PORTARIA Nº 205, DE 15 DE DEZEMBRO DE 2010.
(revogado pelo(a) Portaria 204 de 16/10/2013)
Aprova a Política de Segurança da Informação da Corregedoria-Geral do Distrito Federal.
O SECRETÁRIO DE ESTADO CORREGEDOR-GERAL DO DISTRITO FEDERAL - Respondendo, no uso das atribuições que lhe confere o artigo 105, parágrafo único, incisos I, III e V da Lei Orgânica do Distrito Federal e com base no disposto no artigo 57, incisos II e VII do Decreto nº. 24.582, de 11 de maio de 2004, e atendendo aos requisitos da legislação de regência a Lei nº. 2.572, de 20 de julho de 2000, RESOLVE:
Art. 1º. Fica aprovada, na forma do Anexo Único desta Portaria, a Política de Segurança da Informação da Corregedoria-Geral do Distrito Federal – PSI/CGDF.
Parágrafo único. A PSI/CGDF aplica-se a todas as unidades da estrutura administrativa da Corregedoria-Geral do Distrito Federal e deverá ser fielmente observada por todos os servidores, colaboradores, estagiários, consultores externos e prestadores de serviço, sob pena de responsabilidade, na forma da lei.
Art. 2º. São objetivos da Política de Segurança da Informação da Corregedoria-Geral do Distrito Federal – PSI/CGDF:
I – definir o escopo de segurança da informação a ser adotado na CGDF;
II – instituir diretrizes estratégicas, responsabilidades e competências, visando assegurar a integridade, confidencialidade, disponibilidade, autenticidade, não repúdio e legalidade dos dados, informações e documentos da Corregedoria-Geral do Distrito Federal, contra ameaças e vulnerabilidades, de modo a preservar seus ativos, inclusive sua imagem institucional.
III - Servir de referência para auditoria, apuração e avaliação de responsabilidades.
Art. 3º. Fica instituído o Comitê de Segurança da Informação da Corregedoria-Geral do Distrito Federal – CSI/CGDF, cujos membros deverão ser designados em ato próprio do Secretário de Estado Corregedor-Geral do Distrito Federal.
Parágrafo Único. Compete ao CSI/CGDF:
I – estabelecer as regras de proteção dos ativos da CGDF, revisá-las e propor a sua atualização, pelo menos com periodicidade anual;
II – revisar os documentos do Sistema de Gestão de Segurança da Informação visando à melhoria contínua e aos avanços no nível de maturidade em Segurança da Informação;
III – analisar as infrações relativas à Segurança da Informação cometidas por servidores da CGDF, propondo as providências cabíveis; e
IV – executar outras atividades, em nível decisório, que impliquem a gestão eficiente da PSI/ CGDF.
Art. 4º. Os editais de licitação e os contratos administrativos elaborados no âmbito da Corregedoria-Geral do Distrito Federal deverão conter cláusula específica sobre a obrigatoriedade de atendimento às normas da PSI/CGDF.
§ 1º. As empresas contratadas e os prestadores de serviços deverão assinar Termo de Confidencialidade, cujo modelo integra o Anexo Único desta portaria.
§ 2º. A empresa contratada também deverá demonstrar que possui mecanismos formais de segurança que assegurem o sigilo das informações.
§ 3º. O dispositivo no caput deste artigo se aplica a consultores contratados e pesquisadores autorizados, remunerados ou não.
Art. 5º. Fica estabelecido o prazo de 60 (sessenta) dias para que as unidades administrativas da Corregedoria-Geral do Distrito Federal se adaptem às regras estabelecidas na Política de Segurança da Informação.
Art. 6º. Esta Portaria entra em vigor na data de sua publicação.
CORREGEDORIA-GERAL DO DISTRITO FEDERAL
DIRETORIA DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)
Este documento estabelece as diretrizes e regras básicas de Segurança da Informação que deverão ser adotadas na Corregedoria-Geral do Distrito Federal por todos os servidores, estagiários e terceiros que manuseiam informações, estejam elas presentes em sistemas ou não (por exemplo, documentos em papel), em consonância com a Lei Nº. 2.572, de 20 de julho de 2000 e seu regulamento, o Decreto 25.750, de 12 de abril de 2005. Entende-se por Segurança da Informação a proteção de informações contra as ameaças a que estão expostas, levando-se em conta cinco objetivos principais: confidencialidade, integridade, disponibilidade, autenticidade e não repúdio. As diretrizes e regras básicas acima citadas são a referência para a Segurança da Informação e a conseqüente implantação de um ambiente informacional seguro, alinhado à missão institucional da CGDF e à sua estratégia. O Corregedor-Geral do DF apóia a aplicação da presente Política de Segurança da Informação e determina o seu integral cumprimento por todos os servidores que manuseiam informações na CGDF.
A Política de Segurança da Informação da Corregedoria-Geral do Distrito Federal tem os objetivos específicos: Definir o escopo de Segurança da Informação a ser adotado na CGDF; Orientar, por meio de suas diretrizes, todas as ações de segurança da informação, para reduzir riscos e garantir a confidencialidade, integridade, disponibilidade, autenticidade, não repúdio e legalidade das informações; Servir de referência para auditoria, apuração e avaliação de responsabilidades.
