politicaDeSegurança Unificadav2

PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

DO MUNICÍPIO DE
SÃO JOSÉ DO RIO PRETO
São José do Rio Preto

2009
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 1/62
Sumário
1 INTRODUÇÃO................................................................................................................................4
1.1 DECLARAÇÃO DE COMPROMETIMENTO DA DIREÇÃO..............................................4
1.2 TERMOS E DEFINIÇÕES.......................................................................................................5
1.3 VISÃO GERAL DOS CONTROLES E SEUS OBJETIVOS.................................................9
1.4 LEGISLAÇÃO........................................................................................................................10
1.5 DISPOSIÇÃO DE ATRIBUIÇÕES........................................................................................11
2 CONDUTA DE ACESSO A REDE...............................................................................................12
2.1 Abrangência............................................................................................................................12
2.2 Acesso e Identificação do Usuário .........................................................................................12
2.3 Regras de Uso de Rede...........................................................................................................13
2.4 Regras Administrativas de Redes e de Serviços de Rede........................................................16
2.5 Redes e Serviços Disponíveis no Município...........................................................................18
2.6 Meios de Acesso a Rede no Município...................................................................................19
2.7 Processo de Autorização e ou Remoção de Acesso a Redes................................................19
3 CONDUTA DE ACESSO A INTERNET......................................................................................20
3.1 Abrangência............................................................................................................................20
3.2 Acesso e Identificação do Usuário..........................................................................................20
3.3 Regras de Uso de Internet.......................................................................................................21
3.4 Regras Administrativas de Internet.........................................................................................24
3.5 Processo de Autorização ou Remoção de Acesso a Internet..................................................25
3.6 Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a Internet.26
4 CONDUTA DE ACESSO REMOTO.............................................................................................27
4.1 Abrangência............................................................................................................................27
4.3 Regras de Uso de Acesso Remoto..........................................................................................28
4.4 Regras Administrativas de Acesso Remoto.............................................................................31
4.5 Processo de Autorização ou Remoção de Acesso a Redes Remotas......................................33
5 CONDUTA DE USO DE MENSAGENS ELETRÔNICAS..........................................................34
5.1 Abrangência............................................................................................................................34
5.3 Regras de Uso de Mensagens Eletrônicas...............................................................................35
5.4 Regras Administrativas de Mensagens Eletrônicas.................................................................37
5.5 Processo de Autorização ou Remoção....................................................................................38
6 CONDUTA DE UTILIZAÇÃO DE CONTAS E SENHAS..........................................................39
6.1 Abrangência............................................................................................................................39
6.3 Regras de Contas e Senhas para Usuários..............................................................................40
6.4 Regras Administrativas de Contas e Senhas...........................................................................41
6.5 Processo Para Criação ou Remoção de Contas de Usuários...................................................43
7 CONDUTA DE INSTALAÇÃO E REMOÇÃO DE SOFTWARES.............................................44
7.1 Abrangência.............................................................................................................................44
7.3 Regras de Instalação e Remoção de Programas......................................................................45
7.4 Regras Administrativas e Técnicas de Instalação e Remoção de Programas..........................46
7.5 Processo de Requisição de Instalação e ou Remoção de Programas......................................48
8 CONDUTA DE CÓPIAS DE SEGURANÇA...............................................................................49
8.1 Abrangência............................................................................................................................49
8.2 Requisição de Geração, Recuperação e ou Armazenamento de cópia de Segurança.............50
8.3 Regras do Usuário...................................................................................................................50
8.4 Regras Administrativas...........................................................................................................51
9 CONDUTA DE ALIENAÇÃO, REMOÇÃO, REUTILIZAÇÃO E OU DESCARTE DE MÍDIAS
E EQUIPAMENTOS..........................................................................................................................53
9.1 Abrangência............................................................................................................................53
9.2 Remoção de propriedade........................................................................................................53
9.3 Inspeções Aleatórias...............................................................................................................55
9.4 Regra do Usuário....................................................................................................................55
9.5 Regras de Usuários Nomeados...............................................................................................55
9.6 Regras Administrativas...........................................................................................................56
10 CONFIDÊNCIALIDADE.............................................................................................................58
10.1 Abrangência...........................................................................................................................58
10.2 Acordo de Confidencialidade................................................................................................58
11 PENALIDADES............................................................................................................................61
12 REFERÊNCIAS BIBLIOGRÁFICAS.........................................................................................62
1 INTRODUÇÃO
A prefeitura de São José do Rio Preto em conjunto com a Empresa Municipal de

Processamento de Dados (EMPRO), disponibiliza uma Política de Segurança contendo um conjunto
diversificado de informações, tais como diretrizes e recomendações, regras, infrações, penalidades,
responsabilidade do usuário, abrangência da política de segurança, entre outros, aplicados a todas as
pessoas que utilizam os informações, sistemas, infraestruturas e dependências de propriedade ou
responsabilidade municipal. Tal pessoa será definida em questão como usuário.
A Política de Segurança é parte do Sistema Gestão da Segurança da Informação (SGSI) do

município. O objetivo de um SGSI é a análise, operação, monitoramento, implementação,
manutenção e melhoramento do gerenciamento da segurança de informação.
A segurança da informação é o conjunto de propriedades que proporcionam

disponibilidade, integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e
não repúdio aplicados sobre os sistemas de informação. Para alcançar tais objetivos, é necessária a
criação de controles que abordem acordos de confidencialidade, uso de contas e senhas, uso de rede,
acesso a Internet, mensagens eletrônicas, acesso remoto, instalação e remoção de software, cópias
de segurança e alienação do equipamento.
1.1 DECLARAÇÃO DE COMPROMETIMENTO DA DIREÇÃO
A administração municipal no exercício 2009 – 2012, representada pelo atual prefeito, Sr.
Dr. Valdomiro Lopes e pelos secretários e diretores presidentes desta gestão, declara seu
comprometimento e apoio a aplicação desta política de segurança, reconhecendo o valor de seus
princípios, metas e objetivos condizentes com os negócios do município. Entende-se, assim, a
importância das partes abrangidas pela política de segurança, tais como: acordos de
confidencialidade, uso de contas e senhas, uso de rede, acesso à Internet, mensagens eletrônicas,
acesso remoto, instalação e remoção de software, cópias de segurança e alienação do equipamento.
Sra. Lúcia Hirata, diretora presidente da Empresa Municipal de Processamento de Dados
(EMPRO), apóia a política de segurança e declara seu comprometimento com a sua implantação,
em conformidade com as intenções do prefeito Valdomiro Lopes.
1.2 TERMOS E DEFINIÇÕES
Acesso Remoto: Comunicação à distância dada entre um computador e um dispositivo;

Alienação de equipamento e ou mídia: Transferência de domínio de um equipamento ou
mídia;
Anti Spam: Programa com o objetivo de impedir o recebimento de mensagens não autorizadas no
correio eletrônico;
Anti Vírus: Programa com o objetivo de detectar e eliminar vírus do computador;
Aplicação: O mesmo que programa de computador, tem como objetivo executar uma
determinada tarefa ou atividade.;Armazenamento da Informação: Arquivamento de um ou
mais dados em unidades de mídia;
Armazenamento completo: Arquivamento de todos os dados de um sítio em uma mídia;
Armazenamento diferencial: Arquivamento de todos os dados alterados e adicionados de
um sítio em uma mídia;
Banco de dados: Aplicação destinada ao armazenamento de um conjunto de informações;
Blog: Registro cronológico inverso de mensagens postadas na WEB;
Código fonte Representação comumente textual de um conjunto de instruções utilizados para
geração de um programa;
Compartilhamento de Arquivos: Técnica utilizada para disponibilização de um ou mais
arquivos a outros usuários;
Compilador: Aplicação destinada a gerar novas aplicações utilizando-se de códigos fontes;
Conta de Usuário: Composto normalmente por nome de usuário e senha, permite acesso a um
determinado sistema ou aplicação;
Cópias de Segurança: Arquivamento de cópias de um ou mais dados em unidades de mídia
com o intuito de prevenir a perda da informação;
Correio eletrônico: Aplicação destinada ao envio e recebimento de mensagens eletrônicas;
Descarte de equipamentos e mídias: O mesmo que jogar fora um equipamento ou mídia;
Desktop: Computador de uso pessoal;
DHCP : Permite a atribuição dinâmica de números IPs a um ou mais equipamentos;
DNS: Permite a resolução de nomes de um domínio devolvendo suas localizações;
Downgrade: Desfazer alguma atualização, normalmente empregado no uso de aplicações e
sistemas;
Download: Transferência de dados de um equipamento externo para o computador local;

Encriptação: Termo utilizado para tornar uma informação sigilosa;
Equipamento: Termo utilizado para descrever uma ferramenta que permite a realização de
uma tarefa. Exemplo: computador;
Estação de trabalho:Computador de uso pessoal destinados a execução de tarefas específicas;
Ethernet – Meio de acesso a Rede: Tecnologia elétrica que permite a interconexão de
computadores por meio de uma rede cabeada;
Fibra Ótica – Meio de acesso a Rede: Tecnologia ótica que permite a interconexão de
computadores por meio de uma rede cabeada;
Firewall: Aplicação destinada ao gerenciamento de segurança no tráfego de informações;
Fishing: Técnica utilizada para atrair usuários para situações potencialmente perigosas
utilizando-se de mensagens eletrônicas;
Flame Wars: Propagação de mensagens hostis e ou insultos entre usuários de uma rede;
Flogs: Registro cronológico inverso de fotos postadas na WEB;
Formatação de dados: Remoção completa dos dados de uma mídia, preparando-a para nove
escrita;
FTP: Protocolo utilizado na transferência de arquivos;
Hardware: Todo e qualquer componente físico encontrado em um computador;
HTTP: Protocolo utilizado para visualização de páginas na WEB;
IP: Protocolo de Internet utilizado para identificar singularmente um equipamento em uma rede;
Impressão: Serviço destinado a gravação de dados em papel, normalmente realizado por uma
impressora;
Informação: Agrupamento de dados que contenham algum significado;
Informação Sensível: Informação de caráter privativo normalmente associada com o
negócio de um setor, departamento ou empresa;
informação Sigilosa: Informação de acesso privativo e restrito destinados a pessoas autorizadas;
Integridade da Informação: Qualidade associada a precisão da informação;
Interface de Desenvolvimento: Aplicação utilizada por um desenvolvedor destinada a
construção de uma nova aplicação;
Internet: Interligação de computadores em rede distribuídos mundialmente;
Interpretadores: Aplicação destinada a interpretação e execução de códigos fontes;
Intranet: Interligação de computadores em uma rede privada;
Login: Processo de identificação de um usuário em um sistema;

