Diretrizes Gerais de Segurana da Informao

1. Esta Poltica define as Diretrizes para a Segurana da Informao, visando preservar a integridade, confidencialidade e disponibilidade das informaes sob gesto do PRODERJ. Descreve a conduta considerada adequada para o manuseio, controle e proteo das informaes contra destruio, modificao, divulgao indevida e acessos no autorizados, sejam acidentalmente ou intencionalmente. 2. Esta Poltica aplicvel s informaes sob gesto do PRODERJ, que podem existir de muitas maneiras: escrita em papel, armazenada e transmitida por meios eletrnicos, exibida em filmes ou falada em conversas formais e informais. Seja qual for a forma apresentada ou o meio atravs do qual a informao seja apresentada ou compartilhada, ela dever estar sempre protegida adequadamente, de acordo com controles definidos nesta poltica. 3. A Poltica deve ser conhecida e obedecida por todos os usurios que utilizam os recursos de processamento da informao de propriedade ou controlados pelo PRODERJ, sendo de responsabilidade de cada um o seu cumprimento. A Poltica est disponvel na intranet do PRODERJ (http://intranet ). 4. No mbito do PRODERJ, somente permitido aos usurios o uso de recursos de processamento da informao disponibilizados pela Autarquia, de forma a garantir que os requisitos de segurana sejam atendidos. Os Gerentes das Unidades Administrativas do PRODERJ so responsveis em tomar as medidas cabveis para o cancelamento do acesso aos recursos quando estes no forem mais necessrios. 5. Somente atividades lcitas, ticas e administrativamente admitidas devem ser realizadas, pelos usurios, quando na utilizao dos recursos de processamento da informao do PRODERJ, ficando os transgressores sujeitos s sanes previstas nestas diretrizes. 6. Os documentos produzidos por intermdio dos recursos de processamento da informao do PRODERJ so de propriedade da Administrao Pblica Estadual. De igual modo, os programas desenvolvidos por servidores do quadro ou prestadores de servio. 7. As informaes de propriedade ou controladas pelo PRODERJ devem ser utilizadas apenas para os propsitos definidos no Regimento Interno da Autarquia. Os usurios no podem, em qualquer tempo ou sob qualquer propsito, apropriar-se dessas informaes. 8. A identificao do usurio (por meio de crach, senha ou outro meio) pessoal e intransfervel, qualificando-o como responsvel por todas as atividades desenvolvidas atravs dela, sendo pr-requisito para a liberao do uso o preenchimento de um termo de responsabilidade, indicando as suas condies de uso, seus direitos e deveres. 9. O cumprimento da Poltica de Segurana ser auditado pela Assessoria de Segurana da Informao ASI. 10.O PRODERJ se reserva o direito de monitorar, automaticamente, o trfego efetuado atravs das suas redes de comunicao, incluindo o acesso Internet e o uso do Correio Eletrnico. 11.Os recursos de processamento da informao disponibilizados aos usurios tm que ser suportados por um projeto a fim de evitar situaes de risco segurana da informao. Antes de serem colocados em produo, tero que ser testados em ambiente de homologao. 12.Todas as informaes devem ter classificao de segurana, aposta de maneira a serem adequadamente protegidas quanto ao seu acesso e uso, sendo que, para aquelas consideradas de alta criticidade, sero necessrias medidas especiais de tratamento. A classificao das informaes dever ser realizada de acordo com norma especfica. 13. Todos os usurios ao tomarem conhecimento de qualquer incidente de segurana da informao devem notificar o fato, imediatamente, Gerncia de Segurana da Informao GSI, atravs de e-mail (gsi@proderj.rj.gov.br) ou de CI. 14.A no observncia dos preceitos desta Poltica implicar na aplicao de sanes administrativas, cveis e penais previstas no Estatuto do Servidor Pblico Civil Estadual (Decreto-Lei N 2.479, Captulos II, III, IV e V), no Cdigo Penal (Decreto-Lei N2.848/40, com as alteraes da Lei N 9.983/00 e no Decreto N 2.910/98), no Novo Cdigo Civil (Lei 10.406 de 10/01/2002) ou em qualquer outra legislao que regule ou venha regular a matria.

Termos e definies Ativo - qualquer coisa que tenha valor para a organizao [ISSO/IEC 13335-1:2004] Controle - forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal Nota: Controle tambm usado como um sinnimo para proteo ou contramedida Recursos de processamento da informao - qualquer sistema de processamento da informao, servio ou infra-estrutura, ou as instalaes fsicas que os abriguem Usurios - funcionrios, prestadores de servios, clientes, fornecedores, bolsistas e estagirios segurana da informao - preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas Incidente de segurana da informao - um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao [ISSO/IEC TR 18044:2004] Evento de segurana da informao - ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falta de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao Risco - combinao da probabilidade de um evento e de suas conseqncias [ABNT ISSO/IEC Guia 73:2005] Anlise de riscos - processo completo de anlise e avaliao de riscos [ABNT ISSO/IEC Guia 73:2005] Avaliao de riscos - processo de comparar o risco estimado com critrios de risco pr-definidos para determinar a importncia do risco [ABNT ISSO/IEC Guia 73:2005] Gesto de riscos - atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos [ABNT ISSO/IEC Guia 73:2005] Tratamento do risco - processo de seleo e implementao de medidas para modificar um risco [ABNT ISSO/IEC Guia 73:2005] Poltica de segurana da Informao - Documentos que provem uma orientao e apoio para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. A Poltica do PRODERJ composta de 3 (trs) tipos de documentos, a saber: Diretrizes So as regras de alto nvel que representam os princpios bsicos que a Organizao resolveu incorporar a sua gesto de acordo com a viso estratgica da alta Direo. Servem como base para que as normas e os procedimentos sejam criados e detalhados. Normas Especificam no plano ttico as escolhas tecnolgicas e os controles que devero ser implementados para alcanar a estratgica definida nas diretrizes. Instrues e Procedimentos Detalham no plano operacional configuraes de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas nas normas.

