Resolução nº 46, de 18 de outubro de 2011
Revogada pela a Resolução nº 09, de 10 de janeiro de 2019, publicada no Boletim de Serviços nº 02, na data de 11/01/2019. |
Aprova a Política de Segurança da Informação. |
O Reitor Pro Tempore do Instituto Federal de Educação, Ciência e Tecnologia do Acre, no uso de suas atribuições legais, conferidas pela Portaria Ministerial nº 1.337, de 19.11.2010, publicada no D.O.U. Nº 222, Seção 2, página 13, de 22.11.2010, e tendo em vista a decisão do Comitê Gestor de TI, e CONSIDERANDO:
a) a realidade em que se insere o Instituto Federal do Acre como participante da rede mundial de computadores;
b) os princípios que norteiam a administração pública, principalmente no que tange à moralidade e à eficiência;
c) que o alto investimento realizado na aquisição de equipamentos, sistemas e em treinamento de pessoal visa à melhoria na prestação dos serviços de ensino;
d) que o uso indevido da rede de computadores, em especial para acesso a sítios que não se relacionam com as atividades fins do Instituto Federal do Acre, sobrecarrega o sistema, fazendo com que o tempo de resposta dos serviços colocados à disposição dos usuários fique muito aquém do desejado;
e) a necessidade de divulgar a política de utilização da rede, equipamentos e os sistemas do Instituto Federal do Acre;
RESOLVE:
Art. 1º. Aprovar Política de Segurança da Informação
Art. 2º. Os equipamentos de informática, disponibilizados nas diversas áreas, destinam-se, exclusivamente, à realização das atividades inerentes aos serviços desta instituição.
§ 1º A Política de Segurança da Informação:
I - é constituída por um conjunto de diretrizes e normas que estabelecem os princípios de proteção, controle e monitoramento das informações processadas, armazenadas ou custodiadas pelo IFAC;
II - é aplicável a todos os bens e serviços e a todo o pessoal que se utiliza dos Recursos de Tecnologia da Informação - RTI, no âmbito do IFAC.
§ 2º. Para fins desta instrução, considera-se Segurança da Informação o conjunto de políticas, normas e procedimentos que objetivam o controle de acesso, a preservação da autenticidade, confiabilidade, confidencialidade, disponibilidade, privacidade, integridade dos dados e responsabilidade das informações e dos RTI.
§ 3º. A Diretoria de Tecnologia da Informação – DRTI procederá o bloqueio do acesso ou cancelamento da conta de usuário caso seja detectado uso em desconformidade com o estabelecido nesta política e será aplicado as sanções estabelecidas no Capitulo XII das Sanções Administrativas.
Art. 3º. Os parâmetros de configuração dos computadores serão definidos pela DRTI, tendo em vista os requisitos de segurança, estabilidade, confiabilidade e padronização do ambiente computacional do IFAC.
§ 1º. Incluem-se nas definições os serviços disponíveis por meio da internet e intranet.
§ 2º. Não serão autorizadas modificações efetuadas em parâmetros dissonantes das definições estabelecidas.
Art. 4º. O acesso aos recursos da rede de computadores é garantido a todos os servidores, alunos do Instituto Federal do Acre e colaboradores autorizados, com as limitações inerentes ao cargo e a unidade de lotação.
§ 1º. Será concedida permissão de acesso aos recursos da rede de computadores a estagiários e funcionários de empresas contratadas pelo Órgão, mediante solicitação formal dos titulares das unidades onde estejam lotados, com limitações às necessidades do serviço.
§ 2º. As permissões de acesso a cada recurso deverão ser retiradas por solicitação do responsável pela unidade de lotação do servidor, dos estagiários e dos funcionários de empresas contratadas, quando não utilizadas devidamente ou quando desligados dos quadros do Instituto Federal do Acre.
Art. 5º. Não é permitido acesso sem autorização aos recursos da rede de computadores, bem como tentativas de fraudar autenticação de usuário ou segurança de qualquer servidor, rede ou conta.
Art. 6º. O acesso à Internet/Intranet e o envio e recebimento de correio eletrônico por meio dos equipamentos e serviços do Instituto Federal do Acre destinam-se, exclusivamente, às necessidades do serviço.
Art. 7º. O servidor que apagar, destruir ou modificar programas ou arquivos de sistemas ou, de qualquer forma, inutilizar, total ou parcialmente equipamentos RTI, ou ainda, fizer uso, de forma indevida ou não autorizada, dos equipamentos de informática terá seu acesso ao serviço de redes de comunicação de dados suspenso, seguido das demais sanções administrativas, civis e penais, conforme o caso.
Art. 8º. A suspensão será comunicada ao superior imediato do usuário, através de notificação, e o seu restabelecimento somente ocorrerá mediante análise do Comitê Gestor de T.I.;
Art. 9º. É proibida a exploração de falhas ou vulnerabilidades porventura existentes nos ativos de informação do Instituto Federal do Acre.
Art. 10. Os casos omissos e necessários ao bom tráfego de informações na rede de computadores do Instituto Federal do Acre serão cuidadosamente analisados pela DRTI que, em qualquer caso, procederá sem violação dos preceitos legais e desta Resolução.
Art. 11. Esta Resolução entra em vigor na data de sua publicação.
MARCELO MINGHELLI
Reitor Pro Tempore
ANEXO I
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO INSTITUTO FEDERAL DO ACRE - PSI/IFAC
CAPITULO I
DO ACESSO AOS SERVIÇOS
Art. 1º. A DRTI disponibiliza vários serviços de rede ao usuário, sendo que, para obter acesso, é necessário a criação de contas de acesso, que serão compostas por um usuário (nome de usuário) e uma senha de uso pessoal e intransferível.
§ 1º. Fica a critério da DRTI a criação das contas de usuários para todos os sistemas de acordo com o seguinte padrão:
- O nome de usuário será composto pelo primeiro nome e pelo último sobrenome, separados por um ponto (.). Se o sistema acusar a existência deste nome de usuário será usado a primeira letra de outro sobrenome (ou nome do meio) seguido do ultimo sobrenome e assim por diante. Exemplo: Para o servidor Fulano Rosário dos Ventos, será criado o usuário fulano.ventos. Caso já exista este nome de usuario, será então criado fulano.rventos.
