Ministério da Saúde
Fundação Oswaldo Cruz

PORTARIA Nº 345, DE 15 DE MAIO DE 2012

O Presidente da Fundação Oswaldo Cruz, no Uso de suas atribuições e da competência que lhe foi delegada pela Portaria do MS/nº 938, de 22.07.99, resolve:

Instituir Norma Complementar nº 001: Dispõe sobre as Responsabilidades do Usuário, que trata da Política de Segurança da Informação e Comunicações no âmbito da Fiocruz..

ORIGEM: NORMA N° 001 - VPGDI/CGTI/Serviço de Segurança da Informação e Comunicações

REFERÊNCIA NORMATIVA

- Decreto nº 3.505, de 13 de junho de 2000, que Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.

- Norma Complementar nº 01 IN01/DSIC/GSI/PR, de 30 de junho de 2009, que estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre Gestão de Segurança da Informação e Comunicações.

- Portaria nº 3.207, de 20 de outubro de 2010, que institui a Política de Segurança da Informação e Comunicações no Ministério da Saúde.

- Portaria nº 69, de 21 de fevereiro de 2011, que institui a Política de Segurança da Informação e Comunicações da Fundação Oswaldo Cruz.

CAMPO DE APLICAÇÃO

Esta norma se aplica a todos no âmbito da Fiocruz.

SUMÁRIO

1. OBJETIVO

2. PÚBLICO-ALVO

3. DEFINIÇÕES E TERMINOLOGIAS

4. DOCUMENTOS DE REFERÊNCIA DA NORMA

5. REGRAS

6. DISPOSIÇÕES FINAIS

7. VIGÊNCIA E ATUALIZAÇÃO

INFORMAÇÕES ADICIONAIS

Não se aplica.

1. OBJETIVO

Este documento dispõe sobre as responsabilidades do usuário quanto ao uso de senhas e equipamentos, mesa limpa e tela limpa.

2. PÚBLICO-ALVO

Esta norma operacional aplica-se a todos os agentes públicos da Fiocruz.

3. DEFINIÇÕES E TERMINOLOGIAS

Área de TI correlata: área de tecnologia da informação da unidade do usuário de rede.

Armazenamento local: ato de manter um arquivo armazenado no próprio dispositivo (estação de trabalho, notebook, etc.).

Rede local: rede de dados disponibilizada por uma Unidade da Fiocruz.

Servidor de arquivo: servidor de rede disponibilizado especificamente para o armazenamento de arquivos dos usuários. TI: Tecnologia da Informação.

Usuário: servidores, terceirizados, colaboradores, consultores, auditores, estagiários, prestadores de serviço ou qualquer outro que obtiver autorização do responsável pela área interessada para acesso aos ativos de informação da Fiocruz.

4. DOCUMENTOS DE REFERÊNCIA DA NORMA

- ABNT NBR ISO/IEC 27002:2005 - Tecnologia da Informação

- Técnicas de segurança - Código de prática para a Gestão da Segurança da Informação.

- Cartilha de segurança para a Internet, versão 3.1 do Cert.br - http://cartilha.cert.br

5. REGRAS

5.1. Disposições gerais

5.1.1 Todo usuário deve conhecer e cumprir a Política de Segurança da Informação e Comunicações (POSIC) e as legislações em vigor referenciadas nesta norma.

5.1.2 A Fiocruz deve estabelecer um processo de divulgação permanente da sua POSIC, para a conscientização de todos os usuários.

5.2. Uso de recursos de TI

5.2.1 Os usuários devem proteger os recursos de TI da Fiocruz contra acesso, modificação, destruição ou divulgação não autorizada.

5.2.2 Utilizar os recursos de TI colocados à sua disposição somente para os fins institucionais aos quais se destinam.

5.2.3 Não abrir o gabinete das estações de trabalho ou computador portátil, nem modificar qualquer configuração, seja de hardware ou software. Essas configurações são padronizadas, conforme definições da área de TI correlata. Havendo a necessidade de alteração destas configurações, a solicitação deve ser encaminhada à área de TI correlata para análise.

