Este texto n�o substitui o publicado no Boletim de Serviço
Secretaria de Atenção à Saúde
Instituto Nacional de Traumatologia e Ortopedia
PORTARIA Nº 539, DE 19 DE JULHO DE 2010
O Diretor do Instituto Nacional de Traumatologia e Ortopedia, no uso das atribuições que lhe conferem a Portaria nº. 750/GM/MS, de 23 de abril de 2008, publicada no Diário Oficial da União - DOU nº. 78, de 24 de abril de 2008 e Portaria/CGRH/MS nº. 1041, de 30 de outubro de 2009, publicada no Diário Oficial da União – DOU nº. 209, de 03 de novembro de 2009, resolve:
Implantar o Regulamento Interno de Segurança da Informação do Instituto Nacional de Traumatologia e Ortopedia, conforme anexo I desta portaria.
ANEXO I
REGULAMENTO INTERNO DE SEGURANÇA DA INFORMAÇÃO
DO INSTITUTO NACIONAL DE TRAUMATOLOGIA E ORTOPEDIA
1.INTRODUÇÃO:
Este documento foi elaborado e visa implementar as orientações de segurança, tendo por finalidade atribuir responsabilidades, definir direitos, deveres, expectativas de acesso e uso, penalidades, e criar uma cultura educativa de proteção aos dados do INTO.
A justificativa da necessidade de implementação do presente Regulamento, se faz ainda mais evidente, tendo em vista que o INTO é um órgão público federal do Ministério da Saúde, que se propõe a gerenciar as políticas de Tecnologia da Informação e, para tanto, conta com um parque tecnológico, composto de redes de microcomputadores, multimídia, além de fornecer suporte técnico a todos os usuários deste Instituto.
2.OBJETIVO:
O objetivo deste documento é estabelecer as diretrizes e regras de Segurança da Informação, em relação à manipulação de informações e utilização da infra-estrutura tecnológica do INTO, de acordo com princípios éticos e legais.
São também objetivos deste documento:
a) Padronizar as atividades de segurança para o uso e administração dos recursos da Tecnologia
da Informação;
b) Fornecer suporte às atividades de segurança que visem garantir a confidencialidade, integridade,
disponibilidade e autenticidade das informações;
c) Assegurar que os recursos humanos e tecnológicos comprometidos com o manuseio e
processamento da informação estão de acordo com as presentes regulamentações.
3. DEFINIÇÕES:
Para fins deste Regulamento de Segurança, o termo USUÁRIOS fica entendido da seguinte forma:
Empregados com vínculo empregatício, servidores postos à disposição por órgãos ou entidades da administração centralizada ou descentralizada, federal, estadual ou municipal, não importando o regime jurídico a que estejam submetidos, prestadores de serviços que, de qualquer forma, estejam alocados na prestação de serviços, por força de contrato e colaboradores em geral que, direta ou indiretamente, utilizem os sistemas do INTO para o desenvolvimento de suas atividades profissionais.
O termo INFORMAÇÃO fica entendido como o patrimônio do INTO ou do Ministério da Saúde,
consistente nas suas informações, que podem ser de caráter, estratégico, técnico, financeiro,
mercadológico, legal, de recursos humanos, ou de qualquer outra natureza, não importando se
protegidas ou não de confidencialidade, desde que se encontrem armazenadas e/ou trafegadas na
infra-estrutura tecnológica do INTO.
O termo SEGURANÇA DA INFORMAÇÃO, por sua vez, deve ser entendido como a adoção de medidas eficazes para resguardar que as informações do INTO sejam conhecidas somente por aqueles que devem conhecê-las, evitando seu uso indevido, inadequado, ilegal, ou em desconformidade com este Regulamento de Segurança.
4.COMPROMISSO DOS USUÁRIOS
O presente Regulamento de Segurança constitui um conjunto de normas e regras de Segurança da Informação a possibilitar o processamento, compartilhamento e armazenamento de informações do INTO, através de sua infra-estrutura tecnológica e deve ser respeitado por todos os usuários, pois trará efeitos obrigacionais nos termos deste regulamento e da legislação vigente.
Todos os usuários são responsáveis, por cumprir, e fazer cumprir, as regras, normas e procedimentos estabelecidos neste Regulamento de Segurança.
Este Regulamento de Segurança é destinado a todos que têm ou tiveram algum vínculo com o
INTO, assim compreendidos entre todos os seus empregados, ex-empregados, prestadores de
serviços, ex-prestadores de serviços, colaboradores, ex-colaboradores, servidores e ex-servidores
que têm, terão ou tiveram acesso às informações do INTO e utilizam, utilizarão ou utilizaram,
sua infra-estrutura tecnológica.
5.COMITÊ DE SEGURANÇA DA INFORMAÇÃO:
Conduzirá toda a gestão do presente Regulamento de Segurança.
O COMITÊ é composto pelos responsáveis pela COEX, DIVTI, DISUP, DCUID, ARPLA E ASQUA, ficando designado a DIVTI como Gestor de Segurança junto a esse Comitê e a COEX na coordenação do Comitê, constituindo assim um grupo de trabalho para tratar de questões ligadas à Segurança da Informação, propondo soluções específicas sobre Segurança da Informação, que envolvam direta ou indiretamente o INTO.
O Comitê será responsável pela análise de todas as infrações cometidas pelos usuários ao presente Regulamento, devendo gerar relatório que pondere acerca da gravidade e riscos sob o enfoque técnico e legal de cada infração cometida, culminando na recomendação à Direção (DIREG) de instauração de processo administrativo disciplinar para apuração dos fatos e aplicação das ações disciplinares cabíveis.