- Será criada uma senha expirada para o usuário, que deverá ser alterada na primeira utilização. Para alteração da senha de cada serviço o servidor deverá consultar os tutoriais disponíveis no portal do IFAC na área específica da DRTI. A nova senha deverá seguir o padrão descrito na política de senhas.
Art. 2º. O acesso aos serviços deverá ser solicitada pela chefia imediata, através do sistema de Helpdesk para a criação dos novos usuários. O servidor que desejar acesso a estes serviços deverá solicitar à sua chefia imediata que requisite através do Sistema de Helpdesk a criação de uma conta. A solicitação de criação de novos usuários deverá conter as seguintes informações: Nome completo do Servidor em questão, data de nascimento, CPF, cargo e local de lotação. As informações referentes a login e senha dos usuários serão repassadas através do chamado criado no Sistema de Helpdesk.
Seção I
Políticas de Senhas
Art. 3º. As responsabilidades do usuário incluem, principalmente, os cuidados para a manutenção da segurança dos recursos, tais como sigilo da senha e o monitoramento de sua conta, evitando sua utilização indevida. As senhas são sigilosas, individuais e intransferíveis, não podendo ser divulgadas em nenhuma hipótese. Tudo que for executado com a sua senha de usuário da rede ou de outro sistema será de inteira responsabilidade do usuário.
§ 1º. Manter sob sua guarda sua senha pessoal, evitando deixá-la a vista ou repassá-la a outras pessoas, sendo de sua responsabilidade o mau uso desta por qualquer pessoa;
§ 2º. Não utilizar quaisquer programas ou dispositivos para interceptar ou decodificar senhas ou similares;
§ 3º. Não utilizar senhas de terceiros obtidos por quaisquer meio;
§ 4º. A alteração de senhas deverá obedecer aos seguintes critérios:
II. A senha não deve conter partes do nome da pessoa ou dados pessoais como data de nascimento, CPF ou RG;
III. A senha poderá ser composta por uma combinação de letras maiúsculas, minúsculas, numerais e caracteres especiais.
§ 5º A senha deverá ser redefinida pelo menos a cada seis meses, para usuários comuns. As senhas devem ser bloqueadas após 5 (cinco) tentativas sem sucesso, sendo que, o administrador da rede e o usuário devem ser notificados sobre estas tentativas.
§ 6º. Para mais dicas sobre como criar senhas seguras acesse o seguinte documento: http://www.csirt.pop- mg.rnp.br/docs/senhas.pdf.
CAPITULO II
DA POLÍTICA DE UTILIZAÇÃO DE CORREIO ELETRÔNICO (EMAIL)
Art. 4º. Esse tópico visa definir as normas de utilização de e-mail que engloba desde o envio, recebimento e gerenciamento das contas de e-mail, devendo ser observadas pelos servidores, alunos e colaboradores.
§ 1º. Os serviços de e-mail do IFAC são caracterizados como um recurso profissional para apoiar os usuários cadastrados no cumprimento dos objetivos institucionais.
§ 2º. O e-mail deve ser utilizado de forma consciente, evitando qualquer tipo de perturbação a outras pessoas, seja através da linguagem utilizada, freqüência ou tamanho das mensagens.
Art. 5º. O envio de e-mails a listas de distribuição deverá atender ao interesse de seus componentes, a ser utilizado de forma criteriosa e restrita.
Art. 6º. No recebimento de e-mails, o Instituto Federal do Acre fará uso de ferramentas especializadas a fim de reduzir a incidência de spams, e de remover qualquer conteúdo considerado impróprio ou indevido
§ 1º. É proibido o envio de grande quantidade de mensagens de e-mail (spam) que, de acordo com a capacidade técnica da Rede, seja prejudicial ou gere reclamações de outros usuários. Isso inclui qualquer tipo de mala direta, como: publicidade, comercial ou não, anúncios e informativos, propaganda política, correntes, e-mail de cunho religioso, conteúdo racista ou qualquer outro conteúdo que não seja de cunho do IFAC.
§ 2º. É proibido o envio de e-mail mal-intencionado ou sobrecarregar um usuário, site ou servidor de e- mail (equipamento) com e-mail muito extenso ou numeroso parte de e-mail.
Art. 7º. A privacidade no acesso à Internet/Intranet e no uso do correio eletrônico é garantida, mas os endereços acessados serão registrados, e o conteúdo das mensagens poderá ser rastreado ou varrido, de forma automática, por softwares especiais para verificar a adequação de seu conteúdo às normas estabelecidas nesta Resolução.
Art. 8º. O envio de mensagens, imagens ou notas a todos os componentes da lista de endereços do Instituto Federal do Acre fica restrito a assuntos de interesse geral dos servidores, sendo seu conteúdo de responsabilidade das unidades credenciadas na DRTI, para tal finalidade.
§ 1º. Poderá ser criada lista parcial de destinatários, desde que o conteúdo das mensagens, das imagens ou das notas enviadas seja compatível com as atribuições do servidor.
§ 2º. Cabe à DRTI estipular os limites de utilização do correio eletrônico necessários para o bom funcionamento do serviço, incluídos os de quantidade de destinatários, tamanho máximo das mensagens enviadas e da caixa postal e tipos permitidos de arquivos anexos.
Art. 9º. É vedado aos servidores, prestadores de serviço e estagiários passar ou repassar mensagens ofensivas à honra de pessoas, órgãos ou instituições públicas e privadas, sob pena de sofrer sanções administrativas e penais.
Art. 10. Melhores práticas
§ 1º. O uso do correio eletrônico está restrito a funções e atividades inerentes as atividades laborais do Instituto Federal do Acre.
§ 2º. Os documentos oficiais devem, sempre que possível, ser enviados em formato PDF ou ODT.
§ 3º. Eliminar periodicamente as mensagens contidas nas caixas postais;
§ 4º Não permitir acesso de terceiros à sua conta de correio eletrônico;
§ 5º Atualizar seus dados cadastrais utilizando os meios disponíveis.