Normas de Utilizao da Internet

1 Objetivo Estabelecer responsabilidades e requisitos bsicos de utilizao da Internet no ambiente de Tecnologia da Informao e Comunicao (TIC) do PRODERJ. 2 Documentos de referncia Diretrizes gerais da Poltica de Segurana da Informao do Proderj. 3 Definies Arquivos infectados Aqueles que sofreram a ao de vrus eletrnico. Ativo - Qualquer coisa que tenha valor para a organizao [ISSO/IEC 13335-1:2004] Chave de Acesso Cdigo de acesso atribudo a cada Usurio. A cada Chave de Acesso associada uma senha individual e intransfervel, destinada a identificar o Usurio, permitindo-lhe o acesso aos recursos disponveis. Cdigos Maliciosos ou Agressivos Qualquer cdigo adicionado, modificado ou removido de um Sistema, com a inteno de causar dano ou modificar o funcionamento correto desse Sistema, como por exemplo, vrus eletrnico. Ferramenta Tecnolgica Sistema (Conjunto de Programas) e/ou equipamento destinado a proteger, monitorar ou agregar valor aos ativos de informaes. Informaes Controladas pelo Governo So aquelas pertencentes a terceiros, sendo da competncia dos rgos Pblicos a responsabilidade sobre a sua guarda, utilizao e divulgao. Informaes de Propriedade do Governo So aquelas geradas nos ambientes dos rgos Governamentais. Internet - Associao mundial de redes de computadores interligadas, que utilizam protocolos de comunicao de dados. A Internet prov um meio abrangente de comunicao atravs de: transferncia de arquivos, conexes distncia, servios de correio eletrnico, etc.

Licena de Software Direito de uso de um determinado programa de computador, protegido pela legislao que dispe sobre propriedade, marcas e patentes. Modem Equipamento de comunicao de dados que utiliza os mecanismos de modulao e demodulao para transmisso de informaes. rgo Pblico Qualquer ente da Administrao Pblica Direta ou Indireta, Fundaes, Autarquias e Empresas Pblicas. Sistemas Informatizados Sistema constitudo de programas e/ou equipamentos computacionais. Site Pginas contendo informaes, imagens, fotos, vdeos, sons, etc, que ficam armazenadas em provedores de acesso (computadores denominados servidores) Internet, para serem acessadas por qualquer pessoa que se conecte rede. Software Programa de Computador. Usurios Funcionrios, prestadores de servios, clientes, fornecedores, bolsistas e estagirios. Vrus Eletrnico - So pequenos programas que, como os vrus biolgicos, tm a propriedade de se juntar a outros arquivos, alterar seu funcionamento normal e se reproduzir (fazer cpias de si), contaminando outros arquivos. Download Baixar um arquivo ou documento de outro computador, atravs da Internet. Upload Envio de um arquivo de seu computador para outro, atravs da Internet. Peer-to-Peer (P2P) um tipo de programa que permite a distribuio de arquivos a outros usurios atravs da Internet. URL - Universal Resource Locator - LINK ou endereo de uma pagina Web, como por exemplo http://www.proderj.rj.gov.br/. 4 Abrangncia Esta norma dever ser aplicada a todos os usurios que utilizam os recursos de Tecnologia da Informao e Comunicao -TIC para acesso Internet. 5 Conceito Sob o aspecto de proteo e integridade dos sistemas de informao, a Internet classificada como conexo de alto risco. Os Usurios devem estar cientes, portanto, da peculiaridade da navegao na Internet, antes de acess-la e de utilizar os seus recursos. Considerando que o uso da INTERNET, no mbito do PRODERJ, uma concesso e no um direito, de extrema importncia que se estabelea um conjunto de regras que possibilitem a utilizao adequada desse importante recurso tecnolgico. Todos os Usurios dos ativos de informao de propriedade ou controlados pelo PRODERJ, ao utilizarem esse servio, devero faz-lo no estrito interesse do rgo, mantendo uma conduta profissional, especialmente em se tratando da utilizao de bem pblico. 6 Normas para utilizao da INTERNET O PRODERJ possui mecanismos de autenticao, que determinam a titularidade de todos os acessos Internet feitos por seus usurios; expressamente proibida a divulgao e/ou o compartilhamento indevido de informaes sigilosas em listas de discusso ou bate-papo; Usurios com acesso Internet no podem efetuar upload de qualquer software licenciado ao PRODERJ ou de dados de propriedade do PRODERJ e/ou de seus clientes sem a autorizao expressa da Diretoria ou do responsvel pelo software/dado; Os usurios podero fazer download de arquivos da Internet que sejam necessrios ao desempenho de suas atividades desde que observado os termos de licena de uso e registro desses programas; A Internet, no mbito do PRODERJ, uma concesso e no um direito. Portanto, sua utilizao, deve ser exclusivamente para atividades ligadas ao trabalho da Autarquia. Caso o usurio necessite utilizar INTERNET para atividades no relacionadas com os negcios da organizao, o mesmo dever faz-lo, preferencialmente, fora do horrio do expediente; Haver gerao de relatrios gerenciais dos sites acessados por usurios num determinado perodo. A Diretoria poder ter acesso a essas informaes a qualquer tempo; O usurio deve utilizar a Internet de forma adequada e diligente; O usurio deve utilizar a Internet observando a conformidade com a lei, a moral, os bons costumes aceitos e a ordem pblica; O usurio deve se abster de utilizar a Internet com objetivos ou meio para a prtica de atos ilcitos, proibidos pela lei ou pela presente Norma, lesivos aos direitos e interesses do rgo ou de terceiros, ou que, de qualquer forma, possam danificar, inutilizar, sobrecarregar ou deteriorar os recursos tecnolgicos (hardware e software), bem como os documentos e arquivos de qualquer tipo, de seu uso ou de uso de terceiros; O Usurio pessoalmente responsvel por todas as atividades realizadas por intermdio de sua chave de acesso; vedada a utilizao de modem em mquinas que estejam conectadas ao ambiente da Rede do PRODERJ;

