Instrução Normativa nº 009, de
19.12.2016
|
INSTRUÇÃO NORMATIVA Nº 009, de 19 de dezembro de 2016.
Estabelece critérios e procedimentos para o uso e manuseio de equipamentos e demais recursos computacionais para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.
O SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que lhe conferem o Art. IX, inciso I da Portaria SEFAZ nº 811, de 13 de setembro de 2016.
RESOLVE:
Art. 1o Fica estabelecido critérios e procedimentos para o uso e manuseio de recursos computacionais disponíveis na SEFAZ/TO, assim como o controle, administração e requisitos mínimos.
Art. 2o São diretrizes dos recursos computacionais em geral:
I - Os usuários devem ter acesso unicamente àqueles recursos computacionais que forem indispensáveis à realização de suas atividades;
II - Os usuários utilizaram somente o Sistema de Chamados TI para quaisquer solicitações de manutenção nos equipamentos da SEFAZ/TO ou sistemas;
III - A utilização dos recursos de tecnologia, com finalidade pessoal, é permitida, desde que seja em um nível mínimo obrigatoriamente autorizado pela SPT, que não viole a POSIEC e legislação vigente;
IV - Os usuários são responsáveis pelos recursos computacionais por eles utilizados, devendo preservar a sua integridade e continuidade;
V - Os ambientes onde se encontram instalados ou guardados os recursos computacionais devem permanecer protegidos mesmo na ausência dos usuários;
VI - Todos os equipamentos (estações de trabalho, notebooks, tablets, servidores, impressoras, roteadores, switches e demais dispositivos) devem, obrigatoriamente ter configuração compatível com as regras do domínio SEFAZ/TO.
VII - O usuário deve zelar pela conservação dos equipamentos de informática sob sua responsabilidade, não podendo fumar ou alimentar-se próximo a eles;
VIII - Em caso de dano, inutilização, roubo, furto ou extravio do equipamento, o usuário deverá registrar o boletim de ocorrência para fins cabíveis, se for o caso, e comunicar formalmente a SEFAZ/TO.
IX - A SPT poderá remover sem aviso prévio programas/aplicativos instalados nos equipamentos conectados a rede corporativa que não se enquadre nos critérios estabelecidos nessa norma, sem prejuízo ao procedimento administrativo;
X - Somente os técnicos do suporte de informática e profissionais da SPT, poderão ter credenciais de administrador, necessários ao desempenho de suas atribuições, mediante prévia e indispensável autorização do titular da SPT.
Art. 3o É vedado ao usuário dos recursos computacionais em geral:
I - Utilizar a identificação e/ou senha de outro usuário para acessar ou utilizar um recurso computacional;
II - Utilizar a exploração de falhas de configuração, falhas de segurança ou tentar obter conhecimento de senhas especiais para alterar a configuração de um recurso computacional;
III - O fornecimento de informações a terceiros sobre características, funcionalidades e configurações dos recursos de tecnologia da informação disponíveis, ressalvada os casos em que o desempenho de atividades profissionais assim exigir;
IV - O uso e instalação de softwares sem licença, que possam disponibilizar acessos indevidos a sites bloqueados ou qualquer vantagem de navegação web não permitida;
V - Efetuar réplicas dos softwares adquiridos pela SEFAZ/TO, bem como promover esta prática com outros programas;
VI - Utilizar softwares que, por algum motivo, descaracterizem os propósitos da instituição ou danifique de alguma forma o ambiente instalado, tais como jogos eletrônicos e outros.
VII - Instalar software não autorizados pela SPT mesmo que sejam gratuitos, de domínio público e/ou cópias de demonstração;
VIII - Alterar quaisquer configurações de hardware ou software, inclusive plano de fundo corporativo e layout.
Art. 4o São recursos computacionais específicos:
I - Estações de Trabalho:
a) Estações de trabalho somente devem ser utilizadas para execução de atividades de interesse da SEFAZ/TO;
b) O usuário, sempre que se ausentar da estação de trabalho deve bloqueá-la para impedir o acesso não autorizado;
c) A configuração do ambiente operacional da estação de trabalho somente poderá ser alterada pelo suporte técnico autorizado pela SPT;
d) O usuário é responsável por ligar/desligar sua estação de trabalho de forma adequada e segura;
e) Será penalizado o usuário que deixar ligado sua estação de trabalho no final do horário de expediente, finais de semana e feriados;
f) Caso o usuário identifique a necessidade de alguma atualização deverá comunicar a SPT somente pelo Sistema de Chamados TI;
g) Todas as estações de trabalho deverão possuir o programa de antivírus homologado pela SPT;
h) O usuário deve obrigatoriamente executar o antivírus nos dispositivos removíveis antes de sua abertura quando inseridos na estação de trabalho;
i) O usuário não deve cancelar o processo de verificação de vírus quando este for iniciado automaticamente na sua estação de trabalho;
j) Não é permitida a conexão de estações de trabalho particulares, portáteis ou não, à rede da SEFAZ/TO, exceto em casos de comprovada necessidade, devendo o equipamento ser submetido as regras de domínio SEFAZ/TO;
k) Arquivos salvos na unidade de disco local não terão garantia de recuperação, em caso de necessidade de manutenção e formatação.
l) O compartilhamento de diretórios e arquivos em estações de trabalho somente deve ser realizado quando estritamente necessário para execução das atividades do usuário mediante solicitação formal à SPT, devidamente justificada.