§ 6º Somente clientes de correio eletrônico homologados pela DRTI devem ser utilizados.
§ 7º O campo de cópia oculta (BCC/CCO) do cliente de correio eletrônico deve ser usado, preferencialmente, sempre que for enviada uma mensagem para mais de um destinatário.
§ 8º Não será permitido o uso do correio eletrônico funcional em Listas de Discussão com assuntos não relacionados à atividade profissional.
CAPITULO III
DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO – RTI
Art. 11. A Diretoria Sistêmica de Tecnologia da Informação - DRTI se reserva o direito de monitorar o tráfego e o conteúdo das redes de comunicação do IFAC.
§ 1º. A DRTI é também responsável:
- Pela aplicação e fiscalização da Política de Segurança da Informação no IFAC;
- Por implementar, por meio da expedição de atos normativos complementares, a aplicação dessa política.
§ 2º. Toda solicitação de suporte (Instalação, prevenção e correção) ao usuário deverá ser feita através de um serviço Web para abertura e acompanhamento de chamados, além da definição de Acordos de Nível
de Serviço - SLA (Service Level Agreement) - fixando prazos de atendimento (TA) e de solução (TS) das requisições.
§ 3º. Fica terminantemente proibido a alteração e/ou mudança de lugar ou setor de qualquer equipamento que constituem os recursos tecnológicos desta instituição sem autorização prévia.
§ 4º. Fica assegurada a DRTI na intervenção e atendimento das requisições registradas, a utilização de meios tecnológicos que assegurem resolução do problema mais rapidamente, com menor esforço administrativo, tais como funções ou softwares de acesso remoto, i.e. Assistência Remota, com expressa anuência do usuário solicitante.
§ 5º. A DRTI fica responsável unicamente pela manutenção dos RTI pertencentes ao Instituto, não prestando nenhum tipo de suporte a equipamentos de uso pessoal (notebooks, computadores, equipamentos de rede e etc).
§ 6º. Fica desautorizado que qualquer servidor do IFAC preste suporte técnico em equipamentos de uso particular ou institucional dentro do Instituto.
Art. 12. Todos os equipamentos ligados à rede devem obedecer a padrões de instalação, de designação de endereços e domínio, portanto, uma vez aprovada a solicitação, será realizada a adição do equipamento pela DRTI.
Art. 13. Na utilização dos RTIs do IFAC, o usuário deve, obrigatoriamente:
§ 1º. Zelar pelos RTIs que utiliza, conservando suas características físicas ou componentes integrantes da rede;
§ 2º. Não prejudicar deliberadamente o uso dos RTIs do IFAC seja por meio de software, de hardware ou ação direta na rede;
§ 3º. Ao utilizar as facilidades da conexão com a Internet, fazê-lo de forma adequada, considerando que tal recurso está disponível ao usuário para fins acadêmicos, científicos e/ou administrativos;
§ 4º. Não formatar qualquer equipamento do IFAC ou reinstalar seu sistema operacional sem autorização da DRTI ou do setor local de suporte;
§ 5º. Não remover ou modificar, de qualquer equipamento do IFAC, qualquer configuração do sistema operacional e/ou software responsável pela manutenção da integridade do próprio equipamento ou da rede, como firewall, acesso a domínio, antivírus, clientes de monitoramento e outros;
§ 6º. Não adicionar à rede do IFAC quaisquer RTIs que possam interferir de alguma forma no desempenho ou na segurança da rede, como notebooks, pontos de acesso wireless, computadores novos, impressoras de rede, sem autorização da DRTI ou do setor local de suporte;
§ 7º. Caso autorizado o uso de RTIs particulares na rede institucional, obedecerão as normas estabelecidas pela DRTI.
§ 8º. Não instalar, copiar e/ou utilizar softwares proprietários sem o devido licenciamento e autorização da DRTI em qualquer equipamento do IFAC;
§ 9º. Não permitir acesso a qualquer RTI do IFAC por pessoas não autorizadas;
§ 10. Não criar ou propagar vírus, mensagens em massa (spams) e similares que venham danificar ou interferir de qualquer forma nos RTIs do IFAC ou externos à instituição;
§ 11. Não acessar de forma deliberada áreas em disco ou memória de qualquer RTI do IFAC, principalmente de máquinas servidoras de responsabilidade da DRTI, que sejam de acesso restrito;
§ 12. Não utilizar os RTIs para o monitoramento não autorizado de mensagens eletrônicas ou de quaisquer transmissões de dados;
§ 13. Não utilizar os RTIs em atividades particulares de forma que possa prejudicar suas atividades profissionais ou de outras pessoas da instituição ou lesar o patrimônio público, que possua fins lucrativos, ou seja, em benefício de organizações que não tenham relação com o IFAC;
§ 14. Não criar, transmitir, distribuir, disponibilizar e/ou armazenar documentos de qualquer espécie que não estejam de acordo com a lei ou regulamentações, notadamente àquelas referentes aos crimes informáticos, ética, decência, pornografia, honra e imagem de pessoas, organizações ou empresas, vida privada e intimidade;
§ 15. Não guardar ou retransmitir qualquer documento originalmente digital ou digitalizado a partir de documentos impressos a não ser que seja respeitada a legislação que rege a salvaguarda de dados, informações, documentos e materiais sigilosos no âmbito da Administração Pública Federal (Decreto nº
4.553 de 27 de dezembro de 2002) e os direitos autorais (Lei n.º 9.610, de 19 de fevereiro de 1998);
§ 16. Manter os gabinetes dos computadores fechados, sendo abertos somente com autorização da DRTI ou setor local de suporte;
§ 17. Não remover a etiqueta com o número do patrimônio, etiqueta da DRTI e etiquetas do fabricante dos equipamentos, e, em caso de queda acidental da etiqueta comunicar imediatamente o Setor de Patrimônio.
§ 18. Não proceder à abertura de equipamentos para qualquer tipo de reparo, caso em que deverão ser solicitadas à DRTI as devidas providências.