Portanto, todo e qualquer evento que coloque em risco a Segurança da Informação, assim como quaisquer outros incidentes relacionados que violem o presente Regulamento, deverão ser comunicados, de imediato, pela supervisão de segurança, pelo suporte ou por qualquer usuário que tenha conhecimento do mesmo, ao COMITÊ DE SEGURANÇA DA INFORMAÇÃO para que analise e recomende as medidas necessárias, sendo que, na omissão ou inércia daquele que tiver ciência, ou que desconfie da ocorrência de incidente relacionado à segurança da informação, este será responsabilizado na medida de sua omissão.
O COMITÊ DE SEGURANÇA DA INFORMAÇÃO poderá ser contatado a qualquer momento pelos usuários para esclarecer dúvidas, obter orientações, expressar opiniões, reportar situações de violação ao presente Regulamento e outros, através da conta de e-mail: seginfo@into.saude.gov.br.
Sugestões que visem aumentar o nível de Segurança da Informação deverão ser encaminhadas ao COMITÊ DE SEGURANÇA DA INFORMAÇÃO para que este proceda à análise valorativa destas iniciativas, apresentando parecer à Direção (DIREG), opinando ou não pela sua aprovação e posterior implementação.
São também atribuições do COMITÊ DE SEGURANÇA DA INFORMAÇÃO a coordenação da comunicação e divulgação institucional deste Regulamento, podendo recomendar as medidas que entender cabíveis, promovendo e coordenando treinamentos periódicos e processos de conscientização que se fizerem necessários, podendo, para tanto, contar com a colaboração de equipes externas, desde que estas sejam formalmente aprovadas e contratadas para este fim.
A implantação de novos sistemas operacionais e/ou softwares deve ser informada ao COMITÊ DE SEGURANÇA DA INFORMAÇÃO, para que analise e recomende as alterações do presente Regulamento de Segurança, se for o caso.
6.PROCEDIMENTOS DE USO DA REDE INTERNA, HARDWARES E SOFTWARES:
A utilização da infra-estrutura tecnológica é fundamental para o desenvolvimento das atividades profissionais pelas quais os usuários do INTO foram contratados, sendo disponibilizada exclusivamente como ferramenta de trabalho. Com isso, alguns procedimentos devem ser adotados para delinear o que é permitido ou não, bem como garantir o adequado desempenho dessas atividades.
Assim, toda a rede interna, hardwares e softwares estão sujeitos à monitoração e, portanto, o INTO poderá manter ao seu critério, histórico de acessos realizados aos seus sistemas.
Tal monitoração atualmente é realizada através de dispositivos que fornecem proteção antecipada contra ameaças à Web, aos e-mails e as informações, que costumeiramente não são percebidas ou então exigem altos custos de prevenção com o uso de tecnologias de segurança como antivírus e sistemas de prevenção a intrusos (IronPort e Websense). O software Websense procura por ameaças na Internet antes que os usuários sejam comprometidos, protegendo-os antes mesmo que sejam criadas vacinas e atualizações. Oferece proteção essencial da informação para os usuários, ajuda a bloquear código malicioso, prevenir perda de informação confidencial e reforçar as políticas de uso e segurança de Internet pelos usuários, gerando relatórios de informação de acesso.
Para que esses procedimentos sejam adotados, é importante entender que os termos rede interna, hardware e software, se referem a todos os equipamentos do INTO, não se limitando a: computadores desktop, notebooks, softwares homologados (vide relação no anexo III), cabos de rede, backbones, equipamentos de discagem (modems), equipamentos de roteamento (roteadores), equipamentos de distribuição (switches e hubs), servidores, firewalls, proxies, impressoras, scanners, smartphones ou qualquer outro equipamento pertencente à infraestrutura tecnológica do INTO.
Sendo assim, e a partir desse entendimento, seguem as regras:
6.1.USUÁRIOS (CONTAS DE REDE):
Todas as senhas de acesso fornecidas aos usuários são pessoais e intransferíveis e de uso exclusivo dos mesmos, que assumem integral responsabilidade pela guarda e sigilo de sua senha pessoal, bem como pelo uso indevido por terceiros, sendo o usuário responsável pela sua disponibilização indevida.
Caso qualquer vulnerabilidade do sistema operacional seja constatada por usuário do INTO, este, imediatamente, deverá informar ao COMITÊ DE SEGURANÇA DA INFORMAÇÃO sobre tal vulnerabilidade, sendo que qualquer utilização ilícita da infra-estrutura tecnológica do INTO seja pelo aproveitamento de falhas de segurança, ou pela simples tentativa e erro de acerto de senhas, o sujeitará às devidas sanções civis e criminais, em especial como incurso nos crimes previstos na Lei 9.279/96 e em outras leis que sejam aplicáveis aos casos apurados, inclusive no que toca aos servidores da administração pública, quando for o caso.
Abaixo seguem as normas definidas:
a. não é permitido compartilhar a conta de usuário e senha com outro usuário e/ou terceiro;
b. não é permitida nenhuma tentativa e/ou acesso de outras contas de usuário que não a sua pessoal;
c. não é permitida nenhuma tentativa e/ou acesso para transpor a autenticação ou segurança do
computador, rede ou conta;
d. não é permitida nenhuma tentativa e/ou interferência com serviços da rede, das máquinas e
outros dispositivos.
O usuário será considerado inativo caso não acesse a sua conta durante o período de 60 (sessenta) dias, ocasião em que esta será bloqueada pela ARINF.