Historicamente, a área de Tecnologia da Informação (TI) era responsável pela autorização e liberação de toda informação para o usuário. As melhores práticas preconizam, no entanto, que deve existir uma autorização da área proprietária da respectiva informação. A área de TI é apenas uma prestadora de serviços e possui a custódia da informação. Como exemplo, o acesso às informações relacionadas a recursos humanos deve ser autorizado pela área proprietária de tal informação, ou seja, a Área de Recursos Humanos. Seguindo as boas práticas de liberação e acesso à informação, foi adotado na CGDF o conceito de Gestor da Informação (vide item 4).
A segurança para sistemas de informação não é uma atividade trivial, pois ela deve considerar tantos os aspectos técnicos quanto os aspectos do ambiente da pessoa e do ambiente da organização. Com relação aos aspectos técnicos, é responsabilidade da área de TI da CGDF aplicar e monitorar as ferramentas técnicas que possibilitem o desejado grau de segurança necessário para a condução da missão institucional da CGDF.
Os aspectos do ambiente da pessoa e do ambiente da organização devem ser observados por todos os servidores da CGDF, sejam eles efetivos ou não, estagiários, e todos os terceiros, como por exemplo, prestadores de serviços, fornecedores, consultores externos, que interagem com sistemas sob responsabilidade da CGDF. Aspectos do ambiente da pessoa envolvem atitudes e comportamentos. Aspectos do ambiente da organização envolvem regras, procedimentos e normas aplicados na CGDF.
3.1. Responsabilidades dos Gestores A responsabilidade dos gestores compreende, dentre outras, as seguintes atividades: Gerenciar o cumprimento da Política de Segurança da Informação, por parte de seus servidores, estagiários ou terceiros sob sua supervisão;
Identificar os desvios praticados e adotar as medidas preventivas e corretivas apropriadas; Impedir o acesso de pessoal desligado aos ativos de informações, utilizando-se dos mecanismos contemplados pelo respectivo plano de desligamento nos itens 5.1.2.2 e 5.1.2.3 do presente documento;
Proteger, em nível físico e lógico, os ativos de informação e de processamento da CGDF relacionados com sua área de atuação;
Garantir que o pessoal sob sua supervisão compreenda e desempenhe a obrigação de proteger a informação;
Comunicar formalmente à Diretoria de Tecnologia da Informação, que efetua a concessão de privilégios iniciais a usuários, quais os servidores e prestadores de serviço, sob sua supervisão, que podem acessar as informações da CGDF;
Comunicar formalmente ao RH, o qual repassará a informação à Diretoria de Tecnologia da Informação, qual o pessoal desligado (exonerado, demitido, transferido, desligado) para exclusão no cadastro dos usuários;
Comunicar formalmente ao RH, o qual repassará a informação à Diretoria de Tecnologia da Informação, os usuários que estejam licenciados, de férias ou afastados por qualquer motivo, para inabilitação no cadastro dos usuários.
3.2. Responsabilidades da Diretoria de Tecnologia da Informação Dentre o rol de responsabilidades da TI, destacam-se: Restringir e controlar o acesso e os privilégios de usuários remotos e externos à rede da CGDF; Fazer o inventário de todos os ativos de TI das unidades da CGDF; o inventário será conduzido pelo menos uma vez ao ano ou em função de alguma necessidade extraordinária;
Coordenar a elaboração e atualização do Plano de Continuidade do Negócio em conjunto com as áreas funcionais. O objetivo de tal Plano é manter em funcionamento os serviços e processos críticos da CGDF na eventualidade da ocorrência de desastres, atentados, falhas e intempéries. Ele garante o fluxo de informações necessárias em momento de crise e o retorno seguro à situação de normalidade;
Coordenar a implantação do processo de Gerenciamento de Riscos e revisá-lo no máximo a cada 12 (doze) meses para prevenção contra riscos, inclusive aqueles advindos de novas tecnologias, visando à elaboração de planos de ação apropriados para proteção aos componentes ameaçados. O Gerenciamento de Riscos visa à proteção dos ativos de informação e de processamento da CGDF, por meio da eliminação, redução ou transferência dos riscos, conforme seja econômica e estrategicamente mais viável. Esse Gerenciamento de Riscos será elaborado com a participação e o envolvimento do Comitê de Segurança da Informação;
Executar as regras de proteção estabelecidas pela Política de Segurança da Informação;
Detectar, identificar e registrar as violações ou tentativas de acesso não autorizadas; Definir e aplicar restrições de acesso à rede, como horário autorizado, dias autorizados, entre outras;
Manter registros de atividades de usuários (logs). Os registros devem conter a hora e a data das atividades, a identificação do usuário, comandos (e seus argumentos) executados, identificação da estação local ou da estação remota que iniciou a conexão, número dos processos e condições de erro observadas (tentativas rejeitadas, erros de consistência, etc.);
Limitar o prazo de validade das contas de prestadores de serviço ao período da contratação;
Restringir o uso de softwares não homologados pela TI;
Divulgar as regras e orientações de segurança aplicadas aos usuários finais por meio de campanhas internas permanentes, seminários de conscientização, treinamentos e quaisquer outros meios, de maneira a criar uma cultura de segurança dentro da CGDF;
Fornecer senhas de contas privilegiadas somente aos servidores que necessitem efetivamente dos privilégios, mantendo-se o devido registro e controle;
Zelar pela preservação da confidencialidade, integridade, disponibilidade e autenticidade das informações da CGDF em todas as ações executadas.