Os usurios que desejarem utilizar outras conexes, alm daquelas j estabelecidas, devero obrigatoriamente informar Gerncia de Segurana da Informao - GSI, de forma a no comprometer a segurana da Rede PRODERJ; Ser de responsabilidade de cada usurio zelar pelo fiel cumprimento ao estabelecido na presente Norma; O uso de softwares de comunicao instantnea, tais como ICQ, Microsoft Messenger (MSN) e afins devero ser utilizados exclusivamente para fins de trabalho; No permitido a utilizao de software de peer-to-peer (P2P), tais como Kazaa, Emule e afins; No permitido o acesso a sites de relacionamento, tais como Orkut, Gazzag e afins; No permitido acesso a sites de Proxy; O PRODERJ monitora e bloqueia automaticamente sites de pornografia, pedofilia e outros contrrios lei. O acesso esses sites terminantemente proibido, mesmo que os mesmos no estejam sendo bloqueados no sistema de segurana. A no observncia de qualquer item acima implicar nas sanes previstas nesta norma;

Observaes: Devido o bloqueio de sites ser baseado em um sistema automatizado, algumas pginas podero ser bloqueadas inadvertidamente. Caso seja bloqueado um site cujo contedo esteja de acordo com esta norma, o usurio pode solicitar o desbloqueio atravs do e-mail gsi@proderj.rj.gov.br, bastando informar na mensagem qual a URL bloqueada; O fato de um site no estar bloqueado no significa que o mesmo possa ser acessado pelos usurios. Devero ser observados todos os preceitos desta norma, desde a proibio de acesso a sites contrrios lei ao uso excessivo da Internet para assuntos no relativos a trabalho no horrio do expediente, por exemplo. 7 Sanes De acordo com o item 1 das diretrizes gerais da Poltica de Segurana da Informao do PRODERJ, este se reserva o direito de monitorar o trfego efetuado atravs das suas redes de comunicao, incluindo o acesso Internet. A monitorao do cumprimento das normas de utilizao da INTERNET dar-se- da seguinte forma: 1) Tcnicos da Gerncia de Segurana da Informao - GSI identificaro os usurios - doravante chamados de infratores - que violarem qualquer item desta norma de segurana. 2) Na primeira transgresso, esses infratores sero notificados, via e-mail, do descumprimento das Normas estabelecidas neste documento; Caso na infrao cometida esteja caracterizado qualquer tipo de crime (acesso a sites de pedofilia, racismo etc), aplicar-se- a sano especial desta norma; 3) Caso haja uma segunda transgresso da Norma, num perodo de 90 dias, esses infratores sero novamente notificados, via e-mail, sendo que uma cpia da notificao ser enviada para o Gerente da rea e para o Diretor; 4) Na terceira transgresso, as sanes administrativas previstas nas diretrizes gerais da Poltica de Segurana da Informao do PRODERJ sero aplicadas. 8 Sano especial Qualquer acesso a sites que tiverem contedo de pedofilia, racismo ou qualquer outro assunto contrrio lei que, eventualmente, no esteja bloqueado no sistema de proteo do PRODERJ, terminantemente proibido. A violao deste item implica em abertura de inqurito policial na Delegacia de Represso a crimes de Informtica do Estado do Rio de Janeiro DRCI.

Normas de Contas e Senhas para Usurios

9 Objetivo Estabelecer os procedimentos adequados para a correta utilizao das contas de usurios no ambiente de Tecnologia da Informao e Comunicao -TIC do PRODERJ. 10 Documentos de referncia Diretrizes da Poltica de Segurana da Informao do Proderj (http://intranet/poltica de segurana). Norma de Contas e Senhas de Administradores (http://intranet/poltica de segurana). 11 Definies Ativo - qualquer coisa que tenha valor para a organizao [ISSO/IEC 13335-1:2004]; Chave de Acesso Cdigo de acesso atribudo a cada Usurio. A cada Chave de Acesso associada uma senha individual e intransfervel, destinada a identificar o Usurio, permitindo-lhe o acesso aos recursos disponveis. Contas ver chave de acesso;