Malware: Nome atribuído a qualquer aplicação que execute atividades maliciosas;
Máquina Virtual: Aplicação destinada a executar um programa aplicativo ou um programa de
sistema;
Mensageiro Instantâneo: Aplicação destinada ao envio e recebimento de mensagens
instantâneas;
Mídia:Unidade destinada ao armazenamento de dados, sendo normalmente portável. Exemplo: CD;
Negócio: Conjunto de atividades que define a existência de uma empresa;
Pacthes: Pacotes de atualização de programas com o intuito de eliminação de erros ou falhas;
Programa: Ferramenta computacional aplicada a uma atividade;
Proxy:Aplicação intermediária que permite a conexão entre uma máquina na intranet a Internet;
Rádio– Meio de acesso a Rede: Tecnologia que utiliza ondas de rádio que permite a
interconexão de computadores por meio de uma rede sem cabos;
Rede: Meio que proporciona a interconexão entre os computadores;
Rede cabeada: Rede que utiliza de cabeamento;
Rede Externa: Rede externa a um sítio;
Rede Interna: Rede pertencente a um sítio;
Rede privada: O mesmo que intranet;
Rede pública: Rede de livre acesso;
Rede sem fio: Rede que propaga por outros meios, dispensando o uso de cabos;
Rede social: Interconexão de relacionamento entre várias pessoas. Pode ser realizado por meio de
uma aplicação;
Router: Equipamento utilizado para buscar um endereço e enviar pacotes a um destino;
Segurança da Informação: É o conjunto de propriedades que proporcionam disponibilidade,
integridade, confidencialidade, autenticidade, responsabilidade, confiabilidade e não repúdio
aplicados sobre os sistemas de informação;
Servidor: Equipamento destinado a prover um determinado serviço;
SGSI: Sistema Gestão da Segurança da Informação focado em: análise, operação, monitoramento,
implementação, manutenção e melhoramento do gerenciamento da segurança de informação;
Sistema: Um conjunto de elementos interconectados;
Sistema Eletrônico: Um conjunto de equipamentos eletrônicos interconectados;
Sistema Impresso: Um conjunto de arquivos impressos;
Sistema Operacional: Programa destinado a controlar o computador e seus periféricos;

Software: O mesmo que Programa;
Software Aplicativo: Programa destinado a um objetivo fim. Exemplo: editor de textos;
Software de Sistema: Programa intermediário a um objetivo fim. Exemplo: Sistema
Operacional;
Spam: O mesmo que mensagem não autorizada;
Spyware: Aplicação destinada a roubo de informações;
Trojan: Aplicação destinada a abertura de brechas de segurança;
Upload: Transferência de dados de um equipamento local para o computador externo;
Usuário: Toda e qualquer pessoa que se utiliza de um determinado serviço;
VPN: Integração de equipamentos a uma rede privada utilizando uma rede pública;
WEB: Rede pública disponibilizada mundialmente.
1.3 VISÃO GERAL DOS CONTROLES E SEUS OBJETIVOS
A visão geral dos controles e seus objetivos são tabelados em quatro colunas: “controle”,
“objetivo” e “ABNT”. A coluna “controle” representa os nomes do capítulos a serem abordados. O
“objetivo” representa as metas do controle. “ABNT” representa a referencia dos controles na norma
ABNT 17799:2005.
Controle Objetivo ABNT

Acordos de Não disseminação da informação com o dever de protege- 6.1.5
la. As informações a serem protegidas deve atender as
Confidencialidade
necessidades da instituição e as informações tem de ser
analisadas criticamente.
Contas e senhas Estabelecer boas práticas na utilização de senhas. 11.3.1
Rede Especificar quais usuários estão autorizados a utilizar um 11.4
determinado serviço de rede afim de prevenir acesso não
autorizado nas redes.
Acesso a Internet Proteger as trocas de informações com enfoque na Internet. -
Massagens Eletrônicas Proteger as mensagens eletrônicas trafegadas pela rede. 10.8.4
Acesso Remoto Especificar quais usuários estão autorizados a utilizar um 11.7.2

determinado acesso remoto e implementar procedimentos
que satisfaçam a necessidade do acesso remoto.
Instalação e Remoção de Delimitar regras de restrição e permissão de acesso 12.4.1
Software instalação de programas.
Cópias de Segurança Garantir a recuperabilidade da informação após um 10.5.1
incidente catastrófico ou falha na integridade da
informação.
Alienação, Remoção, Garantir o correto controle das informações contidas em 9.2.6
Reutilização e ou mídias e equipamentos para evitar fuga de informação 9.2.7
Descarte de Mídias e sensível dos domínios organizacionais. 10.7.2
Equipamentos
Tabela 1 – Diagramação de seus Controles e Objetivos.
1.4 LEGISLAÇÃO
Códigos e leis relacionados com as conformidades das políticas de segurança:
a) Código Penal ( Decreto-Lei n.º2.848/1940 , com as alterações da Lei N.º

9.983/2000 ).;
b) Lei Federal n.º 8.159 , de 08 de janeiro de 1991 (Dispõe sobre a Política Nacional
de Arquivos Públicos e Privados).;
c) Decreto Federal n.º 4.553 , de 27 de dezembro de 2002 (Dispõe sobre a salvaguarda
de dados, informações, documentos e materiais sigilosos de interesse da segurança da
sociedade e do Estado no âmbito da Administração Pública Federal);
d) Lei Federal n.º 9.610 , de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral);
e) Lei Federal n.º 9.279 , de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes);
f) Lei Federal n.º 3.129, de 14 de outubro de 1982 (Regula a Concessão de Patentes
aos autores de invenção ou descoberta industrial);
g) Lei Federal n.º 10.406 , de 10 de janeiro de 2002 (Institui o Código Civil);
h) Decreto-Lei n.º 2.848 , de 7 de dezembro de 1940 (Institui o Código Penal);
i) Lei Federal n.º 9.983 , de 14 de julho de 2000 (Altera o Decreto-Lei 2.848 , de 7 de
dezembro de 1940 -Código Penal e dá outras providencias);
j) Decreto n.º 3.505 , de 13 de junho de 2000 (institui a Política de Segurança da
Informação nos Órgãos e Entidades da Administração Pública Federal);
k) Decreto n.º 26.209 , de 19 de abril de 2000 (Cria a Delegacia de Repressão aos
Crimes de Informática - DRCI e dá outras providências);
Observação: Na medida de suas competências, outras legislações poderão ser aplicadas ao
documento, de acordo com o caso concreto.
1.5 DISPOSIÇÃO DE ATRIBUIÇÕES
Contemplando a política de segurança da informação municipal, tem-se a necessidade de

três atribuições de funções: Gestor de Segurança da Informação, Gestor de Usuários e o
Responsável (o mesmo que Nomeado).
O Gestor de Segurança da Informação, designado pela EMPRO, tem como atribuição a

responsabilidade global pela identificação dos controles, desenvolvimento e implementação
necessárias para a segurança da informação.
O Gestor de Usuários, designado pela EMPRO, tem como atribuição a responsabilidade

global de gerenciar o acesso dos usuários e deve impedir o acesso não autorizado aos sistemas de
informação.
O Responsável ou Nomeado tem como atribuição representar um determinado setor,

autarquia ou empresa pública nas tomadas de decisões que são expressas na política de segurança
da informação do município. Cada setor, quando achar necessário, deve nomear o responsável e
comunicar ao Gestor da Segurança da Informação.
2 CONDUTA DE ACESSO A REDE
O acesso a rede permite aos usuários trafegar informações de internet, correio eletrônico,
sistemas disponibilizados pelo município e por terceiros. Uma rede é definida como um conjunto de
computadores interligados com o objetivo de permitir a transmissão das informações. Quanto à
acessibilidade, as de redes podem ser públicas ou privadas. As redes privadas possibilitam a
transmissão restrita de informações dentro do domínio de uma instituição pública ou privada; esta
rede privada denominase intranet. As redes públicas permitem ao usuário a interconexão entre
redes privadas. Quanto aos meios de transmissão, a informação pode ser enviada por conexões sem
fio (Ex: rádio, microondas e infravermelho) ou por conexões que utilizem cabeamento (Ex: fibra
ótica, cabo coaxial e par trançado).
No município de São José do Rio Preto, são utilizadas redes públicas e privadas
transmitindo as informações tanto por redes cabeadas quanto por redes sem fio. Este capítulo tem
como objetivo a proteção e integridade da informação trafegada nestas redes estipulando um
conjunto de diretrizes e recomendações aos diferentes usuários do município. A boa utilização
destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembrese
que estes serviços estão disponibilizados para o uso estritamente profissional e de interesse do
município.
2.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto. Sendo estes
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de rede.
2.2 Acesso e Identificação do Usuário
Todo usuário do município tem seus identificadores providos pela EMPRO e seu acesso à
Internet está restrito aos privilégios do usuário. Os privilégios são definidos pelo diretor presidente,
responsável e ou secretário de cada setor público envolvido.
2.3 Regras de Uso de Rede
O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas
nas redes privadas do município e redes públicas oriundas da máquina pelo qual é responsável, em
caso de não cumprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes
disponibilizados pela EMPRO, não podendo fornecer e ou compartilhar seu usuário, senha e
ou acesso a rede com outros usuários;
II. O usuário está proibido de utilizar contas de acesso às redes pertencentes a outros
usuários;
III. É proibido ao usuário trafegar informações sigilosas em redes públicas. No caso de
dúvida sobre o sigilo destas informações, contate e aguarde a aprovação por escrito do
presidente, responsável e ou diretor do setor competente. Caso seja estritamente necessário o
envio da informação para uma rede externa, contate o gestor de segurança da informação do
município;
IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas
licenciados e ou dados pertencentes a EMPRO, município e ou quaisquer outros setores do
município;
V. O usuário somente poderá trafegar informações oriundas de redes públicas desde

que não fira toda e qualquer conformidade legal prevista em lei. Devese respeitar os direitos
autorais, proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é
permitida a instalação de programas sem a prévia autorização do diretor presidente,
responsável e ou do secretário do setor solicitante, e também sem a prévia autorização do
gestor de usuários do município e do gestor de segurança da informação;
VI. O usuário está comprometido a utilizar as redes públicas e ou privadas do

município para uso exclusivo de atividades relacionadas ao setor no qual o usuário pertence;
VII. Por ser um serviço de concessão cedido pela EMPRO ao município, o usuário fica
ciente sobre possível auditoria interna relacionada aos acessos de rede. Este processo deve
conter autorização do diretor presidente, responsável e ou do secretário do setor cabível, bem
como a autorização do gestor de usuários do município e do gestor de segurança da
informação do município;
VIII. O usuário se compromete a respeitar toda a CONDUTA DE USO DE

