Todas edições
Visualize e busque todas as edições.
Veja
Essa publicação está na edição do(s) dia(s):
26 de Setembro de 2022.
INSTRUÇÃO NORMATIVA STI Nº 001/2022
INSTRUÇÃO NORMATIVA STI Nº 001/2022
Versão: 01
Aprovação em: 23/09/2022
Unidade Responsável: Gerência de Administração
Assunto: Normas eProcedimentos de Segurança da Informação
A DIRETORA EXECUTIVA DO INSTITUTO MUNICIPAL DE PREVIDÊNCIA SOCIAL DOS SERVIDORES DE CÁCERES - PREVICÁCERES, no uso de suas atribuições legais, nos termos do Art. 119, Incisos VIII, IX e XXV, da Lei Complementar nº 181/2022;
Considerando o disposto na Portaria PREVICÁCERES n° 214/2018, com redação dada pela Portaria nº 195/2019; e
Considerando a propositura desta instrução normativa pela Unidade de Controle Interno do Instituto Municipal de Previdência Social dos Servidores de Cáceres;
RESOLVE:
Estabelecer Normas e Procedimentos de Segurança da Informação no âmbito do Instituto Municipal de Previdência Social dos Servidores de Cáceres - PreviCáceres, nos seguintes termos:
TÍTULO I
DA FINALIDADE E ABRANGÊNCIA
Art. 1º Ficam estabelecidas por meio desta Instrução Normativa as rotinas internas e procedimentos de controle a serem observadas pelas diversas unidades administrativas e prestadores de serviço do PREVICÁCERES, no tocante à segurança da informação, com a finalidade de instituir:
I – Regras normativas quanto ao uso da internet, do correio eletrônico, dos computadores e outros recursos tecnológicos do RPPS;
II – Procedimentos de contingência que determinem a existência de cópias de segurança dos sistemas informatizados, dos bancos de dados e o controle de acesso físico e lógico.
Parágrafo único. Esta Instrução Normativa abrange todas as unidades da estrutura organizacional e órgãos colegiados do PREVICÁCERES, além dos prestadores de serviço, pessoa física ou jurídica, que porventura acessem informações do RPPS.
TÍTULO II
DOS CONCEITOS
Art. 2º Para os fins desta normativa considera-se:
I – Segurança da Informação: proteção da informação de vários tipos de ameaças, para garantir a continuidade da entidade, minimizar os riscos e maximizar o retorno sobre os investimentos.
II – Política de Segurança da Informação (PSI): é uma declaração formal de compromisso do RPPS com a proteção das informações sob sua guarda e a formalização das normas para segurança.
TÍTULO III
DA FUNDAMENTAÇÃO LEGAL E DOS PRINCÍPIOS
Art. 3º Os procedimentos de Segurança da Informação do RPPS de Cáceres possuem como fundamento legal:
I – Lei Complementar Municipal nº 181/2022;
II – Norma Técnica ABNT ISO 27002;
III – Manual do Pró-Gestão RPPS.
Art. 4º A Segurança da Informação no âmbito do PREVICÁCERES atenderá aos seguintes princípios:
I – Confidencialidade: Proteção e garantia de que determinadas informações só são disponíveis a pessoas autorizadas.
II – Integridade: Garantia da exatidão das informações e dos métodos de processamento.
III – Disponibilidade: Garantia de que os usuários autorizados e os interessados tenham acesso às informações.
TÍTULO IV
DOS PROCEDIMENTOS E RESPONSABILIDADES PARA GARANTIR A SEGURANÇA DA INFORMAÇÃO
Art. 5º Todos os servidores, membros de órgãos colegiados e os prestadores de serviço que acessem informações do PREVICÁCERES deverão observar no exercício de suas funções e atividades, a Política de Segurança da Informação (Anexo I desta IN), a qual estabelece:
I – A responsabilidade de cada um quanto à segurança da informação;
II – Indica regras normativas quanto ao uso da internet, do correio eletrônico, dos computadores e outros recursos tecnológicos do RPPS;
III – Define procedimentos de contingência, que determinam a existência de cópias de segurança dos sistemas informatizados e dos bancos de dados, o controle de acesso (físico e lógico) e a área responsável por elas.
Art. 6º As atividades de segurança da informação, manualizados por meio da PSI, possuem seus respectivos mapeamentos constantes no Anexo II desta IN.
TÍTULO V
DISPOSIÇÕES FINAIS
Art. 7º Faz parte desta Instrução Normativa os seguintes Anexos:
I – Anexo I: Política de Segurança da Informação.
II – Anexo II: Fluxogramas das Atividades.
Art. 8º Esta Instrução Normativa entra em vigor na data de sua publicação.
Cáceres-MT, 23 de setembro de 2022.