§ 19. Recomenda-se que o usuário desligue sua estação de trabalho ao final do seu expediente. Quando for necessário o processamento das estações de trabalho, fora do expediente normal, o usuário deve comunicar a sua necessidade a DRTI.
Art. 14. O atendimento aos usuários do IFAC para suporte técnico, manutenção (preventiva e corretiva), instalação, configuração, ativação e desativação, criação de login e senha, e, outros serviços correlatos para os RTIs deverão estar de acordo com o Guia de Uso dos Serviços de Help Desk (Apêndice I).
Art. 15. A Diretoria de Tecnologia da Informação - DRTI fará, periodicamente, cópia de segurança dos arquivos de seus computadores centrais (servidores de rede e de arquivos).
§ 1º. Os usuários deverão proceder à avaliação dos arquivos armazenados nas estações de trabalho (drive local), visando à execução de cópia de segurança daqueles considerados importantes.
§ 2º. Os arquivos gerados nas estações de trabalho são de propriedade exclusiva do IFAC e serão armazenados, preferencialmente, no servidor de arquivos do Órgão.
§ 3º. A DRTI não se responsabilizará por nenhum arquivo armazenado no disco local da estação de trabalho, sendo de responsabilidade de o usuário armazenar uma cópia de segurança de seus arquivos de trabalho na pasta compartilhada do servidor disponibilizado para este fim.
§ 4º. Cada setor terá sua pasta no repositório de arquivos, e o seu conteúdo estará visível somente para os servidores daquele setor, sendo seu uso exclusivo para fins Institucionais, não sendo permitido o armazenamento de arquivos pessoais, cabendo se necessário Sanções Administrativas.
§ 5º. Poderá ser ofertado também um espaço em disco no servidor de arquivos para cada usuário que solicitar, sendo seu uso exclusivo para fins Institucionais e/ou acadêmicos, obedecendo à quota (espaço em disco) estabelecida pela DRTI.
§ 6º. O espaço em disco nos servidores que armazenam informações de usuários cadastrados poderá ser limitado por quotas individuais ou de grupos, de acordo com a disponibilidade técnica de cada máquina servidora e considerando o perfil de usuário e grupo. Quotas maiores poderão ser concedidas mediante solicitação com justificativa escrita e autorização da Reitoria ou das Direções das Unidades de Ensino.
§ 7º. Poderá haver uma pasta de troca de arquivos entre setores, lembrando que os arquivos nesta pasta específica serão eliminados periodicamente e não serão feitos cópias de segurança dos mesmos.
CAPITULO IV
DO USO DE IMPRESSORAS
Art. 16. Esse tópico visa definir as normas de utilização de impressoras disponíveis nos departamentos da Instituição. Esta política é aplicada professores efetivos ou substitutos, alunos, servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos, desde que previamente autorizados, empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários e outras pessoas que se encontrem a serviço do IFAC que utilizarão impressoras em seus departamentos, sendo que, nos laboratórios de ensino, que são utilizados pelos alunos, não existem impressoras instaladas.
§ 1º. Antes de mandar imprimir, deve-se verificar se a impressora está ligada e abastecida de papel e, quando esta estiver ligada a um computador, se o mesmo também está ligado;
§ 2º. A DRTI poderá proceder com a instalação de um servidor de impressão que periodicamente emitirá relatórios de quantitativos impressos por usuário da rede.
- Havendo impressora abastecida e em funcionamento no seu setor deve-se utilizá-la a fim de não onerar outro centro de custos;
- Antes de mandar re-imprimir, deve-se verificar se ainda não foi impresso;
- Não é permitido deixar impressões erradas na mesa das impressoras, na mesa das pessoas próximas a ela e tampouco sobre o gaveteiro, impressões erradas ou inutilizadas devem ser utilizadas como rascunho ou armazenadas adequadamente para reciclagem.
- Se a impressora emitir alguma folha em branco, deve ser recolocada na impressora.
- É responsabilidade de o usuário realimentar a gaveta de papeis sempre que estiver vazia ou no final.
- Impressora colorida só deve ser utilizada para versão final e com autorização da chefia imediata.
CAPITULO V
DO ACESSO E UTILIZAÇÃO DA INTERNET
Art. 17. Para obter uma conta de acesso a Internet para servidores e/ou usuários temporários, a chefia imediata ou o setor de Recursos Humanos deverá solicitar a DRTI, por meio do Sistema de Help Desk da Instituição, informando: nome completo do usuário, setor no qual está desempenhando suas atividades, matrícula e justificativa da necessidade da conta de acesso à Internet. Lembrando que para usuários temporários, a conta criada terá data e hora fixa de expiração.
§ 1º. Para obter uma conta de acesso para os alunos, o Registro Escolar de cada Campus emitirá uma relação de alunos matriculados com os dados necessários para o cadastro (nome completo, CPF, data de nascimento, matrícula e curso).
§ 2º. A DRTI efetuará o cadastro e informará ao solicitante o usuário, senha padrão/provisória criados e dará conhecimento das normas de uso da Internet;
Art. 18. Para desativar uma conta de acesso o gestor imediato deverá solicitar a DRTI por meio do Sistema de Help Desk, informando: nome completo do usuário, setor no qual está desempenhando suas atividades e matrícula juntamente com a justificativa formal.
Parágrafo único. Quando da mudança de setor ou desligamento, o gestor imediato deverá comunicar a DRTI para que o remanejamento do usuário seja realizado.
Art. 19. A Internet Institucional é uma ferramenta de trabalho e deverá ser utilizado para fins acadêmicos, científicos e/ou administrativos do IFAC, não sendo permitido o seu uso para fins recreativos durante o horário de trabalho ou de aula.
Art. 20. O acesso à Internet, no âmbito do Órgão, deve ser considerada como uma concessão e não um direito, portanto todos os usuários ao utilizarem este serviço, deverão fazê-lo no interesse da Instituição, mantendo uma conduta profissional, especialmente em se tratando de utilização de bem público.
Art. 21. O acesso à Internet é feito unicamente pela conexão provida pelo órgão, ficando proibida a utilização diferente desta.