MENSAGENS ELETRÔNICAS;
IX. O usuário se compromete a respeitar toda a CONDUTA DE USO DE ACESSO A
INTERNET;
X. É proibido a utilização de proxies não autorizados que permitam o tráfego de

informações a redes privadas externas;
XI. É proibido o acesso a redes que disponibilizem conteúdos obscenos, pornográficos,
eróticos, racistas, nazistas e de qualquer outro conteúdo que violem a lei;
XII. O usuário é responsável por informar a EMPRO, por meio de solicitação de
serviço todo e qualquer conteúdo inapropriado contendo informações pornográficas,
eróticas, racistas, nazistas, discriminatórias e de qualquer outro conteúdo que violem a lei;
XIII. O usuário não deve utilizar o acesso a rede, tanto a intranet quanto a Internet, para
molestar, caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas,
instituições públicas e ou instituições privadas. Este item também compreende todo e
qualquer ato ilícito proibidos por lei;
XIV. O usuário não deve utilizar o acesso a rede para disseminar informações de
conteúdos obscenos, pornográficos, racistas e de qualquer caráter discriminatório;
XV. O usuário não deve utilizar acesso a rede para tráfego de conteúdos que ferem a
legislação vigente, a moral e os bons costumes;
XVI. O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a
outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;
XVII. É proibido ao usuário a divulgação parcial e ou total de materiais que violem os
direitos autorais e ou intelectuais;
XVIII. É proibido ao usuário a transmissão proposital de arquivos que contenham

vírus, malware, spyware, fishing, trojan e qualquer outro arquivo potencialmente danoso ou
código executável.;
XIX. O usuário deve reportar toda e qualquer indisponibilidade aos endereços e

conteúdos relativos a realização de suas atividades. Esta solicitação deve ser realizada pelo
“Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a Internet”;
XX. O usuário declarase ciente de que o equipamento utilizado no município está
devidamente identificado. Todas e quaisquer tentativas de alteração na identificação do
equipamento por parte do usuário caracteriza uma infração do usuário;
XXI. O usuário somente pode acessar aplicações pela rede que estejam de acordo com
as atividades profissionais relacionadas a função exercida e autorizadas pelo presidente,
responsável e ou diretor do setor competente;
XXII. O usuário somente pode realizar acesso interativo pela rede onde a permissão
esteja autorizada. A autorização depende das atividades profissionais relacionadas à função
exercida e autorizadas pelo diretor presidente, responsável e ou secretário do setor
competente;
A EMPRO, o gestor de usuários do município e o gestor de segurança da informação não
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização do
acesso à Internet.
2.4 Regras Administrativas de Redes e de Serviços de Rede
O administrador é responsável direto pelo cumprimento destas regras, sendo o

administrador (celetista, estatutário e ou terceiro) gerenciado pela EMPRO.
I. O administrador é responsável direto pela manutenção, integridade, segurança e
disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do
respectivo sistema deve informar o superior imediato do setor correspondente;
II. O administrador é proibido de alterar quaisquer informações trafegadas na rede

oriundas dos equipamentos dos usuário do município;
III. A cada 30 dias o administrador deve verificar a existência de contas inválidas e
informar por meio de um relatório ao gestor de segurança da informação. A remoção de
contas inválidas deve ser previamente aprovadas pelo gestor de segurança da informação e
enviado por uma solicitação de serviço;
IV. Os servidores de acesso à Internet devem ser gerenciados para coibir, sempre que
possível, o tráfego de informações com conteúdos de entretenimento, pornográficos,
discriminatórios, racistas, obscenos, nazistas, vírus, programas (não autorizados) e quaisquer
outros conteúdos que violem a lei, ou a propriedade intelectual, ou a propriedade autoral;
V. O administrador pode analisar, visualizar e ou bloquear quaisquer informações

trafegadas pela rede independentemente de sua origem e conteúdo. Ou seja o administrador
tem o direito de analisar e visualizar as informações trafegadas em rede mesmo que estas
contenham informações pessoais;
VI. O administrador tem total liberdade de bloquear e ou liberar acesso a rede e

serviços de rede por meio de mecanismos automáticos e ou manuais;
VII. O administrador é responsável pela proteção da informação durante o trafego pela
rede de domínio municipal. Então, cabe ao administrador o gerenciamento de controles e
procedimentos no acesso de conexões e serviços de rede;
VIII. O administrador é responsável pelo desenvolvimento de procedimentos seguros,
no trafego de informações entre redes privadas, que permitam um usuário devidamente
autorizado a conectarse em redes externas. Neste caso, o administrador deve prover uma
rede privada virtual (VPN);
IX. O administrador é responsável pela devida identificação dos equipamentos

conectados a intranet pertencentes ao município. Para tanto, o administrador podese utilizar
de máscara de rede e endereços IP;
X. O administrador é responsável pela segregação das redes. Cada domínio lógico
segregado deve conter apenas os usuários que realizem atividades para um determinado
setor. Também é de responsabilidade do administrador a definição do perímetro de
segurança destas segregação da rede;
XI. O administrador é responsável pela utilização de filtros de tráfego utilizando

tabelas de restrições e ou regras predefinidas que restrinjam o acesso dos usuários a serviços
de rede não autorizados;
XII. O administrador é responsável pelo controle de roteamento de redes, com o

objetivo de assegurar a integridade dos privilégios dos usuários nos acessos às redes.
2.5 Redes e Serviços Disponíveis no Município
Os serviços e redes disponibilizados pelo município de São José do Rio Preto a diferentes
usuários até a presente data de publicação deste documento são:
Rede e Serviço de Rede Responsável
Intranet EMPRO
Contas de Usuário EMPRO
DNS EMPRO
DHCP EMPRO
Identificação dos Equipamentos na rede por IP EMPRO
Compartilhamento de Arquivos EMPRO
Correio eletrônico EMPRO
Internet EMPRO
Impressão EMPRO
Acesso Remoto EMPRO
Anti Vírus EMPRO
Anti Spam EMPRO
Proxy EMPRO
Firewall EMPRO
HTTP EMPRO
FTP EMPRO
Mensageiro Instantâneo EMPRO
Observação: Embora estes sejam as redes e serviços de redes disponibilizados pelo

município, o acesso do usuário a cada um destes serviços e redes está restrito ao próprio privilégio
de acesso do usuário definido individualmente ou em grupo.
2.6 Meios de Acesso a Rede no Município
Os meios de acesso a rede disponibilizados pelo município de São José do Rio Preto a
diferentes usuários até a presente data de publicação deste documento são:
Meio Responsável
Cabo (Ethernet) EMPRO
Cabo (Fibra Óptica) EMPRO
Rádio (Sem Fio) EMPRO
Observação: Embora estes sejam os meios de acesso a redes disponibilizados pelo

município, o acesso do usuário a cada um destes serviços e redes está restrito ao próprio privilégio
de acesso do usuário definido individualmente por um presidente, diretor e ou responsável.
2.7 Processo de Autorização e ou Remoção de Acesso a Redes
A solicitação para a liberação ou negação de acesso a redes é requisitada somente pelo,
diretor presidentes, responsáveis e ou diretores do setor público solicitante no município. Esta
solicitação deve ser realizada por intermédio de uma solicitação de serviço a EMPRO,
contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de rede;
IV. Informar: “requisição de acesso ou remoção à rede”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso contendo tipo de acesso e
privilégios esperados.
Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e
análise das solicitações de serviço. No caso de aprovação, o gestor de usuários do município deve
liberar a solicitação de serviço para execução.
3 CONDUTA DE ACESSO A INTERNET
A utilização de serviços de acesso de Internet permite ao usuário navegar dentro de um
conglomerado de redes distribuídas pelo mundo. Os serviços disponibilizados na WEB permitem ao
usuário acessar aplicações online, páginas de conteúdo dinâmico e ou estático, trafegar arquivos
tanto por download quanto por upload. Estes serviços podem estar relacionados a determinadas
atividades tais como páginas de busca, webmails, relacionamentos, mensagens eletrônicas, blogs,
flogs, notícias, redes sociais, repositórios de arquivos, editores de texto e planinhas eletrônicas.
Por se tratar de uma rede pública, a proteção e integridade da informação trafegada nestas
redes são classificadas como alto risco. Logo, este tópico tem como objetivo estipular um conjunto
de diretrizes e recomendações aos diferentes usuários do município. A boa utilização destes
serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembrese, estes
serviços estão disponibilizados para o uso estritamente profissional e de interesse do município.
3.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de acesso a Internet.
Todo usuário do município tem seus identificadores providos pela EMPRO e seu acesso à
Internet está restrita aos privilégios do usuário. Os privilégios são definidos pelo diretor presidente,
responsável e ou secretário de cada setor público envolvido.
3.3 Regras de Uso de Internet
O usuário é responsável direto pelo cumprimento das regras e pelos serviços de Internet
acessados, em caso de não cumprimento o usuário estará passível de punição. Estas regras estão
descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação no sistema, não podendo
fornecer e ou compartilhar seu usuário, senha e ou acesso de Internet com outros usuários;
II. O usuário está proibido de utilizar contas de acesso a Internet pertencentes a outros
usuários;
III. É proibido ao usuário divulgar, publicar, compartilhar e ou modificar informações
sigilosas em listas de discussão, batepapo, páginas de relacionamento, blogs, webmails e
quaisquer outros serviços disponibilizados na Internet para divulgação deste conteúdo. No
caso de dúvida sobre o sigilo destas informações, contate e aguarde a aprovação por escrito
do presidente diretor, responsável e ou secretário do setor competente;
IV. O usuário com acesso à Internet não pode utilizar serviços de upload para envio

programas licenciados e ou dados pertencentes a EMPRO, município e ou quaisquer outros
setores do município;
V. O usuário somente poderá realizar download de arquivos oriundos da Internet que
não fira toda e qualquer conformidade legal. Devese respeitar os direitos autorais,
proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é permitido a
instalação de programas sem a prévia autorização do diretor presidente, responsável e ou do
secretário do setor solicitante, e também sem a prévia autorização do gestor de usuários do
município e do gestor de segurança da informação;
VI. O usuário está comprometido a utilizar o acesso a Internet para uso exclusivo de
atividades relacionadas ao setor ao qual o usuário pertence;
VII. Por ser um serviço de concessão cedido pela EMPRO ao município, fica ciente o
usuário sobre possível auditoria interna relacionados aos acessos do usuário a Internet. Este
processo deve conter autorização do presidente, responsável e ou do diretor do setor cabível,
bem como a autorização do gestor de usuários do município e do gestor de segurança da
informação do município;
VIII.O usuário não deve utilizar programas de compartilhamento de arquivos tanto via
WEB quanto instalados localmente ou de qualquer outra natureza, salvo os programas que
contenham prévia autorização do diretor presidente, responsável e ou secretário do setor
competente, e também a aprovação do gestor de usuários do município e do gestor de
segurança da informação do município;
IX. É proibido ao usuário todo e qualquer acesso a páginas de relacionamento, blogs,
mensageiros instantâneos, jogos, redes sociais ou qualquer outra página relacionada com
conteúdos de entretenimento, salvo os endereços que contenham prévia autorização do
diretor diretor, responsável e ou secretário do setor competente, e também a aprovação do
gestor de usuários do município e do gestor de segurança da informação do município;
X. É proibido a utilização de páginas e programas que permitam acesso não

autorizado a páginas devidamente bloqueadas pelo administrador do sistema de internet ou
de conteúdo não cabível as atividades realizadas pelo usuário;
XI. É proibido o acesso de páginas que contenham conteúdos obscenos, pornográficos,
eróticos, racistas, nazistas e de qualquer outro conteúdo que violem a lei;
XII. O usuário é responsável por informar a EMPRO, por meio de solicitação de
serviço, todo e qualquer conteúdo inapropriado contendo informações pornográficas,
eróticas, racistas, nazistas, discriminatórios e de qualquer outro conteúdo que violem a lei;
XIII. O usuário não deve utilizar o acesso a Internet para molestar, caluniar,
constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituições públicas e
ou instituições privadas. Este item também compreende todo e qualquer ato ilícito proibidos
por lei;
XIV. O usuário não deve utilizar o acesso à Internet para envio e recebimento de
conteúdos obscenos, pornográficos, racistas e de qualquer caráter discriminatório;
XV. O usuário não deve utilizar acesso a Internet para envio, edição e armazenamento
de conteúdos que ferem a legislação vigente, a moral e os bons costumes;
XVI. O usuário deve garantir que as senha de acesso a Internet não sejam enviadas a
outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;
XVII. É vedado ao usuário o acesso a Internet utilizandose de contas de outros

