Legislação de Interesse Geral
Subdivisão da Legislação de Gestão de Pessoas:



Ato: Resolução

Número/Complemento
Assinatura
Publicação
Pág. D.O.
Início da Vigência
Início dos Efeitos
1/2002
09/04/2002
10/01/2002
6
04/09/2002
04/09/2002

Ementa:Aprova e institui política de segurança e uso aceitável, da rede INFOVIA-MT
Assunto:INFOVIA-MT
Alterou/Revogou:
Alterado por/Revogado por:
Observações:

Nota Explicativa:
Nota: " Os documentos contidos nesta base de dados têm caráter meramente informativo. Somente os textos publicados no Diário Oficial estão aptos à produção de efeitos legais."

Texto:
Resolução nº 001/2002

O Presidente do Conselho Estadual de Tecnologia da Informação - COTEC, considerando o Decreto do Governo do Estado de Mato Grosso de Nº 503/99 de 15 de setembro de 1999, publicado no Diário Oficial do Estado.

RESOLVE:

1º - Aprovar e instituir a Política de Segurança da Rede INFOVIA-MT, conforme o especificado no anexo I.
2º - Aprovar e instituir a Política de Uso Aceitável, da rede INFOVIA-MT, conforme o especificado no anexo II.

3º - Esta Resolução entrará em vigor na data de sua assinatura.

CUMPRA-SE

Conselho Estadual de Tecnologia da Informação - COTEC, em Cuiabá, 04 de setembro de 2002.

GUILHERME FREDERICO DE MOURA MULLER
Presidente do COTEC e
Secretário de Estado de Planejamento

1. Introdução

Este documento apresenta a Política de Segurança da Informação da Rede Corporativa do Estado - Infovia-MT, composta de princípios a serem conhecidos e observados por todos os órgãos da administração direta e indireta, suas entidades, fundações e autarquias do Estado de Mato Grosso e outras instituições, os quais pretendem utilizar a infraestrutura da rede como meio de comunicação.

2. Objetivo

Esta Política visa preservar a confidencialidade, integridade e disponibilidade das informações do Estado e do cidadão que trafegam pela rede corporativa. Fornece orientação para a conduta considerada adequada à missão e objetivos dos órgãos estaduais e do Governo, protegendo as informações contra destruição, repúdio, modificação e divulgação indevida, quer sejam acidentais ou intencionais. A Política de Segurança da rede corporativa do Estado de Mato Grosso, Infovia-MT, oferece as condições para:

2.1 Definir o escopo da segurança, a ser seguida pelas entidades estaduais, para o tráfego de informações corporativas na rede Infovia-MT.

2.1.2 Orientar as ações de segurança para reduzir riscos e garantir a integridade, autenticidade, irretratabilidade e confidencialidade das informações que trafegam na Infovia-MT, oriunda dos sistemas de informações e dos diversos recursos de tecnologia da informação.

2.1.3 Permitir a adoção de soluções de segurança integradas no âmbito das informações que trafegam na Infovia-MT.

2.1.4 Servir de referência para apurações, sindicâncias, auditorias e avaliações de responsabilidades nas incidências de segurança.

2.1.5 Assegurar a interoperabilidade entre os sistemas de segurança da informação.

3. Escopo

Esta política aplica-se a funcionários das entidades integrantes da Infovia-MT, clientes, parceiros, consultores, especialistas, funcionários contratados em regime temporário, estagiários, incluindo pessoas integrantes do quadro de pessoal de empresas contratadas, ora denominados usuários da Infovia-MT. Aplica-se também a todos os equipamentos, softwares e aplicativos de propriedade das entidades usuárias, assim como aqueles contratados em qualquer regime e integrantes da infraestrutura da rede da Infovia-MT.

4. Referências

1. Decreto nº 316 de 08 de Julho de 1999, que institui a Infovia-MT
2. Norma Técnica ABNT NBR ISO/IEC 17799 Tecnologia da Informação - Código de prática para a gestão da segurança da informação

5. Definições

Termos, definições e conceitos essenciais à compreensão desta política encontram-se no documento denominado "Termos, Definições e Conceitos referentes à Infovia-MT".

