Instrução Normativa nº 009, de 19.12.2016
imprimir
VOLTAR

INSTRUÇÃO NORMATIVA Nº 009, de 19 de dezembro de 2016.

 

Estabelece critérios e procedimentos para o uso e manuseio de equipamentos e demais recursos computacionais para efeitos da Política de Segurança da Informação, Equipamentos e das Comunicações - POSIEC.

 

 

O SUPERINTENDENTE DE PROJETOS TECNOLÓGICOS, no uso das atribuições que lhe conferem o Art. IX, inciso I da Portaria SEFAZ nº 811, de 13 de setembro de 2016.

 

RESOLVE:

 

Art. 1o Fica estabelecido critérios e procedimentos para o uso e manuseio de recursos computacionais disponíveis na SEFAZ/TO, assim como o controle, administração e requisitos mínimos.

 

Art. 2o São diretrizes dos recursos computacionais em geral:

 

I -    Os usuários devem ter acesso unicamente àqueles recursos computacionais que forem indispensáveis à realização de suas atividades;

 

II -   Os usuários utilizaram somente o Sistema de Chamados TI para quaisquer solicitações de manutenção nos equipamentos da SEFAZ/TO ou sistemas;

 

III - A utilização dos recursos de tecnologia, com finalidade pessoal, é permitida, desde que seja em um nível mínimo obrigatoriamente autorizado pela SPT, que não viole a POSIEC e legislação vigente;

 

IV - Os usuários são responsáveis pelos recursos computacionais por eles utilizados, devendo preservar a sua integridade e continuidade;

 

V -   Os ambientes onde se encontram instalados ou guardados os recursos computacionais devem permanecer protegidos mesmo na ausência dos usuários;

 

VI - Todos os equipamentos (estações de trabalho, notebooks, tablets, servidores, impressoras, roteadores, switches e demais dispositivos) devem, obrigatoriamente ter configuração compatível com as regras do domínio SEFAZ/TO.

 

VII -            O usuário deve zelar pela conservação dos equipamentos de informática sob sua responsabilidade, não podendo fumar ou alimentar-se próximo a eles;

 

VIII -    Em caso de dano, inutilização, roubo, furto ou extravio do equipamento, o usuário deverá registrar o boletim de ocorrência para fins cabíveis, se for o caso, e comunicar formalmente a SEFAZ/TO.

 

IX - A SPT poderá remover sem aviso prévio programas/aplicativos instalados nos equipamentos conectados a rede corporativa que não se enquadre nos critérios estabelecidos nessa norma, sem prejuízo ao procedimento administrativo;

 

X -   Somente os técnicos do suporte de informática e profissionais da SPT, poderão ter credenciais de administrador, necessários ao desempenho de suas atribuições, mediante prévia e indispensável autorização do titular da SPT.

 

Art. 3o É vedado ao usuário dos recursos computacionais em geral:

 

I -    Utilizar a identificação e/ou senha de outro usuário para acessar ou utilizar um recurso computacional;

 

II -   Utilizar a exploração de falhas de configuração, falhas de segurança ou tentar obter conhecimento de senhas especiais para alterar a configuração de um recurso computacional;

 

III - O fornecimento de informações a terceiros sobre características, funcionalidades e configurações dos recursos de tecnologia da informação disponíveis, ressalvada os casos em que o desempenho de atividades profissionais assim exigir;

 

IV - O uso e instalação de softwares sem licença, que possam disponibilizar acessos indevidos a sites bloqueados ou qualquer vantagem de navegação web não permitida;

 

V -   Efetuar réplicas dos softwares adquiridos pela SEFAZ/TO, bem como promover esta prática com outros programas;

 

VI - Utilizar softwares que, por algum motivo, descaracterizem os propósitos da instituição ou danifique de alguma forma o ambiente instalado, tais como jogos eletrônicos e outros.