II - Equipamentos Portáteis:
a) Os equipamentos portáteis devem respeitar as mesmas regras estabelecidas para estações de trabalho e deverão logados no domínio SEFAZ;
b) Equipamentos portáteis de propriedade da SEFAZ/TO devem ser guardados em local seguro, com controle de acesso e garantia quanto à sua integridade;
c) Somente técnicos autorizados pela SPT devem configurar os equipamentos portáteis para acesso à rede da SEFAZ/TO;
d) O usuário deve evitar armazenar informações confidenciais em equipamentos portáteis da SEFAZ/TO.
III - Servidores de Aplicações, Redes e Web:
a) Todo equipamento com a função de servidor deve estar instalado em salas seguras apropriadas e construídas para este fim;
b) Somente os técnicos autorizados da SPT deverão ter acesso aos servidores;
c) Todos os servidores devem utilizar os sistemas operacionais licenciados;
d) A atualização dos servidores deverá ser realizada pelos técnicos autorizados da SPT;
e) O controle de acesso aos servidores deverá ser realizado por técnicos autorizados pela SPT.
IV - Servidores de Arquivo:
a) Nos servidores de arquivos devem ser gravados:
· Documentos relacionados ao trabalho cotidiano e à produção jurídica e administrativa local, que demande compartilhamento ou resguardo institucional;
· Pastas particulares de correio eletrônico, exclusivamente das contas corporativas da unidade.
b) As permissões de acesso deverão ser concedidas em nível de grupos;
c) Só será permitido o acesso a qualquer pasta ou arquivo no servidor mediante solicitação formal, pelo responsável do setor;
d) É vedada o acesso ou a exposição de material de natureza pornográfica e racista, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da rede;
e) Não é permitido criar ou remover arquivos fora da área alocada ao usuário ou que venham a comprometer o desempenho e funcionamento dos sistemas;
f) É vedada a gravação de dados e informações de natureza particular;
g) É obrigatório armazenar os arquivos inerentes ao serviço de cada setor em suas respectivas pastas para garantir o backup dos mesmos;
h) Deverão ser gravados no servidor apenas documentos de interesse da instituição;
i) Documentos de interesse dos departamentos deverão ser criados ou compartilhados na estrutura departamental;
j) Identificada ocorrência em desacordo com o disposto nos artigos antecedentes, a SPT poderá, após notificar o responsável e resguardar as evidências necessárias, excluir ou isolar arquivos, revogar acessos ou requisitar o equipamento, relatando o fato imediatamente à autoridade responsável pela apuração da infração;
k) O compartilhamento deve ser restrito aos diretórios necessários, nunca compartilhando o diretório raiz.
V - Ativos de Rede:
a) As portas dos switches somente devem estar ativas se utilizadas e inventariadas;
b) Os switches e access points devem possuir controle de acesso;
c) Todo roteador utilizado na rede da SEFAZ/TO deve prover, no mínimo, o uso de ACLs (Access lists) e o filtro de pacotes;
d) Todo ativo de rede deve estar em local seguro. Os switches departamentais devem estar instalados em racks devidamente fechados e seguros;
e) Os ativos de rede só podem ser instalados na rede da SEFAZ/TO após a sua adequação aos padrões de segurança definidos pela SPT;
f) Os ativos de rede somente devem ser liberados para uso após a efetiva homologação, realizada em ambiente apropriado, distinto do ambiente de produção, e devidamente documentado;
g) As intervenções no ambiente de rede somente serão permitidas mediante supervisão pelos técnicos autorizados pela SPT;
h) Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta;
i) Profissionais técnicos no exercício de suas funções, não devem utilizar a rede de dados da SEFAZ/TO para testes, devendo para isto a SEFAZ/TO, prover segmento de rede independente;
j) A SEFAZ/TO reserva o direito de realizar investigações em quaisquer dos equipamentos que integrem a sua rede local.
VI - Rede Sem Fio:
a) A utilização da rede sem fio para acesso à rede da SEFAZ/TO somente será efetuada com autenticação utilizando mecanismos de protocolo seguro;
b) Qualquer equipamento que utilize a rede sem fio da SEFAZ/TO deve respeitar as regras estabelecidas para estações de trabalho e notebooks, inclusive, os equipamentos particulares;
c) Somente os técnicos autorizados da SPT devem estabelecer os procedimentos e configurações de segurança de rede sem fio;
d) A SPT deve verificar a adequação das Estações de Trabalho e instruir os usuários sobre os procedimentos para acesso à rede sem fio de acordo com os requisitos estabelecidos.