Administrador contas que permitem acesso total e irrestrito a quaisquer recursos do sistema em que esto configuradas; Usurios funcionrios, prestadores de servios, clientes, fornecedores, bolsistas e estagirios. 12 Abrangncia Esta norma dever ser aplicada a todos os usurios que possuam contas (sem privilgios de administrador) nos ativos do tipo estaes de trabalho e servidores do ambiente de Tecnologia da Informao e Comunicao - TIC do PRODERJ. 13 Conceito Segundo a nova norma ABNT NBR ISSO/IEC 17799:2005, item 11.2, convm que procedimentos formais sejam implementados para controlar a distribuio de direitos de acesso a sistemas de informao e servios. Convm ainda que a concesso e o uso de privilgios sejam restritos e controlados (item 11.2.2) e que a concesso de senhas seja controlada atravs de um processo de gerenciamento formal (item 11.2.3). Destarte, o PRODERJ elaborou esta norma de contas e senhas para Usurios, de forma a evitar o uso inapropriado de senhas, que pode vir a ser um grande fator de contribuio para falhas ou violaes de sistemas. 14 Formao de Contas e Senhas As senhas para usurios finais devero conter no mnimo 8 (oito) caracteres, sendo obrigatrio o uso de letras e nmeros. Como recomendao sugere-se a utilizao de maisculas, minsculas e caracteres especiais ($, %, &,...); Os sistemas e aplicaes devero prover algum mecanismo ou instruo que garanta que s sejam aceitas senhas com a formao acima citada; Dever ser evitada a composio de senhas com seqncias numricas (123...) e/ou alfabticas (abc...), alm de senhas de fcil deduo (nome da mquina, nome do usurio, data de nascimento...). 15 Distribuio de Contas e Senhas Senhas de rede, e-mail e acesso discado Gerncia de Operao da Rede - GOR: Existe um sistema chamado Sistema de Administrao de Chaves de Acesso - GDC que centraliza e cadastra todas as chaves de rede, e-mail e acesso discado. Para as contas de rede, obrigatrio que o usurio troque a senha no primeiro acesso. A solicitao segue via formulrio existente na intranet e encaminhado para a Gerncia de Operao da Rede - GOR, depois que a chave cadastrada includa dentro da respectiva gerncia com as permisses cabveis ou solicitadas. Para as contas de e-mail, solicitado ao usurio a troca da senha no primeiro acesso, atravs da pgina do Proderj. As solicitaes dos usurios so feitas via ofcio e o novo e-mail e senha so enviados atravs de comprovante de cadastramento fechado, seguindo junto com o ofcio. No acesso discado, a mudana de senha no solicitada. As solicitaes dos usurios so feitas via ofcio e o login de acesso (geralmente, a chave de rede) com a senha so enviados atravs de comprovante de cadastramento fechado, seguindo junto com o ofcio. Acesso ao Mainframe RACF e CICS (GTI): As chaves so cadastradas no Sistema de Administrao de Chaves de Acesso - GDC e depois enviadas por e-mail e carta fechada. enviada uma senha default que deve ser trocada no primeiro acesso do usurio. FTP (GSS) As chaves so cadastradas no Sistema de Administrao de Chaves de Acesso - GDC e depois enviadas por e-mail. 16 Tempo de vida de contas e senhas O usurio dever ser forado a trocar a senha no seu primeiro login. Dever ser guardado um histrico composto de, pelo menos, das 8 (oito) ltimas senhas; O tempo mnimo, por vontade do usurio, para troca de senhas dever ser de 2 (dois) dias; A conta dever ser bloqueada aps a 5 (quinta) tentativa de login; O tempo de vida das senhas dever ser de, no mximo, 60 (sessenta) dias, quando dever ser forada a sua troca no primeiro login aps esse perodo; Contas que ficarem inativas por mais de 90 (noventa) dias devero ser bloqueadas. 17 Reinicializao de senhas As contas s podero ser reinicializadas, por solicitao formal do seu detentor, rea responsvel pela administrao das contas; Em casos de extrema necessidade de reinicializar uma senha em sistemas crticos, isto s poder ocorrer mediante a confirmao de algumas informaes de carter pessoal do usurio. Nestes casos, o operador dever retornar a ligao para confirmao desses dados; Para casos considerados crticos, a solicitao de reinicializao de conta dever ser feita atravs de contato com o Gerente/Diretor/Presidente do rgo; As contas reinicializadas devero ser distribudas conforme o item 15 (quinze) deste documento; Caso o usurio suspeite do comprometimento de sua senha, esta dever ser modificada imediatamente.

18 Disposies Gerais Os sistemas e aplicaes devero ter algum mecanismo que impea a exibio na tela de login do ltimo usurio a acess-los; Os sistemas e aplicaes devero ter algum mecanismo que impea a mesma conta de estar ativa, simultaneamente, em mais de uma estao; Os sistemas e aplicaes devero ter algum mecanismo que impea a exibio automtica, na tela de login, da senha referente ao respectivo login em uso; A senha pessoal e intransfervel, devendo ser mantida em sigilo. O usurio ser responsabilizado pelo mau uso da mesma, conforme previsto na legislao; A Diretoria de Administrao e Finanas -DAF dever comunicar s reas responsveis pela administrao das contas o desligamento ou remanejamento de qualquer usurio; Para o novo usurio ou para aquele que esteja retornando aps desligamento ou remanejamento, a Diretoria de Administrao e Finanas -DAF dever solicitar a concesso de acesso mnimo necessrio, para que este exera sua respectiva tarefa (ex: chave de rede); Deve-se atribuir o menor privilgio possvel a uma conta, que dever permitir apenas a realizao das tarefas pertinentes ao seu usurio; Os usurios finais no podero ter contas com perfil de administrador, nem contas do domnio com privilgio de administrador local da estao; Deve-se evitar ao mximo o uso de contas compartilhadas, pois estas so de difcil rastreamento; Os acessos e as falhas nas tentativas de logon devero ser auditados. A eventual necessidade de instalao de softwares deve ser atendida via RAT, pela Gerncia de Suporte Tcnico - GST, de forma que haja um controle centralizado de softwares e licenas disponveis para o rgo. No caso de necessidade de utilizao temporria de Notebooks privativos de funcionrios ou pessoas externas ao Proderj, o mesmo deve ser submetido Gerncia de Suporte Tcnico - GST para que seja feita a configurao da mquina como se fosse uma estao normal de trabalho do rgo, configurando a senha de administrador da GST, retirando outras contas com perfil administrativo e instalao de anti-vrus. A mquina tambm dever ser submetida anlise da Gerncia de Segurana da Informao - GSI para a remoo de possveis softwares maliciosos (spywares, trojans etc). Caso seja necessrio, por questes de segurana, a mquina poder ser formatada e ser instalada uma verso do Windows, temporariamente, com a execuo dos procedimentos normais de configurao de estaes de trabalho. Quando o Notebook no precisar mais ser utilizado dentro das dependncias do Proderj, a mquina ser devolvida com a criao de uma conta de administrador local, cuja senha ser entregue ao usurio, um dia aps a retirada do equipamento do rgo.