usuários;
XVIII. É proibido ao usuário a divulgação parcial e ou total de materiais que violem os
direitos autorais;
XIX. É proibido ao usuário o envio proposital de arquivos que contenham vírus,

malware, spyware, fishing, trojan e qualquer outro arquivo ou código executável;
XX. O usuário deve reportar toda e qualquer indisponibilidade aos endereços e

conteúdos relativos a realização de suas atividades. Esta solicitação deve ser realizada pelo
processo de “Processo de Notificação para Bloqueio ou Liberação de Endereços e
Conteúdos a Internet”.
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização do
acesso à Internet.
3.4 Regras Administrativas de Internet
O administrador é responsável direto pelo cumprimento destas regras, sendo estes

responsáveis (celetistas, estatutários e ou terceiros) gerenciados pela EMPRO.
II. O administrador é proibido de modificar e ou remover todo e quaisquer conteúdos
de páginas e arquivos enviados ou acessados pelo usuário. Para auditoria devese
encaminhar uma solicitação de serviço a EMPRO para a execução de cópia, leitura e ou
remoção destas informações. Esta solicitação de serviço deve ser aprovada pelo gestor de
segurança da informação do município;
III. A cada 30 dias o administrador deve verificar a existência de contas e endereços
eletrônicos inválidos e informar por meio de um relatório ao gestor de segurança da
informação. A remoção dos endereços eletrônicos e contas inválidas devem ser previamente
aprovados pelo gestor de segurança da informação e enviado por uma solicitação de serviço;
IV. Os servidores de acesso à Internet devem ser gerenciados para coibir sempre que
possível o envio e o acesso a páginas, programas e arquivos com conteúdos de
entretenimento, pornográficos, discriminatórios, racistas, obscenos, nazistas, vírus,
programas (não autorizados) e quaisquer outros conteúdos que violem a lei e ou a
propriedade intelectual. A autorização para a instalação e utilização de programas é de
competência dos diretores presidentes, responsáveis e secretários do setor envolvido
juntamente com o gestor de segurança do município e ou gestor de usuários do município;
V. Independentemente das páginas acessadas por outros usuários terem conteúdos
públicos e ou privados, o administrador tem a liberdade total para realizar tentativas de
acesso a essas;
VI. O administrador tem total liberdade de bloquear e ou liberar acesso a endereços e
conteúdos de Internet por meio de mecanismos automáticos e ou manuais nos casos de
suspeita e ou comprovação.
3.5 Processo de Autorização ou Remoção de Acesso a Internet
A solicitação para a liberação ou negação de acesso a Internet é requisitada somente pelos
diretores presidentes, responsáveis e ou secretários do setor público solicitante no município. Esta
solicitação deve ser realizada por intermédio de uma solicitação de serviço a EMPRO,
IV. Informar: “requisição de acesso ou remoção à Internet”;
VI. Justificativa para a liberação ou remoção de acesso à Internet.

liberar a solicitação de serviço para a execução.
3.6 Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a
Internet
A solicitação para a liberação ou bloqueio de acessos a conteúdos e endereços de Internet
pode ser realizada somente pelo, diretor presidente, responsável e ou secretário. Esta solicitação
deve ser realizada por intermédio de uma solicitação de serviço sendo este disponibilizado pela
EMPRO, contemplando os requisitos descritos abaixo:
III. Nome do usuário;
IV. Informar: “requisição de liberação ou bloqueio de endereços”;
VI. Justificativa para a liberação ou bloqueio do endereço.
Cabe ao administrador de acesso à Internet a conferência, aprovação e ou reprovação do

uso e ou visualização de endereços e ou conteúdos. Porém o administrador do sistema de Internet
pode entrar em contato com os diretores presidentes, responsáveis e ou secretários do setor
relacionado para sanar dúvidas quanto ao conteúdo da solicitação de serviço.
4 CONDUTA DE ACESSO REMOTO
A interconexão entre redes privadas a distância permite ao usuário utilizar de redes e
serviços de redes disponibilizados por terceiros. O acesso a redes remotas disponibilizados por
redes privadas externas permitem ao usuário acessar e utilizar e executar aplicações e sistemas
operacionais disponibilizados naquele ambiente, desde que tenham acesso autorizado para isto.
Por se tratar de um acesso entre redes privadas, a segurança e integridade da informação
trafegada depende das configurações da rede. Logo, este tópico tem como objetivo estipular um
conjunto de diretrizes e recomendações aos diferentes usuários do município. A boa utilização
destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembrese
que estes serviços estão disponibilizados para o uso estritamente profissional e de interesse do
município.
4.1 Abrangência
estatutários, funcionários, estagiários e ou terceiros que utilizam serviços de acesso remoto.
Todo usuário do município tem seus identificadores providos pela EMPRO e seu o acesso
remoto está restrito aos privilégios do usuário. Os privilégios são definidos pelo diretor responsável,
e ou presidente de cada setor público envolvido.
4.3 Regras de Uso de Acesso Remoto
O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas
entre redes privadas. Em caso de não cumprimento o usuário estará passível de punição. Estas
regras estão descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes
disponibilizadas pela EMPRO em conjunto com outras instituições privadas ou públicas;
Não podendo fornecer e ou compartilhar seu usuário, senha e ou acesso a rede com outros
usuários;
II. O usuário esta proibido de utilizar contas de acesso a redes pertencentes a outros
usuários;
III. É proibido ao usuário trafegar informações sigilosas e de propriedade do município
em redes privadas externas, salvo o caso destas informações sigilosas serem previamente
autorizadas por escrito pelo presidente, diretor ou responsável do setor competente e somado
com a autorização do gestor de segurança da informação do município. No caso de dúvida
sobre o sigilo destas informações, contate e aguarde a aprovação por escrito do presidente,
responsável e ou diretor do setor competente;
IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas
licenciados e ou dados pertencentes a EMPRO, município e ou quaisquer outros setores do
município;
V. O usuário somente poderá trafegar informações oriundas de redes externas desde

que não fira toda e qualquer conformidade legal. Devese respeitar os direitos autorais,
proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é permitido a
instalação de programas sem a prévia autorização do presidente, responsável e ou do diretor
do setor responsável, e também sem a prévia autorização do gestor de usuários do município
e do gestor de segurança da informação e do administrador da rede externa envolvida;
VI. O usuário está comprometido a utilizar o acesso a redes remotas para uso exclusivo
de atividades relacionadas ao setor no qual o usuário pertence;
VII. Por ser um serviço de concessão cedido pela EMPRO em conjunto com uma

instituição privada ou pública ao município, fica ciente ao usuário sobre possível auditoria
interna relacionados aos acessos de rede. Este processo deve conter autorização do
presidente, responsável e ou do diretor do setor cabível, bem como a autorização do gestor
de usuários do município e do gestor de segurança da informação do município;
VIII. É proibido a utilização de proxies não autorizados que permitam o trafego de

informações a redes privadas externas;
IX. O usuário não deve utilizar acesso a rede para trafego de informações que violem o
acordos de trocas de informação;
X. O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a outras
pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;
XI. O usuário somente pode acessar aplicações entre redes que estejam autorizados por
meio de acordos de troca de informações entre terceiros e município;
XII. O usuário somente pode realizar acesso interativo entre redes onde a permissão
esteja autorizada. A autorização depende das atividades profissionais relacionadas a função
exercida e autorizadas pelo presidente, responsável e ou diretor do setor competente;
XIII. O usuário deve utilizar somente o local e o ambiente físico aprovados pelo
administrador de acesso remoto;
XIV. O usuário externo deve configurar de forma adequada o firewall e a proteção anti
vírus na rede externa a rede rede municipal;
XV. O usuário externo deve garantir a manutenção do equipamento tanto hardware

quanto software utilizados remotamente. E caso necessário será solicitado a provisão de um
seguro, esta solicitação é realizada pelo gestor de segurança da informação do município;
XVI. O usuário não deve permitir que familiares e ou visitantes acessem estes
equipamentos;
XVII. O usuário externo é responsável pela devida cópia de segurança da informações
presentes em equipamentos externos a rede do município. E caso requerido também deverá
ser implementados procedimentos de continuidade do negócio. Esta requisição é realizada
pelo gestor de segurança da informação do município;
XVIII. O usuário fica ciente da obrigatoriedade de devolução de equipamentos de

propriedade do município;
XIX. O usuário externo, no que tange a utilização de equipamentos de propiedade do
município, abre mão da propriedade intelectual sobre estas informações;
XX. O usuário externo deve utilizar somente softwares devidamente licenciado em seu
equipamento;
XXI. O usuário deve utilizar equipamentos de comunicação apropriados exigidos pelo
administrador do acesso remoto;
XXII. O usuário somente poderá realizar as atividades em período estipulado pelo
gestor de segurança da informação do município;
XXIII. O usuário externo é responsável, quando não for fornecidos pelo município,
pela aquisição de equipamentos e mobília apropriadas para a realização das atividades
profissionais;
A EMPRO, o gestor de usuários do município e o gestor de segurança da informação e
instituições públicas e ou privadas se responsabilizam por possíveis perdas e ou danos no acordo
firmado entre as partes.
4.4 Regras Administrativas de Acesso Remoto
O administrador é responsável direto pelo cumprimento destas regras, sendo os

administradores (funcionários, estatutários e ou terceiros) gerenciados pela EMPRO.
II. O administrador é proibido de alterar quaisquer informações trafegadas na rede

oriundas dos equipamentos dos usuário do município;
III. O administrador pode analisar, visualizar e ou bloquear quaisquer informações

trafegadas pelo acesso remoto. Ou seja o administrador tem o direito de analisar e visualizar
as informações trafegadas em rede mesmo que estas contenham informações pessoais;
IV. O administrador tem total liberdade de bloquear e ou liberar acesso a redes e

serviços de rede que não estejam acordados.;
V. O administrador é responsável pela proteção da informação durante o tráfego pela
rede. Então, cabe ao administrador o gerenciamento de controles e procedimentos no acesso
de conexões e serviços de rede;
VI. O administrador é responsável pelo desenvolvimento de procedimentos seguros, no
tráfego de informações entre redes privadas que permitam um usuário devidamente
autorizado a conectarse em redes externas. Neste caso, o administrador deve prover uma
rede privada virtual (VPN);
VII.O administrador é responsável pelo gerenciamento de acessos físicos e lógicos em
determinadas portas destinadas para diagnóstico e configuração;
VIII. A troca de informações entre redes privadas só poderão ser iniciadas após a
identificação do equipamento e a autenticação do usuário;
IX. O administrador deve aprovar ou reprovar a segurança e o ambiente físico utilizada
no local do acesso remoto;
X. O administrador deve especificar, aprovar ou reprovar o meio de acesso entre as
redes envolvidas, sendo estas cabeadas ou sem fios;
XI. O administrador deve configurar de forma adequada o firewall e a proteção anti

vírus na rede do município;
XII. O administrador deve remover os direitos de acesso remoto de usuários externos ao
término do trabalho remoto.
4.5 Processo de Autorização ou Remoção de Acesso a Redes Remotas
A solicitação para a liberação ou negação de acesso a redes é requisitada somente pelos
presidentes, responsáveis e ou diretores do setor público solicitante no município. Esta requisição
deve ser realizada por intermédio de uma “solicitação de serviço” a EMPRO, contemplando os
requisitos descritos abaixo:
IV. Informar: “requisição de acesso ou remoção à rede remoto”;
VI. Justificativa para a liberação ou remoção de acesso remoto.