6. Princípios

6.1. A entidade usuária que utiliza a rede da INFOVIA-MT é responsável pela segurança de sua própria rede interna, sua conexão, suas aplicações e suas informações.

6.2. Recomenda-se que toda entidade usuária institua sua própria política de segurança da informação, a qual preserve a confidencialidade, integridade, disponibilidade, confiabilidade, autenticidade e não repúdio das informações, sob sua responsabilidade ou custódia, que seja do interesse do governo e da sociedade.

6.2.1. É fundamental garantir o direito dos cidadãos à privacidade, além do direito à consulta sobre os dados coletados nos sistemas de governo, conforme previsto na Constituição.

6.3. Adota-se a norma técnica brasileira ABNT NBR ISO/IEC 17799 como código de práticas para a gestão da segurança da informação no que tange à rede Infovia-MT.

6.4. Outras políticas e regulamentações de segurança, complementares à norma ABNT NBR ISO/IEC 17799 e necessárias ao alcance e manutenção dos objetivos desta política, poderão ser instituídas, observando o que estabelece o Decreto nº 316 de 08 de Julho de 1999, e terão validade a partir de suas publicações.

6.5. As entidades usuárias, quando julgarem necessário, devem encaminhar propostas para modificação de regulamentações existentes ou de novas regulamentações de segurança ao Cepromat.

6.6. A entidade usuária responderá pelo conteúdo de toda e qualquer informação por ela gerada, disponibilizada e transmitida através da rede Infovia-MT.

6.7. A premissa anterior também se aplica a arquivos disponibilizados para serviços FTP.

6.8. Para a troca de mensagens com informações classificadas quanto ao sigilo e disponibilidade, a entidade usuária deve seguir as orientações da norma complementar que trata da classificação da informação para a Infovia-MT.

6.9. Políticas e regulamentações de segurança devem ser divulgadas entre as entidades usuárias da Infovia-MT pelo Cepromat, através de meios oficiais de comunicação, seminários e portal oficial do Estado, respeitando-se os critérios de classificação quanto ao sigilo de cada documento.

6.10. Caso não ocorram eventos ou fatos que exijam uma revisão imediata, a política de segurança e as regulamentações afetas devem ser revisadas a cada 2 (dois) anos no máximo.

6.11. Cabe ao Cepromat proceder a auditoria nas entidades usuárias, no sentido de medir e avaliar o nível de segurança na interoperabilidade e disponibilidade alcançado, em conformidade com as políticas e regulamentações de segurança instituídas para a Infovia-MT; bem como proceder o tratamento de incidentes identificados e notificados.

7. Disposições finais

7.1. Não é dado à entidade usuária o direito de alegar desconhecimento da Política de Segurança da Infovia-MT e das regulamentações de segurança instituídas.

7.2. A entidade usuária é responsável pelas atividades de seus usuários e, ao aceitar os serviços da Infovia-MT, está concordando em certificar-se de que seus usuários sigam esta política.

7.3. Caso ocorram violações a esta política e às suas regulamentações, a gerência da Infovia-MT reserva-se o direito de tomar providências para interromper tais violações.

7.4. O Cepromat, através de seu centro de resposta a incidentes, investigará os incidentes de segurança detectados e poderá se envolver e cooperar na aplicação da lei no caso de haver suspeita de violação que se caracterize como crime.

1 Introdução

Esta política fornece orientação e regras para a promoção do uso adequado e responsável dos recursos da rede Infovia-MT, com o intuito de prover meios para proteger os usuários das entidades integrantes da Infovia-MT e a própria rede de ações ilegais ou danos que possam ser perpetrados por pessoas, internas ou externas às organizações, sejam estas ações intencionais ou acidentais.

2. Objetivo

O objetivo desta política é delinear a forma de uso aceitável dos equipamentos, softwares, e sistemas de informação da rede Infovia-MT. As orientações e regras aqui contidas são estabelecidas para prover meios de proteger tanto os funcionários, clientes, parceiros, especialistas, funcionários contratados em regime temporário, incluindo pessoal integrante de empresas contratadas e os próprios recursos da rede Infovia-MT de ameaças, incluindo ataques de vírus, comprometimento da rede e dos serviços e assim como de questões legais.