3.3. Responsabilidades do Comitê de Segurança da Informação (CSI) Estabelecer as regras de proteção dos ativos da CGDF e revisá-las pelo menos anualmente;
Revisar os documentos do Sistema de Gestão de Segurança da Informação (Política de Segurança da Informação, Política de Backup, Gestão de Riscos, por exemplo) visando à melhoria contínua e avanços no nível de maturidade em Segurança da Informação;
Revisar a Política de Segurança da Informação pelo menos 1 (uma) vez por ano, ou quando surgirem fatos que a impactem;
Analisar as infrações relativas à Segurança da Informação cometidas por servidores da CGDF, propondo as providências cabíveis.
Aplicam-se os conceitos abaixo no que se refere à Política de Segurança da Informação:
Ativo – Qualquer coisa que tenha valor para a organização.
Autenticação – Procedimento utilizado na identificação de usuários, dispositivos ou processos, e que é pré-requisito para o acesso aos recursos de um sistema.
Comitê de Segurança da Informação (CSI) – Equipe com representantes de diversas áreas funcionais da organização que suporta as ações e decisões em Segurança da Informação.
Confidencialidade - É o requisito que determina que uma informação não seja disponibilizada ou revelada para partes não autorizadas.
Controle de Acesso – Mecanismo utilizado para proteger os recursos de um sistema de acesso não autorizado. Deve permitir, de acordo com uma Política de Segurança da Informação, o acesso somente a entidades autorizadas, como usuários, processos, programas ou outros sistemas. Corrente de e-mail - é o evento que ocorre quando um e-mail que é enviado para diversos conhecidos ao mesmo tempo e, eventualmente, repassado adiante podendo se espalhar em ritmo exponencial a milhares ou até milhões de pessoas.
Criptografia - É a disciplina que trata dos princípios, meios e métodos para a transformação de dados, tornando-os ininteligíveis, de forma a possibilitar a detecção de modificações no conteúdo da informação e/ou prevenir seu uso não autorizado.
Custódia – consiste na responsabilidade de se guardar um ativo para terceiros. Entretanto, a custó- dia não permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros.
Disponibilidade - É o requisito que determina que os recursos de um sistema estejam disponíveis para acesso, por entidades autorizadas, sempre que solicitados.
Gestor da Informação – pessoa ou área funcional que autoriza ou nega o pedido de acesso a certa informação.
Gestor – pessoa responsável pela gestão de alguma área, como gerente ou diretor.
Incidente de Segurança - Um incidente de segurança é caracterizado por qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas computacionais ou de redes de computadores. São exemplos: tentativas de obter acesso não autorizado a sistemas ou dados, uso ou acesso não autorizado a um sistema e desrespeito à Política de Segurança da Informação.
Integridade - É o requisito que determina que uma informação não seja modificada ou destruída de maneira não autorizada ou acidental.
Logs - Arquivos de anotações ou listas sistemáticas de registro de eventos ocorridos.
Mecanismos de Controle de Acesso – São mecanismos de hardware ou software, procedimentos operacionais ou gerenciais, usados para detectar e prevenir acessos não autorizados a sistemas computacionais.
Não repúdio - é a garantia de segurança que impede uma entidade participante numa dada operação de negar essa participação.
Política de Segurança da Informação - é um conjunto de diretrizes destinadas a definir a proteção adequada dos ativos produzidos pelos Sistemas de Informação. Ela atribui direitos e responsabilidades aos indivíduos que lidam com os recursos computacionais de uma instituição e com as informações neles armazenadas. Define as atribuições de cada indivíduo em relação à segurança dos recursos com os quais trabalha. Qualquer evento que resulte no descumprimento da Política de Segurança da Informação é considerado um incidente de segurança.
Proteção dos Ativos – é o processo pelo qual os ativos devem receber classificação quanto ao grau de sensibilidade. O meio de registro de um ativo de informação deve receber a mesma classificação de proteção dada ao ativo que o contém.
Senha Fraca ou Óbvia – é aquela na qual se utilizam caracteres de fácil associação com o dono da senha, ou que seja muito simples ou pequena tal como: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, seqüências numéricas simples, palavras com significado, dentre outras.
Sigilo - Classificação dada a informações às quais apenas entidades autorizadas e previamente autenticadas poderão ter acesso.
Somente atividades lícitas, éticas e administrativamente permitidas devem ser realizadas pelo usuário, no âmbito da infra-estrutura de TI, ficando os transgressores sujeitos às sanções das esferas Penal, Civil e Administrativa, na medida das condutas que praticarem.
Os documentos produzidos por intermédio dos recursos de TI e os programas desenvolvidos por servidores, estagiários ou prestadores de serviço são de propriedade exclusiva da CorregedoriaGeral do DF; cabe ressaltar que a produção e cópia dos referidos programas requer sempre prévia autorização do Gestor da respectiva informação.
Em conformidade com a Lei Nº. 9.609, a utilização dos recursos de TI deverá respeitar os direitos de propriedade intelectual de qualquer pessoa ou empresa, como: marcas e patentes, nome comercial, segredo empresarial, domínio na Internet, desenho industrial ou qualquer outro material cuja utilização dependa de autorização expressa do autor ou proprietário dos direitos relativos a obras artísticas, científicas ou literárias. Os procedimentos deverão ser documentados e implementados para garantir que quando o pessoal contratado ou prestadores de serviços sejam transferidos, remanejados, promovidos ou demitidos, todos os privilégios de acesso aos sistemas, informações e recursos sejam devidamente revistos, modificados ou revogados. Os processos de aquisição de bens e serviços, especialmente de Tecnologia da Informação, devem estar em conformidade com esta Política de Segurança da Informação. As informações pertencentes à CGDF ou sob sua guarda devem ser utilizadas apenas para os propósitos definidos em sua missão institucional.