 

VII -            Instalar software não autorizados pela SPT mesmo que sejam gratuitos, de domínio público e/ou cópias de demonstração;

 

VIII -    Alterar quaisquer configurações de hardware ou software, inclusive plano de fundo corporativo e layout.

 

Art. 4o São recursos computacionais específicos:

 

I -       Estações de Trabalho:

 

a)         Estações de trabalho somente devem ser utilizadas para execução de atividades de interesse da SEFAZ/TO;

b)        O usuário, sempre que se ausentar da estação de trabalho deve bloqueá-la para impedir o acesso não autorizado;

c)         A configuração do ambiente operacional da estação de trabalho somente poderá ser alterada pelo suporte técnico autorizado pela SPT;

d)        O usuário é responsável por ligar/desligar sua estação de trabalho de forma adequada e segura;

e)        Será penalizado o usuário que deixar ligado sua estação de trabalho no final do horário de expediente, finais de semana e feriados;

f)          Caso o usuário identifique a necessidade de alguma atualização deverá comunicar a SPT somente pelo Sistema de Chamados TI;

g)        Todas as estações de trabalho deverão possuir o programa de antivírus homologado pela SPT;

h)        O usuário deve obrigatoriamente executar o antivírus nos dispositivos removíveis antes de sua abertura quando inseridos na estação de trabalho;

i)          O usuário não deve cancelar o processo de verificação de vírus quando este for iniciado automaticamente na sua estação de trabalho;

j)          Não é permitida a conexão de estações de trabalho particulares, portáteis ou não, à rede da SEFAZ/TO, exceto em casos de comprovada necessidade, devendo o equipamento ser submetido as regras de domínio SEFAZ/TO;

k)         Arquivos salvos na unidade de disco local não terão garantia de recuperação, em caso de necessidade de manutenção e formatação.

l)          O compartilhamento de diretórios e arquivos em estações de trabalho somente deve ser realizado quando estritamente necessário para execução das atividades do usuário mediante solicitação formal à SPT, devidamente justificada.

 

II -     Equipamentos Portáteis:

 

a)      Os equipamentos portáteis devem respeitar as mesmas regras estabelecidas para estações de trabalho e deverão logados no domínio SEFAZ;

b)      Equipamentos portáteis de propriedade da SEFAZ/TO devem ser guardados em local seguro, com controle de acesso e garantia quanto à sua integridade;

c)      Somente técnicos autorizados pela SPT devem configurar os equipamentos portáteis para acesso à rede da SEFAZ/TO;

d)      O usuário deve evitar armazenar informações confidenciais em equipamentos portáteis da SEFAZ/TO.

 

III -    Servidores de Aplicações, Redes e Web:

 

a)       Todo equipamento com a função de servidor deve estar instalado em salas seguras apropriadas e construídas para este fim;

b)       Somente os técnicos autorizados da SPT deverão ter acesso aos servidores;

c)      Todos os servidores devem utilizar os sistemas operacionais licenciados;

d)      A atualização dos servidores deverá ser realizada pelos técnicos autorizados da SPT;

e)      O controle de acesso aos servidores deverá ser realizado por técnicos autorizados pela SPT.

 

IV -    Servidores de Arquivo:

 

a)    Nos servidores de arquivos devem ser gravados:

 

·  Documentos relacionados ao trabalho cotidiano e à produção jurídica e administrativa local, que demande compartilhamento ou resguardo institucional;

·  Pastas particulares de correio eletrônico, exclusivamente das contas corporativas da unidade.