Art. 22. Todas as contas de acesso à Internet terão uma titularidade, determinando a responsabilidade sobre a sua utilização;
Art. 23. O acesso à Internet será monitorado por meio de ferramentas próprias, podendo os acessos serem auditados quando necessário. Todos os registros de acessos à Internet são passíveis de auditoria;
Art. 24. Todo o tráfego na rede é considerado confidencial, portanto, é proibida a divulgação e/ou compartilhamento de informações confidencias em grupos de discussão, listas ou bate-papo, não importando se a divulgação foi deliberada ou inadvertida, sendo possível sofrer as penalidades previstas nas políticas e procedimentos internos e/ou na forma da lei;
Art. 25. Somente usuários autorizados a falar, analisar ou publicar documentos em nome do IFAC poderão fazê-los em comunicações eletrônicas;
Art. 26. O IFAC mantém o direito de cópia de todo material postado na Internet por qualquer usuário no curso de suas obrigações;
Art. 27. Nenhum dos serviços de Internet do IFAC poderá ser utilizado para fins comerciais.
Art. 28. É expressamente proibido o acesso à Internet para violar leis e regras brasileiras ou de qualquer outro país, como download, upload ou distribuição de conteúdos que ferem os direitos autorais e/ou licenças de uso. O uso dos recursos de Internet provido pelo IFAC para atividades ilegais é razão para perda de privilégios e ações administrativas e penais cabíveis;
Art. 29. A navegação a sites não relacionados diretamente à atividade administrativa ou acadêmica dos usuários não é proibida, porém seu uso deve ser feito de maneira equilibrada e responsável, para assegurar ao usuário e ao Instituto máxima segurança e desempenho no trabalho, de modo que abusos serão punidos com bloqueio de acesso a tais sites sem prévio aviso.
Art. 30. São considerados usos indevidos, abusivos ou excessivos da Internet do IFAC: o racismo, terrorismo, hacker, assédio sexual e moral, pornografia, pedofilia, incentivo a violência, discriminação, como instrumento de ameaça, calúnia, injúria ou difamação e outros não condizentes com os objetivos de trabalho como:
§ 1º. Acesso a portais não relacionados à atividade funcional ou às informações não necessárias à atualização e o desenvolvimento profissional;
§ 2º. Acesso a sites de conversação (bate-papo, webchat);
§ 3º. Sites de Proxy e ferramentas que permitam o acesso anônimo;
§ 4º. Jogos on-line e/ou de rede (LAN) de qualquer tipo, salvo com conteúdo relacionado diretamente à atividades administrativas e/ou educacionais;
§ 5º. Programas que implementem P2P, onde o computador do usuário atua como servidor, como Kazaa, Emule, Net-Meeting, Napster, Groove, ICQ, Morpheus, Bittorrent, Ares e afins;
§ 6º. Web rádio e Web TV (sessões de transmissão contínua de vídeo e áudio), a menos que estes sites estejam dentro do escopo de obrigações regulares;
§ 7º. Baixar arquivos (downloads) de som (mp3) e vídeo que ferem os direitos autorais e/ou licenças de uso ou executar arquivos do tipo exe, dat, sys, bat e outros tipos de arquivos executáveis, a menos que estes arquivos estejam dentro do escopo de obrigações regulares e/ou acadêmicas;
§ 8º. Distribuir software ou conteúdo não autorizado (pirataria);
§ 9º. Uso da rede para circulação de propaganda política;
§ 10. Disseminar vírus, worms, cavalos de tróia ou qualquer outro tipo de código malicioso;
§ 11. Fazer download de programas não relacionados às atividades fins e acessórias do IFAC;
§ 12. Adotar de forma independente da DRTI, quaisquer mecanismos de codificação /criptografia;
Art. 31. Caso o IFAC julgue necessário, haverá bloqueios de acesso a arquivos e sites não autorizados que comprometam o uso de banda da rede, ou desempenho e produtividade das atividades dos usuários, bem como, que exponham a rede a riscos de segurança.
Art. 32. Serão bloqueados sites de pornografia, pedofilia e outros contrários a legislação em vigor e as definições desta Política.
Art. 33. É obrigatória a utilização do(s) software(s) homologado(s) pela DRTI tais como Mozilla FireFox, Internet Explorer, Google Chrome como cliente(s) de navegação;
Art. 34. O acesso a sites de relacionamentos tipo Orkut, Facebook, etc, poderão ser bloqueados de acordo com a necessidade da Instituição.
CAPITULO VI
DA PUBLICAÇÃO NA INTERNET
Art. 35. Poderá ser disponibilizado a todos os setores ou grupos vinculados à instituição, espaço para publicação de páginas próprias na Internet (websites), com conteúdo de responsabilidade do usuário ou do responsável pelo setor ou grupo.
Parágrafo único - Considerando que as páginas próprias são documentos públicos disponíveis para qualquer pessoa em qualquer lugar e que o domínio “ifac.edu.br”, ao qual tais páginas pertencem, é um bem intangível importante do IFAC, a Reitoria se reserva o direito de avaliar seu conteúdo, permitindo ou não sua publicação, já que tais documentos podem influenciar na formação da imagem da instituição e na sua reputação frente à comunidade.
Art. 36. É terminantemente proibida a publicação de páginas com os seguintes conteúdos ou links:
- de cunho puramente pessoal, sem vinculação com suas atividades na instituição;
- Comerciais ou de caráter publicitário;
- de caráter político-partidário ou religioso;
- Caluniosos, difamatórios ou ameaçadores;
- que infrinjam a legislação sobre direitos autorais e propriedade intelectual;
- Ofensivos ou que façam uso de linguagem ofensiva;
- Que incite a qualquer tipo de discriminação;
- Que incitem à violência;
- Pornográfico de qualquer natureza;
- Com imagens ou dados que possam ser considerados abusivos, profanos, incômodos.
