Beruflich Dokumente
Kultur Dokumente
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 1/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
Sumário
1 INTRODUÇÃO................................................................................................................................4
1.1 DECLARAÇÃO DE COMPROMETIMENTO DA DIREÇÃO..............................................4
1.2 TERMOS E DEFINIÇÕES.......................................................................................................5
1.3 VISÃO GERAL DOS CONTROLES E SEUS OBJETIVOS.................................................9
1.4 LEGISLAÇÃO........................................................................................................................10
1.5 DISPOSIÇÃO DE ATRIBUIÇÕES........................................................................................11
2 CONDUTA DE ACESSO A REDE...............................................................................................12
2.1 Abrangência............................................................................................................................12
2.2 Acesso e Identificação do Usuário .........................................................................................12
2.3 Regras de Uso de Rede...........................................................................................................13
2.4 Regras Administrativas de Redes e de Serviços de Rede........................................................16
2.5 Redes e Serviços Disponíveis no Município...........................................................................18
2.6 Meios de Acesso a Rede no Município...................................................................................19
2.7 Processo de Autorização e ou Remoção de Acesso a Redes................................................19
3 CONDUTA DE ACESSO A INTERNET......................................................................................20
3.1 Abrangência............................................................................................................................20
3.2 Acesso e Identificação do Usuário..........................................................................................20
3.3 Regras de Uso de Internet.......................................................................................................21
3.4 Regras Administrativas de Internet.........................................................................................24
3.5 Processo de Autorização ou Remoção de Acesso a Internet..................................................25
3.6 Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a Internet.26
4 CONDUTA DE ACESSO REMOTO.............................................................................................27
4.1 Abrangência............................................................................................................................27
4.2 Acesso e Identificação do Usuário..........................................................................................27
4.3 Regras de Uso de Acesso Remoto..........................................................................................28
4.4 Regras Administrativas de Acesso Remoto.............................................................................31
4.5 Processo de Autorização ou Remoção de Acesso a Redes Remotas......................................33
5 CONDUTA DE USO DE MENSAGENS ELETRÔNICAS..........................................................34
5.1 Abrangência............................................................................................................................34
5.2 Acesso e Identificação do Usuário..........................................................................................34
5.3 Regras de Uso de Mensagens Eletrônicas...............................................................................35
5.4 Regras Administrativas de Mensagens Eletrônicas.................................................................37
5.5 Processo de Autorização ou Remoção....................................................................................38
6 CONDUTA DE UTILIZAÇÃO DE CONTAS E SENHAS..........................................................39
6.1 Abrangência............................................................................................................................39
6.2 Acesso e Identificação do Usuário..........................................................................................39
6.3 Regras de Contas e Senhas para Usuários..............................................................................40
6.4 Regras Administrativas de Contas e Senhas...........................................................................41
6.5 Processo Para Criação ou Remoção de Contas de Usuários...................................................43
7 CONDUTA DE INSTALAÇÃO E REMOÇÃO DE SOFTWARES.............................................44
7.1 Abrangência.............................................................................................................................44
7.2 Acesso e Identificação do Usuário..........................................................................................44
7.3 Regras de Instalação e Remoção de Programas......................................................................45
7.4 Regras Administrativas e Técnicas de Instalação e Remoção de Programas..........................46
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 2/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
7.5 Processo de Requisição de Instalação e ou Remoção de Programas......................................48
8 CONDUTA DE CÓPIAS DE SEGURANÇA...............................................................................49
8.1 Abrangência............................................................................................................................49
8.2 Requisição de Geração, Recuperação e ou Armazenamento de cópia de Segurança.............50
8.3 Regras do Usuário...................................................................................................................50
8.4 Regras Administrativas...........................................................................................................51
9 CONDUTA DE ALIENAÇÃO, REMOÇÃO, REUTILIZAÇÃO E OU DESCARTE DE MÍDIAS
E EQUIPAMENTOS..........................................................................................................................53
9.1 Abrangência............................................................................................................................53
9.2 Remoção de propriedade........................................................................................................53
9.3 Inspeções Aleatórias...............................................................................................................55
9.4 Regra do Usuário....................................................................................................................55
9.5 Regras de Usuários Nomeados...............................................................................................55
9.6 Regras Administrativas...........................................................................................................56
10 CONFIDÊNCIALIDADE.............................................................................................................58
10.1 Abrangência...........................................................................................................................58
10.2 Acordo de Confidencialidade................................................................................................58
11 PENALIDADES............................................................................................................................61
12 REFERÊNCIAS BIBLIOGRÁFICAS.........................................................................................62
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 3/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
1 INTRODUÇÃO
1.1 DECLARAÇÃO DE COMPROMETIMENTO DA DIREÇÃO
A administração municipal no exercício 2009 – 2012, representada pelo atual prefeito, Sr.
Dr. Valdomiro Lopes e pelos secretários e diretores presidentes desta gestão, declara seu
comprometimento e apoio a aplicação desta política de segurança, reconhecendo o valor de seus
princípios, metas e objetivos condizentes com os negócios do município. Entende-se, assim, a
importância das partes abrangidas pela política de segurança, tais como: acordos de
confidencialidade, uso de contas e senhas, uso de rede, acesso à Internet, mensagens eletrônicas,
acesso remoto, instalação e remoção de software, cópias de segurança e alienação do equipamento.
Sra. Lúcia Hirata, diretora presidente da Empresa Municipal de Processamento de Dados
(EMPRO), apóia a política de segurança e declara seu comprometimento com a sua implantação,
em conformidade com as intenções do prefeito Valdomiro Lopes.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 4/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
1.2 TERMOS E DEFINIÇÕES
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 5/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 6/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 7/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 8/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
1.3 VISÃO GERAL DOS CONTROLES E SEUS OBJETIVOS
A visão geral dos controles e seus objetivos são tabelados em quatro colunas: “controle”,
“objetivo” e “ABNT”. A coluna “controle” representa os nomes do capítulos a serem abordados. O
“objetivo” representa as metas do controle. “ABNT” representa a referencia dos controles na norma
ABNT 17799:2005.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 9/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
1.4 LEGISLAÇÃO
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 10/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
1.5 DISPOSIÇÃO DE ATRIBUIÇÕES
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 11/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
2 CONDUTA DE ACESSO A REDE
O acesso a rede permite aos usuários trafegar informações de internet, correio eletrônico,
sistemas disponibilizados pelo município e por terceiros. Uma rede é definida como um conjunto de
computadores interligados com o objetivo de permitir a transmissão das informações. Quanto à
acessibilidade, as de redes podem ser públicas ou privadas. As redes privadas possibilitam a
transmissão restrita de informações dentro do domínio de uma instituição pública ou privada; esta
rede privada denominase intranet. As redes públicas permitem ao usuário a interconexão entre
redes privadas. Quanto aos meios de transmissão, a informação pode ser enviada por conexões sem
fio (Ex: rádio, microondas e infravermelho) ou por conexões que utilizem cabeamento (Ex: fibra
ótica, cabo coaxial e par trançado).