LUANA APARECIDA ORTEGA PIOVESAN
Diretora Executiva
VANESSA FERREIRA DA SILVA
Controladora Interna
|
Política de Segurança da Informação
ANEXO I DA IN STI Nº 001/2022/PREVICACERES
DISTRIBUIÇÃO E VIGÊNCIA
Este documento consiste na Política de Segurança da Informação – PSI do Instituto Municipal de Previdência Social dos Servidores de Cáceres – PREVICÁCERES, que deve ser mantida como uma medida de boas práticas, estabelecendo diretrizes para a proteção de informações e prevenção de danos e prejuízos que possam comprometer os objetivos da instituição. Destaca-se que a mesma deve ser adotada, cumprida e aplicada em todas as áreas da autarquia.
Esta versão pode ser alterada a qualquer momento, desde que os pontos apontados para mudanças sejam informados e discutidos com os demais colaboradores e aprovada pela Direção Executiva.
Contudo recomenda-se que essa versão da PSI seja revisada anualmente, considerando a data de sua aprovação, caso seja verificada a necessidade de aprimoramento dos procedimentos implantados.
CONTROLE DE VERSÃO
| Versão | Responsável | Controle das Modificações |
| 1.0 | Gerente de Administração | Criação do documento |
GLOSSÁRIO
Ativo: Algo que tenha valor para a organização. Evento: Acontecimento que acarrete na mudança do estado atual de um processo. Incidente: Evento que traz prejuízos à organização. Risco: Combinação da probabilidade de ocorrência de um evento e seus respectivos impactos. Vulnerabilidade: Fragilidade de um ativo que pode ser explorada e gerar danos à organização. Malwares: O nome malware vem do inglês malicious software (programa malicioso). Refere-se a qualquer tipo de programa indesejado, instalado sem o consentimento do usuário e que pode trazer danos ao computador. SPAM: É o termo usado para referir-se a e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Phishing: Mensagens de e-mail que solicitam dados do usuário de forma direta ou através de redirecionamentos para sites ou números de telefone, a fim de roubar sua identidade. Mail bombing: Envio de mensagens eletrônicas em massa para um determinado destinatário com o objetivo de sobrecarregar o serviço de e-mail e torná-lo inutilizável ou indisponível.1. INTRODUÇÃO
A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas do PREVICÁCERES para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição.
2. OBJETIVOS
Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.
Preservar as informações do PreviCáceres quanto à:
a) Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais. b) Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. c) Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.3. ABRANGÊNCIA
Todos os servidores, prestadores de serviços, consultores, auditores, temporários, fornecedores, parceiros diversos e demais contratados que estejam a serviço e disponibilizam de ativos corporativos do PREVICÁCERES.
4. DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE
Para garantir as regras mencionadas nesta PSI o PreviCáceres poderá:
a) Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede ‒ a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado; b) Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior) ou por determinação da Diretoria Executiva; c) Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade; d) Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.5. CORREIO ELETRÔNICO
A utilização do correio eletrônico oficial do PreviCáceres é de uso unicamente para fins institucionais e relacionados às atividades do servidor dentro do instituto. A utilização desse serviço para fins pessoais não é permitida.
Cada usuário deve avaliar, de acordo com os princípios estabelecidos por esta PSI, a utilização do correio eletrônico oficial geral (previcaceres@gmail.com) ou do e-mail institucional de seu setor (setor@previcaceres.com.br), de acordo com o conteúdo e finalidade da correspondência, sendo que o primeiro deve ser utilizado, prioritariamente, para realização de atendimento ao público.
Os usuários não poderão ter expectativa de privacidade com relação as mensagens e anexos na utilização do correio eletrônico do PREVICÁCERES, restando claro neste documento que todos os dados poderão ser gerenciados e monitorados pela Gerência de Administração.
As mensagens de correio eletrônico sempre deverão incluir assinatura com o seguinte formato:
Nome do servidor Unidade de Lotação PreviCáceres – Instituto Municipal de Previdência Social dos Servidores de Cáceres Endereço: Rua General Osório, 2430, Centro, Cáceres - MT, CEP 78210-052 Telefone: (65) 3223-6477 | E-Mail institucional do usuário6. INTERNET
Todas as regras atuais do PREVICÁCERES visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet.
É proibida a divulgação e/ou o compartilhamento não autorizado pela Direção Executiva de informações da área administrativa em sites, redes sociais ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.
Os colaboradores não poderão em hipótese alguma utilizar os recursos do PREVICÁCERES para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.