A DIRHU deve informar à DIVTI, sempre que houver desligamento, no prazo de 24 (vinte e quatro) horas, a relação de usuários desligados, ou em processo de desligamento para que os acesos sejam imediatamente bloqueados.
6.2.SENHAS:
Toda conta de usuário tem sua respectiva senha, que provê acesso aos recursos autorizados por sua chefia imediata e a sua Divisão que estiver subordinado, a cada usuário do INTO, de acordo com seu perfil, que deverá mantê-la em segurança.
As solicitações de criação, exclusão e alteração de usuários deverão ser feitas através de memorando e encaminhadas pelo chefe imediato da sua Divisão que estiver subordinado, à DIVTI, que através da sua Área de infraestrutura e Redes, fornecerá o login e a senha diretamente à respectiva chefia solicitante através de e.mail.
A Área de Infraestrutura e Redes será a única responsável pela concessão de acessos e somente atenderá tais solicitações, com o posterior fornecimento de senha, mediante as seguintes condições:
a. As solicitações devem ser provenientes de usuários que tenham autorização para efetuar tal solicitação conforme nível hierárquico estabelecido acima;
b. o usuário deve ler e concordar com o “Termo de Responsabilidade”, exibido na tela de login, no seu primeiro acesso e alterar a senha imediatamente.
Por ser a senha de acesso de uso pessoal e intransferível, o INTO não permite acesso do mesmo login através de dois ou mais computadores por usuários diferentes. Assim, caso o usuário identifique um acesso indevido com o seu login, deverá imediatamente comunicar o COMITÊ DE SEGURANÇA DA INFORMAÇÃO, sob pena de responder por sua omissão.
O uso indevido de senhas poderá gerar responsabilidades civis e criminais, conforme dispõe o art. 325 do Código Penal: Revelar fato de que tem ciência em razão do cargo e que deva permanecer em segredo, ou facilitar-lhe a revelação: pena - detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.
§ 1º Nas mesmas penas deste artigo incorre quem:
I - permite ou facilita, mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública;
II - se utiliza, indevidamente, do acesso restrito.
A senha do usuário será suspensa em situações de afastamento do trabalho, tais como nas hipóteses
de férias, licença prêmio, licença maternidade, disponibilização a outro órgão da Administração
Pública, mudança de função e outras. O chefe do setor ao qual o usuário afastado pertence deverá
comunicar sobre o afastamento e solicitar a suspensão da senha à Divisão de Recursos Humanos,
que, por sua vez, encaminhará a solicitação à Divisão de Tecnologia da Informação.
6.3.USO E CONTROLE DE INFORMAÇÕES, DADOS E ARQUIVOS:
Todos os documentos eletrônicos, dados e informações da atividade laborativa dos usuários devem estar centralizados no servidor, no diretório específico para cada usuário, para arquivos de trabalho, ou nos diretórios classificados e restritos por assunto.
O uso da capacidade de armazenagem de dados no servidor deve ser feito com tolerância em relação aos documentos do INTO, no sentido de armazenar arquivos sem duplicações, salvo quando estas forem exigidas.
Não é permitida a utilização do servidor para armazenar dados e ativos pessoais dos usuários, assim entendidos como aqueles que não são de interesse, uso ou propriedade do INTO.
Os usuários, excetuando-se os que tenham autorização específica para esse fim em razão de seu perfil, não podem permitir ou causar qualquer alteração, bem como destruição de sistemas operacionais, dados ou comunicações de propriedade do INTO.
As alterações no banco de dados do INTO, incluindo a base de produção de fontes, podem gerar responsabilidade civil e penal, conforme dispõem os artigos 313-A e 313-B do Código Penal:
Art. 313- A: inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano: pena - reclusão, de 2 (dois) a 12 (doze) anos, e multa.
Art. 313-B. Modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente:
Pena - detenção, de 3 (três) meses a 2 (dois) anos, e multa. Parágrafo único. As penas são aumentadas de um terço até a metade se da modificação ou alteração resulta dano para a Administração Pública ou para o administrado.
6.4.DIREITOS DE ACESSO A ARQUIVOS E DIRETÓRIOS:
O acesso às informações armazenadas na infra-estrutura tecnológica do INTO é restrito por perfis, que definem os documentos e diretórios que podem ser acessados por cada usuário, a exclusivo critério da INTO, visando resguardar ao máximo a restrição do conhecimento de informações confidenciais.
6.5.PERFIS DE USUÁRIOS
São estabelecidos os seguintes perfis de usuário com as respectivas permissões:
PERFIL A Administrador - acesso à Intranet; acesso aos códigos fontes, criação de senhas e/ou administração de BD/sistema operacional.
PERFIL B Desenvolvedor - acesso à Intranet; acesso aos códigos fontes.
PERFIL C Usuário comum - acesso à Intranet.
Não obstante a definição de perfis de usuário deste Regulamento, nada impede que, dependendo das atribuições, determinados usuários desenvolvedores, poderão ter acesso a senha de administrador da própria máquina, mediante a assinatura de um termo adicional. Além disso, dependendo das atribuições, alguns administradores poderão sofrer restrições nos acessos a determinados sistemas e bases, que serão controladas através da assinatura de um termo adicional que ficará armazenado no COMITÊ DE SEGURANÇA DA INFORMAÇÃO.
6.6.RECEBIMENTO, INSERÇÃO e ENVIO DE ARQUIVOS
Ficam estabelecidas as seguintes regras para RECEBIMENTO de arquivos, por qualquer meio eletrônico, sem prejuízo de futuras regras que venham a ser acrescidas pelo INTO:
a) Somente será permitido o recebimento de arquivos para fins profissionais, necessários ao exercício das atividades dos usuários;
b) É proibido o carregamento de qualquer arquivo executável pelos usuários, com terminações tais como: .EXE, .COM, SCR, ou outras que possam comprometer o sistema através da execução de comandos maliciosos.
