Este texto não substitui o publicado no Diário Oficial da União
O Presidente da Fundação Oswaldo Cruz, no Uso de suas atribuições e da competência que lhe foi delegada pela Portaria do MS/nº 938, de 22.07.99, resolve:
Instituir Norma Complementar nº 002: sobre o uso da Internet, que trata da Política de Segurança da Informação e Comunicação no âmbito da Fiocruz.
ORIGEM: NORMA Nº 002 - VPGDI/CGTI/Serviço de Segurança da Informação e Comunicações
REFERÊNCIA NORMATIVA
- Decreto nº 3.505, de 13 de junho de 2000, que Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.
- Norma Complementar nº 01 IN01/DSIC/GSI/PR, de 30 de junho de 2009, que estabelece critérios e procedimentos para elaboração, atualização, alteração, aprovação e publicação de normas complementares sobre Gestão de Segurança da Informação e Comunicações.
- Portaria nº 3.207, de 20 de outubro de 2010, que institui a Política de Segurança da Informação e Comunicações no Ministério da Saúde.
- Portaria nº 69, de 21 de fevereiro de 2011, que institui a Política de Segurança da Informação e Comunicações da Fundação Oswaldo Cruz.
CAMPO DE APLICAÇÃO
Esta norma se aplica a todos no âmbito da Fiocruz.
SUMÁRIO
1. OBJETIVO
2. PÚBLICO-ALVO
3. DEFINIÇÕES E TERMINOLOGIAS
4. DOCUMENTOS DE REFEÊNCIA DA NORMA
5. REGRAS
6.DISPOSIÇÕES FINAIS
7. VIGÊNCIA E ATUALIZAÇÕES
INFORMAÇÕES ADICIONAIS
Não se aplica.
1. OBJETIVO
Este documento dispõe sobre as regras de segurança relativas ao uso do serviço da Internet.
2. PÚBLICO ALVO
Esta norma operacional aplica-se a todos os agentes públicos da Fiocruz.
3. DEFINIÇÕES E TERMINOLOGIAS
Área de TI correlata: área de tecnologia da informação da unidade do usuário de rede.
Certificado digital: é um arquivo eletrônico que contém dados de uma pessoa ou instituição, utilizados para comprovar sua identidade.
Código malicioso: também conhecido como Malware, é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador (vírus, worms, cavalos de tróia, keyloggers, etc.).
Proxy: um computador intermediário, que fica entre o computador do usuário e a Internet, que pode ser utilizado para registrar o uso da Internet ou ainda bloquear o acesso a um site.
Rede corporativa: qualquer rede de dados na Fiocruz.
Rede de dados móvel: rede de dados que permite conexão com a Internet a partir de qualquer lugar com cobertura de sinal.
Rede local: rede de dados disponibilizada por uma Unidade da Fiocruz.
Usuário: servidores, terceirizados, colaboradores, consultores, auditores, estagiários, prestadores de serviço ou qualquer outro que obtiver autorização do responsável pela área interessada para acesso aos ativos de informação da Fiocruz.
4. DOCUMENTOS DE REFERÊNCIA DA NORMA
- ABNT NBR ISO/IEC 27002:2005 - Tecnologia da Informação - Técnicas de segurança - Código de prática para a Gestão da Segurança da Informação.
- Cartilha de segurança para a Internet, versão 3.1 do cert.br - http://cartilha.cert.br
5. REGRAS
5.1. Disposições gerais
5.1.1 O acesso à Internet disponibilizado aos usuários de rede pela Fiocruz deve ser realizado somente para os interesses de negócio da Instituição.
5.1.2 A Fiocruz permite o uso parcimonioso da Internet para interesses particulares dos usuários da rede, desde que este uso não exceda os limites da ética, bom senso e razoabilidade, bem como não contenha, receba ou transmita informações institucionais.
5.1.3 É atribuição exclusiva da área de TI correlata definir os softwares para uso da Internet na Unidade.
5.1.4 O uso dos recursos computacionais da Fiocruz para acesso à Internet nas instalações da Instituição, somente será permitido quando realizado através de redes de dados homologadas pelas áreas de TI correlatas.
5.1.5 O acesso à Internet por meio da rede local não pode ser realizado se utilizando mais de um meio de comunicação simultaneamente.
5.1.6 O acesso à Internet por meio da rede local não pode ser realizado por equipamentos particulares, tais como laptops, smartphones, etc. Casos excepcionais devem ser tratados pela área de TI correlata.
5.1.7 É recomendado que quando o acesso à Internet for realizado por meio de dispositivos móveis da Fiocruz fora de suas dependências, este seja feito por meio de uma rede de dados móvel fornecida pela própria Instituição.
5.2. Permissão de acesso
5.2.1 A todo usuário da rede local da Fiocruz é facultado o
acesso a Internet em conformidade com os termos estabelecidos nesta
norma.
