Resolução nº 01 – DMAG – Política de Segurança da Informação

 

“Instrução Normativa nº 01, de 27 de dezembro de 2023 o uso de recursos da Tecnologia da Informação disponibilizados pela Prefeitura do Município de São Luiz do Paraitinga, e dá outras providências”.

 

Rudney Israel Santos Dias, Diretor Municipal de Administração e Governança da Estância Turística de São Luiz do Paraitinga, Estado de São Paulo, no uso de suas atribuições legais e,

 

CONSIDERANDO a necessidade de normatizar o uso apropriado dos recursos da tecnologia da informação no âmbito da Prefeitura do Município de São Luiz do Paraitinga, promovendo a proteção dos usuários, dos equipamentos, dos softwares, dos dados dos contribuintes e da própria Administração Pública;

 

CONSIDERANDO a necessidade de garantir a segurança das informações geradas, adquiridas, processadas, armazenadas e transmitidas no âmbito da Administração Municipal, de forma a atender aos princípios da confidencialidade, integridade, disponibilidade, autenticidade e legalidade;

 

CONSIDERANDO que os servidores públicos devem zelar pelas informações que lhes são confiadas no exercício de suas funções;

 

CONSIDERANDO que as ações de segurança da informação reduzem custos e riscos e aumentam os benefícios prestados aos cidadãos, ao permitir a oferta de processos, produtos e serviços suportados por sistemas de informações mais seguros;

Resolve: 

Art. 1º Fica instituída a Política de Segurança da Informação no âmbito da Prefeitura do Município de São Luiz do Paraitinga.

  • A Política de Segurança da Informação constitui um conjunto de diretrizes e normas que estabelecem o princípio de proteção, controle e monitoramento das informações processadas, armazenadas e custodiadas pela Administração Municipal, aplicando-se a todos os órgãos do Poder Executivo Municipal.
  • Compete à Diretoria Municipal de Administração e Governança a coordenação das políticas de gestão da segurança da informação no Município.

 

Art. 2º Para efeito desta Resolução ficam estabelecidos os seguintes conceitos:

  • autenticidade: garantia que a informação é procedente e fidedigna, capaz de gerar evidências não repudiáveis da identificação de quem a criou, editou ou emitiu;
  • confidencialidade: garantia de que as informações sejam acessadas e reveladas somente a indivíduos, órgãos, entidades e processos devidamente autorizados;
  • dado: parte elementar da estrutura do conhecimento, computável, mas, incapaz de, por si só, gerar conclusões inteligíveis ao destinatário;
  • disponibilidade: garantia de que as informações e os recursos de tecnologia da informação estejam disponíveis sempre que necessário e mediante a devida autorização para seu acesso ou uso;
  • gestor da informação: pessoa detentora de competência institucional para autorizar ou negar acesso à determinada informação ao usuário;
  • incidente de segurança da informação: um evento ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação (ISO/ IEC 27001);
  • informação: conjunto de dados que, processados ou não, podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
  • integridade: garantia de que as informações estejam protegidas contra manipulações e alterações indevidas;
  • legalidade: garantia de que todas as informações sejam criadas e gerenciadas de acordo com a legislação em vigor;
  • log: registro de atividades gerado por programa de computador que possibilita a reconstrução, revisão e análise das operações, procedimento ou evento em sistemas de informação;
  • não repúdio: garantia de que um usuário não consiga negar uma operação ou serviço que modificou ou criou uma informação;
  • recursos da tecnologia da informação: recursos físicos e lógicos utilizados para criar, armazenar, manusear, transportar, compartilhar e descartar a informação, dentre estes podemos destacar os computadores, notebooks, tablets, pendrives, mídias, impressoras, scanners, softwares, etc
  • risco: combinação de probabilidades da concretização de uma ameaça e seus potenciais impactos;
  • segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas (ISO/ IEC 27001);
  • senha: conjunto alfanumérico de caracteres destinado a assegurar a identidade do usuário e permitir seu nível de acesso aos recursos da tecnologia da informação não disponíveis ao público, de uso pessoal e intransferível;
  • tecnologia da informação e comunicação: solução ou conjunto de soluções sistematizadas baseadas no uso de recursos tecnológicos que visam resolver problemas relativos à geração, tratamento, processamento, armazenamento, veiculação e reprodução de dados, bem como subsidiar processos que convertem dados em informação;
  • usuário: funcionário, servidor, comissionado, estagiário, prestador de serviço, terceirizado, conveniado, credenciado, fornecedor ou qualquer outro indivíduo ou organização que venham a ter relacionamento, direta ou indireta, com os órgãos e entidades da Administração Municipal;
  • violação: qualquer atividade que desrespeite as diretrizes estabelecidas nesta política ou em quaisquer das demais normas que a complemente.