VII - Impressoras:
a) Somente os usuários previamente autorizados poderão ter acesso aos recursos de impressão;
b) A configuração da impressora na estação de trabalho do usuário somente deverá ser realizada pelo suporte técnico autorizados pela SPT;
c) É vedada o uso dos recursos de impressão da SEFAZ/TO para para fins particulares;
d) Os usuários não devem deixar informações críticas, sigilosas ou sensíveis da instituição em equipamentos de impressão, de tal forma que pessoas não autorizadas possam obter acesso a elas.
VIII - Utilização de Softwares:
a) só será permitida a utilização de softwares homologados pela SPT, respeitando os direitos autorais e contratuais dos fabricantes, e que sejam necessários para a execução das atividades dos usuários;
b) O registro dos softwares homologados, do número de licenças disponíveis e dos softwares instalados nas estações de trabalho deve ser mantido atualizado pela SPT;
c) Perante a necessidade de teste de software não homologado, a chefia imediata deverá solicitar formalmente à SPT a homologação do mesmo contendo os seguintes itens:
· Especificações detalhadas do software solicitado;
· Quantidade de licenças;
· Suporte ao software (necessidade de suporte);
· Justificativa.
d) O processo de homologação de software deve avaliar, sobretudo, o impacto da utilização deste na segurança da informação da SEFAZ/TO e o suporte para o mesmo;
e) A instalação e a utilização de software estão sujeitas ao cumprimento dos seguintes requisitos:
· Quantidades de licenças de uso adquiridos;
· Conformidade com a área de atuação do setor interessado;
· Compatibilidade com os softwares utilizados;
· Desempenho do ambiente computacional;
· Impacto entre a necessidade de instalação e a demanda de outros setores.
IX - Manutenção e suporte:
a) Toda solicitação de atendimento para instalação, suporte e configuração dos recursos computacionais deve ser efetuada mediante Sistema de Chamados TI;
b) A equipe de atendimento deve estar devidamente identificada para a execução dos serviços de suporte técnico;
c) Nas dependências físicas da SEFAZ/TO somente é permitida a execução dos serviços de suporte técnico nos equipamentos de propriedade da instituição ou cedidos formalmente, sendo proibida a assistência técnica em equipamentos particulares;
d) O usuário deve acompanhar o técnico durante a manutenção da sua estação de trabalho;
e) Todo equipamento que tiver a necessidade de ser deslocado para manutenção ou configuração, deverá estar devidamente identificado e embalado;
f) O usuário deve estar ciente da saída do equipamento de seu local de trabalho caso seja necessária a retirada do mesmo para manutenção;
g) Todo recurso computacional que sair das dependências físicas da SEFAZ/TO por motivo de manutenção deverá ser registrado pelo responsável da unidade e deverá ter suas informações institucionais críticas previamente excluídas;
h) A saída do equipamento deverá ser autorizada pela SPT, exceto equipes de suporte ou manutenção de rede da SPT;
i) O usuário deve manter o número, do registro do chamado ou número do documento de solicitação formal, do pedido de suporte por ele realizado para controle e acompanhamento do respectivo chamado.
j) Controle e Administração de Recursos Computacionais
k) Todo recurso computacional deve ser identificado e inventariado;
l) Os recursos computacionais que não são de propriedade da SEFAZ/TO devem ser devidamente identificados na entrada e saida das dependencias da SEFAZ;
m)A SPT deve garantir a qualidade e disponibilidade dos serviços, identificando e informando a necessidade de aquisição de novos recursos de informática;
n) Novas implementações, alterações e atualizações de recursos computacionais devem ser homologadas antecipadamente pela SPT;
o) Os recursos computacionais devem ser monitorados e administrados pela SPT;
Art. 5o É vedada a conexão de dispositivos não autorizados pela SPT na rede local, especialmente equipamentos de rede sem fio ou qualquer outra solução que estabeleça conexão simultânea com a rede de dados da SEFAZ/TO e outras redes.
Art. 6o Em casos justificados a SEFAZ/TO deve prover segmento de rede independente, de forma a permitir o compartilhamento de sua infraestrutura de TI sem o comprometimento do desempenho e da segurança da rede local, previamente autorizado pela SPT.
Art. 7o A instalação de novas redes no domínio da SEFAZ/TO deverá ter links próprios. Para tanto, a SEFAZ/TO deverá prover ambiente de segmentação de redes por VLANs de forma a permitir o compartilhamento sem o comprometimento do desempenho e da segurança.
Art. 8º Esta Instrução Normativa entra em vigor na data de sua publicação.
EDES DIVINO DE OLIVEIRA
Superintendente de Projetos Tecnológicos