5.2.4 Não instalar ou executar software de sua propriedade ou de terceiros sem prévia homologação e autorização da área de TI correlata.

5.2.5 Desligar a estação de trabalho ou computador portátil corretamente e diariamente ao final do expediente, seguindo os procedimentos do sistema operacional.

5.2.6 As estações de trabalho ou computadores portáteis da Fiocruz devem ser ligadas somente em pontos elétricos estabilizados, evitando-se que sejam ligados em conjunto com outros equipamentos elétricos que não sejam recursos de TI.

5.2.7 Devem-se armazenar os arquivos com informações institucionais nos servidores de arquivos disponibilizados na rede local da Unidade. Deve-se evitar o armazenamento nas estações de trabalho.

5.2.8 Evitar realizar conversas em locais públicos ou sem a reserva adequada sobre assuntos sensíveis da Instituição, restringindose a tratá-los somente em locais que ofereçam a proteção adequada.

5.2.9 Colaborar ativamente na solução de problemas e no aprimoramento dos processos de segurança da informação da Fiocruz.

5.3. Uso de dispositivos portáteis

5.3.1 Os dispositivos portáteis da Fiocruz, sempre que não estiverem sendo utilizados, devem ser guardados em local seguro, onde o responsável, por estes, possa garantir que os mesmos não serão utilizados por outras pessoas.

5.3.2 O uso de dispositivos portáteis pessoais deve ser avaliado pela área de TI correlata.

5.4. Uso da identificação e senhas de acesso

5.4.1 O Usuário somente terá acesso às informações e aos recursos de TI após a conclusão do processo de credenciamento/concessão de acesso, que se dará através de solicitação formal da chefia imediata do usuário à área de Recursos Humanos da Unidade, que por sua vez fará o encaminhamento à área de TI correlata.

5.4.2 A cada usuário deve ser disponibilizada apenas uma identificação de acesso aos recursos de TI. Essa identificação deve ser única, pessoal e intransferível.

5.4.3 A senha de acesso ao recurso de TI qualifica o usuário como responsável por todos os acessos realizados. A definição e a utilização de senhas estão condicionadas às regras definidas pela área de TI correlata.

5.4.4 Os direitos e perfis de acesso seguem as definições do responsável pelo usuário em concordância com os padrões estabelecidos pela área de TI correlata.

5.4.5 O usuário não deve compartilhar sua senha de acesso com outras pessoas.

5.4.6 O usuário deve trocar sua senha de acesso aos recursos de TI periodicamente, seguindo as orientações da área de TI correlata.

5.5. Política de mesa e tela limpa

5.5.1 Os documentos impressos devem ser classificados em conformidade com a legislação vigente.

5.5.2 Os documentos sigilosos não devem ser deixados sobre as mesas na ausência do usuário e devem ser guardados em local seguro e com controle de acesso.

5.5.3 Bloquear o acesso à estação de trabalho ou computador portátil que lhe foi confiado sempre que dele se ausentar.

5.6. Descarte de informações

5.6.1 Os ativos não mais utilizados pelos usuários, em meio eletrônico ou não, devem ser apagados ou destruídos conforme regras da legislação vigente.

6. DISPOSIÇÕES FINAIS

6.1. Os usuários devem comunicar e/ou reportar os incidentes que afetam a segurança dos ativos ou o descumprimento desta norma ao Serviço de Segurança da Informação e Comunicações da CGTI.

6.2. Em casos de quebra de segurança da informação por meio de recursos de TI, o Serviço de Segurança da Informação e Comunicações da CGTI deve ser imediatamente notificado a fim de adotar as providências necessárias.

6.3. Os incidentes de segurança, quebra de segurança e denúncias de descumprimento à Política de Segurança da Informação e Comunicações e suas normas podem ser encaminhadas através do email seguranca@fiocruz.br.

6.4. Ao autor de infração a esta norma, serão aplicadas as sanções cabíveis conforme previsto no capítulo "Penalidades" da Política de Segurança da Informação e Comunicações da Fiocruz.