5 CONDUTA DE USO DE MENSAGENS ELETRÔNICAS
A utilização de serviços no domínio das mensagens eletrônicas tais como correio

eletrônico, mensagens instantâneas e voz sobre IP tem como principal papel a integração e a
comunicação de todos os diversos setores do município. A utilização destes serviços tem caráter de
concessão cedido pelo gestor de usuários do município em conjunto com a EMPRO e requerida por
meio de uma solicitação de serviço enviada por um diretor presidente e ou diretor e ou responsável
por um setor, neste caso anteriormente indicado, de um setor do município.
Este tópico tem como objetivo estipular um conjunto de diretrizes e recomendações aos
diferentes usuários do município. A boa utilização destes serviços é de responsabilidade de cada
usuário com seus respectivos privilégios. Lembrese que estes serviços estão disponibilizados para o
uso estritamente profissional e de interesse do município.
5.1 Abrangência
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de mensagens eletrônicas.
Todo usuário do município tem um identificador único provido pela EMPRO e seu acesso
a estes serviços está restrito aos privilégios do usuário a cada sistema ou programa instalado ou
acessado via WEB. Os privilégios são definidos pelo diretor presidente e ou responsável ou ainda
secretários de cada setor público envolvido.
5.3 Regras de Uso de Mensagens Eletrônicas
O usuário é responsável direto pelo cumprimento das regras e pelo conteúdo das
mensagens enviadas, em caso de não cumprimento o usuário estará passível de punição. Estas
regras estão descritas abaixo:
I. O usuário não deve utilizar os sistemas de mensagens eletrônicas para propagação
ou geração de spam , “correntes”, propagandas, “pirâmides” e boatos. Somente devem ser
enviadas as mensagens correlatas ao interesse profissional do setor que representa e do
município;
II. O usuário deve configurar o software de correio eletrônico e de mensagens

instantâneas presentes na máquina, pelo qual é responsável, para enviar mensagens. Para
prevenir perda de informações por falhas de envio o usuário deve configurar programas de
correio eletrônico e de mensagens instantâneas para receber o retorno das mensagens que
não obtiveram sucesso no envio;
III. O usuário não deve utilizar os sistemas de mensagens eletrônicas para molestar,
caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituições
públicas e instituições privadas. Este item também compreende todo e qualquer ato ilícito
proibidos por lei;
IV. O usuário não deve utilizar os sistemas de mensagens eletrônicas para envio e ou
armazenamento de conteúdos obscenos, pornográficos, racistas e de qualquer caráter
discriminatório. Adicionalmente não se deve editar ou armazenar mensagens cujo conteúdo
fere a legislação vigente, a moral e os bons costumes;
V. O usuário não deve alimentar os sistemas de mensagens eletrônicas com mensagens
de discussão ou polêmica que caracterizem flame wars. O flame war é caracterizado como o
envio de mensagens hostis e de caráter ofensivo dentro do contexto do assunto;
VI. O usuário é responsável pela cópia de segurança das mensagens eletrônicas

armazenadas na estação de trabalho da qual utilizase;
VII.Cabe ao usuário o bom gerenciamento do correio eletrônico afim de respeitar os
limites de armazenamento impostos pela EMPRO;
VIII.O usuário que utiliza sistemas de correio eletrônico deve utilizarse de assinatura
digital fornecida pela EMPRO;
IX. O usuário deve garantir que as senhas de acesso a sistemas de envio e recebimento
de mensagens eletrônicas não sejam enviadas a outras pessoas, pois a senha é de uso
pessoal, intransferível e sigilosa;
X. É vedado ao usuário o envio de mensagens eletrônicas não autorizadas que

contenham informações sigilosas do município e ou do setor envolvido. As autorizações
devem ser redigidas pelos diretores presidentes, secretários e ou responsáveis de cada setor
envolvido;
XI. É vedado ao usuário o acesso não autorizado as mensagens do correio eletrônico de
outros usuários. As autorizações devem ser redigidas, impressas e assinadas pelo
proprietário da conta do correio eletrônico;
XII.É proibido ao usuário a divulgação parcial e ou total de materiais que violem os
direitos autorais;
XIII.É proibido ao usuário o envio proposital de arquivos que contenham vírus,

malware, spyware, fishing, trojan e qualquer outro arquivo ou código executável. Os
arquivos de código executável são normalmente scripts e macros;
XIV.É proibido ao usuário destinar o uso de contas pessoais nos programas de
gerenciamento de mensagens eletrônicas instaladas na estação de trabalho;
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização destes
serviços.
5.4 Regras Administrativas de Mensagens Eletrônicas
O administrador é responsável direto pelo cumprimento destas regras, Sendo estes

responsáveis (celetistas, estatutários, estagiários e ou terceiros) gerenciados pela EMPRO.
I. Os respectivos administradores de correio eletrônico, mensagens instantâneas e

mensagens de voz sobre IP são responsáveis diretos pela manutenção, integridade, segurança
e disponibilidade destes sistemas. Em caso de eventuais problemas o administrador do
II. O administrador não pode acessar, ler, copiar, modificar e ou remover toda e
quaisquer mensagens eletrônicas enviadas por um usuário. Salvo o caso de recebimento de
uma solicitação de serviço para a execução de cópia, leitura e ou remoção destas
informações. Esta solicitação de serviço deve ser enviada a EMPRO e aprovada pelo gestor
de segurança da informação do município;
III. A cada 30 dias os administradores devem verificar a existência de contas e

endereços eletrônicos inválidos e informar por meio de um relatório ao gestor de segurança
da informação. A remoção dos endereços eletrônicos e contas inválidas devem ser
previamente aprovados pelo gestor de segurança da informação e enviado por uma
solicitação de serviço. A obrigatoriedade de informar os administradores sobre a admissão,
demissão e férias de funcionários é de responsabilidade do setor de recursos humanos do
município;
IV. Os servidores devem ser gerenciados para coibir, sempre que possível, o envio e o
recebimento de spam, mensagens pornográficas, mensagens de caráter discriminatório,
programas, códigos executáveis e envio de conteúdo que violem a propriedade intelectual;
V. Os respectivos administradores dos diferentes sistemas de mensagens eletrônicas
são responsáveis diretos pela segurança no acesso dos usuários em ambiente de redes
públicas. O administrador devese utilizar de mecanismos técnicos para garantir o sigilo da
mensagem e mais níveis de segurança na autenticação do usuário.
5.5 Processo de Autorização ou Remoção
A solicitação para a instalação ou remoção de programas e liberação ou negação de acesso
a sistemas de mensagens eletrônicas é requisitada somente pelos diretores presidentes, responsáveis
e ou secretários do setor público solicitante no município. Esta requisição deve ser realizada por
intermédio de uma “solicitação de serviço” a EMPRO, contemplando os requisitos descritos abaixo:
III. Nome do usuário que utilizará os serviços de mensagens eletrônicas;
IV. Informar: “requisição de acesso ou remoção aos serviços de mensagens
eletrônicas”;
VI. Justificativa para a liberação ou remoção de acesso.

análise das solicitações de serviço. No caso de aprovação o gestor de usuários do município deve
6 CONDUTA DE UTILIZAÇÃO DE CONTAS E SENHAS
As senhas são um meio comum de verificar a identidade de um usuário antes que acessos
sejam concedidos a um sistema de informação ou serviço de acordo com a autorização do usuário.
As senhas são utilizadas pela grande maioria dos sistemas de autenticação e são consideradas
necessárias como meio de autenticação. Porém, elas são consideradas perigosas, pois dependem do
usuário, que podem, por exemplo escolher senhas óbvias e fáceis de serem descobertas, ou ainda
compartilha-las com seus amigos. Assim a cooperação de usuários autorizados é essencial para uma
efetiva segurança, a fim de prevenir o acesso não autorizado dos usuários e evitar o
comprometimento ou roubo da informação e dos recursos de processamento da informação. O
objetivo deste tópico estipular um conjunto de diretrizes e recomendações aos diferentes usuários do
município. A boa utilização destes serviços é de responsabilidade de cada usuário com seus
respectivos privilégios.
6.1 Abrangência
estatutários, funcionários, estagiários ou terceiros que utilizam os recursos computacionais que
requerem autenticação por senhas.
Todo o usuário do município possui para cada recurso computacional (estações de

trabalho, sistemas, etc) um identificador único provido pela EMPRO, sendo que para cada
identificador é associado uma senha que permite o acesso ao recurso com seus devidos privilégios.
Os privilégios são definidos pelo diretor e ou presidente de cada setor público envolvido.
6.3 Regras de Contas e Senhas para Usuários
O usuário é responsável direto pelo cumprimento das regras e pelos recursos acessados
com seus usuários e senhas, estando passível de punição em caso de não cumprimento. Estas regras
estão descritas abaixo:
I. O usuário deve, assim que receber as informações da conta com a senha inicial
temporária, providenciar a sua alteração para uma senha que seja de seu conhecimento
exclusivo;
II. O usuário não deve armazenar as senhas anotadas em papel ou em arquivos, seja no
computador ou em dispositivos móveis, de forma desprotegida, ou seja, sem se utilizar de
um meio de proteção, como, por exemplo, criptografia;
III. As senhas de acesso tem caráter pessoal, e é intransferível, cabendo ao seu titular
total responsabilidade quanto ao seu sigilo;
IV. A prática de compartilhamento de contas e senhas de acesso é proibida e o titular

que fornecer suas contas e senhas a outrem responderá pelas infrações por este cometidas,
estando passível das penalidades previstas;
V. O usuário está proibido de utilizar contas e senhas de acesso pertencentes a outros

usuários;
VI. Caso o usuário desconfie que sua senha não é mais segura, ou de seu domínio
exclusivo, deverá solicitar imediatamente a alteração desta;
VII.As senhas para usuários finais deverão conter no mínimo 6 (seis) caracteres, sendo
recomendável o uso de letras e números. Sugere-se a utilização de letras maiúsculas,
minúsculas e caracteres especiais (“$”, “%”, “&”,...);
VIII. Deverá ser evitada a composição de senhas com sequências numéricas (123...)
e/ou alfabéticas (abc...), além de senhas de fácil dedução (nome do usuário, data de
nascimento, nome de entes queridos...);
IX. A reinicialização das senhas das contas só poderão ser solicitadas através de
solicitação formal do seu detentor, à área responsável pela administração das contas;
X. Em casos de necessidade extrema de reinicializar uma senha em sistemas críticos

será solicitado ao usuário a confirmação de algumas informações de caráter pessoal, a fim
de confirmar a identificação do solicitante;
XI. O usuário não deve incluir suas senhas em nenhum processo automático de
autenticação, como por exemplo em uma macro ou funções-chave;
XII. O usuário não deve utilizar as mesmas senhas com finalidades pessoais e
profissionais;
XIII. Não será permitido aos usuários finais possuírem contas com perfil de
administrador local das estações, salvo solicitação expressa do diretor presidente ,
responsável ou secretário do setor.
6.4 Regras Administrativas de Contas e Senhas
Os usuários que possuem contas com privilégios de administrador são responsáveis pelo
cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pela
EMPRO.
I. O usuário administrador assim que receber as informações da sua conta com sua
respectiva senha inicial temporária deverá imediatamente providenciar a sua alteração para
uma senha que seja de seu conhecimento exclusivo;
II. As senhas para os usuários com privilégios de administrador são pessoais e