Normas de Utilizao de E-mail

19 Objetivo Estabelecer responsabilidades e requisitos bsicos de uso dos servios de Correio Eletrnico, no ambiente de Tecnologia da Informao e Comunicao (TIC) do PRODERJ. 20 Documentos de referncia Diretrizes da Poltica de Segurana da Informao do Proderj. (http://intranet/poltica de segurana). 21 Definies Ativo - qualquer coisa que tenha valor para a organizao [ISSO/IEC 13335-1:2004] Caixa Postal/Correio eletrnico - Espao em disco, onde so armazenadas as mensagens de correio eletrnico. Correio Eletrnico - Meio de comunicao baseado no envio e recepo de mensagens, atravs de uma rede de computadores. Criptografia - Cincia que consiste na codificao e decodificao de mensagens, de forma a garantir a segurana e o sigilo no envio de informaes. FTP (File Transfer Protocol) - Protocolo padro da Internet, usado para transferncia de arquivos entre computadores. IMAP (Internet Message Access Protocol) - Protocolo de acesso a mensagens eletrnicas. Internet - Associao mundial de redes de computadores interligadas, que utilizam protocolos de comunicao de dados. A Internet prov um meio abrangente de comunicao atravs de: transferncia de arquivos, conexes distncia, servios de correio eletrnico, etc. Intranet - Rede interna, de uso corporativo, que utiliza a mesma tecnologia da Internet, para que os funcionrios possam acessar as informaes dos seus respectivos rgos Pblicos. rgo Pblico Qualquer ente da Administrao Pblica Direta ou Indireta, Fundaes, Autarquias e Empresas Pblicas. POP (Post Office Protocol). - Protocolo usado por clientes de correio eletrnico para manipulao de arquivos de mensagens em servidores de correio eletrnico. Servidor de Correio Eletrnico Equipamento que prov o servio de envio e recebimento de mensagens de correio eletrnico.

SMTP (Simple Mail Transfer Protocol) - Protocolo de comunicao usado para troca de mensagens na Internet, via correio eletrnico. Spam - Qualquer mensagem, independentemente de seu contedo, enviada para vrios destinatrios, sem que os mesmos a tenham solicitado. Usurios funcionrios, prestadores de servios, clientes, fornecedores, bolsistas e estagirios Vrus Eletrnico - So pequenos programas que, como os vrus biolgicos, tm a propriedade de se juntar a outros arquivos, alterar seu funcionamento normal e se reproduzir (fazer cpias de si), contaminando outros arquivos. 22 Abrangncia Esta norma dever ser aplicada aos ativos de informao e comunicao do PRODERJ. 23 Conceito Prover a comunicao , sem dvida, a essncia das redes. As pessoas sempre procuraram se corresponder da maneira mais rpida e fcil possvel. O correio eletrnico (e-mail) a aplicao que mais ilustra esta procura, pois rene, entre outros, estes atributos. Entretanto, a facilidade de correio eletrnico fornecido pelo PRODERJ, deve ser usada no interesse do servio, podendo ser, ocasionalmente, utilizada para mensagens pessoais curtas e pouco freqentes. Considerando que o uso dos servios de Correio Eletrnico, no mbito do PRODERJ, uma concesso e no um direito, de extrema importncia que se estabelea um conjunto de regras que possibilitem a utilizao adequada desse importante recurso tecnolgico. Todos os Usurios dos ativos de informao de propriedade ou controlados pelo PRODERJ, ao utilizarem esse servio, devero faz-lo no estrito interesse do rgo, mantendo uma conduta profissional, especialmente em se tratando da utilizao do bem pblico. 24 Acesso ao Correio Eletrnico Todas as contas de correio eletrnico tero uma titularidade, determinando a responsabilidade sobre a sua utilizao; Os usurios do PRODERJ podero ser titulares de uma nica caixa postal individual no Servidor de Correio Eletrnico, com direitos de envio/recebimento de mensagens, via Intranet e Internet, a critrio do titular de rea/Gerncia, enquanto perdurar o seu vnculo com a Autarquia; Contas com inatividade por um perodo igual ou superior a 60 (sessenta) dias sero bloqueadas, a fim de evitar o recebimento de novas mensagens. Esta regra no se aplica as contas vinculadas aos cargos/funes, por serem inerentes as atribuies desses cargos/funes; O tamanho das caixas postais ser de 60 Mbytes para os usurios classificados como VIPS (Presidente, VicePresidente e Diretores e Assessores) e de 30 Mbytes para os demais usurios; As mensagens com arquivos anexados (texto e anexo) sero transmitidas conforme os critrios abaixo: TAMANHO At 2,4 MB De 2,5 a 8,0 MB Acima de 8,0 MB HORRIO/OBS De 06:00 s 00:00 horas De 00:01 s 05:59 horas Utilizar outro meio de transmisso (p.ex: FTP)