 

Art. 3º Constituem objetivos da Política de Segurança da Informação:

 

  • – dotar a Prefeitura do Município de São Luiz do Paraitinga de instrumento jurídico, normativo e institucional que a capacite de forma técnica e administrativa, com o objetivo de assegurar a confidencialidade, a integridade, a autenticidade, o não repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sigilosas da Administração Municipal;

 

  • – está sendo analisado e deverá ser aplicada no ano subsequente, onde estabelecerá e controlará os níveis de acesso de fornecedores externos aos sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;

 

  • – incorporação da cultura da segurança da informação, por todos os usuários, como um elemento essencial em seus hábitos e atitudes dentro e fora da organização.

 

Art. 4º A Política de Segurança da Informação instituída nesta Resolução reger-se-á pelos seguintes princípios:

 

  • – tratamento da informação como patrimônio, tendo em vista que a divulgação das informações estratégicas de qualquer natureza pertencentes à Administração deve ser protegida de forma adequada, com vistas a evitar alterações, acessos ou destruição indevidos;
  • – controle de acesso às informações, tendo como orientação a classificação definida no inciso I deste artigo, respeitando a legislação vigente e considerando, ainda, que:

 

  1. educação em segurança da informação, devendo ser observado pelo usuário a correta utilização das informações e dos recursos computacionais disponibilizados.

 

Art. 5º Compete ao ao departamento de Administração e Governança :

 

  • – elaborar e revisar continuamente os procedimentos e a normatização relacionada ao processo de gestão da segurança da informação;

 

  • – avaliar propostas de modificação da Política de Segurança da Informação encaminhadas pelos demais órgãos administrativos da Administração Municipal;

 

  • – planejar, elaborar e propor estratégias e ações para institucionalização da política, normas e procedimentos relativos à segurança da informação;

 

 

Art. 6º Compete ao departamento de Administração e Governança, complementarmente às demais diretrizes estabelecidas nesta Resolução:

  • – responsabilizar-se pela exatidão, integridade e atualização da informação sob sua custódia;

 

  • – subsidiar ao setor de Tecnologia da Informação na compatibilização de estratégias, planos e ações desenvolvidos no âmbito da Administração Municipal relativos a segurança da informação;

 

  • – realizar análise de riscos em processos, em consonância com os objetivos e ações estratégicas estabelecidas pelo Poder Executivo, e atualizá-la periodicamente;

 

  • – relatar os incidentes de segurança da informação para que sejam tomadas as devidas providências em conjunto com as áreas diretamente envolvidas.

 

 

Art. 7º Compete ao setor de Tecnologia da Informação aplicar no ano de 2024:

 

  • por conta da crescente necessidade de aprimorar a segurança de dados e garantir a integridade dos servidores no âmbito da prefeitura, é necessário a realização de um levantamento minucioso da viabilidade de implementação de um avançado sistema de controle de usuários, pastas, acessos e navegação na internet, Este sistema proposto visa instituir um controle individualizado para cada usuário, com atribuição exclusiva de login e senha.

 

  • determina-se aprimorar os sistemas internos de backups de dados, incorporando medidas de proteção adequadas e promovendo o armazenamento seguro em nuvem.

 

  • Com o intuito de reforçar a segurança nos servidores, determina-se a implementação de um sistema avançado de identificação de ataques e invasões, com vistas a prevenir e mitigar potenciais ameaças;

 

  • em colaboração com a Diretoria de Administração e Governança, será conduzido um exame criterioso para identificar os setores que requerem reforço de segurança, com a instalação de antivírus e a implementação de monitoramento diferenciado de dados conforme necessário.

 

Art. 8. Ao perder o vínculo com a Prefeitura todos os acessos do usuário aos recursos da tecnologia da informação serão excluídos, suas contas de e-mails canceladas e seu conteúdo pessoal apagado.

 

  • 1º- Fica a Diretoria Municipal de Administração e Governança, através do Departamento de Relações Humanas, responsável por repassar ao setor da Informação, a qualquer tempo, as demissões/exonerações, do quadro de funcionários, para que as providências acima sejam tomadas.

 

  • 2º- Em caso de desligamento, o funcionário não poderá excluir arquivos ou documentos, estes pertencentes a Administração Pública.