7. VIGÊNCIA E ATUALIZAÇÃO

Esta norma operacional entra em vigor a partir da data de sua publicação e sua atualização ocorrerá sempre que se fizer necessário.

Nº 347 - 2.0 - OBJETIVO

Instituir o Comitê de Segurança da Informação e Comunicações no âmbito da Fiocruz com as seguintes responsabilidades:

- Assessorar a área de Segurança da Informação e Comunicações da Coordenação de Gestão de Tecnologia da Informação, na implementação das ações de segurança da informação e comunicações;

- Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações;

- Propor normas e procedimentos internos relativos à segurança da informação e comunicações, em conformidade com as legislações existentes sobre o tema.

3.0 - COMPOSIÇÃO

O Comitê será composto pelos profissionais abaixo relacionados.

- Misael Sousa de Araújo - Coordenador do Comitê / CGTI

- Maria Estela Leite - Membro / Auditoria Interna

- Henrique Vitalino - Membro / Direh

- Claudia Lima Costa - Membro / CCS

- Moriharu Sonoda Neto - Membro / Bio-Manguinhos

- Mario Henrique Botelho Farias - Membro / INCQS

- José Henrique Fatia da Silva - Membro / IFF

- Valéria da Silva Fonseca - Membro / ENSP - Igor Machado - Membro / COC

- Antonio Eduardo Albuquerque Junior - Membro / IGM - Edmar Rodrigues Martins - Membro / IRR

As unidades COC, IGM e IRR terão mandato de 02 (dois) anos. Bio-Manguinhos, INCQS, IFF e ENSP, cumprem o último ano de mandato. São membros efetivos a CGTI, Audin, Direh e CCS.

Nº 433 - Instituir Norma Complementar nº 003: sobre o uso do E-mail, que trata da Política de Segurança da Informação e Comunicação no âmbito da Fiocruz.

ORIGEM: NORMA Nº 003 - VPGDI/CGTI/Serviço de Segurança da Informação e Comunicações.

REFERÊNCIA NORMATIVA

- Decreto nº 3.505, de 13 de junho de 2000, que Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.

- Norma Complementar nº 01 IN01/DSIC/GSI/PR, de 30 de junho de 2009, que estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre Gestão de Segurança da Informação e Comunicações.

- Portaria nº 3.207, de 20 de outubro de 2010, que institui a Política de Segurança da Informação e Comunicações no Ministério da Saúde.

- Portaria nº 69, de 21 de fevereiro de 2011, que institui a Política de Segurança da Informação e Comunicações da Fundação Oswaldo Cruz.

CAMPO DE APLICAÇÃO

Esta norma se aplica a todos no âmbito da Fiocruz.

SUMÁRIO

1. OBJETIVO

2. PÚBLICO-ALVO

3. DEFINIÇÕES E TERMINOLOGIAS

4. DOCUMENTOS DE REFERÊNCIA DA NORMA

5. REGRAS

6. DEFINIÇÕES FINAIS

7. VIGÊNCIA E ATUALIZAÇÕES INFORMAÇÕES ADICIONAIS

Não se aplica.

1. OBJETIVO

Este documento dispõe sobre as regras de segurança relativas ao uso do serviço de correio eletrônico.

2. PÚBLICO-ALVO

Esta norma operacional aplica-se a todos os agentes públicos da Fiocruz.

3. DEFINIÇÕES E TERMINOLOGIAS

Área de TI correlata: área de tecnologia da informação da unidade do usuário de rede.

Caixa postal: conjunto de elementos necessários para o funcionamento do correio eletrônico, tais como pastas (caixa de entrada, itens enviados, rascunhos, etc.) e as próprias mensagens.

Cavalo de Tróia: programa, normalmente recebido como um "presente" (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc.), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário.

Conta de correio eletrônico: identificação do proprietário de uma caixa postal.

Correio eletrônico institucional: conta de correio eletrônico mantido por uma das unidades da Fiocruz.

Correio eletrônico particular: conta de correio eletrônico mantido por terceiros (Gmail, Hotmail, Yahoo, etc.).