No município de São José do Rio Preto, são utilizadas redes públicas e privadas
transmitindo as informações tanto por redes cabeadas quanto por redes sem fio. Este capítulo tem
como objetivo a proteção e integridade da informação trafegada nestas redes estipulando um
conjunto de diretrizes e recomendações aos diferentes usuários do município. A boa utilização
destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembrese
que estes serviços estão disponibilizados para o uso estritamente profissional e de interesse do
município.
2.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto. Sendo estes
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de rede.
2.2 Acesso e Identificação do Usuário
Todo usuário do município tem seus identificadores providos pela EMPRO e seu acesso à
Internet está restrito aos privilégios do usuário. Os privilégios são definidos pelo diretor presidente,
responsável e ou secretário de cada setor público envolvido.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 12/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
2.3 Regras de Uso de Rede
O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas
nas redes privadas do município e redes públicas oriundas da máquina pelo qual é responsável, em
caso de não cumprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes
disponibilizados pela EMPRO, não podendo fornecer e ou compartilhar seu usuário, senha e
ou acesso a rede com outros usuários;
II. O usuário está proibido de utilizar contas de acesso às redes pertencentes a outros
usuários;
III. É proibido ao usuário trafegar informações sigilosas em redes públicas. No caso de
dúvida sobre o sigilo destas informações, contate e aguarde a aprovação por escrito do
presidente, responsável e ou diretor do setor competente. Caso seja estritamente necessário o
envio da informação para uma rede externa, contate o gestor de segurança da informação do
município;
IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas
licenciados e ou dados pertencentes a EMPRO, município e ou quaisquer outros setores do
município;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 13/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
VII. Por ser um serviço de concessão cedido pela EMPRO ao município, o usuário fica
ciente sobre possível auditoria interna relacionada aos acessos de rede. Este processo deve
conter autorização do diretor presidente, responsável e ou do secretário do setor cabível, bem
como a autorização do gestor de usuários do município e do gestor de segurança da
informação do município;
IX. O usuário se compromete a respeitar toda a CONDUTA DE USO DE ACESSO A
INTERNET;
XI. É proibido o acesso a redes que disponibilizem conteúdos obscenos, pornográficos,
eróticos, racistas, nazistas e de qualquer outro conteúdo que violem a lei;
XII. O usuário é responsável por informar a EMPRO, por meio de solicitação de
serviço todo e qualquer conteúdo inapropriado contendo informações pornográficas,
eróticas, racistas, nazistas, discriminatórias e de qualquer outro conteúdo que violem a lei;
XIII. O usuário não deve utilizar o acesso a rede, tanto a intranet quanto a Internet, para
molestar, caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas,
instituições públicas e ou instituições privadas. Este item também compreende todo e
qualquer ato ilícito proibidos por lei;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 14/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
XIV. O usuário não deve utilizar o acesso a rede para disseminar informações de
conteúdos obscenos, pornográficos, racistas e de qualquer caráter discriminatório;
XV. O usuário não deve utilizar acesso a rede para tráfego de conteúdos que ferem a
legislação vigente, a moral e os bons costumes;
XVI. O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a
outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;
XVII. É proibido ao usuário a divulgação parcial e ou total de materiais que violem os
direitos autorais e ou intelectuais;
XX. O usuário declarase ciente de que o equipamento utilizado no município está
devidamente identificado. Todas e quaisquer tentativas de alteração na identificação do
equipamento por parte do usuário caracteriza uma infração do usuário;
XXI. O usuário somente pode acessar aplicações pela rede que estejam de acordo com
as atividades profissionais relacionadas a função exercida e autorizadas pelo presidente,
responsável e ou diretor do setor competente;
XXII. O usuário somente pode realizar acesso interativo pela rede onde a permissão
esteja autorizada. A autorização depende das atividades profissionais relacionadas à função
exercida e autorizadas pelo diretor presidente, responsável e ou secretário do setor
competente;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 15/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
A EMPRO, o gestor de usuários do município e o gestor de segurança da informação não
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização do
acesso à Internet.
2.4 Regras Administrativas de Redes e de Serviços de Rede
I. O administrador é responsável direto pela manutenção, integridade, segurança e
disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do
respectivo sistema deve informar o superior imediato do setor correspondente;
III. A cada 30 dias o administrador deve verificar a existência de contas inválidas e
informar por meio de um relatório ao gestor de segurança da informação. A remoção de
contas inválidas deve ser previamente aprovadas pelo gestor de segurança da informação e
enviado por uma solicitação de serviço;
IV. Os servidores de acesso à Internet devem ser gerenciados para coibir, sempre que
possível, o tráfego de informações com conteúdos de entretenimento, pornográficos,
discriminatórios, racistas, obscenos, nazistas, vírus, programas (não autorizados) e quaisquer
outros conteúdos que violem a lei, ou a propriedade intelectual, ou a propriedade autoral;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 16/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
VII. O administrador é responsável pela proteção da informação durante o trafego pela
rede de domínio municipal. Então, cabe ao administrador o gerenciamento de controles e
procedimentos no acesso de conexões e serviços de rede;
VIII. O administrador é responsável pelo desenvolvimento de procedimentos seguros,
no trafego de informações entre redes privadas, que permitam um usuário devidamente
autorizado a conectarse em redes externas. Neste caso, o administrador deve prover uma
rede privada virtual (VPN);
X. O administrador é responsável pela segregação das redes. Cada domínio lógico
segregado deve conter apenas os usuários que realizem atividades para um determinado
setor. Também é de responsabilidade do administrador a definição do perímetro de
segurança destas segregação da rede;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 17/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
2.5 Redes e Serviços Disponíveis no Município
Os serviços e redes disponibilizados pelo município de São José do Rio Preto a diferentes
usuários até a presente data de publicação deste documento são:
Rede e Serviço de Rede Responsável
Intranet EMPRO
Contas de Usuário EMPRO
DNS EMPRO
DHCP EMPRO
Identificação dos Equipamentos na rede por IP EMPRO
Compartilhamento de Arquivos EMPRO
Correio eletrônico EMPRO
Internet EMPRO
Impressão EMPRO
Acesso Remoto EMPRO
Anti Vírus EMPRO
Anti Spam EMPRO
Proxy EMPRO
Firewall EMPRO
HTTP EMPRO
FTP EMPRO
Mensageiro Instantâneo EMPRO
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 18/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
2.6 Meios de Acesso a Rede no Município
Os meios de acesso a rede disponibilizados pelo município de São José do Rio Preto a
diferentes usuários até a presente data de publicação deste documento são:
Meio Responsável
Cabo (Ethernet) EMPRO
Cabo (Fibra Óptica) EMPRO
Rádio (Sem Fio) EMPRO
2.7 Processo de Autorização e ou Remoção de Acesso a Redes
A solicitação para a liberação ou negação de acesso a redes é requisitada somente pelo,
diretor presidentes, responsáveis e ou diretores do setor público solicitante no município. Esta
solicitação deve ser realizada por intermédio de uma solicitação de serviço a EMPRO,
contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de rede;
IV. Informar: “requisição de acesso ou remoção à rede”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso contendo tipo de acesso e
privilégios esperados.