O uso da Internet será monitorado pela Gerência de Administração, inclusive através de “logs” (arquivos gerados no servidor). Portanto, o PREVICÁCERES aplicará algumas restrições de acesso à internet abaixo descriminadas:
a) É proibido aos usuários configurar ou alterar as configurações de rede e de acesso à Internet dos computadores, incluindo as seguintes configurações de rede: IP, DNS, WINS, Gateway, Proxy e a instalação ou reconfiguração de clientes Proxy. Em caso de dúvidas, solicitar orientação ao responsável local; b) Não é permitido enviar (upload), baixar (download) ou manter arquivos de imagens, músicas, vídeo, arquivos executáveis em geral ou quaisquer outros de caráter pessoal; c) É proibido o acesso a sites de redes sociais, dos quais fazem parte: Badoo, Par Perfeito, Linkedin, Instagram, Twiter, Facebook ou assemelhados, com exceção ao Facebook e Instagram, quando houver necessidade institucional por parte do usuário/setor ou para divulgação das ações do PREVICÁCERES; d) Não é permitido o acesso a sites de Internet com conteúdo pornográfico, jogos, bate-papo, chat, cartoon, relacionamento, rádio e TV em tempo real, hacker ou que contenha ferramentas ou regras para invasões de rede, quebra de criptografia, senhas ou outros eventos de segurança; e) É proibida a divulgação de informações confidenciais do PREVICÁCERES por meio de correio eletrônico, grupos ou listas de discussão, sistemas de mensagens ou bate-papo, blogs, microblogs, ou ferramentas semelhantes. 6.1. Acesso a Rede Wireless (Rede sem fio)A rede sem fio permitirá que usuários ou visitantes portadores de equipamentos pessoais, dotados da tecnologia sem fio, acessam a internet da entidade.
O acesso a rede do PREVICÁCERES só será permitida se justificada a motivação e mediante solicitação de uma senha, que deverá ser autorizada pela Gerência de Administração.
7. IDENTIFICAÇÃO
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante o PREVICÁCERES e/ou terceiros.
O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.
Portanto, assim que algum usuário for demitido ou solicitar demissão, a Gerência de Administração deverá imediatamente comunicar tal fato ao responsável técnico da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.
Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.
8. COMPUTADORES E RECURSOS TECNOLÓGICOS
Os usuários que estiverem de posse de qualquer equipamento (desktop, notebook ou celular) de propriedade do PreviCáceres devem estar cientes de que:
a) Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais; b) A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário; c) É de responsabilidade de cada usuário assegurar a integridade do equipamento, a confidencialidade e disponibilidade da informação contida no mesmo; d) O usuário não deve alterar a configuração do equipamento recebido; e) O usuário não deve instalar ou remover nenhum programa do equipamento recebido. Também não deve alterar a configuração de nenhum programa previamente instalado. 8.1. Cuidados Fora do Trabalho: a) Mantenha o equipamento sempre com você; b) Atenção em hall de hotéis, aeroportos, aviões, táxis e etc. c) Quando transportar o equipamento em automóvel utilize sempre o porta-malas ou lugar não visível; d) Atenção ao transportar o equipamento na rua. 8.2. Em caso de furto: a) Registre a ocorrência em uma delegacia de polícia; b) Comunique o fato o mais rápido possível ao seu superior imediato e ao responsável da Segurança da Informação; c) Envie uma cópia do boletim de ocorrência para a Gerência de Administração.9. BACKUP
Todos as informações do PREVICÁCERES deverão ser protegidas através de rotinas sistemáticas de Backups.
Cópias de segurança do Sistema Integrado e Servidores de rede são de responsabilidade da Gerência de Administração e devem ser feitas diariamente.
É obrigatório o armazenamento dos arquivos inerentes ao serviço de cada setor em suas respectivas pastas no Servidor para garantir o backup, assim como sigilo das informações.
As cópias devem ser feitas no armazenamento local ou na nuvem abrangendo todos os dados do instituto, que devem estar nos Servidores.
Não é política do PREVICÁCERES armazenar dados em estações de trabalho, no entanto, existem alguns aplicativos que não permitem o armazenamento em rede. Neste e em outros casos, o usuário deverá a realizar backup dos dados de sua máquina periodicamente inserindo os dados no servidor.
É de responsabilidade dos próprios usuários a realização de cópias de segurança (“backups”) dos documentos armazenados em suas estações de trabalho e que não sejam considerados de fundamental importância para continuidade das atividades do PREVICÁCERES.
11. DAS DISPOSIÇÕES FINAIS
Assim como a ética, a segurança da informação deve ser entendida como parte fundamental da cultura interna do PREVICÁCERES. Ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética regida pela instituição.
ANEXO II
FLUXOGRAMAS DAS ATIVIDADES
Atividade 1: Cópias de Segurança dos sistemas informatizados e dos bancos de dados (Backup)
Atividade 2: Controle aos sistemas informatizados e correio eletrônico
Atividade 3: Controle à rede sem fio