Apesar dos sistemas operacionais do INTO estarem protegidos por sistema antivírus, fica vedada a INSERÇÃO ou DISSEMINAÇÃO de arquivos que contenham vírus ou qualquer espécie de programas nocivos, sob pena de responsabilizar o usuário nas esferas trabalhista, civil e criminal.
No tocante ao envio de arquivos, através de email, ou qualquer outra modalidade, fica estabelecido o seguinte conjunto de regras:
a) Não será permitido o envio de qualquer arquivo de desenvolvimento (arquivos-fonte), tais como: imagens, textos e/ou códigos de fontes de aplicações ou similares, quando o seu envio configurar desrespeito às normas de direito autoral, ou quaisquer outras normas vigentes no momento do envio do arquivo;
b) Não será permitido o envio de qualquer informação corporativa do INTO ou de seus parceiros, seja esta revestida de sigilo ou não, aos fornecedores, clientes ou terceiros;
c) Não será permitido o envio de quaisquer arquivos que violem direitos de terceiros, ou que possam causar prejuízos, a terceiros e/ou ao INTO;
d) Não será permitido o envio de qualquer arquivo com conteúdo que configure prática de infração penal ou ilícito civil em face do INTO e/ou de terceiros;
e) Não será permitida a prática de qualquer ato que configure concorrência desleal ou quebra de sigilo profissional;
f) Não será permitido o envio de qualquer arquivo de caráter ilegal, ofensivo e/ou imoral, de forma genérica.
Caso seja constatado o envio de qualquer arquivo elencado nos tópicos anteriores, a estes não se limitando, os usuários ficam sujeitos ao pagamento de indenização por perdas e danos ao INTO, sem prejuízo das sanções estabelecidas nas Leis nº 9.279/96 (Lei de Propriedade Industrial), 9.610/98 (Lei de Direitos Autorais) e 9.609/98 (Lei de Software).
As regras para uso de email aplicável a todos os perfis constam do anexo II deste Regulamento, que faz parte integrante do mesmo, e são definidas pelo COMITÊ DE SEGURANÇA DA INFORMAÇÃO, nada obstando que venham a ser alteradas a qualquer momento, sem aviso prévio, visando melhor proteger as informações e os sistemas informatizados do INTO.
Não obstante as regras aplicadas com scripts, binários, ou quaisquer arquivos executáveis e devido à sua alta periculosidade, serão bloqueados automaticamente em todos os perfis de usuários, salvo autorização explícita para tanto, concedida pelo COMITÊ DE SEGURANÇA DA INFORMAÇÃO.
Caso seja necessário o compartilhamento de arquivos confidenciais, deverá o usuário lançar o arquivo em área compartilhada do servidor, destinada para tal fim.
6.7. SOFTWARES:
O INTO disponibiliza para seus usuários um conjunto de softwares exclusivamente para o desempenho de suas atividades profissionais, assim, é vedada a utilização de quaisquer softwares não homologados pelo INTO.
Dessa forma, os usuários somente poderão instalar programas que sejam autorizados pelo COMITÊ DE SEGURANÇA DA INFORMAÇÃO. Fica, portanto, vedado ao usuário a instalação de qualquer software, sem autorização prévia, excetuando-se aquele usuário que tem permissão expressa em razão de seu cargo.
Portanto, os usuários ficam cientes da obrigação de indenizar o INTO caso esta venha a suportar qualquer prejuízo em demandas judiciais ou administrativas movidas pelos titulares dos direitos autorais de tais programas não autorizados, bem como de qualquer outra obra intelectual violada em seus direitos autorais, incluindo as despesas com custas e honorários advocatícios, bem como os efeitos do artigo 70, inciso III, do Código de Processo Civil (denunciação da lide), concordando com a sua inclusão no pólo passivo da demanda.
Os softwares permitidos e homologados pelo INTO constam do anexo III do presente instrumento, que faz parte integrante do mesmo, nada impedindo que venham a ser alterados, sem prévio aviso, em razão da necessidade constante de alteração e/ou exclusão de programas de computador, para melhor atender aos sistemas informatizados do INTO.
6.8.HARDWARES:
O INTO disponibiliza para seus usuários um conjunto de equipamentos e máquinas exclusivamente para o desempenho de suas atividades profissionais, assim, o uso inadequado desses equipamentos e para fins que não sejam os delineados pelo Fabricante, é proibido.
É vedado o uso de quaisquer equipamentos que não sejam de propriedade do INTO para conexão em sua rede corporativa, especialmente os notebooks particulares, vez que comprometem a Segurança da Informação.
Na utilização de todos os hardwares e periféricos de propriedade do INTO, o usuário deverá observar os seguintes cuidados:
a) Desligar o equipamento no final do expediente, ou em ausências prolongadas;
b) Toda vez que não for mais utilizar o computador, ou for seausentar da sala, efetuar o logoff da rede, evitando que terceiros usem o nome de usuário ilicitamente;
c) Sempre que tiver dúvidas ou problemas nos equipamentos, contatar a área Suporte Técnico, no ramal 105, ou outro que venha a ser informado.
É vedado ao usuário a alteração de qualquer periférico ou componente nos computadores. A realização de qualquer modificação ou manutenção deverá sempre ser realizada pela área de Suporte Técnico da Divisão de Tecnologia da Informação.