Cabe ao gestor de usuários do município a aprovação, reprovação, questionamento e
análise das solicitações de serviço. No caso de aprovação, o gestor de usuários do município deve
liberar a solicitação de serviço para execução.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 19/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
3 CONDUTA DE ACESSO A INTERNET
A utilização de serviços de acesso de Internet permite ao usuário navegar dentro de um
conglomerado de redes distribuídas pelo mundo. Os serviços disponibilizados na WEB permitem ao
usuário acessar aplicações online, páginas de conteúdo dinâmico e ou estático, trafegar arquivos
tanto por download quanto por upload. Estes serviços podem estar relacionados a determinadas
atividades tais como páginas de busca, webmails, relacionamentos, mensagens eletrônicas, blogs,
flogs, notícias, redes sociais, repositórios de arquivos, editores de texto e planinhas eletrônicas.
Por se tratar de uma rede pública, a proteção e integridade da informação trafegada nestas
redes são classificadas como alto risco. Logo, este tópico tem como objetivo estipular um conjunto
de diretrizes e recomendações aos diferentes usuários do município. A boa utilização destes
serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembrese, estes
serviços estão disponibilizados para o uso estritamente profissional e de interesse do município.
3.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de acesso a Internet.
3.2 Acesso e Identificação do Usuário
Todo usuário do município tem seus identificadores providos pela EMPRO e seu acesso à
Internet está restrita aos privilégios do usuário. Os privilégios são definidos pelo diretor presidente,
responsável e ou secretário de cada setor público envolvido.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 20/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
3.3 Regras de Uso de Internet
O usuário é responsável direto pelo cumprimento das regras e pelos serviços de Internet
acessados, em caso de não cumprimento o usuário estará passível de punição. Estas regras estão
descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação no sistema, não podendo
fornecer e ou compartilhar seu usuário, senha e ou acesso de Internet com outros usuários;
II. O usuário está proibido de utilizar contas de acesso a Internet pertencentes a outros
usuários;
III. É proibido ao usuário divulgar, publicar, compartilhar e ou modificar informações
sigilosas em listas de discussão, batepapo, páginas de relacionamento, blogs, webmails e
quaisquer outros serviços disponibilizados na Internet para divulgação deste conteúdo. No
caso de dúvida sobre o sigilo destas informações, contate e aguarde a aprovação por escrito
do presidente diretor, responsável e ou secretário do setor competente;
V. O usuário somente poderá realizar download de arquivos oriundos da Internet que
não fira toda e qualquer conformidade legal. Devese respeitar os direitos autorais,
proprietários, intelectuais e de licenciamento de todo e qualquer arquivo. Não é permitido a
instalação de programas sem a prévia autorização do diretor presidente, responsável e ou do
secretário do setor solicitante, e também sem a prévia autorização do gestor de usuários do
município e do gestor de segurança da informação;
VI. O usuário está comprometido a utilizar o acesso a Internet para uso exclusivo de
atividades relacionadas ao setor ao qual o usuário pertence;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 21/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
VII. Por ser um serviço de concessão cedido pela EMPRO ao município, fica ciente o
usuário sobre possível auditoria interna relacionados aos acessos do usuário a Internet. Este
processo deve conter autorização do presidente, responsável e ou do diretor do setor cabível,
bem como a autorização do gestor de usuários do município e do gestor de segurança da
informação do município;
VIII.O usuário não deve utilizar programas de compartilhamento de arquivos tanto via
WEB quanto instalados localmente ou de qualquer outra natureza, salvo os programas que
contenham prévia autorização do diretor presidente, responsável e ou secretário do setor
competente, e também a aprovação do gestor de usuários do município e do gestor de
segurança da informação do município;
IX. É proibido ao usuário todo e qualquer acesso a páginas de relacionamento, blogs,
mensageiros instantâneos, jogos, redes sociais ou qualquer outra página relacionada com
conteúdos de entretenimento, salvo os endereços que contenham prévia autorização do
diretor diretor, responsável e ou secretário do setor competente, e também a aprovação do
gestor de usuários do município e do gestor de segurança da informação do município;
XI. É proibido o acesso de páginas que contenham conteúdos obscenos, pornográficos,
eróticos, racistas, nazistas e de qualquer outro conteúdo que violem a lei;
XII. O usuário é responsável por informar a EMPRO, por meio de solicitação de
serviço, todo e qualquer conteúdo inapropriado contendo informações pornográficas,
eróticas, racistas, nazistas, discriminatórios e de qualquer outro conteúdo que violem a lei;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 22/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
XIII. O usuário não deve utilizar o acesso a Internet para molestar, caluniar,
constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituições públicas e
ou instituições privadas. Este item também compreende todo e qualquer ato ilícito proibidos
por lei;
XIV. O usuário não deve utilizar o acesso à Internet para envio e recebimento de
conteúdos obscenos, pornográficos, racistas e de qualquer caráter discriminatório;
XV. O usuário não deve utilizar acesso a Internet para envio, edição e armazenamento
de conteúdos que ferem a legislação vigente, a moral e os bons costumes;
XVI. O usuário deve garantir que as senha de acesso a Internet não sejam enviadas a
outras pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;
XVIII. É proibido ao usuário a divulgação parcial e ou total de materiais que violem os
direitos autorais;
A EMPRO, o gestor de usuários do município e o gestor de segurança da informação não
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização do
acesso à Internet.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 23/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
3.4 Regras Administrativas de Internet
I. O administrador é responsável direto pela manutenção, integridade, segurança e
disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do
respectivo sistema deve informar o superior imediato do setor correspondente;
II. O administrador é proibido de modificar e ou remover todo e quaisquer conteúdos
de páginas e arquivos enviados ou acessados pelo usuário. Para auditoria devese
encaminhar uma solicitação de serviço a EMPRO para a execução de cópia, leitura e ou
remoção destas informações. Esta solicitação de serviço deve ser aprovada pelo gestor de
segurança da informação do município;
III. A cada 30 dias o administrador deve verificar a existência de contas e endereços
eletrônicos inválidos e informar por meio de um relatório ao gestor de segurança da
informação. A remoção dos endereços eletrônicos e contas inválidas devem ser previamente
aprovados pelo gestor de segurança da informação e enviado por uma solicitação de serviço;
IV. Os servidores de acesso à Internet devem ser gerenciados para coibir sempre que
possível o envio e o acesso a páginas, programas e arquivos com conteúdos de
entretenimento, pornográficos, discriminatórios, racistas, obscenos, nazistas, vírus,
programas (não autorizados) e quaisquer outros conteúdos que violem a lei e ou a
propriedade intelectual. A autorização para a instalação e utilização de programas é de
competência dos diretores presidentes, responsáveis e secretários do setor envolvido
juntamente com o gestor de segurança do município e ou gestor de usuários do município;
V. Independentemente das páginas acessadas por outros usuários terem conteúdos
públicos e ou privados, o administrador tem a liberdade total para realizar tentativas de
acesso a essas;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 24/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
VI. O administrador tem total liberdade de bloquear e ou liberar acesso a endereços e
conteúdos de Internet por meio de mecanismos automáticos e ou manuais nos casos de
suspeita e ou comprovação.