5.1. REQUISITOS DE SEGURANÇA DO AMBIENTE HUMANO
Conjunto de medidas e procedimentos de segurança a serem observados pelos servidores, estagiários e prestadores de serviços necessário à proteção dos ativos da CGDF. O envolvimento do usuário é importante para a segurança dos recursos de TI, pois é na adequada utilização desses recursos como instrumentos de trabalho que se inicia uma sólida cultura de segurança da informação.
5.1.1. Objetivos Reduzir os riscos de erros humanos, furto, roubo, apropriação indébita, fraude, sabotagem ou uso não apropriado dos ativos da CGDF;
Prevenir e neutralizar as ações sobre as pessoas que possam comprometer a segurança da CGDF; Orientar o processo de avaliação de todo o pessoal mesmo em caso de funções desempenhadas por prestadores de serviço, identificando as necessidades de treinamento para que sejam atendidos os princípios da confidencialidade, integridade, disponibilidade e autenticidade da informação.
5.1.2.1. O Processo de Admissão
Antes da criação de uma identificação de usuário, solicitada formalmente pela chefia respectiva, o servidor ou terceiro assinará Termo de Responsabilidade assumindo o dever de manter sigilo e aceitando as normas do órgão. A assinatura aposta neste termo indica que o usuário em questão entende e concorda com a presente Política de Segurança da Informação. Além do Termo de Responsabilidade, as empresas contratadas e os prestadores de serviços assinarão o Termo de Confidencialidade.
5.1.2.2. O Processo de Acompanhamento Deve ser realizado anualmente por todos os gestores um processo de avaliação de desempenho dos servidores, estagiários e prestadores de serviços, documentando a observação do comportamento pessoal e funcional dos mesmos. Deverão ser motivo de registro atos, atitudes e comportamentos positivos e negativos relevantes, verificados durante o exercício profissional do servidor. Os comportamentos incompatíveis, ou que possam gerar comprometimentos à segurança, deverão ser analisados. Os gestores assegurarão que todos os servidores e terceiros sob sua alçada tenham conhecimento e compreensão das normas e procedimentos de segurança em vigor. Também haverá avaliação periódica dos servidores, estagiários e prestadores de serviços com o propósito de detectar a necessidade de atualização técnica e de segurança, incluindo treinamentos, palestras e programas de conscientização.
5.1.2.3. O Processo de Desligamento
O acesso de ex-servidor, ex-estagiário ou ex-prestador de serviço às instalações, quando necessário, será restrito às áreas de acesso público. Sua credencial, identificação, crachá, uso de equipamentos, mecanismos e acessos físicos e lógicos devem ser revogados. Deverá ser realizada por parte da respectiva chefia imediata entrevista de desligamento para orientar o servidor sobre sua responsabilidade na manutenção do sigilo de dados e/ou conhecimentos sigilosos de sistemas críticos aos quais teve acesso durante sua permanência nas entidades.
5.1.2.4. O Processo de Liberação
O servidor, estagiário ou prestador de serviço firmará, antes do desligamento e perante a sua chefia imediata, declaração de que não possui qualquer tipo de pendência junto às diversas unidades que compõem a CGDF.
5.2. REQUISITOS DE SEGURANÇA DO AMBIENTE FÍSICO
Ambiente físico é aquele composto por todo o ativo permanente da CGDF.
A Diretoria de Tecnologia da Informação irá tomar as providências necessárias sob sua responsabilidade e acionar as áreas correlatas, por exemplo, Segurança Patrimonial, para implantar as medidas necessárias a fim de que se alcance um nível de segurança física adequado.
Nas instalações da CGDF e em cumprimento às Portarias 23/90 e 44/04 da SEPLAG, todos os servidores deverão utilizar alguma forma visível de identificação (por exemplo: crachá), e devem informar à Segurança sobre a presença de qualquer pessoa não identificada ou de qualquer estranho não acompanhado ou ainda atividade suspeita.
A proteção física dos equipamentos, servidores, telecomunicação e outros será garantida pela Diretoria de Tecnologia da Informação mediante o acondicionamento em ambientes e controle de acesso adequado. Entende-se por ambiente adequado aquele que proteja os equipamentos críticos segundo exigências mínimas de temperatura e umidade, ou seja, 20º. C e 85% de umidade relativa do ar, conforme a Lei Nº. 2.572.
5.3. REQUISITOS DE SEGURANÇA DO AMBIENTE LÓGICO
Ambiente lógico é composto por todo o ativo de informações da organização.
A informação deve ser protegida de acordo com o seu valor, sensibilidade e criticidade. Para tanto, a Diretoria de Tecnologia da Informação irá elaborar, divulgar e colocar em prática um procedimento de classificação da informação.
Os dados, as informações e os sistemas de informação da organização e sob sua guarda devem ser protegidos contra ameaças e ações não autorizadas, acidentais ou não, de modo a reduzir riscos e garantir a integridade, confidencialidade e disponibilidade desses bens.