intransferíveis, devendo estas permanecer em absoluto sigilo, sendo o proprietário da senha
responsável pela sua utilização;
III. É proibida a utilização de contas e senhas com privilégios de administrador

pertencentes a outros usuários;
IV. Não será permitida a composição de senhas com sequências numéricas (123...) e/ou
alfabéticas (abc...), além de senhas de fácil dedução (nome do usuário, data de nascimento,
nome de entes queridos...);
V. As senhas para usuários com privilégios de administrador deverão obrigatoriamente

conter no mínimo 8 (oito) caracteres, sendo obrigatório o uso de letras maiúsculas,
minúsculas e caracteres numéricos e especiais (“$”, “%”, “&”,...). Para aqueles ambientes
que não suportarem o mínimo de oito caracteres, deverão ser utilizados o limite máximo que
o ambiente permitir;
VI. Os sistemas e aplicações deverão prover algum mecanismo ou instrução que garanta
que só sejam aceitas senhas com a formação acima citada;
VII. Os sistemas e aplicações deverão prover algum mecanismo ou instrução para

bloquear as contas dos usuários após 3 (três) tentativas de acesso (login) sem sucesso;
VIII. As contas com privilégios de administrador não poderão conter em sua formação
nomes que possam identificá-las como sendo uma conta de administrador (Exemplo:
“administrador”, “adm”, “admin”, etc);
IX. Deverão ser criadas, nos servidores, uma ou mais contas, sem nenhum privilégio,
com a formação que possa identificá-la como sendo uma conta de administrador. Essas
contas deverão ser constantemente submetidas à auditoria, com o propósito de se verificar as
tentativas de utilização das mesmas.
6.5 Processo Para Criação ou Remoção de Contas de Usuários
As solicitações para criação de contas de usuários para acesso a rede ou sistemas deverão ser
feitas pelos diretores presidentes, responsáveis e ou diretores do setor público solicitante.
Estas solicitações deverão ser realizadas através de uma solicitação de serviço à EMPRO,
contemplando os itens descritos abaixo:
IV. Informar: “requisição de criação ou remoção de conta de usuário”;
VI. Justificativa para a criação ou remoção de conta de usuário.
Nos casos de remanejamento de usuários, o presidente e ou diretor do setor público em que

o usuário está ingressando deve realizar uma solicitação de serviço à EMPRO contendo os
mesmos itens acima, a fim de manter atualizado os dados cadastrais do usuário e,
principalmente, a lista de privilégios do mesmo.
Nos casos de desligamento do usuário, o presidente e ou diretor do setor público deve

solicitar o bloqueio das contas do usuário através de solicitação de serviço à EMPRO.
Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e análise
das solicitações de serviço. No caso de aprovação o gestor de usuários do município deve
7 CONDUTA DE INSTALAÇÃO E REMOÇÃO DE SOFTWARES
Todo e qualquer programa (software) são ferramentas e ou instrumentos que auxiliam civis,
empresas, governos, instituições de pesquisa, instituições de ensino, entre outros a realizar suas
respectivas atividades. Os softwares podem ser executados em desktops, estações de trabalho,
servidores, mainframes, roteadores, celulares, e em qualquer outro dispositivo computacional.
Quanto aos tipo de programas eles podem ser: software de sistema e software aplicativo. Os
softwares de sistema são responsáveis pela integração entre máquina, periféricos e software de
aplicativos. Enquanto o softwares de aplicativo são responsáveis pela a interação entre o usuário e
suas atividades. Alguns exemplos de software são: sistemas operacionais, planilhas eletrônicas,
editores de texto, editores de imagens, visualizadores de arquivos, mensageiros instantâneos, correio
eletrônico, dentre outros. O acesso de um aplicativo pode ser realizado localmente (quando
acessados fisicamente na máquina utilizada) e ou remotamente (quando os aplicativos são providos
por outros equipamentos diferentes da máquina utilizada fisicamente).
Este tópico tem como objetivo estipular um conjunto de diretrizes e recomendações aos
diferentes usuários sobre procedimentos de instalação e ou remoção de programas nos
equipamentos do município.
7.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto. Sendo estes
estatutários, celetistas, estagiários e ou terceiros que utilizam da necessidade de instalar e ou
remover programas.
O usuário do município é devidamente identificado na utilização de programas fornecidos
e ou mantidos pela EMPRO que requeiram algum tipo de identificação. Os privilégios de acesso do
usuário aos programas são definidos pelo diretor presidente, responsável e ou secretário de cada
setor público envolvido.
7.3 Regras de Instalação e Remoção de Programas
O usuário é responsável direto pelo cumprimento das regras e pela instalação e remoção de
todo e qualquer programa não previamente autorizado pela EMPRO, gestor de usuários do
município e pelos diretor presidente e secretários e ou responsáveis do setor competente. Em caso
de não comprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:
I. O usuário é proibido instalar todo e qualquer programa não autorizado no computador e
qualquer outro dispositivo computacional pertencente ao município, salvo as instalações de
programas que contenham prévia autorização do diretor e ou presidente do setor
responsável, e também com a aprovação do gestor de usuários do município e do gestor de
segurança da informação do município. Este item também é aplicado a programas com
conteúdos de atualização conhecidos como pacthes;
II. Ao usuário é permitido instalar todo e qualquer programa previamente autorizado pela
EMPRO. A relação de programas previamente autorizados são disponibilizados na página da
EMPRO;
III. O usuário é proibido de instalar e ou remover todo e qualquer programa voltado para
desenvolvimento de aplicações, tais como compiladores, interpretadores, máquinas virtuais,
interfaces de desenvolvimento(IDEs), banco de dados, códigofontes e qualquer outra
ferramenta voltada a desenvolvimento de software. Salvo os usuários que necessitem destes
programas para realizar estas atividades. Estes usuários devem requerer prévia autorização
do diretor e ou presidente do setor responsável, e também a aprovação do gestor de usuários
do município e do gestor de segurança da informação do município;
IV. O usuário é proibido de remover toda e qualquer versão de software obsoleto, mesmo em
casos onde exista uma versão atualizada da aplicação utilizada;
V. Caso o usuário necessite remover qualquer software instalado, entre em contato com seus
superiores para que estes entrem em contato com o gestor de usuários do município e a
EMPRO;
VI. O usuário fica ciente de possível auditoria nos equipamentos de propriedade do município.
7.4 Regras Administrativas e Técnicas de Instalação e Remoção de Programas
Os administradores e técnicos são responsáveis diretos pelo cumprimento destas regras,
Sendo estes responsáveis (funcionários, estatutários e ou terceiros) gerenciados pela EMPRO.
I. O administrador é responsável direto pela atualização dos programas nos equipamentos.
Antes de realizar toda e qualquer atualização de software, o administrador deve enviar uma
solicitação ao seu superior descrevendo o nome do programa, número da versão, descrição,
justificativa, as notas da versão, fabricante, página do fabricante e do produto;
II. O administrador não deve liberar softwares em desenvolvimento, testes, previews, betas e
candidatos a liberação para instalação em computadores do município. Somente devem ser
utilizados programas homologados e liberados para utilização em produção;
III. O administrador é proibido de instalar todo e qualquer programa voltado para
desenvolvimento de aplicações, tais como compiladores, interpretadores, máquinas virtuais,
interfaces de desenvolvimento(IDEs), banco de dados, códigofontes e qualquer outra
ferramenta voltada a desenvolvimento de software, salvo os usuários que necessitem destes
programas para realizar estas atividades. Estes usuários devem requerer prévia autorização
do diretor e ou presidente do setor responsável, e também com a aprovação do gestor de
usuários do município e do gestor de segurança da informação do município;
IV. O administrador é responsável pela delegação e ou realização de testes nos softwares. Os
testes devem conter análises de usabilidade, amigabilidade, segurança e efeitos no sistema.
Estes testes devem ser transformados em um relatório e entregues ao diretor do setor de
tecnologia. O ambiente de teste deve ser isolado dos ambientes de produção utilizados;
V. O administrador deve especificar, por escrito, o processo de downgrade de um software
autorizado para que possibilite o retorno do sistema no caso de aparecimento de erros.
Sempre que for necessário e possível, o administrador deve prover ferramentas de apoio tais
como mídias e softwares para realizar o downgrade;
VI. O administrador deve prover um repositório da última versão anterior de softwares
autorizados, desde que não fira as respectivas licenças e conformidades legais;
VII.O administrador deve utilizar ferramentas de controle de versão para gerenciar documentos
de instalação, processos, procedimentos, requisitos, configurações, software e quaisquer
outros materiais que sejam necessários para instalação, remoção, atualização e ou
downgrade de uma aplicação;
VIII.O administrador é responsável pela publicação de uma lista com programas previamente
autorizados para instalação. A licença destes programas devem ser do tipo livre, gratuita e
ou pública. Devese respeitar todas as conformidades legais e de propriedade de
licenciamento destes programas;
IX. O administrador é responsável por manter, quando adquirido e no prazo de validade de
suporte do programa, uma lista com nomes de fornecedores e meios de contato para acionar
a manutenção e a resolução de erros;
X. O administrador deve requirir por escrito todo e qualquer a autorização de seus superiores
para liberar os privilégios de acesso necessários a terceiros, tanto físico quanto lógico. Estes
acessos devem ser monitorados pelo administrador.
7.5 Processo de Requisição de Instalação e ou Remoção de Programas
A solicitação para a instalação, remoção e ou atualizações de programas é requisitada
somente pelos presidentes, responsáveis e ou diretores do setor público solicitante no município.
Esta solicitação deve ser realizada por intermédio de uma solicitação de serviço a EMPRO,
IV. Informar: “requisição de instalação ou remoção de software”;
VI. Justificativa para instalação ou remoção de software.