6.9.EQUIPAMENTOS PORTÁTEIS:
Os equipamentos portáteis, tais como: notebooks, smartphones, e quaisquer outros que permitam armazenamento de dados e informações, somente poderão ser utilizados pelos usuários se disponibilizados pelo INTO, a seu exclusivo critério.
Desse modo, é expressamente vedada a utilização de equipamentos portáteis particulares para o desenvolvimento das atividades profissionais relacionadas ao INTO, bem como a cópia e/ou transferência de informações ou dados de propriedade da mesma através destes equipamentos.
Por se tratarem de equipamentos portáteis nos quais informações do INTO estão armazenadas, o usuário não deve deixar esses equipamentos fora do alcance em locais públicos, onde haja acesso de múltiplas pessoas, bem como, não deve permitir que terceiros não autorizados tenham acesso às informações ou dados transportados nesses equipamentos, empregando todos os cuidados necessários para que não haja vazamento de informações.
6.10.IMPRESSORAS:
O uso das impressoras deve ser feito exclusivamente para impressão de documentos ou outras informações que sejam de interesse do INTO ou que estejam relacionados com o desempenho das atividades pela qual o usuário foi contratado.
O usuário deve retirar imediatamente da impressora os documentos que tenha solicitado a impressão que contenham informações sensíveis do INTO.
Impressões que contenham informações sensíveis que não tenham mais utilidade devem ser destruídas, visando preservar o sigilo.
O INTO, em cumprimento ao seu compromisso com a responsabilidade social, recomenda que seja impressos apenas documentos indispensáveis, devendo os demais ser lidos na própria tela do computador.
6.11.CONTROLE E GERENCIAMENTO DE ANTIVÍRUS:
Sem prejuízo do controle automático dos servidores do INTO, todos os usuários são responsáveis também pelo controle de dados que possam estar infectados.
Quando detectada uma mensagem ou anexo contaminados por código malicioso, esta mensagem e seus anexos serão eliminados.
Periodicamente (semestralmente) e em caráter preventivo, as estações de trabalho serão verificadas através do Programa de Manutenção Preventiva, executado pela Área de Suporte Técnico.
Em quaisquer situações, todo e qualquer arquivo proveniente de redes ou usuários externos deverão, obrigatoriamente, ser verificados por sistemas de proteção contra vírus.
7.PROCEDIMENTOS DE USO DE REDES EXTERNAS (INTERNET E OUTRAS):
O acesso a redes externas, principalmente a Internet, é fundamental para o desempenho de algumas atividades relacionadas ao trabalho, assim, o uso da Internet deve estar voltado para o acesso à informações relacionadas somente com as atividades de interesse do Instituto.
Os acessos originados na rede interna do INTO com destino a qualquer rede externa, só podem ser realizados através dos equipamentos do INTO destinados ao roteamento das redes, bem como devem ser feitos com a utilização de firewall e proxy de acordo com as regras de navegação e acesso abaixo definidas.
A navegação a sites não relacionados diretamente à atividade laborativa do usuário, não é proibida, porém seu uso deve ser feito de maneira equilibrada e responsável, para assegurar ao usuário e ao INTO a máxima segurança e performance no trabalho. Excetuam-se desta previsão aqueles sites de categoria restrita pelo INTO, cuja navegação é expressamente proibida (rol a seguir elencado).
Fica estipulada a seguinte política para acessos à Internet:
a. da rede interna para a Internet somente poderá ser realizada a navegação através de acesso
autenticado;
b. fica terminantemente proibida a navegação aos sites pertencentes às categorias abaixo:
Compartilhamento de arquivos (ex.: peer to peer);
Pornográfico e de caráter sexual;
Pornografia infantil (pedofilia);
Terrorismo;
Drogas;
Crackers;
Sites de relacionamento;
Jogos;
Violência e agressividade (racismo, preconceito, etc);
Violação de direito autoral (pirataria, etc.);
Áudio e Vídeo, salvo com conteúdo relacionado, diretamente, o INTO;
Instant Messenger;
Propaganda político partidária;
Conteúdo impróprio, ofensivo, ilegal, discriminatório, e similares.
c. não é permitida a troca de arquivos de vídeo ou música, bem como de quaisquer informações que estejam incluídas nas categorias acima, ou que sejam de propriedade do INTO;
d. não serão franqueados acessos à qualquer site excluindo o INTO para usuários que não necessitam de acesso para desempenho de suas funções sem a devida justificativa da chefia e da Divisão que estiver subordinado;
e. é proibida a transferência de qualquer tipo de programa, jogo, e similares, a partir da Internet, para a rede interna do INTO, à exceção de administradores com autorização específica para tal;
f. A transferência de arquivos via FTP, quando imprescindível, será autenticada;
g. Dispositivos de controle e segurança deverão ser utilizados, para garantira confidencialidade e a integridade das informações em tráfego por estas redes;
h. É proibido acessar todo e qualquer site que apresente vulnerabilidade de segurança ou que possa comprometer, de alguma forma, a segurança e a integridade da rede do INTO.
As conexões deverão ocorrer exclusivamente através de acesso autenticado.
7.1 MENSAGENS ELETRÔNICAS (EMAIL):
O email é uma ferramenta de trabalho, sendo um meio de comunicação institucional, motivo pelo qual será disponibilizado pelo INTO aos usuários exclusivamente para uso das atividades laborativas.
