pessoas.
—Deixar seu computador sem supervisão quando estiver acessando a rede.
tipo
nome
código
revisão
data
página
21
22
proteção das informações
dos registros de LOG
23
gerenciamentos
de privilégios
política
PSI.01
3
19.06.2015
14 de 18
Caso o funcionário receba mensagens eletrônicas com conteúdo que não
esteja relacionado à sua atividade, deverá deletá-la e solicitar à pessoa
que enviou a mensagem que a exclua da lista. Caso a pessoa insista em
enviar mensagens de conteúdo inadequado, o funcionário deverá comunicar ao Comitê de Ética e Conduta.
O uso indevido do Sistema de Comunicação Eletrônica pode resultar em
ação disciplinar, incluindo dispensa.
O código de ética da Aquarela deverá mencionar as normas sobre a utlização de mensagens eletrônicas e dos recursos eletrônicos.
Não é permitida a configuração de qualquer e-mail diferente do domínio
grafica-aquarela.com.br nos computadores da gráfica.
Os logs dos sistemas operacionais dos computadores da Gráfica Aquarela
devem ser coletados através de software específico e armazenados em
um servidor de log com acesso restrito e limitado ao departamento de TI.
O tempo mínimo de armazenamento deverá ser de 30 dias.
Os logs dos sistemas operacionais dos servidores da Gráfica Aquarela são
armazenados através de uma política no AD (Active Directory). O tempo
mínimo para a política sobrescrever os logs é de 90 dias.
O usuário “administrador” dos servidores deverá possuir senha em dupla
custódia, ou seja, metade dessa senha deverá ser elaborada pelo Gestor da
área de TI e a outra metade pelo Analista de T.I. Os documentos contendo
as partes das senhas devem ser lacrados, envelopados e identificados com
o nome do servidor correspondente. Este documento deverá ficar sob a
custódia do Executivo Administrativo Financeiro. Esse procedimento deverá
ser realizado para cada servidor individualmente.
Caso haja necessidade do acesso com o usuário “administrador”, o envelope deverá ser aberto pelo responsável da guarda em uma cerimônia com
a presença dos autores da senha. Após a utilização da mesma o procedimento deve ser realizado novamente para o cadastro de uma nova senha.
Os perfis dos usuários nos computadores devem ser cadastrados como
“Usuário Padrão” ou “Convidado” conforme o item 17 dessa política.
tipo
nome
código
revisão
data
página
23
gerenciamentos
de privilégios
24
autenticação para
conexões externas
do usuário
25
procedimentos seguros de
entrada no sistema LOGON
política
PSI.01
3
19.06.2015
15 de 18
A ferramenta para gerenciamento dos privilégios de dados da rede deve ser
o Active Directory.
O acesso às informações poderá ser liberado, alterado ou revogado, conforme a solicitação da gerência ou responsável pelo departamento conforme o item 6 desta política.
Somente o departamento de TI poderá autorizar o acesso remoto aos
dados computacionais da Gráfica Aquarela.
Para os colaboradores que trabalham remotamente e fornecedores de
sistemas que necessitem do acesso remoto, deverá ser disponibilizado
o acesso via VPN. Para tal, deverá ser criada regra no firewall para que o
usuário acesse somente o computador ou servidor específico para efetuar
a manutenção, suporte e outras atividades.
Os fornecedores deverão solicitar o acesso remoto ao departamento de
TI por e-mail. O departamento de TI informará a senha atual do usuário
liberando o acesso remoto. Após a conclusão dos trabalhos/atividades, a
senha deverá ser alterada pelo departamento de TI.
A diretiva de bloqueio de conta dos usuários da rede AQUARELA.LAN deve
ser habilitada no Active Directory da seguinte forma:
—Diretiva do bloqueio de conta: zero minuto
Determina que a conta somente poderá ser desbloqueada pelo Adminstrador.
— Limite de bloqueio de conta : 3 tentativas de logon inválidos.
Determina o número de tentativas de logon sem êxito ou inválidas;
—Zerar contador de bloqueio de conta após: 30 minutos
Determina o número de minutos que devem ser considerados após uma
tentativa de logon sem êxito ou inválida.
tipo
nome
código
revisão
data
página
26
gerenciamento
de usuário e senha
política
PSI.01
3
19.06.2015
16 de 18
O departamento de TI é responsável por configurar a política de senhas
nos computadores, servidores e sistemas. Também é responsável por
orientar os usuários no cadastramento da senha.
A senha é de responsabilidade do usuário, é de uso pessoal e intransferível. Não é permitido o compartilhamento da senha. A mesma poderá