liberar a solicitação de serviço para a execução pela EMPRO.
8 CONDUTA DE CÓPIAS DE SEGURANÇA
Com a finalidade de manter a integridade e disponibilidade da informação, devem ser

realizadas cópias de segurança de base de dados, arquivos textos, planilhas eletrônicas e de
quaisquer outros arquivos e pastas que contenham informações sensíveis. O objetivo das cópias de
segurança é garantir a recuperação sob demanda da informação quando necessária. Programas e
sistemas operacionais, também devem ter cópias de segurança, pois estes são responsáveis por
permitir o processamento da informação.
Alguns dos agentes que podem acarretar perdas de informação são desastres naturais,
acidentes, falhas de equipamentos e ações intencionais. Por isso, as cópias de segurança também
devem ser efetuadas com periodicidade, bem como o teste de integridade das informações contidas
e o armazenamento das cópias devem ser realizados em locais distintos do local principal. No caso
de perda de informação as cópias de segurança ajudarão a restauração do conteúdo perdido
permitindo a continuação do negócio. No caso de sistemas críticos devem ser realizadas cópias de
segurança que abranjam todos os sistemas de informação, aplicações e dados.
O objetivo deste tópico é estipular um conjunto de diretrizes e recomendações diferentes

usuários do município. A boa utilização destes serviços é de responsabilidade de cada usuário com
seus respectivos privilégios.
8.1 Abrangência
estatutários, funcionários, estagiários ou terceiros que utilizam o parque de tecnologia da
informação do município.
8.2 Requisição de Geração, Recuperação e ou Armazenamento de cópia de Segurança
Toda e qualquer cópia de segurança deve ser armazenada, gerada ou recuperada pela
EMPRO. Para realizar a requisição é necessária a autorização prévia por solicitação de serviço
(sistema eletrônico disponibilizado pela EMPRO) do diretor e ou presidente do setor envolvido. Esta
deve contemplar os itens descritos abaixo:
IV. Informar: “geração/armazenamento ou recuperação”;
VI. Justificativa para a geração/armazenamento ou recuperação das cópias de
segurança, bem como o intervalo de armazenamento, extensão, a frequência e a criticidade
deste processo.
8.3 Regras do Usuário
O usuário é responsável direto pelo cumprimento da regra referentes a cópias de segurança,

estando passível de punição em caso de não cumprimento. Esta regra está descrita abaixo:
I. O usuário deve sempre comunicar e aguardar autorização ao diretor e ou presidente a

necessidade da geração/armazenamento ou recuperação de uma cópia de segurança bem como
seus parâmetros a serem aplicados;
II. O usuário deve definir a abrangência dos arquivos, pastas, programas e sistemas
operacionais a serem copiados. A necessidade de cópias de segurança de programas e sistemas
operacionais está sujeita a recusa da EMPRO caso este não cumpra os termos legais e de
licenciamento do produto;
III. O usuário deve definir qual a extensão, a freqüência e a criticidade da geração das
cópias de segurança. Entenda-se como extensão o armazenamento completo ou diferencial da
informação contidas nas cópias de segurança. A extensão e a freqüência das cópias de segurança
podem ser discutidas e alteradas pela EMPRO;
IV. O usuário deve respeitar os requisitos de negócio do setor, autarquia ou empresa pública
a qual pertence;
V. O usuário pode requerer a encriptação dos dados para garantir, caso necessário, a
confidencialidade da informação. Neste caso, a senha de recuperação, bem como a possibilidade
de recuperação da informação atrelada a esta cópia de segurança, é de total responsabilidade do
usuário;
VI. O usuário deve determinar qual o tempo de validade da cópia de segurança da

informação. A validade da cópia está sujeita a alteração e ou negociação a pela EMPRO.
8.4 Regras Administrativas
EMPRO.
I.O usuário administrador deve realizar as cópias de segurança sempre no período

solicitado pelo usuário, conforme descrito na solicitação de serviço;
II.O usuário administrador deve realizar testes periódicos sobre as cópias de segurança
para verificar a integridade das mesmas. O período em que deve ser realizado os testes é semestral,
com possibilidade de redução ou ampliação deste intervalo e deve estar de acordo com requisitos de
negócio do usuário requerente;
III.O usuário administrador é responsável pela integridade, completude e exatidão das

cópias de segurança efetuadas;
IV.O usuário administrador deve armazenar as cópias de segurança em locais remotos ao

local principal;
V.O usuário administrador deve garantir que o nível de proteção esteja em conformidade
física e ambiental com as informações contidas nas cópias de segurança;
VI.O usuário administrador é responsável pela elaboração, implantação e documentação do

processo de geração/armazenamento e restauração de cópias de segurança em conformidade com as
necessidades do usuário e dos requisitos de negócio. Sempre que possível e aplicável o usuário
administrativo deve automatizar estes processos;
VII.O usuário administrador é responsável por testes periódicos dos processos de

geração/armazenamento e restauração de cópias de segurança. A periodicidade destes testes deve
ser definida em conformidade com a freqüência de falhas e a criticidade dos requisitos de negócio
envolvidos;
VIII.O usuário administrador é responsável pela restauração em até 7 dias úteis das cópias
de segurança quando requeridas. Este prazo somente será aplicado desde que os equipamentos
utilizados pelos usuários estejam plenamente funcionais para a restauração das cópias de segurança;
IX.O usuário administrador é responsável pelo descarte das cópias de segurança quando o
prazo de validade definida se esgotar;
X.O usuário administrador deve disponibilizar, quando solicitado, a encriptação dos dados
para garantir, caso necessário, a confidencialidade da informação. Neste caso, a senha de
recuperação, bem como a possibilidade de recuperação da informação atrelada a esta cópia de
segurança, é de total responsabilidade do usuário requerente.
9 CONDUTA DE ALIENAÇÃO, REMOÇÃO, REUTILIZAÇÃO E OU
DESCARTE DE MÍDIAS E EQUIPAMENTOS
Quando um equipamento e ou mídia tornam-se obsoletos, seja por danos materiais,

depreciação da tecnologia ou da informação, torna-se necessário a alienação, remoção, reutilização
ou descarte das unidades de mídia e equipamentos. Porém, dados e informações contidos podem ser
sigilosos e restritos ao município. Um exemplo onde poderia ocorrer este problema é no envio de
equipamentos da prefeitura para terceiros, seja para doação ou manutenção, que caso não tivessem
os devidos cuidados poderiam revelar informações sensíveis, tais informações restritas e privadas de
uma secretaria, empresa e orgão público. Isto também se aplica no descarte inadequado de mídias,
sendo elas impressas, magnéticas ou de qualquer outra natureza, pois tornaria acessível à unidade e
seu conteúdo a agentes externos. Em ambos os casos é necessário a eliminação segura desta
informação sensível por meio de sua destruição ou eliminação completa dos dados contidos na
unidade de armazenamento, afim de torná-las irrecuperáveis (caso exista a necessidade de cópia de
segurança, ver “conduta de cópias de segurança”). O objetivo deste tópico é estipular um conjunto
de diretrizes e recomendações aos diferentes usuários do município. A boa utilização destes
serviços é de responsabilidade de cada usuário com seus respectivos privilégios.
9.1 Abrangência
estatutários, funcionários, estagiários ou terceiros que utilizam o parque de tecnologia da
informação do município.
9.2 Remoção de propriedade
Toda e qualquer remoção de equipamentos, informações ou mídias requerem autorização

prévia por solicitação de serviço (sistema eletrônico disponibilizado pela EMPRO) do diretor e ou
presidente do setor envolvido. Caso a remoção da máquina seja realizada por terceiros extra
EMPRO, no campo de detalhe da solicitação de serviço deve-se conter informações municipais (São
José do Rio Preto), estaduais (São Paulo) e ou federais (Brasil) que identifiquem em plenitude os
terceiros envolvidos no processo de remoção do equipamento. Algumas destas identificações são
informações contidas em RGs, CPFs e ou CNPJs. Também deve ser informado o intervalo de tempo
dedicado para a retirada do equipamento do local.
Quando devolvidos, os presidentes e diretores, responsáveis devem se utilizar dos termos

de remoção e devolução disponibilizados pela EMPRO. Todos os registros de remoção e devolução
de equipamentos e mídias são devidamente registrados pela EMPRO.
Quando endereçadas à EMPRO, as solicitações para alienação, remoção, reutilização e ou

descarte de mídias e equipamentos deverão ser realizadas através de solicitação de serviço,
contemplando os itens descritos abaixo:
a) Nome do solicitante (responsável pelo setor);

b) Pessoa para contato;
c) Nome do usuário;
d) Informar: “alienação, remoção, reutilização e ou descarte de mídias e equipamentos
relacionados”;
e) Descrição detalhada;
f) Justificativa para a alienação, remoção, reutilização e ou descarte de mídias e
equipamentos relacionados.
A EMPRO é responsável somente pelo processamento destas solicitações. Quando

aplicado o processo de reutilização e ou remoção dos equipamentos e mídias realizados pela
EMPRO, os itens processados serão devolvidos ao setor solicitante.
9.3 Inspeções Aleatórias
Todas as secretarias, autarquias e empresas públicas pertencentes ao município estão

passíveis de inspeções realizadas pela EMPRO para a detecção de retirada não autorizada de bens
relacionados à informática, bem como a instalação não autorizada de dispositivos de gravação. A
EMPRO deve comunicar a realização destas inspeções com, no mínimo, 24 horas de antecedência.
Estas inspeções requerem a autorização do presidente ou diretor do setor envolvido ou somente a
autorização do prefeito.
9.4 Regra do Usuário
O usuário é responsável direto pelo cumprimento da regra referentes a remoção, alienação,

reutilização e ou descarte de um equipamento e ou mídia, estando passível de punição em caso de
não cumprimento. Esta regra está descrita abaixo:
I. O usuário deve, sempre comunicar e aguardar autorização ao diretor e ou

presidente a necessidade da remoção, alienação, reutilização e ou descarte de um
equipamento e ou mídia.
9.5 Regras de Usuários Nomeados.
Os diretores e presidentes devem nomear um responsável (referenciado como usuário

nomeado). O usuário nomeado deve zelar pelo cumprimento destas regras, sendo estas listadas
abaixo:
I. O usuário nomeado deve examinar todas as mídias de armazenamento, tanto

contidas no equipamento quanto removíveis, antes do descarte, para classificar e rotular a
sensibilidade da informação contida, este processo é usado para determinar a necessidade do

descarte seguro;
II. O usuário nomeado é responsável pela análise e avaliação de riscos sobre as

informações contidas. Logo o responsável, diretor e ou presidente é responsável pela escolha
de destruição física ou formatação dos dados contidos no equipamento ou na mídia. No caso
de conserto de equipamentos e mídias, estes riscos devem ser avaliados para evitar a
divulgação da informação sensível;
III. O usuário nomeado deve recolher os equipamentos e mídias do setor a qual é

responsável, e solicitar o recolhimento deste material pela EMPRO;
IV. O responsável deve recolher todos os papéis impressos destinados ao descarte e que
contenham informações sensíveis, e solicitar a EMPRO o recolhimento do material;
V. O usuário nomeado é responsável pelo registro dos controles sobre os materiais

alienados, reutilizados, removidos e ou descartados do seu setor;
VI. O usuário nomeado é unicamente responsável pela autorização para alienação,

reutilização, remoção e ou descarte de mídias e equipamentos;
VII.O usuário nomeado, diretor e ou presidente são responsáveis pelo devido

armazenamento das mídias em ambiente seguro e de acordo com as especificações do
fabricante.
9.6 Regras Administrativas
EMPRO.
I. O usuário administrador deve examinar todas as mídias de armazenamento antes do

descarte, para garantir a eliminação ou sobrescrita completa dos dados sensíveis e ou
softwares instalados nela;
II. O usuário administrador deve garantir a irrecuperabilidade completa e total de
todas as informações contidas nas mídias de armazenamento, sendo aplicável a destruição
física e ou técnica de formatação apropriada;
III. O usuário administrador deve recolher os equipamentos e mídias dos setores e
empresas públicas do município e encaminhá-los à EMPRO;
IV. O usuário administrador é responsável pelo devido armazenamento e posterior
destruição para as mídias de descarte. Este processo pode ser realizado através de trituração,
incineração e ou remoção dos dados;
V. O usuário administrador deve recolher todos os papéis impressos solicitados para
descarte, que contenham informações sensíveis, para armazenamento e posterior destruição;
VI. O usuário administrador é responsável pelo registro dos controles sobre os
materiais alienados, reutilizados, removidos e ou descartados;
VII.O usuário administrador é responsável por evitar grande acúmulo de materiais,
sendo o procedimento de alienação e descarte realizados mensalmente;
VIII.O usuário administrador é responsável pelo devido armazenamento das mídias em
ambiente seguro e de acordo com as especificações do fabricante. Entenda-se como
ambiente seguro a proteção física contra incêndios, enchentes, terremotos, explosões,
perturbações da ordem pública e outras formas de desastres naturais ou causados pelo
homem.
10 CONFIDÊNCIALIDADE
Toda e qualquer informação deve estar disponível somente aos indivíduos e entidades
autorizados. O acesso e a divulgação da informação é tida como sigilosa sempre quando o valor do
conteúdo informado representa riscos ou comprometimento financeiro, moral, intelectual, ou da
imagem do município, de empresas ou de setores envolvidos. Para restringir e controlar o acesso a
informação e divulgação destes conteúdos, são redigidos acordos de confidencialidade e não
divulgação. Estes acordos devem refletir as necessidades de cada setor do município contemplando
uma identificação e uma análise crítica periódica das informações a serem protegidas. Os acordos
de confidencialidade do município respeitam a todos os requisitos legais, tais como leis e
regulamentações aplicáveis.
O objetivo deste capítulo é determinar quais são e informações confidenciais a serem