- Que incite a qualquer tipo de discriminação;
- Ofensivos ou que façam uso de linguagem ofensiva;
- de caráter político-partidário ou religioso;
- Comerciais ou de caráter publicitário;
Parágrafo único. Eventuais ocorrências não previstas neste artigo serão analisadas pelos órgãos competentes do IFAC.
Art. 37. A Assessoria de Comunicação e Relações Institucionais – ASCRI do IFAC é responsável pela divulgação de informações na página principal da instituição.
§ 1º. Outros setores da instituição poderão ter acesso à administração de determinados itens da página principal do IFAC para publicação de documentos oficiais e notícias da instituição de sua responsabilidade.
§ 2º. A DRTI é responsável pela permissão de acesso às áreas de administração da página principal do IFAC aos usuários que forem designados pela Reitoria.
Art. 38. A Assessoria de Comunicação e Relações Institucionais do IFAC é responsável pela divulgação de informações e disponibilização de material na Intranet do IFAC, website de uso interno que só poderá ser acessado por usuários cadastrados.
Parágrafo único. A ASCRI poderá delegar poderes a outros usuários para a divulgação de informações na Intranet, concedendo acesso, ficando este usuário responsável pelas informações.
Art. 39. Outros domínios e/ou sub-domínios de Internet, hospedados em máquinas servidoras do IFAC ou não, poderão ser instalados no ambiente de rede do IFAC, desde que sejam de interesse da instituição e não infrinjam nenhum dos artigos desta resolução, tendo que ser, portanto, autorizados previamente pela Reitoria.
Art. 40. O IFAC não se responsabilizará por publicações realizadas fora do domínio “ifac.edu.br”.
CAPITULO VII
DAS RESPONSABILIDADES
SEÇÃO I DOS USUÁRIOS
Art. 41. Se algum usuário souber de qualquer violação a esta Política deverá comunicar imediatamente a DRTI ou a sua chefia imediata.
Art. 42. Evitar utilizar a Internet, para a prática de atos ilícitos, proibidos pela lei ou pela presente Política, como também danificar e/ou sobrecarregar os recursos tecnológicos (hardware e software);
Art. 43. Quando preencher um formulário ou enviar informações confidenciais por meio da Internet certificar-se que a conexão está segura através do símbolo do cadeado fechado (SSL) que aparece no canto inferior direito do browser e da palavra HTTPS substituindo a palavra HTTP na barra de endereço do browser, para certificar que os dados estão sendo enviados de forma segura pela Internet;
Art. 44. Desconectar-se imediatamente de um site que contenha acesso restrito, mesmo que tenha sido aceito pelos sistemas encarregados de barrá-lo.
Art. 45. Evitar advogar causas políticas e de emitir informações não autorizadas sobre quaisquer serviços, produtos, contextos políticos, dentre outros na Internet.
Art. 46. O usuário é o responsável pelos acessos à Internet realizados pela sua conta.
§ 1º O mau uso de uma conta de acesso à Internet por terceiros será responsabilidade de seu titular, sujeitando-o às penalidades cabíveis.
§ 2º O usuário deverá zelar pelo fiel cumprimento ao estabelecido nesta Política.
SEÇÃO II
DA DRTI
Art. 47. Implantar apenas um ponto de conexão à Internet, para que todos os usuários se autentiquem neste ponto.
Art. 48. Implantar mecanismos de monitoramento dos acessos à Internet.
Art. 49. Arquivar todas as solicitações de acesso à Internet para controle.
Art. 50. Adotar mecanismos de criptografia/codificação para transferência de informações sensíveis pela Internet.
Art. 51. Verificar periodicamente os acessos à Internet, para detectar eventuais problemas que possam estar ocorrendo.
Art. 52. Fornecer, quando solicitado pelo Gabinete, relatório de acessos dos usuários.
Art. 53. Definir e homologar browser (navegador) a ser utilizado e prover mecanismos de atualizações e correções de segurança.
Art. 54. Bloquear sites que vão de encontro a esta Política e que estejam comprometendo o bom funcionamento dos recursos de Internet.
Art. 55. Cabe a DRTI gerir e monitorar a infraestrutura de equipamentos (hardware) e aplicativos (software) necessária à prestação dos serviços de acesso à redes externas e à Intranet.
CAPITULO VIII
DA SEGURANÇA FÍSICA
Art. 56. O objetivo desta política é prevenir o acesso não autorizado, dano e interferência às informações e instalações físicas da Instituição. A segurança física dos equipamentos de informática e das informações da Instituição deve ser protegida de possíveis danos. Será abordada a segurança física dos laboratórios de informática, das instalações de TI, dos equipamentos no geral e procedimentos para garantir a segurança.
SEÇÃO I
CONTROLE DE ACESSO
Art. 57. Existem áreas que merecem maior atenção quanto ao controle da entrada de pessoas, estas áreas são departamentos que contém informações ou equipamentos que devem ser protegidos, como por exemplo: Área de TI, sala de servidores, departamento financeiro, setor de documentação, departamento de recursos humanos, sala de coordenadores e diretores, entre outras.
§ 1º. Apenas pessoas autorizadas podem acessar as instalações da DRTI;
§ 2º. Aos departamentos que tratam informações confidenciais de alunos como, por exemplo, documentação, informações financeiras e acadêmicas, o acesso deve ser permitido somente para pessoas autorizadas.
§ 3º. A temperatura, umidade e ventilação das instalações que abrigam equipamentos de informática e de comunicações devem estar de acordo com os padrões técnicos especificados pelos fabricantes dos equipamentos.
§ 4º. Se acontecer a perda de chaves de departamentos ou laboratórios, a coordenação responsável deve ser informada imediatamente para que possa providenciar a troca da fechadura e de outras cópias da chave perdida.
CAPITULO IX
DA UTILIZAÇÃO DE LABORATÓRIOS DE INFORMÁTICA
Art. 58. Para utilização de laboratórios e equipamentos de informática algumas regras devem ser cumpridas para que possa ser feito uso correto das instalações evitando qualquer tipo de dano a equipamentos em laboratórios que possam prejudicar a utilização dos mesmos.
§ 1º. O acesso a laboratórios de informática deve ser controlado, somente sendo permitido o uso dos mesmos com um professor, servidor e/ou monitor responsável.