As violações de segurança devem ser registradas e esses registros devem ser analisados periodicamente para os propósitos de caráter corretivo, legal e de auditoria.
Os registros devem ser protegidos e armazenados de acordo com a sua classificação.
Os sistemas e recursos que suportam funções críticas para operação das entidades, devem assegurar a capacidade de recuperação nos prazos e condições definidas em situações de contingência.
O inventário sistematizado de toda a estrutura que serve como base para manipulação, armazenamento e transmissão dos ativos de processamento deve estar registrado e mantido atualizado em intervalos de tempo definidos pela Diretoria de Tecnologia da Informação.
Todos os usuários devem observar as exigências para manipulação da informação, conforme definidas pelo seu proprietário (criador) e de acordo com as orientações encontradas neste documento. Os proprietários podem atribuir controles adicionais para maior restrição ao acesso ou para ampliar a proteção das informações.
A divulgação de informações não ostensivas para qualquer pessoa (usuário ou não da rede da instituição) é proibida, exceto quando previamente autorizada, segundo os critérios adotados pela CGDF.
A reprodução da informação não ostensiva, incluindo a impressão de cópias adicionais, não deve ser permitida exceto quando explicitamente autorizada por instância superior competente. Da mesma forma, trechos, resumos, traduções ou qualquer material derivado de informações sensíveis ou resguardado por direitos autorais, não poderão ser reproduzidos, exceto quando o proprietário da informação tenha dado sua aprovação.
O transporte físico das informações não ostensivas requer o uso de mensageiro de confiança.
Toda informação sensível enviada por meio de tais mensageiros deve ser colocada em um envelope opaco e lacrado. Se a informação sensível estiver armazenada em mídia legível de computador (disquete, CD-ROM, DVD, pen drive, etc.), deverá ser, na medida do possível, criptografada quando enviada por mensageiro, observando-se sempre o disposto na legislação vigente para esses casos. Da mesma forma, se uma informação sensível for enviada para redes externas, como a Internet, deve estar criptografada, na medida do possível. Dúvidas sobre criptografia devem ser esclarecidas junto à Diretoria de Tecnologia da Informação.
Quando as informações não ostensivas não forem mais necessárias e quando exigências legais ou regulatórias para sua retenção não se aplicarem mais, elas deverão ser destruídas de acordo com os métodos aprovados. É proibida sua eliminação em latas de lixo ou depósitos de papel que serão encaminhados para reciclagem. A informação sensível em forma de papel deve ser eliminada com o uso de picotador de papel. A informação sensível, armazenada em disquetes, CD-ROMS, fitas magnéticas, dispositivos de gravação ótica, pen drives, cartões de memória e assemelhados, ou em quaisquer outros meios magnéticos computacionais, deve ser apagada por meio de programas desenvolvidos para essa finalidade. A simples reformatação não elimina totalmente a informação, caso a mídia seja reutilizada por outro sistema do órgão ou instituição pública. A simples “remoção” de uma informação sensível armazenada em meio magnético ou óptico não é suficiente. O suporte físico da informação pode ser destruído por trituradores, ou colocado em recipiente especialmente destinado à guarda de material sensível que será destruído.
5.4. REGRAS ESPECÍFICAS DOS AMBIENTES HUMANO, FÍSICO E LÓGICO
Utilizar somente estações de trabalho (computadores de mesa ou portáteis) ligadas à rede interna da CGDF, que já estejam registradas junto à Diretoria de Tecnologia da Informação. O uso de notebooks particulares, pen drives pessoais ou outros disponíveis de propriedade pessoal será autorizado apenas após solicitação formal à Diretoria de Tecnologia da Informação e avaliação dos impactos de segurança.
Utilizar preferencialmente drive público para armazenamento de arquivos; no caso de trabalho remoto, externo ou na residência, arquivos gerados podem ser armazenados em drives locais, mas devem ser prontamente copiados para os drives públicos ao retorno às instalações da CGDF. Drives públicos são sujeitos a processos de cópia de segurança (backup), enquanto que drives locais não são sujeitos a tais processos e são inseguros.
Em trabalho remoto (em campo ou na residência) não se conectar a redes de tal ambiente; utilizar o modem 3G e acessar apenas aplicativos relacionados às atividades profissionais.
Armazenar nos drives públicos ou locais e mídias (CDs, DVDs, pen drives, por exemplo) apenas conteúdos relacionados ao trabalho. Fotos, músicas, filmes e outros arquivos pessoais não podem ser armazenados nos locais mencionados e serão sumariamente excluídos por meio de um processo de limpeza de dados periódico.
Utilizar correio eletrônico (“e-mail”) para as atividades profissionais e observar o limite de 100 MB para as caixas postais. O uso particular sem abusos é tolerado, no entanto é vedada a veiculação de mensagens pornográficas, ofensivas, racistas, intimidadoras, de cunho religioso, ideológico, humorístico, místico, auto-ajuda, divulgação de empresas ou produtos assim como transmissão e retransmissão de correntes de e-mail. Anexos de e-mails não podem exceder 5 MB; necessidades especiais devem ser encaminhadas à Diretoria de Tecnologia da Informação.
Utilizar senhas que contenham ao mínimo oito caracteres, compostas de caracteres de pelo menos 2 das 4 categorias a seguir: letras maiúsculas (A – Z), letras minúsculas (a – z), dígitos de base 10 (0 a 9), caracteres especiais (por exemplo, !, $, #, %). Deve-se evitar o uso de nomes, sobrenomes, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com o usuário ou palavras constantes em dicionários (vide item 4 – Senha Fraca ou Óbvia).