3. Escopo

Esta política aplica-se a funcionários das entidades integrantes da Infovia-MT, clientes, parceiros, consultores, especialistas, funcionários contratados em regime temporário, estagiários, incluindo pessoas integrantes do quadro de pessoal de empresas contratadas, ora denominados usuários da Infovia-MT. Aplica-se também a todos os equipamentos, softwares e aplicativos de propriedade das entidades usuárias, assim como aqueles contratados em qualquer regime e integrantes da infraestrutura da rede da Infovia-MT.

4. Referências

5. Definições

Termos, definições e conceitos essenciais à compreensão desta política encontram-se no documento denominado "Termos, Definições e Conceitos referentes à Infovia-MT".

6. Políticas

6.1. Uso Geral e Posse

6.1.1 Recursos da rede Infovia-MT, incluindo, mas não limitado a, equipamentos, softwares, sistemas operacionais, mídias de armazenamento, contas na rede provendo e-mail eletrônico, browsing WWW, serviço FTP, devem ser utilizados estritamente para fins a que se destinam, no interesse do Estado, órgãos da Infovia-MT, clientes e parceiros.

6.1.2 Os usuários são responsáveis pela utilização correta dos recursos da Infovia-MT, colocados à sua disposição, e das informações nela disponibilizadas. As entidades usuárias devem prover orientações, aos seus usuários, sobre o uso adequado e responsável dos recursos e das informações disponibilizadas na Infovia-MT.

6.2 Uso Não Aceitável

Sob nenhuma circunstancia está um usuário autorizado a se engajar em qualquer atividade que seja considerada ilícita pelas leis e costumes locais, estaduais, nacionais e internacionais, enquanto estiver utilizando recursos da Infovia-MT

A lista abaixo não é considerada exaustiva, mas tenta prover uma referência para atividades que se enquadram nas categorias de uso inaceitável.

Atividades nos sistemas e redes:

As seguintes atividades são consideradas proibidas:

1. Utilizar ou divulgar material que viole direitos de propriedade intelectual de qualquer pessoa ou companhia, como marca registrada, nome comercial, segredo empresarial, domínio na internet, patentes, desenho industrial ou qualquer outro material, não autorizado expressamente pelo autor, que viole direito de propriedade industrial, artística ou literária.

2. Instalar, distribuir ou utilizar softwares "pirateados" ou não licenciados para uso na Infovia-MT.

3. Criar, transmitir, distribuir, colocar, armazenar ou tornar disponível através da Infovia-MT e da Internet qualquer material que viole leis ou regulamentações referentes a obscenidade, indecência, ou pornografia infantil; material que divulgue informações injuriosas, caluniosas ou difamatórias, que viole o direito à honra ou à imagem das pessoas; material que constitua ameaça a alguém ou qualquer material que viole quaisquer leis e regulamentações vigentes.

4. Fazer cópia não autorizada de material protegido por direitos autorais, incluindo, mas não limitado a: músicas, textos, digitalização e distribuição de fotografias encontradas em revistas, livros ou em outras fontes protegidas por direitos autorais.

5. Introduzir programas com códigos maliciosos na rede ou servidores (exemplo: vírus, worms, cavalos de tróia, e-mail bombing)

6. Revelar códigos de identificação, autenticação e autorização de uso pessoal (conta, senhas, passphrase) ou permitir o uso por terceiros de recursos autorizados por meio desses códigos. Isso inclui membros da família, quando o trabalho estiver sendo realizado em sua residência,

7. Realizar comércio de produtos, itens ou serviços a partir de qualquer conta de usuários da Infovia-MT de interesse pessoal ou que não seja de interesse do Estado.

8. Fazer tentativas deliberadas para interferir em um serviço, sobrecarregar um serviço ou, ainda, tentar desativar um host, inclusive aderir a ataques de negação de serviços.