§ 2º. É de responsabilidade do professor, servidor e/ou monitor que utilizou o laboratório zelar pela ordem das instalações. Sendo necessário qualquer tipo de manutenção, a DRTI ou a equipe local de suporte deve ser informada.
§ 3º. No momento em que entrar no laboratório o professor, servidor e/ou monitor responsável deve verificar se todos os computadores estão funcionando corretamente. Após a utilização esta verificação deve ser repetida, e qualquer problema a DRTI ou a equipe local de suporte deve ser informada, para que a solução possa ser providenciada o mais rápido possível.
§ 4º. Os equipamentos devem ser trancados e em segurança quando deixados sem supervisão, não sendo permitida a utilização de laboratórios sem supervisão.
§ 5º. Nenhum equipamento pode ser conectado aos sistemas ou rede sem aprovação prévia e, se necessário, sob supervisão.
§ 6º. Alimentos, bebidas, fumo são proibidos nos laboratórios.
§ 7º. As chaves de acesso aos laboratórios devem ficar guardadas em locais que o acesso seja controlado, que não seja permitida a entrada de pessoas não autorizadas, evitando que possam ter acesso às chaves.
§ 8º. Se a utilização do laboratório não estiver prevista no horário, esta utilização devera ser feita somente mediante a reserva do laboratório, garantindo assim que exista um registro de utilização dos mesmos.
CAPITULO X
DA SEGURANÇA DA INFORMAÇÃO
Art. 59. Os sistemas de informação e os serviços de rede do IFAC serão classificados em três níveis quanto à segurança:
§ 1º. Disponibilidade – indica o quanto um sistema de informação ou serviço de rede deve estar disponível para acesso do usuário. Quanto à disponibilidade, os sistemas de informação e os serviços de rede são classificados como:
- de alta disponibilidade: com indisponibilidade máxima de 2h (duas horas) ininterruptas no período das 8 às 18h em dias úteis (assim considerados os dias com atividades administrativas nos setores da Administração Central do IFAC) e 24h (vinte e quatro horas) ininterruptas fora deste período. São
considerados sistemas e serviços de alta disponibilidade: o acesso ao correio eletrônico institucional e o
website institucional (www.ifac.edu.br);
- de média disponibilidade: com indisponibilidade máxima de 4h (quatro horas) ininterruptas no período das 8 às 18h em dias úteis e 48h ininterruptas fora deste período. São considerados sistemas e serviços de média disponibilidade: todos os sistemas de informação (acadêmicos e administrativos) hospedados nas máquinas servidoras de responsabilidade da DRTI e os serviços de rede também hospedados nas máquinas servidoras de responsabilidade da DRTI e que não estão enquadrados como de alta disponibilidade;
- de baixa disponibilidade: sem definição de tempo de indisponibilidade. São considerados sistemas e serviços de baixa disponibilidade: os sistemas de informação e serviços de rede não hospedados nas máquinas servidores de responsabilidade da DRTI como SERPRO, SIAF, SIASG, SIAPNET dentre outros.
§ 2º. Confidencialidade – indica a permissão de acesso à informação. Quanto à confidencialidade, os sistemas de informação e os serviços de rede são classificados como:
- confidenciais: de acesso restrito a usuários autorizados nominalmente. São considerados sistemas e serviços confidenciais: todos os sistemas de informação (acadêmicos e administrativos), o correio eletrônico institucional, os repositórios de arquivos, os serviços de banco de dados, os módulos de administração e configuração dos sistemas e serviços de circulação restritos ou abertos;
- de circulação restrita: de acesso permitido a todos os usuários cadastrados no domínio de rede, podendo haver diferenciação por perfil de usuário. São considerados sistemas e serviços de circulação restrita: serviços, aplicações e conteúdos institucionais direcionados aos usuários cadastrados (Intranet), modelos de documentos e formulários web, arquivos de uso geral, serviços de impressão;
- abertos: de acesso livre apenas para leitura. São considerados sistemas e serviços abertos: websites e serviços de fornecimento de arquivos.
§ 3º. Integridade – indica o grau de importância de manutenção de cópias de segurança. Quanto à integridade, as informações e serviços de rede são classificados como:
- integridade alta: que prevê redundância de gravação para recuperação integral da última informação armazenada em caso de sinistro, cópia de segurança diária e guarda de informações de datas anteriores. São considerados sistemas e serviços de alta integridade: todos os sistemas de informação (acadêmicos e administrativos) hospedados nas máquinas servidores de responsabilidade da DRTI, o correio institucional e as configurações e scripts de serviços;
- integridade média: que prevê cópia de segurança diária e guarda de informações de datas anteriores. São considerados sistemas e serviços de média integridade: os serviços de rede hospedados nas máquinas servidoras de responsabilidade da DRTI que não estão enquadrados como de alta integridade;
- sem garantia: que não prevê guarda de dados. São considerados sistemas e serviços sem garantia: os serviços, sistemas e informações não hospedados nas máquinas servidoras de responsabilidade da DRTI e que não possuem cópia de segurança diária em máquina servidora de responsabilidade da DRTI, os serviços e informações relacionados a alunos e visitantes, os arquivos guardados em sistemas que não são as máquinas servidoras da DRTI (estações de trabalho, pen drives, e outros), demais informações não citadas anteriormente.
Art. 60. A DRTI e as unidades locais são responsáveis pela garantia da segurança da informação no âmbito do IFAC.
Parágrafo Único – A DRTI e os setores locais não se responsabilizam pela violação da segurança da informação e dos serviços de rede quando:
- A informação for retirada do âmbito da rede do IFAC por usuários autorizados;
- O usuário autorizado fornecer sua senha de acesso a qualquer outra pessoa;
- O acesso à informação for limitado ou indisponível por serviços e estruturas externas ao IFAC ou de responsabilidade de outros órgãos ou empresas.
CAPITULO XI
DA UTILIZAÇÃO E SOLICITAÇÃO DE SOFTWARES
Art. 61. Aos usuários dos equipamentos de informática e comunicação de dados do IFAC é vedado instalar produtos e sistemas que não tenham sido homologados e adquiridos pela DRTI.