 

b)     As permissões de acesso deverão ser concedidas em nível de grupos;

c)      Só será permitido o acesso a qualquer pasta ou arquivo no servidor mediante solicitação formal, pelo responsável do setor;

d)     É vedada o acesso ou a exposição de material de natureza pornográfica e racista, armazenado, distribuído, editado ou gravado através do uso dos recursos computacionais da rede;

e)     Não é permitido criar ou remover arquivos fora da área alocada ao usuário ou que venham a comprometer o desempenho e funcionamento dos sistemas;

f)      É vedada a gravação de dados e informações de natureza particular;

g)     É obrigatório armazenar os arquivos inerentes ao serviço de cada setor em suas respectivas pastas para garantir o backup dos mesmos;

h)     Deverão ser gravados no servidor apenas documentos de interesse da instituição;

i)       Documentos de interesse dos departamentos deverão ser criados ou compartilhados na estrutura departamental;

j)      Identificada ocorrência em desacordo com o disposto nos artigos antecedentes, a SPT poderá, após notificar o responsável e resguardar as evidências necessárias, excluir ou isolar arquivos, revogar acessos ou requisitar o equipamento, relatando o fato imediatamente à autoridade responsável pela apuração da infração;

k)     O compartilhamento deve ser restrito aos diretórios necessários, nunca compartilhando o diretório raiz.

 

V -      Ativos de Rede:

 

a)     As portas dos switches somente devem estar ativas se utilizadas e inventariadas;

b)     Os switches e access points devem possuir controle de acesso;

c)      Todo roteador utilizado na rede da SEFAZ/TO deve prover, no mínimo, o uso de ACLs (Access lists) e o filtro de pacotes;

d)     Todo ativo de rede deve estar em local seguro. Os switches departamentais devem estar instalados em racks devidamente fechados e seguros;

e)     Os ativos de rede só podem ser instalados na rede da SEFAZ/TO após a sua adequação aos padrões de segurança definidos pela SPT;

f)      Os ativos de rede somente devem ser liberados para uso após a efetiva homologação, realizada em ambiente apropriado, distinto do ambiente de produção, e devidamente documentado;

g)     As intervenções no ambiente de rede somente serão permitidas mediante supervisão pelos técnicos autorizados pela SPT;

h)     Não são permitidas tentativas de obter acesso não autorizado, tais como tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta;

i)       Profissionais técnicos no exercício de suas funções, não devem utilizar a rede de dados da SEFAZ/TO para testes, devendo para isto a SEFAZ/TO, prover segmento de rede independente;

j)      A SEFAZ/TO reserva o direito de realizar investigações em quaisquer dos equipamentos que integrem a sua rede local.

 

VI -    Rede Sem Fio:

 

a)     A utilização da rede sem fio para acesso à rede da SEFAZ/TO somente será efetuada com autenticação utilizando mecanismos de protocolo seguro;

b)     Qualquer equipamento que utilize a rede sem fio da SEFAZ/TO deve respeitar as regras estabelecidas para estações de trabalho e notebooks, inclusive, os equipamentos particulares;

c)      Somente os técnicos autorizados da SPT devem estabelecer os procedimentos e configurações de segurança de rede sem fio;

d)     A SPT deve verificar a adequação das Estações de Trabalho e instruir os usuários sobre os procedimentos para acesso à rede sem fio de acordo com os requisitos estabelecidos.

 

VII -  Impressoras:

 

a)     Somente os usuários previamente autorizados poderão ter acesso aos recursos de impressão;

b)     A configuração da impressora na estação de trabalho do usuário somente deverá ser realizada pelo suporte técnico autorizados pela SPT;

c)      É vedada o uso dos recursos de impressão da SEFAZ/TO para para fins particulares;

d)     Os usuários não devem deixar informações críticas, sigilosas ou sensíveis da instituição em equipamentos de impressão, de tal forma que pessoas não autorizadas possam obter acesso a elas.

 

VIII - Utilização de Softwares:

 

a)     só será permitida a utilização de softwares homologados pela SPT, respeitando os direitos autorais e contratuais dos fabricantes, e que sejam necessários para a execução das atividades dos usuários;

b)     O registro dos softwares homologados, do número de licenças disponíveis e dos softwares instalados nas estações de trabalho deve ser mantido atualizado pela SPT;

c)      Perante a necessidade de teste de software não homologado, a chefia imediata deverá solicitar formalmente à SPT a homologação do mesmo contendo os seguintes itens:

 

·         Especificações detalhadas do software solicitado;

·         Quantidade de licenças;

·         Suporte ao software (necessidade de suporte);

·         Justificativa.