Correntes: é considerado um tipo de spam. Geralmente é apresentado em um texto que pede para que o usuário (destinatário) repasse a mensagem um determinado número de vezes ou, ainda, "para todos os amigos" ou "para todos que ama". O texto pode contar uma história antiga, descrever uma simpatia (superstição) ou, simplesmente, desejar sorte.

Lista de discussão: uso de um e-mail como ferramenta que permite a troca de mensagens entre os membros de um grupo.

Lista de distribuição: uso de um e-mail para o envio de mensagens (unidirecional) aos membros de um grupo. Ao contrário da lista, não permite o envio de mensagens entre os membros do grupo.

Provedor de e-mail externo: fornecedor de serviços de e-mail provido por terceiros (Gmail, Yahoo, Hotmail, etc.).

Spam: termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas.

Spyware: termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros, geralmente utilizadas de forma não autorizada e maliciosa.

Usuário: servidores, terceirizados, colaboradores, consultores, auditores, estagiários, prestadores de serviço ou qualquer outro que obtiver autorização do responsável pela área interessada para acesso aos ativos de informação da Fiocruz.

Vírus: programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador.

4.DOCUMENTOS DE REFERÊNCIA DA NORMA - ABNT NBR ISO/IEC 27002:2005 - Tecnologia da Informação - Técnicas de segurança - Código de prática para a Gestão da Segurança da Informação.

- Cartilha de segurança para a Internet, versão 3.1 do cert.br - http://cartilha.cert.br

5. REGRAS

5.1. Disposições iniciais

5.1.1 A conta de correio eletrônico institucional, disponibilizada aos usuários da rede de dados pela Fiocruz, deve ser utilizada somente para os interesses de trabalho.

5.1.2 A conta de correio eletrônico institucional disponibilizada ao usuário da rede de dados pela Fiocruz é pessoal e intransferível, sendo seu titular o único e total responsável pelo seu uso e suas consequências.

5.1.3 É atribuição exclusiva da área de TI correlata definir os softwares homologados para o uso do correio eletrônico institucional.

5.1.4 É atribuição exclusiva da área de TI correlata normatizar o uso do correio eletrônico particular.

5.1.5 Quando a área de TI correlata permitir o uso do correio particular, o usuário não deverá exceder os limites da ética, bom senso e razoabilidade, sendo o responsável pelo conteúdo trafegado e seus eventuais riscos.

5.1.6 É proibido o uso de provedores de e-mail externos para o encaminhamento das mensagens de uma caixa postal da Fiocruz.

5.2. Permissão de acesso e criação de contas

5.2.1 O usuário terá direito a uma única conta de e-mail que o identificará univocamente em toda Fiocruz.

5.2.2 O responsável pelo usuário da rede de dados da Unidade deve avaliar a necessidade de utilização do correio eletrônico institucional, indicando tal necessidade quando da solicitação da criação
da conta de acesso aos recursos de TI.

5.2.3 A conta de correio eletrônico institucional deve ser revalidada anualmente. A não revalidação implicará no cancelamento da conta.

5.2.4 A caixa postal compartilhada ou lista de discussão deve ter um responsável e um substituto formalizados.

5.3. Cancelamento, bloqueio, suspensão ou desbloqueio do correio eletrônico.

5.3.1 Cabe à área de Recursos Humanos de cada unidade comunicar à área de TI correlata o cancelamento, bloqueio, suspensão ou desbloqueio da conta de correio do usuário.

5.3.2 O do correio eletrônico institucional é uma concessão da Fiocruz e será desativado:

a) Em até dois anos no caso de aposentadoria do servidor público;

b) Imediatamente ao desligamento, nos demais casos.

5.3.3 No caso de afastamento do usuário, o acesso à sua caixa de correio eletrônico respeitará as normas estipuladas pela Diretoria
de Recursos Humanos.

5.4. Uso do correio eletrônico

5.4.1 As caixas postais do correio eletrônico institucional possuem tamanho limitado, conforme a capacidade e disponibilidade de área de armazenamento, ficando a cargo da área de TI provedora do serviço definir esses limites.