Alterar periodicamente suas senhas; os sistemas exigirão a troca de senhas a cada 45 dias e não será permitida a repetição das últimas 3 senhas cadastradas. Caso uma senha seja digitada de modo errada por 3 vezes consecutivas, o acesso ao respectivo sistema será bloqueado e apenas restabelecido por meio de intervenção da área de TI ou do administrador do sistema, após solicitação formal da respectiva chefia imediata.
Ao realizar transações via web, certificar-se da procedência do sítio e da utilização de conexões seguras (criptografadas), além de buscar garantir que o endereço apresentado no navegador corresponda ao sítio que realmente se quer acessar, antes de realizar qualquer ação. Em conexões seguras, verificar se o certificado do sítio foi emitido para a instituição que se deseja acessar e se está dentro do prazo de validade. Não utilizar os indicadores (“links”) existentes em páginas apresentadas pelo navegador como recurso para acessar outro sítio. Deve-se copiar o indicador e colá-lo na barra de endereços do navegador, ou simplesmente digitá-lo diretamente.
Preservar a integridade e guardar sigilo das informações de que fazem uso, bem como zelar e proteger os respectivos recursos de processamento de informações.
Manter o caráter sigiloso da senha de acesso aos recursos e sistemas das entidades; senhas são de uso PESSOAL e INTRANSFERÍVEL; a divulgação de senhas ou desleixo no manuseio das mesmas é considerada falta grave e sujeita a sanções disciplinares; em sistemas nos quais é possível armazenar a senha na tela de entrada, tal opção nunca deve ser selecionada.
Não compartilhar, sob qualquer forma, informações confidenciais com outros que não tenham a devida autorização de acesso.
Responder, por todo e qualquer acesso, aos recursos da CGDF, bem como pelos efeitos desses acessos efetivados através do seu código de identificação, ou outro atributo para esse fim utilizado.
Desligar equipamentos ao fim do expediente e guardá-los no local apropriado e seguro.
Respeitar a proibição de não usar, inspecionar, copiar ou armazenar programas de computador ou qualquer outro material, em violação da legislação de propriedade intelectual pertinente (Lei 9.609); tal prática é considerada pirataria e passível de punição em conformidade com essa legislação.
Comunicar ao seu superior imediato o conhecimento de qualquer irregularidade ou desvio; tratando-se de questão técnica, a mesma deve ser encaminhada à Diretoria de Informação.
A CGDF reserva-se o direito de revogar os atributos do sistema de qualquer usuário a qualquer momento. Não são permitidas condutas que interfiram na operação normal e adequada dos sistemas de informação da CGDF e que afetem adversamente a capacidade de outras pessoas utilizarem os mesmos, nem condutas prejudiciais e ofensivas.
É vedada aos usuários a realização de testes ou procedimentos que possam comprometer rotinas internas da CGDF, a não ser que haja aprovação expressa da Diretoria de Tecnologia da Informação.
As configurações e atribuições de parâmetros em todos os computadores conectados à rede da CGDF devem estar de acordo com as políticas e normas de gerenciamento internas.
Quando um usuário deixar qualquer cargo da CGDF, seus arquivos armazenados na estação de trabalho, ou em qualquer servidor de rede da CGDF, assim como seus documentos em papel deverão ser prontamente revisados pela chefia imediata para determinar quem se tornará curador das informações relacionadas. Se for o caso, a chefia imediata deverá identificar o método mais adequado para a eliminação dessas informações, levando-se em conta as orientações sobre eliminação de informações classificadas.
Sempre que possível, as atividades que possam afetar os sistemas de informação governamentais devem ser rastreadas e registradas em logs de maneira a evitar ou dissuadir o comportamento incorreto, inclusive mediante mecanismos claros de responsabilização amplamente divulgados nos meios de comunicação internos.
É vedada a transferência de software da Internet ou de qualquer outro sistema externo para a rede interna da CGDF. Essa proibição é necessária porque softwares podem conter vírus e outros programas maliciosos que podem comprometer os sistemas. Caso haja legítima necessidade de obtenção de aplicações de terceiros, tal fato deve ser comunicado à Diretoria de Tecnologia da Informação para que a mesma estabeleça os procedimentos de segurança necessários.
Deve ser vedada a utilização de disquetes, fitas magnéticas, CD-ROMs, dispositivos de gravação ótica, pen drives, cartões de memória e assemelhados de origem externa nas estações de trabalho na CGDF ou nos servidores de rede antes que sejam submetidos a um software antivírus.
Todos os softwares e arquivos transferidos de fontes que não sejam da CGDF, via Internet ou qualquer outra rede pública, devem ser examinados com o software de detecção de vírus em uso pela CGDF.
Esse exame deve acontecer antes que o arquivo seja executado ou aberto por outro programa, como, por exemplo, um processador de texto, e também antes e depois que o material tenha sido descompactado.
O usuário da rede não deve executar ou desenvolver, sem autorização, quaisquer programas ou processos que consumam recursos do sistema ou interfiram de outra forma nas atividades da CGDF.
Os usuários não devem desenvolver, gerar, compilar, copiar, coletar, propagar, executar ou tentar introduzir intencionalmente qualquer código projetado para se auto-replicar indefinidamente, danificar ou obstruir de outra maneira o acesso, ou afetar o desempenho, de qualquer computador, rede ou sistema da CGDF.