3.5 Processo de Autorização ou Remoção de Acesso a Internet
A solicitação para a liberação ou negação de acesso a Internet é requisitada somente pelos
diretores presidentes, responsáveis e ou secretários do setor público solicitante no município. Esta
solicitação deve ser realizada por intermédio de uma solicitação de serviço a EMPRO,
contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de rede;
IV. Informar: “requisição de acesso ou remoção à Internet”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso à Internet.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 25/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
3.6 Processo de Notificação para Bloqueio ou Liberação de Endereços e Conteúdos a
Internet
A solicitação para a liberação ou bloqueio de acessos a conteúdos e endereços de Internet
pode ser realizada somente pelo, diretor presidente, responsável e ou secretário. Esta solicitação
deve ser realizada por intermédio de uma solicitação de serviço sendo este disponibilizado pela
EMPRO, contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário;
IV. Informar: “requisição de liberação ou bloqueio de endereços”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou bloqueio do endereço.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 26/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
4 CONDUTA DE ACESSO REMOTO
A interconexão entre redes privadas a distância permite ao usuário utilizar de redes e
serviços de redes disponibilizados por terceiros. O acesso a redes remotas disponibilizados por
redes privadas externas permitem ao usuário acessar e utilizar e executar aplicações e sistemas
operacionais disponibilizados naquele ambiente, desde que tenham acesso autorizado para isto.
Por se tratar de um acesso entre redes privadas, a segurança e integridade da informação
trafegada depende das configurações da rede. Logo, este tópico tem como objetivo estipular um
conjunto de diretrizes e recomendações aos diferentes usuários do município. A boa utilização
destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios. Lembrese
que estes serviços estão disponibilizados para o uso estritamente profissional e de interesse do
município.
4.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estagiários e ou terceiros que utilizam serviços de acesso remoto.
4.2 Acesso e Identificação do Usuário
Todo usuário do município tem seus identificadores providos pela EMPRO e seu o acesso
remoto está restrito aos privilégios do usuário. Os privilégios são definidos pelo diretor responsável,
e ou presidente de cada setor público envolvido.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 27/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
4.3 Regras de Uso de Acesso Remoto
O usuário é responsável direto pelo cumprimento das regras e pelas informações trafegadas
entre redes privadas. Em caso de não cumprimento o usuário estará passível de punição. Estas
regras estão descritas abaixo:
I. O usuário é responsável pela própria e devida autenticação nos sistemas de redes
disponibilizadas pela EMPRO em conjunto com outras instituições privadas ou públicas;
Não podendo fornecer e ou compartilhar seu usuário, senha e ou acesso a rede com outros
usuários;
II. O usuário esta proibido de utilizar contas de acesso a redes pertencentes a outros
usuários;
III. É proibido ao usuário trafegar informações sigilosas e de propriedade do município
em redes privadas externas, salvo o caso destas informações sigilosas serem previamente
autorizadas por escrito pelo presidente, diretor ou responsável do setor competente e somado
com a autorização do gestor de segurança da informação do município. No caso de dúvida
sobre o sigilo destas informações, contate e aguarde a aprovação por escrito do presidente,
responsável e ou diretor do setor competente;
IV. O usuário com acesso à rede não pode utilizar este acesso para envio de programas
licenciados e ou dados pertencentes a EMPRO, município e ou quaisquer outros setores do
município;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 28/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
do setor responsável, e também sem a prévia autorização do gestor de usuários do município
e do gestor de segurança da informação e do administrador da rede externa envolvida;
VI. O usuário está comprometido a utilizar o acesso a redes remotas para uso exclusivo
de atividades relacionadas ao setor no qual o usuário pertence;
X. O usuário deve garantir que as senhas de acesso a rede não sejam enviadas a outras
pessoas, pois a senha é de uso pessoal, intransferível e sigilosa;
XI. O usuário somente pode acessar aplicações entre redes que estejam autorizados por
meio de acordos de troca de informações entre terceiros e município;
XII. O usuário somente pode realizar acesso interativo entre redes onde a permissão
esteja autorizada. A autorização depende das atividades profissionais relacionadas a função
exercida e autorizadas pelo presidente, responsável e ou diretor do setor competente;
XIII. O usuário deve utilizar somente o local e o ambiente físico aprovados pelo
administrador de acesso remoto;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 29/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
XIV. O usuário externo deve configurar de forma adequada o firewall e a proteção anti
vírus na rede externa a rede rede municipal;
XVI. O usuário não deve permitir que familiares e ou visitantes acessem estes
equipamentos;
XVII. O usuário externo é responsável pela devida cópia de segurança da informações
presentes em equipamentos externos a rede do município. E caso requerido também deverá
ser implementados procedimentos de continuidade do negócio. Esta requisição é realizada
pelo gestor de segurança da informação do município;
XIX. O usuário externo, no que tange a utilização de equipamentos de propiedade do
município, abre mão da propriedade intelectual sobre estas informações;
XX. O usuário externo deve utilizar somente softwares devidamente licenciado em seu
equipamento;
XXI. O usuário deve utilizar equipamentos de comunicação apropriados exigidos pelo
administrador do acesso remoto;
XXII. O usuário somente poderá realizar as atividades em período estipulado pelo
gestor de segurança da informação do município;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 30/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
XXIII. O usuário externo é responsável, quando não for fornecidos pelo município,
pela aquisição de equipamentos e mobília apropriadas para a realização das atividades
profissionais;
A EMPRO, o gestor de usuários do município e o gestor de segurança da informação e
instituições públicas e ou privadas se responsabilizam por possíveis perdas e ou danos no acordo
firmado entre as partes.