 

Art. 9. É dever do usuário, em consonância com a Política de Segurança da Informação estabelecida nesta Resolução:

 

  • – comunicar imediatamente ao seu superior hierárquico qualquer suspeita de que estejam sendo executados atos em seu nome por meio dos recursos da tecnologia da informação;

 

  • – zelar pela integridade física dos equipamentos de informática utilizados, evitando submetê-los a condições de riscos, mantendo- os afastados de líquidos e alimentos, não danificando as placas de patrimônio, não colando qualquer tipo de adesivo nos equipamentos ou qualquer material e/ ou utensílio que possa danificá-los, e comunicando ao órgão competente qualquer anormalidade ou defeito;

 

  • – zelar pela segurança da informação que esteja sob sua custódia em razão de seu exercício funcional.

 

Art. 10. É proibido aos usuários:

 

  • – utilizar os recursos da tecnologia da informação em desacordo com os princípios éticos da Administração Pública;

 

  • – visualizar, acessar, expor, armazenar, distribuir, editar ou gravar material de natureza pornográfica, racista, jogos, música, filmes e outros relacionados, por meio de uso de recursos tecnológicos desta Prefeitura;

 

  • – acessar sites ou serviços que representem risco aos dados ou à estrutura de redes da Prefeitura;

 

  • – fazer cópias não autorizadas dos softwares desenvolvidos ou adquiridos pela Prefeitura.

 

Art. 11. São considerados usos inadequados dos equipamentos de informática:

 

  • – instalar hardware em computador da Prefeitura;

 

  • – instalar softwares de qualquer espécie em computador da Prefeitura;

 

  • – instalar softwares de qualquer espécie em computador da Prefeitura;

 

  • – reconfigurar a rede corporativa ou inicializa-la sem prévia autorização expressa;

 

  • – efetuar montagem, alteração, conserto ou manutenção em equipamentos da Prefeitura sem o conhecimento do setor de Tecnologia da Informação;

 

  • – alterar o local de instalação dos equipamentos/hardwares de informática, sem prévia autorização;

 

Art. 12. Compete exclusivamente o setor de Tecnologia da informação realizar backup diário dos dados armazenados nos servidores internos da Prefeitura.

 

Parágrafo único. Não compete ao setor de Tecnologia da informação fazer backup diário ou periódico de informações armazenadas localmente nos computadores, porém, a mesma deverá orientar os usuários quanto as melhores práticas para realização de backups para aplicativos instalados em computadores locais e quanto a importância de salvar os arquivos mais importantes na rede da Prefeitura.

 

Art. 13. É considerado uso inadequado da internet:

 

  • – acessar informações consideradas inadequadas ou não relacionadas às atividades administrativas, especialmente sites de conteúdo agressivo (racismo, pedofilia, nazismo, etc.), de drogas, pornografia e outros relacionados;
  • – realizar acessos à plataformas de streaming, quando não relacionadas as funções e/ou atividades que desempenham.
  • – fazer download de arquivos e outros que possam tornar a rede local vulnerável a invasões externas e ataques a programas de código malicioso em suas diferentes formas;
  • – violar os sistemas de segurança da Prefeitura;
  • - alterar os registros de acesso à internet;
  • – realizar ataque ou invadir computadores da Prefeitura;
  • – utilizar acesso à internet provido pela Prefeitura para transferência de arquivos que não estejam relacionados às suas atividades;
  • – divulgar informações confidenciais da Prefeitura em grupos de discussão, listas ou bate-papos, não importando se a divulgação foi deliberada ou inadvertida, sendo possível sofrer as penalidades previstas na forma da lei.

 

Art. 14. O superior imediato do usuário deverá comunicar quaisquer ações que comprometam a segurança, a integridade, o desempenho e a descaracterização de equipamentos e redes da Prefeitura.

 

Art. 15. O usuário, a critério de seu superior imediato e de acordo com as necessidades de serviço, poderá ter acesso a uma conta de correio eletrônico associada ao respectivo login.

 

  • As contas oficiais de e-mail da Prefeitura devem ser utilizadas, exclusivamente, para transmitir e receber informações relacionadas às atividades administrativas.

 

  • As contas de e-mail particulares não terão suporte do setor de Tecnologia da Informação, podendo ser bloqueado o acesso sem prévio aviso.

 

Art. 16. As contas de e-mail terão limite de espaço para armazenamento de mensagens, devendo o usuário efetuar a exclusão das mensagens inutilizadas, sob pena de ficar impedido automaticamente de enviar e receber novas mensagens, devendo casos excepcionais serem encaminhados ao setor de informação de Tecnologia para análise e deliberação.

 

  • As mensagens enviadas ou recebidas, incluindo seus anexos, tem limitação de tamanho, sendo automaticamente bloqueadas quando ultrapassarem esse limite.