As estações de trabalho, incluindo equipamentos portáteis, e informações devem ser protegidas contra danos ou perdas, bem como ao acesso, uso ou exposição indevidos.
Equipamentos que executem operações sensíveis devem receber proteção adicional, considerando os aspectos lógicos (controle de acesso e criptografia) e físicos (proteção contra furto ou roubo do equipamento ou componentes).
As informações armazenadas em meios eletrônicos devem ser protegidas contra danos, furtos ou roubos, devendo ser adotados procedimentos de cópia de segurança (backup), definidos em documento específico.
Informações sigilosas, corporativas ou cuja divulgação possa causar prejuízo, só devem ser utilizadas em equipamentos das entidades onde foram geradas ou naqueles por elas autorizadas, com controles adequados.
Os usuários devem utilizar apenas softwares licenciados pelo fabricante nos equipamentos da CGDF, observadas as normas da Diretoria de Tecnologia da Informação.
A Diretoria de Tecnologia da Informação estabelecerá os aspectos de controle, distribuição e instalação de softwares utilizados, devendo ser sempre consultada em caso de dúvidas.
A impressão de documentos sigilosos deve ser feita sob supervisão do responsável e com uso de senha.
Os relatórios impressos devem ser protegidos contra perda, reprodução e uso não-autorizado.
Os sistemas em uso devem solicitar nova autenticação após certo tempo de inatividade da sessão (time-out).
5.5. ATIVIDADES NÃO PERMITIDAS
É vedado aos usuários que fazem uso de sistemas de informação o acesso não autorizado a qualquer outro sistema para o qual não possua permissão de uso. Da mesma maneira, é vedada aos usuários a captura, por quaisquer meios, de mecanismos de controle de acesso, como senhas, chaves criptográficas etc., que lhes ofereçam acesso não autorizado a recursos de informações.
É vedado aos usuários o acesso, a modificação, a remoção ou a cópia de arquivos que pertençam a outro usuário sem a permissão expressa do mesmo.
Conectar, ou tentar conectar, à rede interna, estação de trabalho ou dispositivo computacional, mesmo que aceitos como padrão da CGDF, sem registro em sua administração de sistemas de TI, como por exemplo, dispositivos de uso particular (notebooks, pen drives, PDAs, etc.).
Introduzir códigos maliciosos (vírus e assemelhados) nos sistemas de TI.
Revelar códigos de identificação, autenticação e autorização de uso pessoal (conta, senhas, chaves privadas, tokens, etc.) ou permitir o uso por terceiros de recursos autorizados por intermédio desses códigos ou dispositivos.
Divulgar ou comercializar produtos, itens ou serviços por meio dos recursos de TI da CGDF. Tentar interferir ou interferir sem autorização em um serviço, intencionalmente sobrecarregá-lo ou desativá-lo, inclusive promovendo ou participando de ataques de negação de serviços internos ou externos
. Alterar registro de evento dos sistemas de TI.
Modificar cabeçalho de qualquer protocolo de comunicação de dados.
Acessar indevidamente dados, sistemas ou redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades nos sistemas de TI, sem estar devidamente autorizado pela Diretoria de Tecnologia da Informação.
Monitorar ou interceptar tráfego de dados nos sistemas de TI, sem permissão da Diretoria de Tecnologia da Informação.
Violar medida de segurança ou autenticação sem permissão da Diretoria de Tecnologia da Informação.
Fornecer a terceiros, informações sobre usuários ou serviços disponibilizados nos sistemas de TI, exceto os de natureza pública ou mediante permissão da Diretoria de Tecnologia da Informação.
Usar recursos de TI para fins particulares, como por exemplo, acesso a e-mails particulares, sites de diversão e entretenimento (jogos, pornografia, etc.), relacionamentos pessoais, bate-papos, redes sociais e outros semelhantes.
Acessos abusivos a sites de bancos, instituições financeiras, jornais e notícias e outros; são tolerados, com a devida moderação, acessos que permitam que o servidor resolva questões pessoais sem ausentar-se do posto de trabalho.
Usar recurso informacional de entidade pública para fins pessoais, incluindo comércio, venda de produtos ou engajamento em atividades comerciais de qualquer natureza.
Usar programas não homologados nos recursos informacionais da CGDF sem estar devidamente autorizado pela Diretoria de Tecnologia da Informação.
Tentar instalar programas ou componentes de TI sem prévia autorização da Diretoria de Tecnologia da Informação.
Comer, beber ou fumar próximo aos equipamentos de TI.
Para garantir a adequada utilização dos recursos computacionais da CGDF, são previstas para os infratores da presente norma as penalidades de redução ou eliminação, temporária ou permanente, de privilégios de acesso, tanto aos recursos computacionais quanto à rede.
Sempre que julgar necessário para a preservação da integridade dos recursos computacionais, dos serviços aos usuários ou dos dados, a Diretoria de Tecnologia da Informação poderá suspender temporariamente qualquer conta, independente de infração.
Se, a critério da Diretoria de Tecnologia da Informação, a violação merecer alguma penalidade além das descritas neste documento, o caso será apurado mediante a instauração de processo e encaminhado para o Comitê de Segurança da Informação.