O formato dos emails disponibilizados aos usuários será o seguinte: <login da rede>@into.saude.gov.br Todo e qualquer email enviado por usuários da rede do INTO deverá conter, prioritariamente, ao final da mensagem, uma assinatura padrão, de acordo com o seguinte modelo:
NOME COMPLETO
SETOR
INTO
TELEFONES
Após a assinatura padrão, deverá conter o seguinte aviso de confidencialidade:
As informações contidas nesta mensagem são CONFIDENCIAIS, protegidas pelo sigilo legal e por direitos autorais. A divulgação, distribuição, reprodução ou qualquer forma de utilização do teor deste documento depende de autorização do emissor, sujeitando-se o infrator às sanções legais. O emissor desta mensagem utiliza o recurso somente no exercício do seu trabalho ou em razão dele, eximindo-se o empregador de qualquer responsabilidade por utilização indevida ou pessoal. Caso esta comunicação tenha sido recebida por engano, favor avisar imediatamente, respondendo esta mensagem.
Fica estabelecida a seguinte política com relação ao uso de email:
a) A conta de email corporativa, fornecida pelo INTO deverá ser utilizada, exclusivamente, para o envio e recebimento de mensagens relacionadas aos trabalhos desenvolvidos pelos usuários, que anuem e conferem o direito do INTO em efetuar o monitoramento dos emails enviados e recebidos pelos usuários, através da conta corporativa;
b) Fica proibida a inscrição do email corporativo em listas de tráfego não relacionado ao uso laborativo, bem como o envio de todo e qualquer tipo de corrente, circulares, propaganda, boatos, conteúdo impróprio, pornográfico, ou, ainda, qualquer tipo de mensagem que possa prejudicar o trabalho de terceiros, causar excessivo tráfego na rede ou sobrecarregar a infra-estrutura Tecnológica;
c) Os usuários serão responsáveis pelo uso inadequado de sua conta de email, não sendo permitida a transmissão ou recebimento de mensagens que contenham assuntos e/ou arquivos sobre violência, terrorismo, vídeos e áudio, bem como além de qualquer outro conteúdo ilícito, ilegal, ou atentatórioà moral e aos bons costumes;
d) Fica proibido, disseminar ou transmitir informações que violem a legislação em vigor, tais como ameaças, difamação, calúnia, injúria, racismo, pornografia infantil etc..
O USUÁRIO FICA CIENTE DA INEXISTÊNCIA DE EXPECTATIVA DE PRIVACIDADE NA UTILIZAÇÃO DA CONTA DE EMAIL CORPORATIVA E NA SUA NAVEGAÇÃO EM SITES DA INTERNET, ATRAVÉS DA INFRA-ESTRUTURA TECNOLÓGICA DO INTO, INCLUSIVE DISPOSITIVOS PORTÁTEIS DISPONIBILIZADOS PELA INTO COMO FERRAMENTA DE TRABALHO. FICA CIENTE, AINDA, DA EXISTÊNCIA DE MONITORAÇÃO DO CONTEÚDO DE SUAS MENSAGENS, BEM COMO, DO CONTEÚDO ARMAZENADO NA INFRA-ESTRUTURA TECNOLÓGICA DO INTO.
O monitoramento descrito neste Regulamento tem por objetivo verificar o respeito dos usuários às regras estabelecidas no presente instrumento, bem como produzir prova de eventual violação das condições constantes do mesmo, e na legislação em vigor, uma vez que todos os atos praticados através do email, bem como dos sites navegados na Internet são exercidos pela utilização da infra-estrutura tecnológica do INTO, disponibilizada estritamente para as atividades laborativas, não constituindo qualquer violação à intimidade, vida privada, honra ou imagem da pessoa monitorada, com o que os USUÁRIOS declaram, expressamente, neste ato, concordar.
O referido monitoramento é justificado, ainda, pelo fato do artigo 932, inciso III, do Código Civil, estabelecer responsabilidade do empregador pelos atos de seus prepostos ou empregados.
O monitoramento será realizado a qualquer momento, através do uso de programas de computadores específicos para tal finalidade, a critério do INTO.
Sem prejuízo destas regras, o INTO garante a privacidade dos usuários perante terceiros de forma recíproca, nos termos da cláusula 62.1 da sentença arbitral de 07.04.08.
As mensagens enviadas para um email da rede do INTO poderão ser compartilhadas e/ ou redirecionadas para outro email interno, sem necessidade de qualquer aviso prévio e sem conhecimento do emissor e do receptor da mensagem, não havendo expectativa de privacidade dos usuários, visando à identificação de eventual conduta em desacordo com este Regulamento ou com a legislação vigente.
O INTO se reserva o direito de, sem qualquer notificação ou aviso ao usuário, recusar o envio ou recebimento de mensagens que não expressem os interesses da mesma ou que possam colocar em risco o funcionamento dos sistemas, por conterem elementos nocivos ou contrários às regras estabelecidas, visando preservar seus equipamentos e recursos computacionais.
O usuário fica ciente que a manutenção de suas mensagens na caixa de email é de sua inteira responsabilidade, gerenciando e zelando para que não ocorra indisponibilidade de uso por tamanho excedido.
As contas de email corporativo serão vinculadas a um único usuário, sendo de exclusiva responsabilidade deste qualquer ocorrência relacionada à conta corporativa.
7.2 SUSPENSÃO DA CONTA DO USUÁRIO:
A critério do INTO, esta poderá, a qualquer momento, e sem prévio aviso, suspender, pelo período que julgar necessário, a conta de email de qualquer usuário, caso seja constado mal uso, risco aos sistemas, ou por haverem indícios de conduta ilícita e/ou em desacordo com esse Regulamento.
7.3 ACESSO A CONTAS DE EMAIL PARTICULAR (WEBMAIL):
Caso o usuário tenha seu acesso a sites de email gratuitos ou pagos, que disponibilizem o envio e recebimento de emails através da tecnologia de webmail, o usuário fica ciente que tais acessos podem comprometer a segurança das informações do INTO, motivo pelo qual tais acessos devem ser extremamente cautelosos e feitos de forma moderada.