9. Modificar header de qualquer dos protocolos do conjunto de protocolos TCP/IP, qualquer parte da informação do header ou de seu conteúdo em um e-mail ou em um newsgroup posting.

10. Obter acesso não autorizado a dados, sistemas, redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades da rede, dispositivo da rede, ou violar a segurança ou medidas de autenticação, sem autorização expressa da Gerência da Infovia-MT

11. Aproveitar-se de monitoração não autorizada de dados ou tráfego em qualquer rede ou sistemas das entidades usuárias, sem a autorização expressa do responsável pela rede ou sistema.

12. Executar qualquer forma de monitoramento da rede o qual interceptará dados não destinados ao endereço do equipamento do usuário, a menos que essa atividade seja parte do trabalho normal do funcionário.

13. Usar programa/script/comando ou enviar mensagem de qualquer espécie com a intenção de interferir ou desabilitar uma sessão de terminal de usuário, via qualquer meio, localmente ou remoto.

14. Obter acesso aos recursos da Infovia (servidor, rede, conta de correio, sistema de informação) sem a devida autenticação, através de meios fraudulentos.

15. Fornecer informações sobre funcionários ou lista de funcionários de entidades usuárias da Infovia-MT a terceiros sem autorização expressa.

Usuários podem estar isentos dessas restrições durante o curso de suas responsabilidades legítimas (exemplo: administradores de recursos podem ter a necessidade de desativar o acesso a um equipamento se este estiver afetando negativamente os serviços da Infovia-MT).

7. Disposições finais

7.1. Não é dada à entidade usuária o direito de alegar desconhecimento da Política de Uso Aceitável, das demais políticas e regulamentações de segurança da Infovia-MT instituídas.

7.2. A entidade usuária é responsável pelas atividades de seus usuários e, ao aceitar os serviços da Infovia-MT, está concordando em certificar-se de que seus usuários seguirão esta política.

7.3. Caso ocorram tentativas ou violações a esta política, a gerência da Infovia-MT reserva-se o direito de tomar providências para evitar e interromper tais violações.

7.4. A gerência da Infovia-MT , através de seu centro de resposta à incidentes, investigará os incidentes de segurança detectados e poderá se envolver e cooperar na aplicação da lei no caso de haver suspeita de violação que se caracterize como crime.

1. Introdução

Este documento é estruturado de forma alfabética e contém o significado de termos , definições e conceitos relacionados à Infovia-MT, presentes nos documentos que a regulam.

2. Objetivo

O objetivo desse documento é fornecer um meio para que os termos, definições e conceitos utilizados nos documentos que regulamentam a Infovia-MT possam ter uma compreensão uniforme entre as entidades e usuários.

3. Termos, Definições e Conceitos

Para efeito dos instrumentos normativos da Infovia-MT, aplicam-se os seguintes termos, definições e conceitos:

AutenticidadeGarantia da legitimidade da origem da informação; de autoridade incontestável; fonte fidedigna
Cavalo de TróiaO termo trojan ou cavalo de tróia é usado para designar uma categoria de programas destrutivos mascarados em programas e aplicativos benignos.
Centro de resposta a incidentesUm centro de resposta a incidentes (normalmente referenciado como CSIRT) é um grupo composto por pessoas altamente qualificadas, cujo propósito é responder rapidamente e de maneira adequada aos incidentes de segurança a fim de contê-los, investigar e tomar as medidas necessárias para a continuidade dos sistemas sem as vulnerabilidades explorados no incidente. .
Código MaliciosoInstruções introduzidas intencionalmente num sistema com a finalidade de quebrar de alguma maneira a segurança do mesmo (ex.: cavalo de Tróia, vírus, ferramentas de denial of service, e-mail bombing).
ConfidencialidadePropriedade de certas informações que não podem ser disponibilizadas ou divulgadas sem autorização prévia do responsável por aquela informação. Se divulgadas indevidamente podem trazer danos às pessoas ou entidades.
DisponibilidadeCaracterística da informação que se relaciona diretamente à garantia de acesso por parte daqueles que a necessitam para o desempenho de suas atividades.
E-mail bombingÉ uma série de mensagem, talvez até milhares, enviadas a uma caixa postal. O objetivo do atacante é apenas enviar lixo para a caixa postal de alguém, congestionar a via de acesso corporativo à Internet. Ferramenta de ataque que consiste em enviar a mesma mensagem para determinado destinatário diversas vezes.
Entidade usuáriaTodo órgão da administração pública direta e indireta, fundação e autarquia do Estado de Mato Grosso e outras instituições que utilizam a infraestrutura da rede Infovia-MT, como meio para transmissão de informações no formato de dados, voz e imagem.
FTPO File Transfer Protocol (FTP) é um protocolo do conjunto de protocolos TCP/IP, cuja função é transferir arquivos entre computadores.
HostNo contexto da Infovia-MT, ou da Internet, um host é um computador ou dispositivo que possua um endereço padrão Internet e possa se comunicar com outros hosts.
Incidente de segurançaQualquer possibilidade de evento com reais ou potenciais efeitos adversos em uma rede ou sistema de computador. O ato de violar um política de segurança implícita ou explícita.
Informação classificadaInformação cuja importância, prioridade e o nível de proteção adequado foram identificados e recebem o tratamento compatível com o seu valor.
Infovia-MTConjunto de recursos utilizados para interligar, conectar, processar, controlar e compatibilizar as transmissões de informações e disponibilizar serviços em meio eletrônico, com o objetivo de proporcionar aproximação entre o Estado e o cidadão.
IntegridadeCondição na qual o conteúdo da informação se apresenta fiel ao seu estado original. A informação está íntegra se esta não sofreu qualquer interferência de processos ilícitos.
InteroperabilidadeÉ a habilidade que um sistema ou um produto possui para trabalhar com outros sistemas ou produtos sem esforço adicional por parte do cliente.
IrretratabilidadeImpossibilidade de negação da autoria não repúdio.
LegalidadeEstado legal da informação em conformidade com os preceitos da legislação em vigor.
Município InterligadoQualquer município que tenha um ponto de presença que possibilite qualquer Órgão do Estado, naquele município, conectar-se e, através deste ponto, acessar aplicações corporativas através da Infovia-MT.
NBR ISO/IEC 17799Código de prática para a gestão de segurança da informação, elaborada pela Associação Brasileira de Normas Técnicas (ABNT).
NewsgroupGrupos de pessoas que entram em interação on-line em redes, discutindo assuntos de interesse comum. Diz-se também grupos de discussão.
PassphraseUma passphrase é uma série de caracteres maior que senhas usuais que é usada na criação de uma assinatura digital ou numa cifragem e/ou decifragem de mensagens. Pode ser, por exemplo, uma frase. Passphrase possuem normalmente até 100 caracteres de tamanho.
Ponto de acesso É a porta de comunicação para INFOVIA presente na unidade de um Órgão do Estado.
Ponto de concentraçãoPontos localizados nos principais pólos sócio-econômicos, que são interligados, via links de alta velocidade, ao nó central da rede, localizado no CEPROMAT. Os demais Órgãos localizados naquele pólo serão interligados ao Ponto de Concentração.
Ponto de presençaÉ a infra-estrutura de tecnologia de comunicação que permite interligação de um ou mais pontos de acesso.
Portal do EstadoInstrumento de atendimento virtual ao cidadão, o qual permite acesso a serviços e informações públicas não-presenciais e canais de interatividade com o Estado. Tem como objetivos promover a transparência da gestão pública e aproximar o Estado e cidadão. Pode ser acessado por www.mt.gov.br.
Trojan HorseVer "cavalo de Tróia".
Usuário da Infovia-MT Empregados das entidades usuárias da Infovia-MT, clientes, parceiros, consultores, especialistas, empregados contratados em regime temporário, estagiários, pessoas integrantes do quadro de pessoal de empresas contratadas, que fazem uso dos recursos da rede Infovia-MT.
Vírus eletrônicoÉ um programa de computador, muitas vezes destrutivo (não necessariamente), designado para viajar de máquina em máquina, infectando cada uma ao longo de sua jornada.
WormsProgramas que se propagam criando uma cópia de si próprio e executando essa cópia.