4.4 Regras Administrativas de Acesso Remoto
I. O administrador é responsável direto pela manutenção, integridade, segurança e
disponibilidade destes sistemas. Em caso de eventuais problemas, o administrador do
respectivo sistema deve informar o superior imediato do setor correspondente;
V. O administrador é responsável pela proteção da informação durante o tráfego pela
rede. Então, cabe ao administrador o gerenciamento de controles e procedimentos no acesso
de conexões e serviços de rede;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 31/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
VI. O administrador é responsável pelo desenvolvimento de procedimentos seguros, no
tráfego de informações entre redes privadas que permitam um usuário devidamente
autorizado a conectarse em redes externas. Neste caso, o administrador deve prover uma
rede privada virtual (VPN);
VII.O administrador é responsável pelo gerenciamento de acessos físicos e lógicos em
determinadas portas destinadas para diagnóstico e configuração;
VIII. A troca de informações entre redes privadas só poderão ser iniciadas após a
identificação do equipamento e a autenticação do usuário;
IX. O administrador deve aprovar ou reprovar a segurança e o ambiente físico utilizada
no local do acesso remoto;
X. O administrador deve especificar, aprovar ou reprovar o meio de acesso entre as
redes envolvidas, sendo estas cabeadas ou sem fios;
XII. O administrador deve remover os direitos de acesso remoto de usuários externos ao
término do trabalho remoto.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 32/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
4.5 Processo de Autorização ou Remoção de Acesso a Redes Remotas
A solicitação para a liberação ou negação de acesso a redes é requisitada somente pelos
presidentes, responsáveis e ou diretores do setor público solicitante no município. Esta requisição
deve ser realizada por intermédio de uma “solicitação de serviço” a EMPRO, contemplando os
requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de rede;
IV. Informar: “requisição de acesso ou remoção à rede remoto”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso remoto.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 33/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
5 CONDUTA DE USO DE MENSAGENS ELETRÔNICAS
Este tópico tem como objetivo estipular um conjunto de diretrizes e recomendações aos
diferentes usuários do município. A boa utilização destes serviços é de responsabilidade de cada
usuário com seus respectivos privilégios. Lembrese que estes serviços estão disponibilizados para o
uso estritamente profissional e de interesse do município.
5.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, celetistas, estagiários e ou terceiros que utilizam serviços de mensagens eletrônicas.
5.2 Acesso e Identificação do Usuário
Todo usuário do município tem um identificador único provido pela EMPRO e seu acesso
a estes serviços está restrito aos privilégios do usuário a cada sistema ou programa instalado ou
acessado via WEB. Os privilégios são definidos pelo diretor presidente e ou responsável ou ainda
secretários de cada setor público envolvido.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 34/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
5.3 Regras de Uso de Mensagens Eletrônicas
O usuário é responsável direto pelo cumprimento das regras e pelo conteúdo das
mensagens enviadas, em caso de não cumprimento o usuário estará passível de punição. Estas
regras estão descritas abaixo:
I. O usuário não deve utilizar os sistemas de mensagens eletrônicas para propagação
ou geração de spam , “correntes”, propagandas, “pirâmides” e boatos. Somente devem ser
enviadas as mensagens correlatas ao interesse profissional do setor que representa e do
município;
III. O usuário não deve utilizar os sistemas de mensagens eletrônicas para molestar,
caluniar, constranger, intimidar, extorquir, assediar ou difamar outras pessoas, instituições
públicas e instituições privadas. Este item também compreende todo e qualquer ato ilícito
proibidos por lei;
IV. O usuário não deve utilizar os sistemas de mensagens eletrônicas para envio e ou
armazenamento de conteúdos obscenos, pornográficos, racistas e de qualquer caráter
discriminatório. Adicionalmente não se deve editar ou armazenar mensagens cujo conteúdo
fere a legislação vigente, a moral e os bons costumes;
V. O usuário não deve alimentar os sistemas de mensagens eletrônicas com mensagens
de discussão ou polêmica que caracterizem flame wars. O flame war é caracterizado como o
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 35/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
envio de mensagens hostis e de caráter ofensivo dentro do contexto do assunto;
VII.Cabe ao usuário o bom gerenciamento do correio eletrônico afim de respeitar os
limites de armazenamento impostos pela EMPRO;
VIII.O usuário que utiliza sistemas de correio eletrônico deve utilizarse de assinatura
digital fornecida pela EMPRO;
IX. O usuário deve garantir que as senhas de acesso a sistemas de envio e recebimento
de mensagens eletrônicas não sejam enviadas a outras pessoas, pois a senha é de uso
pessoal, intransferível e sigilosa;
XI. É vedado ao usuário o acesso não autorizado as mensagens do correio eletrônico de
outros usuários. As autorizações devem ser redigidas, impressas e assinadas pelo
proprietário da conta do correio eletrônico;
XII.É proibido ao usuário a divulgação parcial e ou total de materiais que violem os
direitos autorais;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 36/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
XIV.É proibido ao usuário destinar o uso de contas pessoais nos programas de
gerenciamento de mensagens eletrônicas instaladas na estação de trabalho;
A EMPRO, o gestor de usuários do município e o gestor de segurança da informação não
se responsabilizam por possíveis perdas e ou danos que possam ser causados pela utilização destes
serviços.
5.4 Regras Administrativas de Mensagens Eletrônicas
II. O administrador não pode acessar, ler, copiar, modificar e ou remover toda e
quaisquer mensagens eletrônicas enviadas por um usuário. Salvo o caso de recebimento de
uma solicitação de serviço para a execução de cópia, leitura e ou remoção destas
informações. Esta solicitação de serviço deve ser enviada a EMPRO e aprovada pelo gestor
de segurança da informação do município;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 37/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
IV. Os servidores devem ser gerenciados para coibir, sempre que possível, o envio e o
recebimento de spam, mensagens pornográficas, mensagens de caráter discriminatório,
programas, códigos executáveis e envio de conteúdo que violem a propriedade intelectual;
V. Os respectivos administradores dos diferentes sistemas de mensagens eletrônicas
são responsáveis diretos pela segurança no acesso dos usuários em ambiente de redes
públicas. O administrador devese utilizar de mecanismos técnicos para garantir o sigilo da
mensagem e mais níveis de segurança na autenticação do usuário.
5.5 Processo de Autorização ou Remoção
A solicitação para a instalação ou remoção de programas e liberação ou negação de acesso
a sistemas de mensagens eletrônicas é requisitada somente pelos diretores presidentes, responsáveis
e ou secretários do setor público solicitante no município. Esta requisição deve ser realizada por
intermédio de uma “solicitação de serviço” a EMPRO, contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário que utilizará os serviços de mensagens eletrônicas;
IV. Informar: “requisição de acesso ou remoção aos serviços de mensagens
eletrônicas”;
V. Descrição detalhada;
VI. Justificativa para a liberação ou remoção de acesso.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 38/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
6 CONDUTA DE UTILIZAÇÃO DE CONTAS E SENHAS
As senhas são um meio comum de verificar a identidade de um usuário antes que acessos
sejam concedidos a um sistema de informação ou serviço de acordo com a autorização do usuário.
As senhas são utilizadas pela grande maioria dos sistemas de autenticação e são consideradas
necessárias como meio de autenticação. Porém, elas são consideradas perigosas, pois dependem do
usuário, que podem, por exemplo escolher senhas óbvias e fáceis de serem descobertas, ou ainda
compartilha-las com seus amigos. Assim a cooperação de usuários autorizados é essencial para uma
efetiva segurança, a fim de prevenir o acesso não autorizado dos usuários e evitar o
comprometimento ou roubo da informação e dos recursos de processamento da informação. O
objetivo deste tópico estipular um conjunto de diretrizes e recomendações aos diferentes usuários do
município. A boa utilização destes serviços é de responsabilidade de cada usuário com seus
respectivos privilégios.
6.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estagiários ou terceiros que utilizam os recursos computacionais que
requerem autenticação por senhas.