protegidas, bem como: acordo, o tempo de duração, ações de encerramento de acordos,
proprietário , segredos comerciais, propriedade intelectual, usos permitidos, auditoria,
monitoramento, notificação, violação, retorno, destruição, punição, decretos e leis.
10.1 Abrangência
Este capítulo abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estudantes e ou terceiros que utilizam as informações confidenciais de
propriedade do município.
10.2 Acordo de Confidencialidade
Os usuários sendo estes estudantes, estatutários, celetistas e terceiros que acessam a dados
e informações do município de São José do Rio Preto, declaram que:
I. O usuário têm plena ciência de que os dados e informações de propriedade do

município de São José do Rio Preto são confidenciais;
II. O usuário têm plena ciência que NÃO devem divulgar, revelar e ou publicar todas e
quaisquer informações ou dados confidenciais do município que englobem qualquer tipo de
negócio, comércio, propriedade da informação, propriedade intelectual, knowhow ou dados
técnicos. A violação deste acordo é passível de punição;
III. O usuário a qualquer momento poderão ser auditado pelo gestor de segurança da
informação do município ou por uma equipe escolhida pelo próprio gestor de segurança da
informação. Esta auditoria tem como objetivo garantir que o sigilo e propriedade das
informações do município foi mantido;
IV. O usuário têm plena ciência de que no caso de divulgação, revelação e ou
publicação de informações NÃO autorizadas estarão sujeitos as penalidades previstas em lei
e, no caso de divulgação de informação por terceiros, deverá ocorrer o pagamento sobre o
valor da informação liberada. Salvo nos casos de exigência previstos em leis e quaisquer
outras instituições e ou setores governamentais que realizam alguma auditoria. As
informações consideradas autorizadas para a divulgação, revelação, publicação e ou
distribuição são aquelas previamente autorizadas por escrito e assinadas pelo diretor
presidente ou secretário do setor envolvido;
V. O usuário pode divulgar toda e qualquer informação que seja de domínio público,
desde que não fira este acordo. Também é passível de publicação toda e qualquer outra
informação de propriedade do município de caráter público e autorizada por escrito com a
assinatura do presidente responsável do setor com envio de cópia para o gestor de segurança
da informação do município;
VI. O gestor de segurança da informação do município de São José do Rio Preto tem
como obrigação verificar que o usuário que tenha acesso às informações e dados do
município esteja cumprindo as determinações deste acordo;
VII.Desde o momento da assinatura desde acordo o usuário passa a ter acesso aos
informações cabíveis ao cargo, atividade, serviço ou função competente;
VIII.No caso de controvérsias deste documento é de responsabilidade da comarca de
São José do Rio Preto o julgamento deste acordo;
IX. O acordo de confidencialidade tem duração indeterminada a partir da data de

assinatura deste acordo. No caso em que a informação acessada tiver que ser mantida por um
tempo determinado sobre sigilo, o presidente do setor concedente da informação deverá
redigir um novo acordo, que NÃO viole este acordo, estipulando o domínio da informação e
o tempo de sigilo destas informações que o usuário deve respeitar;
X. Caso exista a divulgação NÃO autorizada da informação ou dados de propriedade
do município, o usuário deve entrar em contato imediato com o presidente do setor e com o
gestor de segurança da informação do município;
XI. O usuário está plenamente ciente do dever de destruição e retorno de toda e

qualquer informação e dados de propriedade do município ao término e ou suspensão do
contrato. O retorno das informações de propriedade do município devem ser realizadas
diretamente ao setor onde o usuário executou suas atividades.
11 PENALIDADES
As penalidades aplicadas pelo não cumprimento da política de segurança do

município por parte dos usuários e administradores são divididas em cinco categorias:
comunicado, advertência, suspensão, demissão por justa causa e indenização monetária.
Conforme descrito abaixo:
COMUNICADO
O usuário será notificado por correio eletrônico ou por ofício contendo, de forma
direta e clara, a violação praticada. Em caso de reincidência, será enviada uma cópia para o
presidente, diretor ou responsável do setor.
ADVERTÊNCIA
O usuário será advertido por ofício, contendo de forma direta e clara a violação
praticada com cópia para o presidente, diretor ou responsável do setor. Este item só será
aplicado a funcionários, estudantes e estatutários, respeitando as conformidades legais e um
processo de auditoria.
SUSPENSÃO
O usuário será suspenso por ofício, contendo de forma direta e clara a violação
praticada com cópia para o presidente, diretor ou responsável do setor. Este item só será
aplicado em funcionários, estudantes e estatutários, respeitando as conformidades legais e um
processo de auditoria.
DEMISSÃO POR JUSTA CAUSA
O usuário será demitido por justa causa somente após um processo de auditoria e
dentro das conformidades legais.
No caso dos funcionários enquadrados no regime CLT será aplicado o artigo 482 e
paragrafo único da Consolidação das Leis do Trabalho (DECRETO-LEI N.º 5.452, DE 1º DE
MAIO DE 1943).
No caso de funcionários enquadrados no regime ESTATUTÁRIO será aplicado o

estatuto que regulamenta a categoria.
ANULAÇÃO CONTRATUAL
O usuário terceirizado poderá ter o contrato rescindido no caso de violação da

política de segurança do município.
INDENIZAÇÃO MONETÁRIA
O usuário terceirizado ou a empresa representante legal do usuário terá que indenizar

monetariamente o município no caso de violação da política de segurança do município. Este
processo requer uma auditoria para analisar a ocorrência e, caso necessário, estabelecer o
valor a ser indenizado, baseando-se em um acordo sobre valores da informação previamente
estabelecido e assinado entre as partes.
12 REFERÊNCIAS BIBLIOGRÁFICAS
ABNT 17799:2005
ABNT 27001:2006

politicaDeSegurança Unificadav2

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

politicaDeSegurança Unificadav2

Hochgeladen von

Copyright:

Verfügbare Formate

PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

São José do Rio Preto

A prefeitura de São José do Rio Preto em conjunto com a Empresa Municipal de

A Política de Segurança é parte do Sistema Gestão da Segurança da Informação (SGSI) do

A segurança da informação é o conjunto de propriedades que proporcionam

Acesso Remoto: Comunicação à distância dada entre um computador e um dispositivo;

Download: Transferência de dados de um equipamento externo para o computador local;

Login: Processo de identificação de um usuário em um sistema;

Sistema Operacional: Programa destinado a controlar o computador e seus periféricos;

Controle Objetivo ABNT

Acesso Remoto Especificar quais usuários estão autorizados a utilizar um 11.7.2

Códigos e leis relacionados com as conformidades das políticas de segurança:

a) Código Penal ( Decreto-Lei n.º2.848/1940 , com as alterações da Lei N.º

Contemplando a política de segurança da informação municipal, tem-se a necessidade de

O Gestor de Segurança da Informação, designado pela EMPRO, tem como atribuição a

O Gestor de Usuários, designado pela EMPRO, tem como atribuição a responsabilidade

O Responsável ou Nomeado tem como atribuição representar um determinado setor,

V. O usuário somente poderá trafegar informações oriundas de redes públicas desde

VI. O usuário está comprometido a utilizar as redes públicas e ou privadas do

VIII. O usuário se compromete a respeitar toda a CONDUTA DE USO DE

X. É proibido a utilização de proxies não autorizados que permitam o tráfego de

XVIII. É proibido ao usuário a transmissão proposital de arquivos que contenham

XIX. O usuário deve reportar toda e qualquer indisponibilidade aos endereços e

O administrador é responsável direto pelo cumprimento destas regras, sendo o

II. O administrador é proibido de alterar quaisquer informações trafegadas na rede

V. O administrador pode analisar, visualizar e ou bloquear quaisquer informações

VI. O administrador tem total liberdade de bloquear e ou liberar acesso a rede e

IX. O administrador é responsável pela devida identificação dos equipamentos

XI. O administrador é responsável pela utilização de filtros de tráfego utilizando

XII. O administrador é responsável pelo controle de roteamento de redes, com o

Observação: Embora estes sejam as redes e serviços de redes disponibilizados pelo

Observação: Embora estes sejam os meios de acesso a redes disponibilizados pelo

IV. O usuário com acesso à Internet não pode utilizar serviços de upload para envio

X. É proibido a utilização de páginas e programas que permitam acesso não

XVII. É vedado ao usuário o acesso a Internet utilizando­se de contas de outros

XIX. É proibido ao usuário o envio proposital de arquivos que contenham vírus,

XX. O usuário deve reportar toda e qualquer indisponibilidade aos endereços e

O administrador é responsável direto pelo cumprimento destas regras, sendo estes

Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e

Cabe ao administrador de acesso à Internet a conferência, aprovação e ou reprovação do

V. O usuário somente poderá trafegar informações oriundas de redes externas desde

VII. Por ser um serviço de concessão cedido pela EMPRO em conjunto com uma

VIII. É proibido a utilização de proxies não autorizados que permitam o trafego de

XV. O usuário externo deve garantir a manutenção do equipamento tanto hardware

XVIII. O usuário fica ciente da obrigatoriedade de devolução de equipamentos de

O administrador é responsável direto pelo cumprimento destas regras, sendo os

II. O administrador é proibido de alterar quaisquer informações trafegadas na rede

III. O administrador pode analisar, visualizar e ou bloquear quaisquer informações

IV. O administrador tem total liberdade de bloquear e ou liberar acesso a redes e

XI. O administrador deve configurar de forma adequada o firewall e a proteção anti

Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e

A utilização de serviços no domínio das mensagens eletrônicas tais como correio

II. O usuário deve configurar o software de correio eletrônico e de mensagens

VI. O usuário é responsável pela cópia de segurança das mensagens eletrônicas

X. É vedado ao usuário o envio de mensagens eletrônicas não autorizadas que

XIII.É proibido ao usuário o envio proposital de arquivos que contenham vírus,

O administrador é responsável direto pelo cumprimento destas regras, Sendo estes

I. Os respectivos administradores de correio eletrônico, mensagens instantâneas e

III. A cada 30 dias os administradores devem verificar a existência de contas e

Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e

Todo o usuário do município possui para cada recurso computacional (estações de

IV. A prática de compartilhamento de contas e senhas de acesso é proibida e o titular

XVII. É vedado ao usuário o acesso a Internet utilizandose de contas de outros