Em consonância com a Lei 9.983/2000 estão previstas, entre outras, as seguintes sanções: Inserção de dados falsos em sistemas de informações: reclusão de 2 a 12 anos e multa.
Modificação ou alteração não autorizada de sistema de informações: detenção de 3 meses a 2 anos e multa; as penas serão aumentadas de um terço até a metade se da modificação ou alteração resultar dano para a Administração Pública ou para o administrado.
Divulgação de informações sigilosas ou reservadas: detenção de 1 a 4 anos e multa.
Os usuários que desrespeitarem a presente Política, além das sanções anteriormente descritas, estarão sujeitos a ações disciplinares ou demissão a bem do serviço público.
O descumprimento de normas da presente Política enseja apuração e responsabilização em conformidade com os artigos 121 e 122 da Lei 8.112/90.
Os incidentes envolvendo telecomunicações ou transmissão de dados que forem considerados crimes, de acordo com as leis distritais, federais e internacionais, serão denunciados pela CGDF às autoridades competentes.
O possível desconhecimento deste regulamento por parte dos usuários não os isenta das responsabilidades e das sanções aplicáveis, nem pode minimizar as medidas cabíveis.
7.1. Lei Nº. 2.572, de 20 de julho de 2000
Dispõe sobre a prevenção das entidades públicas do DF com relação aos procedimentos praticados na área de informática
7.2. Decreto Nº. 25.750, de 12 de abril de 2005
7.3. Lei Nº. 8.112, de 11 de dezembro de 1990, recepcionada no DF pela Lei Nº. 197, de 4 de dezembro de 1991
Dispõe sobre o regime jurídico dos servidores públicos civis do Distrito Federal, das autarquias, inclusive as em regime especial, e das fundações públicas distritais
7.4. Lei Nº. 9.609, de 19 de fevereiro de 1998
Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências
7.5. Lei Nº. 9.983, de 14 de julho de 2000
Atualiza o Código Penal e dá outras providências
7.6. Normas ABNT NBR ISO/IEC 27001 e 27002
Instituem as melhores práticas para Gestão da Segurança da Informação
A CGDF reafirma seu compromisso com a presente Política de Segurança da Informação e reitera a todos servidores, estagiários e prestadores de serviços sua responsabilidade no cumprimento da mesma. Questões omissas, dúvidas, sugestões ou ocorrências relevantes devem ser prontamente encaminhadas à Diretoria de Tecnologia da Informação da CGDF.
__________________________________ 14/12/2010
Hamilton Ruggieri Ribeiro Corregedor-Geral do DF – Respondendo
__________________________________ 15/12/2010
Luciana Cristina Aguiar de Carvalho
Chefe da Unidade de Administração Geral
__________________________________ 14/12/2010
Diretor de Tecnologia da Informação
Em consonância com o disposto nos normativos que tratam do uso dos recursos de Tecnologia da Informação (TI) da Corregedoria-Geral do Distrito Federal, dos quais tenho conhecimento, declaro-me ciente de que o uso indevido ou fraudulento de quaisquer recursos disponibilizados seja acesso à rede de computadores, à internet, à conta de correio eletrônico, para qualquer outro fim que não seja estritamente no interesse do serviço, ensejará apuração de responsabilidade, cabendo a quem imputada a culpa as penalidades administrativas aplicáveis.
Responsabilizo-me a indenizar e assumir os danos que venham a ser causados ao erário, conforme preceituam os artigos 121 e 122 da Lei Nº. 8.112, de 11 de dezembro de 1990, pelo uso indevido dos recursos de TI, inclusive por qualquer reclamação de calúnia, difamação, violação de direitos de reserva e infração de propriedade intelectual ou outros direitos, desde que comprovados, arcando com todos os ônus decorrentes (obrigações, perda, custos, despesas, honorários advocatícios, etc.).
Declaro-me ainda ciente de que a Diretoria de Tecnologia da Informação e/ou o Comitê de Segurança da Informação:
Resguardará (ão) o direito de rescindir o acesso a qualquer recurso de TI, a qualquer momento, e sem que seja previamente comunicado, com o que, desde já, manifesto minha concordância;
Poderá (ão) introduzir modificações no normativo da presente Política de Segurança da Informação da Corregedoria-Geral do DF, por meio de comunicação escrita ou eletrônica, pelo que as dou por recebidas, certas e aceitas quando de meu simples e subseqüente acesso a qualquer recurso de TI.
Nome: _____________________________________________________
Matrícula: ______________ CPF: _________________ Data: ___/___/_____
Assinatura: _______________________________________________________
Eu ____________________________, portador do RG nº. _____________________________, CPF___________________________, residente e domiciliado em ________________________________________________________, cidade de ___________________________ / _____, CEP_____________________, assumo o compromisso de manter a confidencialidade de toda documentação, informação e dados a que tenho acesso em razão de minha prestação de serviços objeto de contrato com a Corregedoria-Geral do Distrito Federal, inclusive após o término do contrato. Comprometo-me a guardar sigilo absoluto, e não divulgar, revelar, ou reproduzir, por quaisquer meios, documentações, informações e dados pertencentes à Corregedoria-Geral do Distrito Federal. Estou ciente que o descumprimento deste termo acarretará responsabilização civil e criminal.
________________, _____de __________ de 20____
___________________________________________
Este texto não substitui o publicado no DODF nº 238 de 16/12/2010 p. 24, col. 1
DODF nº 238, seção 1 de 16/12/2010