6.2 Acesso e Identificação do Usuário
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 39/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
6.3 Regras de Contas e Senhas para Usuários
O usuário é responsável direto pelo cumprimento das regras e pelos recursos acessados
com seus usuários e senhas, estando passível de punição em caso de não cumprimento. Estas regras
estão descritas abaixo:
I. O usuário deve, assim que receber as informações da conta com a senha inicial
temporária, providenciar a sua alteração para uma senha que seja de seu conhecimento
exclusivo;
II. O usuário não deve armazenar as senhas anotadas em papel ou em arquivos, seja no
computador ou em dispositivos móveis, de forma desprotegida, ou seja, sem se utilizar de
um meio de proteção, como, por exemplo, criptografia;
III. As senhas de acesso tem caráter pessoal, e é intransferível, cabendo ao seu titular
total responsabilidade quanto ao seu sigilo;
VI. Caso o usuário desconfie que sua senha não é mais segura, ou de seu domínio
exclusivo, deverá solicitar imediatamente a alteração desta;
VII.As senhas para usuários finais deverão conter no mínimo 6 (seis) caracteres, sendo
recomendável o uso de letras e números. Sugere-se a utilização de letras maiúsculas,
minúsculas e caracteres especiais (“$”, “%”, “&”,...);
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 40/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
VIII. Deverá ser evitada a composição de senhas com sequências numéricas (123...)
e/ou alfabéticas (abc...), além de senhas de fácil dedução (nome do usuário, data de
nascimento, nome de entes queridos...);
IX. A reinicialização das senhas das contas só poderão ser solicitadas através de
solicitação formal do seu detentor, à área responsável pela administração das contas;
XI. O usuário não deve incluir suas senhas em nenhum processo automático de
autenticação, como por exemplo em uma macro ou funções-chave;
XII. O usuário não deve utilizar as mesmas senhas com finalidades pessoais e
profissionais;
XIII. Não será permitido aos usuários finais possuírem contas com perfil de
administrador local das estações, salvo solicitação expressa do diretor presidente ,
responsável ou secretário do setor.
6.4 Regras Administrativas de Contas e Senhas
Os usuários que possuem contas com privilégios de administrador são responsáveis pelo
cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pela
EMPRO.
I. O usuário administrador assim que receber as informações da sua conta com sua
respectiva senha inicial temporária deverá imediatamente providenciar a sua alteração para
uma senha que seja de seu conhecimento exclusivo;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 41/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
IV. Não será permitida a composição de senhas com sequências numéricas (123...) e/ou
alfabéticas (abc...), além de senhas de fácil dedução (nome do usuário, data de nascimento,
nome de entes queridos...);
VI. Os sistemas e aplicações deverão prover algum mecanismo ou instrução que garanta
que só sejam aceitas senhas com a formação acima citada;
VIII. As contas com privilégios de administrador não poderão conter em sua formação
nomes que possam identificá-las como sendo uma conta de administrador (Exemplo:
“administrador”, “adm”, “admin”, etc);
IX. Deverão ser criadas, nos servidores, uma ou mais contas, sem nenhum privilégio,
com a formação que possa identificá-la como sendo uma conta de administrador. Essas
contas deverão ser constantemente submetidas à auditoria, com o propósito de se verificar as
tentativas de utilização das mesmas.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 42/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
6.5 Processo Para Criação ou Remoção de Contas de Usuários
As solicitações para criação de contas de usuários para acesso a rede ou sistemas deverão ser
feitas pelos diretores presidentes, responsáveis e ou diretores do setor público solicitante.
Estas solicitações deverão ser realizadas através de uma solicitação de serviço à EMPRO,
contemplando os itens descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário;
IV. Informar: “requisição de criação ou remoção de conta de usuário”;
V. Descrição detalhada;
VI. Justificativa para a criação ou remoção de conta de usuário.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 43/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
7 CONDUTA DE INSTALAÇÃO E REMOÇÃO DE SOFTWARES
Todo e qualquer programa (software) são ferramentas e ou instrumentos que auxiliam civis,
empresas, governos, instituições de pesquisa, instituições de ensino, entre outros a realizar suas
respectivas atividades. Os softwares podem ser executados em desktops, estações de trabalho,
servidores, mainframes, roteadores, celulares, e em qualquer outro dispositivo computacional.
Quanto aos tipo de programas eles podem ser: software de sistema e software aplicativo. Os
softwares de sistema são responsáveis pela integração entre máquina, periféricos e software de
aplicativos. Enquanto o softwares de aplicativo são responsáveis pela a interação entre o usuário e
suas atividades. Alguns exemplos de software são: sistemas operacionais, planilhas eletrônicas,
editores de texto, editores de imagens, visualizadores de arquivos, mensageiros instantâneos, correio
eletrônico, dentre outros. O acesso de um aplicativo pode ser realizado localmente (quando
acessados fisicamente na máquina utilizada) e ou remotamente (quando os aplicativos são providos
por outros equipamentos diferentes da máquina utilizada fisicamente).
Este tópico tem como objetivo estipular um conjunto de diretrizes e recomendações aos
diferentes usuários sobre procedimentos de instalação e ou remoção de programas nos
equipamentos do município.
7.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto. Sendo estes
estatutários, celetistas, estagiários e ou terceiros que utilizam da necessidade de instalar e ou
remover programas.
7.2 Acesso e Identificação do Usuário
O usuário do município é devidamente identificado na utilização de programas fornecidos
e ou mantidos pela EMPRO que requeiram algum tipo de identificação. Os privilégios de acesso do
usuário aos programas são definidos pelo diretor presidente, responsável e ou secretário de cada
setor público envolvido.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 44/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
7.3 Regras de Instalação e Remoção de Programas
O usuário é responsável direto pelo cumprimento das regras e pela instalação e remoção de
todo e qualquer programa não previamente autorizado pela EMPRO, gestor de usuários do
município e pelos diretor presidente e secretários e ou responsáveis do setor competente. Em caso
de não comprimento o usuário estará passível de punição. Estas regras estão descritas abaixo:
I. O usuário é proibido instalar todo e qualquer programa não autorizado no computador e
qualquer outro dispositivo computacional pertencente ao município, salvo as instalações de
programas que contenham prévia autorização do diretor e ou presidente do setor
responsável, e também com a aprovação do gestor de usuários do município e do gestor de
segurança da informação do município. Este item também é aplicado a programas com
conteúdos de atualização conhecidos como pacthes;
II. Ao usuário é permitido instalar todo e qualquer programa previamente autorizado pela
EMPRO. A relação de programas previamente autorizados são disponibilizados na página da
EMPRO;
III. O usuário é proibido de instalar e ou remover todo e qualquer programa voltado para
desenvolvimento de aplicações, tais como compiladores, interpretadores, máquinas virtuais,
interfaces de desenvolvimento(IDEs), banco de dados, códigofontes e qualquer outra
ferramenta voltada a desenvolvimento de software. Salvo os usuários que necessitem destes
programas para realizar estas atividades. Estes usuários devem requerer prévia autorização
do diretor e ou presidente do setor responsável, e também a aprovação do gestor de usuários
do município e do gestor de segurança da informação do município;
IV. O usuário é proibido de remover toda e qualquer versão de software obsoleto, mesmo em
casos onde exista uma versão atualizada da aplicação utilizada;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 45/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
V. Caso o usuário necessite remover qualquer software instalado, entre em contato com seus
superiores para que estes entrem em contato com o gestor de usuários do município e a
EMPRO;
VI. O usuário fica ciente de possível auditoria nos equipamentos de propriedade do município.
7.4 Regras Administrativas e Técnicas de Instalação e Remoção de Programas
Os administradores e técnicos são responsáveis diretos pelo cumprimento destas regras,
Sendo estes responsáveis (funcionários, estatutários e ou terceiros) gerenciados pela EMPRO.