 

  • Os anexos às mensagens enviadas e recebidas não devem conter arquivos que não estejam relacionados às atividades administrativas ou que ponham em risco a segurança do ambiente da rede local.

 

  • Em conformidade com as diretrizes estabelecidas caso o diretor do respectivo setor julgue necessário a utilização de um endereço de e-mail adicional para um servidor, que não esteja vinculado ao domínio do departamento, solicita-se que formalize tal requisição junto ao Setor de Tecnologia da Informação.

 

  • O e-mail seguirá o seguinte padrão:

 

  1. Departamento: [email protected]
  2. Usuário: [email protected]

 

Art. 17. É considerado uso inadequado ao serviço de e-mail:

I – acessar contas de e-mail de outros usuários;

  • – enviar material ilegal ou não ético, comercial com mensagens do tipo corrente, spam, entretenimento e outros que não sejam de interesse da Prefeitura, bem como campanhas político-partidárias e que tenham finalidade eleitoreira;

 

  • – enviar mensagens que possam afetar de forma negativa a Prefeitura e seus servidores públicos.

 

 

Art. 18. Todo caso de exceção às determinações da Política de Segurança da Informação deve ser analisado de forma individual, aplicável apenas ao seu solicitante, dentro dos limites e motivos que o fundamentaram.

 

Art. 19. O termo de responsabilidade que coloca o servidor a cumprir as determinações e deixa ciente da existencia da política de Segurança da Informação, deve ser preenchido, e assinado apenas para servidores que fazem uso de tecnologias da prefeitura, sendo obrigatóriamente  utilizar o portal  Gov.br, conforme anexo I,  para fazer a assinatura do documento.

 

 

Art. 20. A não observância da Política de Segurança da Informação pelos usuários configura descumprimento de dever funcional, indisciplina ou insubordinação, conforme o caso, sujeitando o infrator à incidência das sanções cabíveis, nos termos da legislação vigente.

 

Art. 21. Esta Resolução entra em vigor na data de sua publicação.

 

Prefeitura Municipal da Estância Turística de São Luiz do Paraitinga, 28 de Dezembro de 2023

 

Rudney Israel Santos Dias

Diretor Municipal de Administração e Governança

 

Certifico que o Texto da Resolução suso foi publicado no Diário Oficial do Município __ de forma eletrônica __ consoante permissivo legal previsto na Lei Municipal nº 2.180, de 8 de março de 2022, na data 29 de dezembro de 2023.

ANEXO I

 

Passo a Passo para Assinatura Eletrônica do GOV.BR

 

  1. Acesse o Portal de Assinatura Eletrônica utilizando a sua conta gov.br

Certifique-se de que sua conta gov.br está validada para realizar a assinatura digital.

Caso você não tenha uma conta gov.br: acesse o portal gov.br e crie uma conta “prata” ou “ouro”

  1. Faça o login na sua conta gov.br usando seu CPF e senha

Após o login, você será direcionada para a tela de "Assinatura de documento”.

  1. Adicione o arquivo que será assinado

Clique em “Escolher arquivo” e selecione um arquivo do computador, celular ou tablet. Os arquivos devem ter extensão .DOC ou .DOCX ou .ODT ou .JPG ou .PNG ou .PDF, com até 100MB.

  1. Escolha o local da sua assinatura no documento

Clique no documento para definir onde sua assinatura vai ser posicionada. Em seguida, clique em “Assinar digitalmente” para validar a assinatura.

  1. Assine o documento

Na janela dos Provedores de Assinatura, clique em "usar gov.br". Em seguida, insira o código enviado para o seu celular.

Para receber o código no aplicativo gov.br, deixe habilitada a permissão/exibição das notificações do aplicativo.

Você verá uma mensagem de sucesso e será direcionado para a página de onde deverá baixar o documento assinado.

  1. Baixe o documento assinado

Clique no ícone de download para baixar o arquivo assinado e escolha o local para salvar seu arquivo.

Atenção: Não utilize a função de imprimir o arquivo para salvar, pois o arquivo salvo dessa forma não incluirá a assinatura e o documento impresso não possui validade.

 

  1. Consultar assinatura do documento

Verifique a assinatura em: https://validar.iti.gov.br/ ou acesse o portal de assinaturas e adicione um arquivo que já foi assinado. As assinaturas serão listadas próximas ao documento, no campo “Assinado digitalmente por”.

 

Também é possível consultar as assinaturas do documento no "Painel de Assinaturas" do Acrobat Reader ou de outros leitores de PDF.

Download do Documento