5.2.2 O acesso à Internet dependerá do processo de credenciamento do usuário junto à área de recursos humanos da Unidade.
5.3. Cancelamento e bloqueio do acesso à Internet
5.3.1 O acesso à Internet pelo usuário da rede será obrigatoriamente desativado quando ocorrer o desligamento do usuário.
5.4. Uso da Internet
5.4.1 O acesso à Internet concedido ao usuário de rede da Fiocruz é pessoal e intransferível, sendo seu titular o único e total responsável pelas ações e danos causados à Instituição por meio de seu uso.
5.4.2 O uso da Internet através da rede corporativa não poderá ser feito via proxies externos.
5.4.3 O usuário da rede deverá utilizar a Internet de forma a não causar tráfego desnecessário na rede corporativa e demais redes de outras Instituições.
5.4.4 Todo serviço disponibilizado na Internet, antes de ser implantado na rede corporativa, deve ser avaliado pela área de TI correlata através de avaliação e relatório técnico, considerando os aspectos de segurança da informação, consumo de recursos tecnológicos e comprometimento de outros serviços.
5.4.5 A Coordenação de Gestão de Tecnologia da Informação, através de sua área de Infraestrutura como gestora dos recursos tecnológicos, deverá publicar na Intranet, de forma consolidada,
relatórios que demonstrem o uso da Internet no ambiente da Fiocruz, ficando vedada a divulgação de dados de acesso individualizados.
5.4.6 É vedada a utilização da Internet para:
- Acessar sites com códigos maliciosos;
- Acessar sites com materiais pornográficos, atentatórios à moral e aos bons costumes ou ofensivos;
- Acessar sites ou arquivos que contenham conteúdo criminoso ou ilegal, ou que façam sua apologia, incluindo os de pirataria ou que divulguem número de série para registro de softwares;
- Acessar sites ou arquivos com conteúdo de incitação à violência, que não respeitem os direitos autorais ou com objetivos comerciais particulares;
- Realizar download de arquivos que não estejam relacionados às necessidades de trabalho da Fiocruz;
- Realizar atividades relacionadas a jogos eletrônicos pela
Internet;
- Escutar música ou assistir programas de TV, exceto nos casos em que tais ações sejam condizentes com atividades de trabalho na Fiocruz;
- Acessar sites para transferência de arquivos, exceto nos casos em que tais ações sejam condizentes com atividades de trabalho da Fiocruz;
- Utilizar serviços de compartilhamento de arquivos online, salvo aqueles homologados pela área de TI correlata.
5.4.7 O usuário deve sempre se certificar da procedência do site, verificando, quando cabível, o certificado digital do mesmo, principalmente para realizar transações eletrônicas via internet, digitando o endereço do site diretamente no navegador.
5.4.8 É vedado aos usuários disponibilizar informações de propriedade da Fiocruz em sites da Internet sem observar sua classificação e o público a que se destina.
5.4.9 A utilização de equipamentos pessoais no ambiente da Fiocruz não poderá ser realizada por meio da rede corporativa, salvo quando a Unidade dispuser de uma rede isolada específica para este fim e mediante a concordância do termo de responsabilidade pelo usuário.
5.5 .Monitoramento
5.5.1 O acesso à Internet é monitorado e pode ser restringido pela área de TI correlata quanto a endereço de sites, quantidade de acessos, horário, tempo de permanência, tipo de conteúdo e volume de informações trafegadas, desde que estes controles sejam feitos por parâmetros gerais.
5.5.2 A área de recursos humanos ou chefias hierarquicamente superiores podem solicitar formalmente um relatório com as informações de acesso à Internet de um de seus usuários da rede, para si ou para outros, nas seguintes situações:
- Suspeita de infração à Política de Segurança da Informação e Comunicações;
- Necessidade de visualizar os sites acessados e o tempo gasto nos mesmos por seus usuários de rede.
6.DISPOSIÇÕES FINAIS
6.1. Os usuários devem comunicar e/ou reportar os incidentes que afetam a segurança dos ativos ou o descumprimento desta norma ao Serviço de Segurança da Informação e Comunicações da CGTI.
6.2. Em casos de quebra de segurança da informação por meio de recursos de TI, o Serviço de Segurança da Informação e Comunicações da CGTI deve ser imediatamente notificado a fim de adotar as providências necessárias.
6.3. As notificações ao Serviço de Segurança da Informação e Comunicações devem ser feitas através do e-mail seguranca@fiocruz.br.
6.4. Ao autor de infração a esta norma, serão aplicadas as sanções cabíveis conforme previsto no capítulo "Penalidades" da Política de Segurança da Informação e Comunicações da Fiocruz.
7. VIGÊNCIA E ATUALIZAÇÃO
Esta norma operacional entra em vigor a partir da data de sua publicação e sua atualização ocorrerá sempre que se fizer necessário.