I. O administrador é responsável direto pela atualização dos programas nos equipamentos.
Antes de realizar toda e qualquer atualização de software, o administrador deve enviar uma
solicitação ao seu superior descrevendo o nome do programa, número da versão, descrição,
justificativa, as notas da versão, fabricante, página do fabricante e do produto;
II. O administrador não deve liberar softwares em desenvolvimento, testes, previews, betas e
candidatos a liberação para instalação em computadores do município. Somente devem ser
utilizados programas homologados e liberados para utilização em produção;
III. O administrador é proibido de instalar todo e qualquer programa voltado para
desenvolvimento de aplicações, tais como compiladores, interpretadores, máquinas virtuais,
interfaces de desenvolvimento(IDEs), banco de dados, códigofontes e qualquer outra
ferramenta voltada a desenvolvimento de software, salvo os usuários que necessitem destes
programas para realizar estas atividades. Estes usuários devem requerer prévia autorização
do diretor e ou presidente do setor responsável, e também com a aprovação do gestor de
usuários do município e do gestor de segurança da informação do município;
IV. O administrador é responsável pela delegação e ou realização de testes nos softwares. Os
testes devem conter análises de usabilidade, amigabilidade, segurança e efeitos no sistema.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 46/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
Estes testes devem ser transformados em um relatório e entregues ao diretor do setor de
tecnologia. O ambiente de teste deve ser isolado dos ambientes de produção utilizados;
V. O administrador deve especificar, por escrito, o processo de downgrade de um software
autorizado para que possibilite o retorno do sistema no caso de aparecimento de erros.
Sempre que for necessário e possível, o administrador deve prover ferramentas de apoio tais
como mídias e softwares para realizar o downgrade;
VI. O administrador deve prover um repositório da última versão anterior de softwares
autorizados, desde que não fira as respectivas licenças e conformidades legais;
VII.O administrador deve utilizar ferramentas de controle de versão para gerenciar documentos
de instalação, processos, procedimentos, requisitos, configurações, software e quaisquer
outros materiais que sejam necessários para instalação, remoção, atualização e ou
downgrade de uma aplicação;
VIII.O administrador é responsável pela publicação de uma lista com programas previamente
autorizados para instalação. A licença destes programas devem ser do tipo livre, gratuita e
ou pública. Devese respeitar todas as conformidades legais e de propriedade de
licenciamento destes programas;
IX. O administrador é responsável por manter, quando adquirido e no prazo de validade de
suporte do programa, uma lista com nomes de fornecedores e meios de contato para acionar
a manutenção e a resolução de erros;
X. O administrador deve requirir por escrito todo e qualquer a autorização de seus superiores
para liberar os privilégios de acesso necessários a terceiros, tanto físico quanto lógico. Estes
acessos devem ser monitorados pelo administrador.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 47/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
7.5 Processo de Requisição de Instalação e ou Remoção de Programas
A solicitação para a instalação, remoção e ou atualizações de programas é requisitada
somente pelos presidentes, responsáveis e ou diretores do setor público solicitante no município.
Esta solicitação deve ser realizada por intermédio de uma solicitação de serviço a EMPRO,
contemplando os requisitos descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário;
IV. Informar: “requisição de instalação ou remoção de software”;
V. Descrição detalhada;
VI. Justificativa para instalação ou remoção de software.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 48/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
8 CONDUTA DE CÓPIAS DE SEGURANÇA
Alguns dos agentes que podem acarretar perdas de informação são desastres naturais,
acidentes, falhas de equipamentos e ações intencionais. Por isso, as cópias de segurança também
devem ser efetuadas com periodicidade, bem como o teste de integridade das informações contidas
e o armazenamento das cópias devem ser realizados em locais distintos do local principal. No caso
de perda de informação as cópias de segurança ajudarão a restauração do conteúdo perdido
permitindo a continuação do negócio. No caso de sistemas críticos devem ser realizadas cópias de
segurança que abranjam todos os sistemas de informação, aplicações e dados.
8.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estagiários ou terceiros que utilizam o parque de tecnologia da
informação do município.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 49/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
8.2 Requisição de Geração, Recuperação e ou Armazenamento de cópia de Segurança
Toda e qualquer cópia de segurança deve ser armazenada, gerada ou recuperada pela
EMPRO. Para realizar a requisição é necessária a autorização prévia por solicitação de serviço
(sistema eletrônico disponibilizado pela EMPRO) do diretor e ou presidente do setor envolvido. Esta
deve contemplar os itens descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário;
IV. Informar: “geração/armazenamento ou recuperação”;
V. Descrição detalhada;
VI. Justificativa para a geração/armazenamento ou recuperação das cópias de
segurança, bem como o intervalo de armazenamento, extensão, a frequência e a criticidade
deste processo.
8.3 Regras do Usuário
II. O usuário deve definir a abrangência dos arquivos, pastas, programas e sistemas
operacionais a serem copiados. A necessidade de cópias de segurança de programas e sistemas
operacionais está sujeita a recusa da EMPRO caso este não cumpra os termos legais e de
licenciamento do produto;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 50/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
III. O usuário deve definir qual a extensão, a freqüência e a criticidade da geração das
cópias de segurança. Entenda-se como extensão o armazenamento completo ou diferencial da
informação contidas nas cópias de segurança. A extensão e a freqüência das cópias de segurança
podem ser discutidas e alteradas pela EMPRO;
IV. O usuário deve respeitar os requisitos de negócio do setor, autarquia ou empresa pública
a qual pertence;
V. O usuário pode requerer a encriptação dos dados para garantir, caso necessário, a
confidencialidade da informação. Neste caso, a senha de recuperação, bem como a possibilidade
de recuperação da informação atrelada a esta cópia de segurança, é de total responsabilidade do
usuário;
8.4 Regras Administrativas
Os usuários que possuem contas com privilégios de administrador são responsáveis pelo
cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pela
EMPRO.