Art. 62. A DRTI poderá efetuar à desinstalação sumária dos produtos que não se enquadrarem nos critérios estabelecidos pela DRTI.
Art. 63. A solicitação para desenvolvimento de novos softwares somente poderá ser executada pelo Gabinete da Reitoria, Pró-Reitorias, Diretorias Sistêmicas e Diretor Geral de cada campus, observando as seguintes diretrizes e princípios:
§ 1º. A solicitação deverá ser feita através de formulário próprio desenvolvido pela DRTI contido na página do IFAC, assinado pelo responsável. (Apêndice II)
§ 2º. A solicitação será avaliada quanto à viabilidade, prazos e complexidade do sistema a ser solicitado ficando a critério de a DRTI aprovar ou não a solicitação em questão.
§ 3º. Os prazos para entrega do software serão definidos pela DRTI após análise do § 2º, decido pela aprovação da solicitação.
CAPITULO XII SANÇÕES ADMINISTRATIVAS
Art. 64. Reserva-se o direito a DRTI de monitorar o tráfego efetuado através das suas redes de comunicação, incluindo o acesso à Internet. Qualquer descumprimento desta Política será tratado como incidente de segurança e implicará na aplicação de sanções administrativas, cíveis e penais de acordo com a legislação vigente ou em qualquer outra legislação que regule ou venha regular a matéria.
Art. 65. Ao detectar uma violação da política, a primeira coisa a fazer é determinar a sua razão, ou seja, a violação pode ter ocorrido por negligência, acidente, erro ou por ação previamente determinada, ignorando a política estabelecida.
Art. 66. Técnicos da DRTI identificarão os usuários - doravante chamados de infratores - que violarem qualquer item desta política de segurança.
Art. 67. O não cumprimento, pelo servidor, terceirizados e/ou estagiários das normas estabelecidas neste documento seja isolada ou acumulativamente, poderá causar, de acordo com a infração cometida, as seguintes punições: Comunicação de Descumprimento, Advertência ou Suspensão.
§ 1º. Na primeira transgressão, esses infratores serão notificados, via e-mail, do descumprimento das Normas estabelecidas neste documento; Caso na infração cometida esteja caracterizado qualquer tipo de crime (acesso a sites de pedofilia, racismo etc), aplicar-se-á Penalidade Especial desta política.
§ 2º. Caso haja uma segunda transgressão da política, num período de 90 dias, esses infratores serão novamente notificados, via e-mail, sendo que uma cópia da notificação será enviada para o gestor superior da área e para e o Diretor de Campus.
§ 3º. Comunicação de Descumprimento: Será encaminhado ao servidor, por e-mail, comunicado informando o descumprimento da política, com a indicação precisa da violação praticada.
§ 4º. Advertência ou Suspensão: Na terceira transgressão, será aplicado por escrito, somente nos casos de natureza grave ou na hipótese de reincidência na prática de infrações de menor gravidade.
§ 5º. Todos os comunicados de descumprimento desta política permaneceram arquivados junto a Diretora Sistêmica de Gestão de Pessoas na respectiva pasta do servidor.
§ 6º. Caso seja necessário advertir o aluno, será informada a Coordenação do Curso a qual o aluno está matriculado para interagir e manter-se informado da situação.
§ 7º. Cabe a Coordenação de Curso, emitir comunicado informando o descumprimento da política pelo aluno, com a indicação precisa da violação praticada. Cópia desse comunicado permanecerá arquivada junto a respectiva pasta do aluno.
§ 8º. A pena de advertência ou suspensão será aplicada, na hipótese de reincidência na prática de infrações. Antes da aplicação desta punição será realizado o conselho de disciplina, conforme regimento escolar que detalha os direitos e deveres dos alunos.
APÊNDICE I
GUIA DE USO DOS SERVIÇOS DE HELP DESK
Art. 1º. As solicitações de suporte técnico deverão ser feitas através do Sistema de abertura de chamados (GLPI) disponível na página principal do portal do IFAC.
Art. 2º. Para abertura do chamado o servidor deverá fazer uso de seu usuário e senha criados para este fim, caso não possua conta para acesso, deverá solicitar à sua chefia imediata que requisite através do GLPI a criação de uma conta.
Art. 3º. Os chamados somente poderão ser abertos para solicitar suporte técnico dentro dos serviços disponibilizados pela DRTI, para dúvidas ou demais informações referentes à DRTI deve-se utilizar o e- mail “drti@ifac.edu.br”.
Art. 4º. Os chamados deverão obedecer a seguinte estrutura: Prioridade para atendimento, titulo correspondendo ao problema detectado em poucas palavras, o campo de texto deve conter o local onde o chamado deve ser atendido, um telefone para contato e o problema ou serviço solicitado de forma detalhada, em caso de existência de imagem ou outro material referente ao problema, há a opção para anexo do mesmo.
Art. 5º. Os chamados abertos poderão receber seu primeiro atendimento em até 48 (quarenta e oito) horas para a Reitoria e Campus Rio Branco, contadas a partir da abertura dos mesmos, ou agendamento específico para os demais Campi e Setores ligados ao IFAC em virtude da dificuldade de acesso ou indisponibilidade de transporte ao local.
Art. 6º. Após o primeiro atendimento, caso o problema não seja solucionado, o chamado ficará aberto/pendente pelo tempo necessário a resolução do problema. Após a abertura do chamado é de responsabilidade do servidor que o solicitou acompanhar o andamento do mesmo através do GLPI e do seu e-mail institucional até o seu encerramento.
APÊNDICE II
SOLICITAÇÃO DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO
SOLICITANTE: |
|
ÁREA: |
|
ASSUNTO: |
Detalhamento do Serviço Solicitado:
|
Justificativa: |
Beneficios esperados:
|
Cronograma Estimado:
Data desejada para conclusão: / / |
Estimativa de Custos:
|
Assinatura
Este texto não substitui o publicado no Boletim de Serviço nº 13, de 07/11/2011.