 

d)     O processo de homologação de software deve avaliar, sobretudo, o impacto da utilização deste na segurança da informação da SEFAZ/TO e o suporte para o mesmo;

e)     A instalação e a utilização de software estão sujeitas ao cumprimento dos seguintes requisitos:

 

·   Quantidades de licenças de uso adquiridos;

·   Conformidade com a área de atuação do setor interessado;

·   Compatibilidade com os softwares utilizados;

·   Desempenho do ambiente computacional;

·   Impacto entre a necessidade de instalação e a demanda de outros setores.

 

IX -        Manutenção e suporte:

 

a)  Toda solicitação de atendimento para instalação, suporte e configuração dos recursos computacionais deve ser efetuada mediante Sistema de Chamados TI;

b)  A equipe de atendimento deve estar devidamente identificada para a execução dos serviços de suporte técnico;

c)  Nas dependências físicas da SEFAZ/TO somente é permitida a execução dos serviços de suporte técnico nos equipamentos de propriedade da instituição ou cedidos formalmente, sendo proibida a assistência técnica em equipamentos particulares;

d)  O usuário deve acompanhar o técnico durante a manutenção da sua estação de trabalho;

e)  Todo equipamento que tiver a necessidade de ser deslocado para manutenção ou configuração, deverá estar devidamente identificado e embalado;

f)   O usuário deve estar ciente da saída do equipamento de seu local de trabalho caso seja necessária a retirada do mesmo para manutenção;

g)  Todo recurso computacional que sair das dependências físicas da SEFAZ/TO por motivo de manutenção deverá ser registrado pelo responsável da unidade e deverá ter suas informações institucionais críticas previamente excluídas;

h)  A saída do equipamento deverá ser autorizada pela SPT, exceto equipes de suporte ou manutenção de rede da SPT;

i)     O usuário deve manter o número, do registro do chamado ou número do documento de solicitação formal, do pedido de suporte por ele realizado para controle e acompanhamento do respectivo chamado.

j)    Controle e Administração de Recursos Computacionais

k)  Todo recurso computacional deve ser identificado e inventariado;

l)    Os recursos computacionais que não são de propriedade da SEFAZ/TO devem ser devidamente identificados na entrada e saida das dependencias da SEFAZ;

m)A SPT deve garantir a qualidade e disponibilidade dos serviços, identificando e informando a necessidade de aquisição de novos recursos de informática;

n)  Novas implementações, alterações e atualizações de recursos computacionais devem ser homologadas antecipadamente pela SPT;

o)  Os recursos computacionais devem ser monitorados e administrados pela SPT;

 

Art. 5o É vedada a conexão de dispositivos não autorizados pela SPT na rede local, especialmente equipamentos de rede sem fio ou qualquer outra solução que estabeleça conexão simultânea com a rede de dados da SEFAZ/TO e outras redes.

 

Art. 6o Em casos justificados a SEFAZ/TO deve prover segmento de rede independente, de forma a permitir o compartilhamento de sua infraestrutura de TI sem o comprometimento do desempenho e da segurança da rede local, previamente autorizado pela SPT.

 

Art. 7o A instalação de novas redes no domínio da SEFAZ/TO deverá ter links próprios. Para tanto, a SEFAZ/TO deverá prover ambiente de segmentação de redes por VLANs de forma a permitir o compartilhamento sem o comprometimento do desempenho e da segurança.

 

Art. 8º Esta Instrução Normativa entra em vigor na data de sua publicação.

 

 

EDES DIVINO DE OLIVEIRA

Superintendente de Projetos Tecnológicos