II.O usuário administrador deve realizar testes periódicos sobre as cópias de segurança
para verificar a integridade das mesmas. O período em que deve ser realizado os testes é semestral,
com possibilidade de redução ou ampliação deste intervalo e deve estar de acordo com requisitos de
negócio do usuário requerente;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 51/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
V.O usuário administrador deve garantir que o nível de proteção esteja em conformidade
física e ambiental com as informações contidas nas cópias de segurança;
VIII.O usuário administrador é responsável pela restauração em até 7 dias úteis das cópias
de segurança quando requeridas. Este prazo somente será aplicado desde que os equipamentos
utilizados pelos usuários estejam plenamente funcionais para a restauração das cópias de segurança;
IX.O usuário administrador é responsável pelo descarte das cópias de segurança quando o
prazo de validade definida se esgotar;
X.O usuário administrador deve disponibilizar, quando solicitado, a encriptação dos dados
para garantir, caso necessário, a confidencialidade da informação. Neste caso, a senha de
recuperação, bem como a possibilidade de recuperação da informação atrelada a esta cópia de
segurança, é de total responsabilidade do usuário requerente.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 52/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
9 CONDUTA DE ALIENAÇÃO, REMOÇÃO, REUTILIZAÇÃO E OU
DESCARTE DE MÍDIAS E EQUIPAMENTOS
9.1 Abrangência
Esta norma abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estagiários ou terceiros que utilizam o parque de tecnologia da
informação do município.
9.2 Remoção de propriedade
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 53/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
presidente do setor envolvido. Caso a remoção da máquina seja realizada por terceiros extra
EMPRO, no campo de detalhe da solicitação de serviço deve-se conter informações municipais (São
José do Rio Preto), estaduais (São Paulo) e ou federais (Brasil) que identifiquem em plenitude os
terceiros envolvidos no processo de remoção do equipamento. Algumas destas identificações são
informações contidas em RGs, CPFs e ou CNPJs. Também deve ser informado o intervalo de tempo
dedicado para a retirada do equipamento do local.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 54/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
9.3 Inspeções Aleatórias
9.4 Regra do Usuário
9.5 Regras de Usuários Nomeados.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 55/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
IV. O responsável deve recolher todos os papéis impressos destinados ao descarte e que
contenham informações sensíveis, e solicitar a EMPRO o recolhimento do material;
9.6 Regras Administrativas
Os usuários que possuem contas com privilégios de administrador são responsáveis pelo
cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pela
EMPRO.
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 56/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 57/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
10 CONFIDÊNCIALIDADE
Toda e qualquer informação deve estar disponível somente aos indivíduos e entidades
autorizados. O acesso e a divulgação da informação é tida como sigilosa sempre quando o valor do
conteúdo informado representa riscos ou comprometimento financeiro, moral, intelectual, ou da
imagem do município, de empresas ou de setores envolvidos. Para restringir e controlar o acesso a
informação e divulgação destes conteúdos, são redigidos acordos de confidencialidade e não
divulgação. Estes acordos devem refletir as necessidades de cada setor do município contemplando
uma identificação e uma análise crítica periódica das informações a serem protegidas. Os acordos
de confidencialidade do município respeitam a todos os requisitos legais, tais como leis e
regulamentações aplicáveis.
10.1 Abrangência
Este capítulo abrange todos os usuários do município de São José do Rio Preto, sendo estes
estatutários, funcionários, estudantes e ou terceiros que utilizam as informações confidenciais de
propriedade do município.
10.2 Acordo de Confidencialidade
Os usuários sendo estes estudantes, estatutários, celetistas e terceiros que acessam a dados
e informações do município de São José do Rio Preto, declaram que:
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 58/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
II. O usuário têm plena ciência que NÃO devem divulgar, revelar e ou publicar todas e
quaisquer informações ou dados confidenciais do município que englobem qualquer tipo de
negócio, comércio, propriedade da informação, propriedade intelectual, knowhow ou dados
técnicos. A violação deste acordo é passível de punição;
III. O usuário a qualquer momento poderão ser auditado pelo gestor de segurança da
informação do município ou por uma equipe escolhida pelo próprio gestor de segurança da
informação. Esta auditoria tem como objetivo garantir que o sigilo e propriedade das
informações do município foi mantido;
IV. O usuário têm plena ciência de que no caso de divulgação, revelação e ou
publicação de informações NÃO autorizadas estarão sujeitos as penalidades previstas em lei
e, no caso de divulgação de informação por terceiros, deverá ocorrer o pagamento sobre o
valor da informação liberada. Salvo nos casos de exigência previstos em leis e quaisquer
outras instituições e ou setores governamentais que realizam alguma auditoria. As
informações consideradas autorizadas para a divulgação, revelação, publicação e ou
distribuição são aquelas previamente autorizadas por escrito e assinadas pelo diretor
presidente ou secretário do setor envolvido;
V. O usuário pode divulgar toda e qualquer informação que seja de domínio público,
desde que não fira este acordo. Também é passível de publicação toda e qualquer outra
informação de propriedade do município de caráter público e autorizada por escrito com a
assinatura do presidente responsável do setor com envio de cópia para o gestor de segurança
da informação do município;
VI. O gestor de segurança da informação do município de São José do Rio Preto tem
como obrigação verificar que o usuário que tenha acesso às informações e dados do
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 59/62
PREFEITURA MUNICIPAL DE SÃO JOSÉ DO RIO PRETO
município esteja cumprindo as determinações deste acordo;
VII.Desde o momento da assinatura desde acordo o usuário passa a ter acesso aos
informações cabíveis ao cargo, atividade, serviço ou função competente;
VIII.No caso de controvérsias deste documento é de responsabilidade da comarca de
São José do Rio Preto o julgamento deste acordo;
X. Caso exista a divulgação NÃO autorizada da informação ou dados de propriedade
do município, o usuário deve entrar em contato imediato com o presidente do setor e com o
gestor de segurança da informação do município;
/home/wgpedroso/Documentos/documentos/empro/seguranca/politicaatual/politicaDeSegurança_unificadav2.odt 60/62
11 PENALIDADES
COMUNICADO
O usuário será notificado por correio eletrônico ou por ofício contendo, de forma
direta e clara, a violação praticada. Em caso de reincidência, será enviada uma cópia para o
presidente, diretor ou responsável do setor.
ADVERTÊNCIA
O usuário será advertido por ofício, contendo de forma direta e clara a violação
praticada com cópia para o presidente, diretor ou responsável do setor. Este item só será
aplicado a funcionários, estudantes e estatutários, respeitando as conformidades legais e um
processo de auditoria.
SUSPENSÃO
O usuário será suspenso por ofício, contendo de forma direta e clara a violação
praticada com cópia para o presidente, diretor ou responsável do setor. Este item só será
aplicado em funcionários, estudantes e estatutários, respeitando as conformidades legais e um
processo de auditoria.
DEMISSÃO POR JUSTA CAUSA
O usuário será demitido por justa causa somente após um processo de auditoria e
dentro das conformidades legais.
No caso dos funcionários enquadrados no regime CLT será aplicado o artigo 482 e
paragrafo único da Consolidação das Leis do Trabalho (DECRETO-LEI N.º 5.452, DE 1º DE
MAIO DE 1943).
ANULAÇÃO CONTRATUAL
INDENIZAÇÃO MONETÁRIA
12 REFERÊNCIAS BIBLIOGRÁFICAS
ABNT 17799:2005
ABNT 27001:2006