25 Regras para utilizao do Correio Eletrnico (E-mail) O usurio o responsvel direto pelas mensagens enviadas por intermdio do seu endereo de correio eletrnico; O usurio deve utilizar o Correio Eletrnico de forma adequada e diligente; vedada a utilizao do Correio Eletrnico, nas situaes abaixo: Envio de mensagens no autorizadas divulgando informaes sigilosas e/ou de propriedade do Governo; Acesso no autorizado caixa postal de outro usurio; Acesso no autorizado ao Banco de Dados do Correio Eletrnico de outro rgo; Uso de contas particulares dos usurios, atravs dos servios Post Office Protocol - POP, Internet Message Access Protocol - IMAP e Simple Mail Transfer Protocol - SMTP de provedores no pertinentes ao domnio rj.gov.br; Envio, armazenamento e manuseio de material que contrarie o disposto na legislao vigente, a moral e os bons costumes e a ordem pblica; Envio, armazenamento e manuseio de material que caracterize a divulgao, incentivo ou prtica de atos ilcitos, proibidos pela lei ou pela presente Norma, lesivos aos direitos e interesses do rgo ou de terceiros, ou que, de qualquer forma, possam danificar, inutilizar, sobrecarregar ou deteriorar os recursos tecnolgicos (hardware e software), bem como os documentos e arquivos de qualquer tipo, do usurio ou de terceiros;

Envio, armazenamento e manuseio de material que caracterize: promoo, divulgao ou incentivo a ameaas, difamao ou assdio a outras pessoas; assuntos de carter obsceno; prtica de qualquer tipo de discriminao relativa a raa, sexo ou credo religioso; distribuio de qualquer material que caracterize violao de direito autoral garantido por lei; uso para atividades com fins comerciais e o uso extensivo para assuntos pessoais ou privados; Envio de mensagens do tipo corrente e spam; Envio intencional de mensagens que contenham vrus eletrnico ou qualquer forma de rotinas de programao de computador, prejudiciais ou danosas; Envio de mensagens que contenham arquivos com cdigo executvel (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf) ou qualquer outra extenso que represente um risco segurana de acordo com os critrios estabelecidos pela Gerncia de Segurana da Informao do PRODERJ; Utilizao de listas e/ou caderno de endereos do PRODERJ ou de qualquer rgo para a distribuio de mensagens que no sejam de estrito interesse funcional e sem a devida permisso do responsvel pelas listas e/ou caderno de endereos em questo; Todo e qualquer procedimento de uso do Correio Eletrnico no previsto nesta Poltica, que possa afetar de forma negativa o rgo ou o Governo.

26 Cadastramento e descadastramento A Gerncia de Operao de Redes do PRODERJ GOR a rea responsvel pela incluso, excluso e alterao dos usurios de correio eletrnico do PRODERJ. Esta tarefa ser realizada de acordo com o procedimento definido na poltica de segurana da informao do PRODERJ. (http://intranet/poltica de segurana). 27 Disposioes finais O PRODERJ se reserva o direito de verificar, sempre que julgar necessrio, a obedincia s normas/procedimentos citados neste documento. As mensagens eletrnicas trafegam de forma aberta na Internet, passveis de visualizao. Para evitar que pessoas no-autorizadas possam ter acesso a essas mensagens, o PRODERJ fez uso de tcnicas e ferramentas de criptografia. O uso indevido dos servios de Correio Eletrnico, tratados neste documento, passvel de sano disciplinar, de acordo com a legislao vigente e demais Normas aplicadas matria. Ser de responsabilidade de cada usurio zelar pelo fiel cumprimento ao estabelecido na presente Norma, devendo tambm assinar o Termo Individual de Responsabilidade.

Normas para Gesto de Ativos

28 Objetivo Alcanar e manter a proteo adequada dos ativos do ambiente de Tecnologia da Informao e Comunicao (TIC) do PRODERJ, definindo as responsabilidades dos proprietrios e custodiantes de cada ativo tecnolgico. 29 Documentos de referncia Diretrizes da Poltica de Segurana da Informao do Proderj. (http://intranet/poltica de segurana). 30 Definies Ativo - qualquer coisa que tenha valor para a organizao [ISSO/IEC 13335-1:2004]; Os ativos podem ser de vrios tipos, incluindo: a)ativos de informao; b) ativos de software; c) ativos fsicos; d) servios; e) intangveis, tais como reputao e a imagem da organizao; Proprietrio do ativo Identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo proprietrio no significa que a pessoa realmente tenha qualquer direito de propriedade ao ativo. [ISSO/IEC 13335-1:2004 Item 7.1.2]; Custodiante do ativo Identifica uma pessoa ou organismo que cuida do ativo no dia-a-dia [ISSO/IEC 133351:2004 Item 7.1.2]; Chave de Acesso Cdigo de acesso atribudo a cada Usurio. A cada Chave de Acesso associada uma senha individual e intransfervel, destinada a identificar o Usurio, permitindo-lhe o acesso aos recursos disponveis; Contas ver chave de acesso; Administrador contas que permitem acesso total e irrestrito a quaisquer recursos do sistema em que esto configuradas; Usurios funcionrios, prestadores de servios, clientes, fornecedores, bolsistas e estagirios. 31 Abrangncia Esta norma dever ser aplicada a todos os usurios que sejam proprietrios e/ou custodiantes dos ativos tecnolgicos do PRODERJ. Esta tambm se aplica a qualquer usurio que de alguma forma interaja com esses ativos.