ser alterada a qualquer momento. Caso o usuário necessite de ajuda para
alterar a senha, o departamento de TI deve ser acionado.
Na ocorrência de algum usuário identificar que outro usuário esteja compartilhando a senha, o mesmo deve comunicar por e-mail ao departamento de TI.
Não é permitido o uso e cadastro de usuário genérico ou padrão para
acesso a internet, a rede e a sistemas.
A diretiva de senha da conta dos usuários da rede AQUARELA.LAN deverá
ser habilitada no Active Directory da seguinte forma:
—Comprimento mínimo da senha: 6 caracteres;
—Históricos de senhas: 3 senhas memorizadas;
—Tempo de vida máximo da senha: 90 dias;
—Tempo de vida mínimo da senha: zero dia;
—Níveis de Complexidade: habilitado;
—Não conter nome da conta ou mais de dois caracteres consecutivos
de partes do nome completo do usuário;
—Ter pelo menos seis caracteres;
—Conter caracteres de três destas quatro categorias:
Caracteres maiúsculos (A-Z);
Caracteres minúsculos (a-z);
Dígitos de base 10 (0 a 9);
Caracteres não alfabéticos (como !, $, #, %).
O acesso à internet somente é permitido pelos usuários cadastrados no
Active Directory vinculados às regras do Firewall.
No caso de desligamento de funcionário, encerramento, quebra ou cancelamento de contrato, após o departamento de TI ser comunicado, conforme o item 6 desta política, a senha deverá ser alterada e o usuário deverá
ser inativado. Somente após 30 dias o usuário poderá ser excluído.
tipo
nome
código
revisão
data
página
27
mesa limpa e tela limpa
política
PSI.01
3
19.06.2015
17 de 18
Com o objetivo de redução dos riscos de acessos não autorizados,
danos, perda ou roubo de informações impressas e eletrônicas, todos os
funcionários devem seguir os procedimentos abaixo:
Mesa Limpa:
—As informações impressas ou contidas em mídias removíveis devem ser
mantidas e armazenadas de maneira adequada;
—É indicada a utilização de envelopes, sacos plásticos, caixas de “arquivo
morto” para manter, manusear ou transitar as informações.
—As informações devem ser armazenadas em gavetas, armários ou cofres
quando não estão sendo utilizadas ou fora do horário de trabalho;
—É necessário o cadastro de usuário e senha para a utilização do scanner;
—As informações, quando impressas, devem ser retiradas imediatamente
da impressora.
—É recomendável a utilização do recurso “Impressão Confidencial”, onde é
exigido um nº de PIN para liberar a impressão no equipamento.
Tela Limpa:
—Todos os usuários devem manter seu computador bloqueado ao se
ausentar do departamento durante o expediente de trabalho.
—Todos os computadores serão configurados para entrar no modo de
“Proteção de Tela” caso a sessão fique ociosa por mais de 10 minutos.
A senha será exigida ao reiniciar a sessão. Não será permitida a utilização de
proteção de tela transparente ou que permite a visualização das informações.
—Os computadores e impressoras devem permanecer desligados quando
desassistidos.
—As informações que não estão sendo utilizadas devem permanecer
fechadas, como arquivos, ERP’s, sites, locais de rede, etc.
—É recomendado manter na Área de Trabalho (Desktop) do computador,
apenas atalhos e pastas padrões do sistema operacional e atalhos de
software, pastas ou locais mais utilizados. Não é recomendado salvar
arquivos na área de trabalho, pois normalmente o nome do arquivo é
relacionado com o conteúdo. O usuário deve salvar o arquivo em uma pasta
da rede.
tipo
nome
código
revisão
data
página
28
análise crítica
independente de
segurança da informação
política
PSI.01
3
19.06.2015
17 de 18
Uma vez por ano será realizada uma auditoria interna pelos colaboradores
de TI, a fim de assegurar a implementação da Política de Segurança da
Informação e analisar possíveis melhorias na utilização da mesma.
O resultado da auditoria será registrado em um relatório e divulgado para a
direção e comitê de Segurança da Informação.
Em caso de não-conformidade, a direção e o comitê serão responsáveis
pelas tomadas de ações corretivas.

segurança da informação

Transcrição

Documentos relacionados

Livro com Aquarela - Backyardigans

Silvio Santos Ilha de Páscoa Aquarela do Brasil Cidade de Deus

Tintas : Aquarela Art Creation Royal Talens Tubos 08 Cores 9022008

PAISAGENS BRASILEIRAS

DISCIPLINA: ELEMENTOS DE MÁQUINAS CARGA HORÁRIA: 60h

Como trocar a senha do email institucional

Tutorial para criar senha de acesso ao curso no Moodle

Agendamento Web 1º PASSO 2º PASSO 1

Listras vão com tudo

Válvula VT-01 datasheet