5.4.2 Os arquivos a serem anexados às mensagens no correio eletrônico institucional não poderão ultrapassar o limite de tamanho estabelecido pela área de TI provedora do serviço.

5.4.3 É vedada a utilização do correio eletrônico institucional para:

- Realizar Spam;

- Contribuir com a continuidade de correntes de mensagens eletrônicas;

- Utilizá-lo com objetivos político-partidários, religiosos, entre outros;

- Receber de forma consentida, armazenar ou enviar mensagens com:

a) Vírus de computador, cavalo de Tróia, Spyware e outros códigos maliciosos;

b)Material pornográfico, atentatório à moral e aos bons costumes ou ofensivos;

c) Conteúdo criminoso, ilegal, ou que façam sua apologia;

d) Conteúdo discriminatório (racial, religioso, etc.) ou de incitação à violência;

e) Conteúdo que desrespeitem os direitos autorais.

5.4.4 De forma a preservar o funcionamento do serviço de correio eletrônico institucional, o Usuário da rede de dados deve:

- Eliminar, periodicamente, as mensagens desnecessárias de sua caixa postal, inclusive as existentes nas pastas personalizadas, na lixeira, rascunho e enviados, de forma a não exceder o limite de tamanho da caixa postal;

- Evitar clicar em links de acesso a páginas de Internet existentes em mensagens de correio eletrônico recebidas de origem desconhecida, pois esses podem iniciar a instalação de softwares maliciosos ou direcionar o usuário da rede de dados para um site falso, possibilitando a captura de informações;

- Evitar abrir ou executar arquivos anexados às mensagens recebidas pelo correio eletrônico, sem antes verificá-los quanto à sua procedência. No caso de suspeita de irregularidade na mensagem, o usuário deve solicitar ajuda a área de TI correlata;

5.4.5 Todo usuário da rede de dados da Fiocruz, antes de enviar mensagens pelo correio eletrônico institucional, deve levar em conta a classificação da informação, conforme legislação vigente.

5.4.6 O uso da conta de correio eletrônico institucional em listas de discussão ou distribuição deve se limitar aos casos de necessidade do trabalho ou atividade desempenhada na Fiocruz.

5.4.7 O correio eletrônico particular não deve ser utilizado para o envio ou recebimento de informações da Fiocruz.

5.4.8 O correio eletrônico institucional não deve ser utilizado para fim particular, como cadastro de comércio eletrônico, por exemplo.

5.4.9 A Fiocruz não se responsabiliza em fornecer suporte técnico ao correio eletrônico particular.

5.5. Monitoramento

5.5.1 O correio eletrônico institucional pode ser monitorado e restringido pela área de TI correlata, quanto à origem, destino, quantidade, tipo de conteúdo, tipo de anexo e volume das informações, desde que esses controles sejam feitos por parâmetros gerais (não personalizados).

5.5.2 Nos casos de suspeita de infração à Política de Segurança da Informação e Comunicações, a área de TI correlata poderá acessar a caixa postal institucional do respectivo usuário através de ato administrativo ou judicial;

6. DISPOSIÇÕES FINAIS

6.1. Os usuários devem comunicar e/ou reportar os incidentes que afetam a segurança dos ativos ou o descumprimento desta norma ao Serviço de Segurança da Informação e Comunicações da CGTI.

6.2. Em casos de quebra de segurança da informação por meio de recursos de TI, o Serviço de Segurança da Informação e Comunicações da CGTI deve ser imediatamente notificado a fim de adotar as providências necessárias.

6.3. As notificações ao Serviço de Segurança da Informação e Comunicações devem ser feitas através do e-mail seguranca@fiocruz. br.

6.4. Ao autor de infração a esta norma, serão aplicadas as sanções cabíveis conforme previsto no capítulo "Penalidades" da Política de Segurança da Informação e Comunicações da Fiocruz.

7. VIGÊNCIA E ATUALIZAÇÃO

Esta norma operacional entra em vigor a partir da data de sua publicação e sua atualização ocorrerá sempre que se fizer necessário.

PAULO ERNANI GADELHA VIEIRA

Saúde Legis - Sistema de Legislação da Saúde