Além disso, considerando que os emails pessoais acessados através da infra-estrutura tecnológica do INTO, via de regra serão realizados através da conexão à Internet pertencente à mesma e, considerando que o endereço IP (Internet Protocol) de tais conexões será vinculado ao INTO, a utilização de emails pessoais poderá gerar responsabilidades ao INTO, o que justifica a necessidade de maior cautela por parte dos usuários.
Neste sentido, caso o acesso à conta de email do usuário cause qualquer tipo de dano ao INTO este será integralmente responsável por seus atos, respondendo civil e criminalmente, inclusive se comprometendo a aceitar a denunciação da lide, nos termos do artigo 70, inciso III, do Código de Processo Civil, concordando com a sua inclusão no pólo passivo da demanda.
É absolutamente vedado o envio de informações, dados ou arquivos relacionados, direta ou indiretamente, aos interesses do INTO via email pessoal.
8. NORMAS E PROCEDIMENTOS GERAIS:
Abaixo seguem algumas normas e procedimentos a serem adotadas independentemente do uso da rede interna ou externa:
8.1 CONFIDENCIALIDADE:
Os usuários concordam que todas as informações obtidas na execução de suas atividades junto ao INTO, em virtude de sua natureza, deverão ser tratadas como sigilosas e restritas, e que não deverão divulgar as referidas informações a terceiros.
Neste sentido, os usuários concordam em manter sigilo sobre todas as informações que venham a tomar conhecimento em virtude das atividades profissionais, o que deverá permanecer em vigor e vincular legalmente as partes enquanto vigorar seu vínculo, vigorando, ainda, após a eventual rescisão, a qualquer título, por qualquer das partes, de maneira permanente, sob pena do direito do INTO pleitear o ressarcimento das perdas e danos decorrentes da violação do sigilo pelo usuário, sem prejuízo da responsabilidade criminal, em especial como incurso nas penas dos artigos 183, 184 e 195, da Lei 9.279/96 e, dos artigos 153 e 154, do Código Penal Brasileiro, bem como todas as demais leis e disposições cabíveis, inclusive no que toca aos servidores da administração pública.
A hipótese de descumprimento do disposto nesta cláusula, assim como o descumprimento de qualquer disposição deste regulamento, constitui justo motivo para a rescisão de qualquer contrato mantido com o usuário, sem ônus para o INTO, e sem prejuízo da exigibilidade das sanções previstas acima.
8.2 MANUAIS, MÍDIAS E LICENÇAS:
Os manuais, mídias e licenças da infra-estrutura tecnológica adquiridos pelo INTO são para utilização dos usuários exclusivamente na realização de suas atividades profissionais, ficando assim sob a sua responsabilidade o perfeito estado, organização e guarda de tais manuais, mídias e licenças.
8.3 SUPORTE TÉCNICO
Está disponibilizado pela ARSUT, a todos os usuários, suporte técnico permanente, para auxiliá-los no uso dos recursos informatizados disponibilizados pelo INTO.
Qualquer ajuda deverá ser solicitada a ARSUT - Área de Suporte Técnico, através do ramal 105.
8.4 CASOS OMISSOS
Todas as diretrizes deste Regulamento de Segurança, bem como os casos omissos, serão encaminhados ao COMITÊ DE SEGURANÇA DA INFORMAÇÃO para avaliação e posterior recomendação à Direção (DIREG) para deliberações.
Ademais, todas as normas e procedimentos acima não se esgotam neste instrumento, sobretudo em razão da constante evolução tecnológica, não consistindo em rol exaustivo, motivo pelo qual é obrigação dos usuários do INTO adotar todo e qualquer outro procedimento de segurança que esteja ao seu alcance, visando sempre proteger as informações do Instituto.
9. REVISÕES E COMENTÁRIOS FINAIS:
O INTO se reserva ao direito de revisar, adicionar ou modificar esse Regulamento de Segurança para aprimorar e garantir o perfeito funcionamento das normas e regras por ele definidas.
Quando essa revisão, adição ou modificação ocorrer, o usuário será notificado por meio eletrônico.
10. ENCERRAMENTO:
A tolerância de uma parte para com a outra, relativamente a descumprimento de qualquer das obrigações ora assumidas, não será considerada novação, renúncia ou perdão tácito a qualquer direito, constituindo mera liberalidade, que não impedirá a parte tolerante de exigir da outra o fiel cumprimento deste Regulamento, a qualquer tempo.
Para publicidade e conhecimento geral dos usuários do INTO, este documento será publicado na rede interna, bem como utilizado outros meios de comunicação que venham a auxiliar na disseminação deste regulamento.
ANEXO II
CRITÉRIOS PARA CRIAÇÃO DE SENHA
A senha deverá ser mantida de acordo com as seguintes normas, sem prejuízo de outras que venham a ser acrescentadas:
A. Freqüência de expiração: a senha será válida por 30 (trinta) dias, assim o sistema solicitará a alteração após a expiração do prazo;
B. Quantidade de caracteres: a senha da rede interna deve ter a quantidade mínima de 06 (seis) caracteres, combinando letras, números e caracteres especiais, em grafia maiúscula e minúscula, seguindo o conceito de senha forte, a seguir detalhado;
C. Tentativas de acesso (login): após 03 (três) erros do nome de usuário e/ou senha, o acesso daquele usuário será bloqueado;
D. Histórico de últimas senhas: o sistema guarda as últimas 12 (doze) senhas utilizadas, com isso, não são permitidas a utilização das mesmas no processo de alteração.
Os usuários devem seguir as seguintes normas para escolha de senhas, adotando o conceito de senha forte:
A.Não deverá usar como senha o nome de sua conta de usuário, ou qualquer variação do mesmo (invertido, com letras maiúsculas, duplicado, etc.);
B.Não deverá usar como senha qualquer um de seus nomes ou sobrenomes, ou qualquer variação destes;
C.Não deverá usar como senha qualquer informação a seu respeito quepossa ser facilmente obtida (placa de automóvel, número de telefone, nome de pessoas de sua família próxima, data de nascimento, endereço, etc.);
A.Não deverá usar como senha apenas números, ou repetições de uma mesma letra;
B.Deverá usar uma senha que combine letras, números e caracteres especiais, em grafia maiúscula e minúscula, seguindo o conceito de senha forte.
ANEXO III
REGRAS DE EMAIL
As regras para uso de email são as seguintes:
Caixa de Mensagem 50 MB
Tamanho máximo de email 9 (NOVE) MB
Extensões de arquivos vedados .exe, .com, .scr, .mov, .wmp, .wma, .mp3, .mp4
Assuntos proibidos Propaganda político partidária;
Propaganda com finalidades comerciais;
Pornografia e de caráter sexual;
Pornografia infantil (pedofilia);
Terrorismo;
Drogas;
Crackers;
Sites de relacionamento;
Jogos;
Violência e Agressividade (racismo,
preconceito, etc.);
Violação de direito autoral (pirataria, etc.);
Áudio e Vídeo, salvo com conteúdo
relacionado, diretamente no INTO;
Conteúdo impróprio, ofensivo, ilegal,
discriminatório, e similares.
ANEXO IV
RELAÇÃO DE SOFTWARES LICENCIADOS PARA O INTO
Os softwares licenciados, dentre outros, são os seguintes:
Sistemas Operacionais: Windows XP para as estações de trabalho, Linux Red Hat Enterprise e Windows 2003 Server para os servidores, sendo que para os servidores a distribuição Linux deverá ser a Red Hat Enterprise 5.1/5.2;
Linguagens de Desenvolvimento Alta Plataforma: ASP. NET, .NET, Oracle Forms, Reports and
Designer, PL-SQL for J2EE ;
Linguagens de Desenvolvimento Baixa Plataforma: PHP, Java script;
Linguagens de Desenvolvimento: Fica definido que as linguagens padrão para desenvolvimento
de sistemas são as seguintes: Forms, Reports and Designer, PL-SQL for J2EE, como linguagem
básica, ASP.NET (Active Server Pages) e o Javascript para a camada de apresentação das aplicações
para a Web e o XML(Extensible Markup Language). Eventualmente, poderá ser utilizado o PHP
(um acrônimo recursivo para “PHP: Hypertext Preprocessor”) para sistemas especiais;
Linguagens de tecnologia WEB: Linguagem Visual Padrão: HTML, Linguagem Visual
Acessória: FLASH; Linguagem de Programação WEB Padrão: ASP.NET, JAVA e suas
variantes (SERVLETS, APPLETS, JSP); Linguagem de programação WEB Acessória: PHP;
Linguagem de programação Acessória: JAVA Script; Editor Web: Microsoft Visual Studio para
plataforma WINDOWS.
Servidor Web: Fica definido que o servidor web padrão para os ambientes de desenvolvimento e
de testes é o IIS do Windows Server, da Microsoft, e o servidor web dos ambientes de homologação
e produção é o IIS do Windows Server, da Microsoft;
SGBD – Sistema Gerenciador de Bancos de Dados: Fica definido que o SGBD padrão para
todos os sistemas é ORACLE. Eventualmente, poderão ser utilizados o MS-SQL (Microsoft
SQL) e o My-SQL para sistemas especiais.
Ferramentas de Construção de Interface com o Usuário e Prototipação da Interface: Ficam
definidas as seguintes ferramentas para construção da interface gráfica dos sistemas: Suite
Corel Draw, Adobe Ilustrator,Adobe Dreamweaver, Adobe Premiere,Adobe Acrobat, Adobe
Fireworks, Adobe InDesing, Adobe Photoshop, Adobe Flash, UltraEdit, MapEdit, Visual
Studio, ScriptCase;
Ferramenta de Automação de Escritório: A ferramenta de automação de escritório adotadaé o Microsoft Office;
Sistema de Correios Corporativo: Microsoft Exchange;
Software para Modelagem de Sistemas: Fica definido o ErWin como ferramenta de modelagem UML;
Ferramentas de suporte à Rede: Cacti, Sniffer;
Anti-Spam: Iron Port;
Sistema de Controle de Conteúdo de Internet: Websense
Gerenciador de Rede: Cacti e Wire Shark;
Sistema de Backup: ArcServer;
Sistema de Storage: Overland;
Estação de Trabalho: As aquisições são realizadas com pacote Windows-XP O&M e adicionamos
o seguinte pacote: Microsoft Office 2003; Symantec Antivirus Corporate; Remote Administrator
(RAdmin).
ANEXO V
ROTINA DE COPIAS DE SEGURANÇA
Dados Backup Diario Backup Semanal
Backup Mensal Backup Anual
Oracle – DMP 5 Dias 4 Semanas
12 Meses 5 Anos
Oracle Logs e Archive 5 Dias 4 Semanas
12 Meses 5 Anos
Arquivos 5 Dias 4 Semanas
12 Meses 5 Anos
Dados de Sistema 5 Dias 4 Semanas
12 Meses 5 Anos