32 Conceitos Segundo a nova norma ABNT NBR ISO/IEC 17799:2005, item 7.1, convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel. Convm ainda que os proprietrios dos ativos sejam identificados e a eles seja atribuda a responsabilidade pela manuteno apropriada dos controles. A implementao de controles especficos pode ser delegada pelo proprietrio, conforme apropriado, porm o proprietrio permanece responsvel pela proteo adequada dos ativos. Ademais, de acordo com o item 7.1.1 da mesma norma, convm que todos os ativos sejam claramente identificados e um inventrio de todos os ativos importantes seja estruturado e mantido. Destarte, o PRODERJ elaborou esta norma de gesto de ativos, de forma a definir claramente quais as responsabilidades que os gestores do PRODERJ tero ao serem designados como proprietrio e/ou custodiante de algum ativo. 33 Responsabilidades 33.1 Proprietrio Todo ativo tecnolgico do tipo servidor instalado no Datacenter do PRODERJ (CAERJ ou MARACAN) ter designado um proprietrio, que ser responsvel por: 1) Manter as informaes cadastrais sobre o ativo atualizadas hardware, software e servios disponibilizados atravs daquele ativo; 2) Atuar como suporte nvel 3, conforme item 34 (trinta e quatro) deste documento; 3) Delegar para um custodiante, mediante acordo prvio, as tarefas de administrao diria daquele ativo; 4) Coordenar as aes em casos de comprometimento da segurana lgica do ativo invases de hackers, pixao de sites, problemas na aplicao etc; 5) Coordenar as aes em casos de comprometimento da segurana fsica do ativo danos, furto, roubo ou qualquer ameaa fsica ou do meio ambiente; Obs.: Dependendo da natureza do incidente, como por exemplo roubo ou furto de equipamento, o PRODERJ possui reas exclusivas para tratar destes assuntos (segurana patrimonial). Porm, de inteira responsabilidade do proprietrio do ativo interagir com essas reas a fim de garantir que todas as providncias necessrias sejam tomadas. 6) Manter atualizado todos os softwares que rodem naquele ativo, desde upgrade de verso aplicao de patches. Obs.: Como um ativo pode ter aplicaes diversas pertencentes a diversas reas dentro do PRODERJ (ex. Banco de dados, Sistema Operacional, Aplicaes WEB), as atualizao de software necessrias sero feitas por essas reas. Porm, cabe ao proprietrio do ativo garantir que essas atualizaes esto sendo realizadas e, em caso de no cumprimento deste item, notificar por escrito Assessoria de Segurana da Informao ASI do PRODERJ os problemas encontrados. 7) Ter chave de acesso com privilgio de leitura somente; Obs.: O proprietrio do ativo poder ter acesso com privilgios de administrador sempre que precisar. Para tal, necessrio solicitar formalmente ao custodiante que conceda este acesso, informando sempre o perodo desejado e as tarefas que sero executadas, caso seja um servidor em produo. Para maiores informaes sobre senhas de administrador, consultar o manual de normas e contas e senhas de administradores publicada na Intranet, seo Poltica de Segurana. 8) Realizar estudos de planejamento de capacidade de forma a evitar sobrecarga nos sistemas suportados pelo ativo; 9) Definir e implementar novas funcionalidades. Ex. Upgrade de verso, configurao de um novo servio etc 10) Garantir que sistema operacional e aplicativos estejam sujeitos a rgido controle de gesto de mudanas. Os seguintes aspectos devem ser considerados quando um ativo for sofrer qualquer tipo de modificao: a. Identificao e registro das mudanas significativas; b. Planejamento e testes das mudanas; c. Avaliaes de impactos potencias, incluindo impactos de segurana; d. Procedimento formal de aprovao das mudanas propostas; e. Comunicao dos detalhes das mudanas para todas as pessoas envolvidas; f. Procedimento de recuperao, incluindo procedimentos e responsabilidades pela interrupo e recuperao de mudanas em caso de insucesso ou na ocorrncia de eventos inesperados; 11) Criar e implantar os procedimentos para a gerao de cpias de segurana backup e sua recuperao restore em um tempo aceitvel. 12) Garantir que registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de segurana da informao sejam produzidos e mantidos por um perodo de tempo acordado para auxiliar em futuras investigaes e monitoramento de controle de acesso; 13) Estar ciente que a no observncia aos itens aqui representados sujeita-o s sanes previstas no tpico 14 (quatorze) da Poltica de Segurana da Informao do PRODERJ em vigor. 33.2 Custodiante Todo ativo tecnolgico do tipo servidor instalado no Datacenter do PRODERJ (CAERJ ou MARACAN) ter designado um custodiante, que ser responsvel por:

Ajudar o proprietrio a manter as informaes cadastrais sobre o ativo atualizadas hardware, software e servios disponibilizados atravs daquele ativo; 2. Atuar como suporte nvel 2, conforme item 34 (trinta e quatro) deste documento; 3. Cuidar do ativo no dia-a-dia, notificando ao proprietrio qualquer anomalia encontrada; 4. Comunicar imediatamente ao proprietrio qualquer problema de segurana lgica do ativo invases de hackers, pixao de sites, problemas na aplicao etc e as aes que foram tomadas para sanar/minimizar o problema; 5. Comunicar imediatamente, por escrito, qualquer incidncia de dano, furto ou roubo dos equipamentos sob sua custdia; 6. atualizar, a pedido do proprietrio, os software de qualquer natureza que rodem no ativo, desde upgrade de verso aplicao de patches. Obs.: Toda a documentao necessria para realizar as atualizaes dever ter sido previamente fornecida pelo proprietrio. 7. Ter chave de acesso com privilgio de administrador nos ativos sob sua custodia; 8. Realizar as modificaes necessrias nos ativos, de acordo com o planejamento de gesto de mudanas definido pelo proprietrio. 9. Garantir que as cpias de segurana backup esto sendo geradas; 10. Monitorar os registros (log) de auditoria, avisando imediatamente ao proprietrio qualquer problema encontrado; 11. Evitar o acesso aos ativos por pessoas no autorizadas ao servio de sua rea; 12. Estar ciente de que a instalao de software de qualquer natureza ou a modificao de qualquer configurao sem a autorizao por escrito do proprietrio do ativo no permitida; Obs.: Para casos de suporte no ativo, esta clusula no vlida. Ver item 8 (oito) deste documento (Suporte) para maiores informaes. 13. Coibir qualquer modificao nos equipamentos e/ou software, por quem quer que seja, exceto quando autorizada por escrito, pelo proprietrio do ativo; 14. Estar ciente que a no observncia aos itens aqui representados sujeita-o s sanes previstas no tpico 14 da Poltica de Segurana da Informao do PRODERJ, em vigor. 1. 34 Suporte Foram definidos 3 (trs) nveis de suporte para os ativos dos tipos servidor instalados no Datacenter CAERJ e Datacenter Maracan, a saber: Nvel de suporte Suporte 1o nvel Responsvel Gerncia de Operao de Rede - GOR (CAERJ),e Gerncia de Operao de Sistemas Corporativos -GOP (MARACAN) Atividades Testes de conectividade Ex. ping, traceroute e similares; Monitoramento de servios up/down; Aviso ao custodiante e/ou proprietrio em caso de falha no ativo; Reboot aps autorizao por escrito do proprietrio outros a serem acordadas entre os envolvidos;

Suporte 2o nvel

Realizar todas as atividades definidas no item 33.2. Quando Custodiante do ativo na impossibilidade de resoluo do problema, notificar imediatamente o suporte de 3o nvel Realizar todas as atividades definidas no item 33.1. Quando Proprietrio do ativo na impossibilidade de resoluo do problema, este ser responsvel em acionar suporte externo

Suporte 3o nvel

35 Item especial: entrada em produo de um novo ativo Todo ativo tecnolgico do tipo servidor, para entrar em produo, dever ter o formulrio de checklist devidamente preenchido pelo proprietrio. Este formulrio encontra-se na INTRANET, seo formulrios.

Normas de Contas e Senhas para Administradores

36 Objetivo Estabelecer os procedimentos adequados para a correta utilizao das contas com privilgios de administrador das estaes de trabalho e servidores do ambiente de Tecnologia da Informao e Comunicao (TIC) do PRODERJ.

37 Documentos de referncia Diretrizes da Poltica de Segurana da Informao do Proderj. 38 Definies Ativo - qualquer coisa que tenha valor para a organizao [ISSO/IEC 13335-1:2004]; Proprietrio do ativo Identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo proprietrio no significa que a pessoa realmente tenha qualquer direito de propriedade ao ativo. [ISSO/IEC 13335-1:2004 Item 7.1.2] Custodiante do ativo Identifica uma pessoa ou organismo que cuida do ativo no dia-a-dia [ISSO/IEC 133351:2004 Item 7.1.2]; Chave de Acesso Cdigo de acesso atribudo a cada Usurio. A cada Chave de Acesso associada uma senha individual e intransfervel, destinada a identificar o Usurio, permitindo-lhe o acesso aos recursos disponveis. Contas ver chave de acesso; Administrador contas que permitem acesso total e irrestrito a quaisquer recursos do sistema em que esto configuradas; Usurios funcionrios, prestadores de servios, clientes, fornecedores, bolsistas e estagirios CAERJ Centro Administrativo de Estado do Rio de Janeiro, localizado na rua da Ajuda, n 5 Centro, Rio de Janeiro, RJ. 39 Abrangncia Esta norma dever ser aplicada a todos os usurios que possuam contas com privilgios de administrador nos ativos do tipo estaes de trabalho e servidores do ambiente do PRODERJ. 40 Conceito Segundo a nova norma ABNT NBR ISSO/IEC 17799:2005, item 11.2, convm que procedimentos formais sejam implementados para controlar a distribuio de direitos de acesso a sistemas de informao e servios. Convm ainda que a concesso e o uso de privilgios sejam restritos e controlados (item 11.2.2) e que a concesso de senhas seja controlada atravs de um processo de gerenciamento formal (item 11.2.3). Destarte, o PRODERJ elaborou esta norma de contas e senhas para Administradores, de forma a evitar o uso inapropriado de privilgios de administrador de sistemas, que pode vir a ser um grande fator de contribuio para falhas ou violaes de sistemas. 41 Usurios com privilgios de Administrador Os ativos do tipo estao de trabalho, de propriedade do PRODERJ, instalados na Autarquia ou em qualquer outro rgo do Estado, tero as seguintes regras para as senhas com privilgios de administrador: 1. Somente o proprietrio deste ativo poder ter contas com privilgios de administrador local; 2. Caso o custodiante deste ativo necessite, por motivos de trabalho, ter privilgios de administrador local na estao de trabalho sob sua custdia, o mesmo dever solicitar ao seu superior imediato que envie um pedido formal (via e-mail ou Correspondncias Internas - CI) Gerncia de Segurana da Informao GSI com cpia para a Assessoria de Segurana da Informao ASI do PRODERJ justificando seu pedido. O pleito ser analisado e a autorizao poder ser concedida em casos especficos; Os ativos do tipo servidor, instalados no Centro de Operaes de Rede do PRODERJ CAERJ e PRODERJ MARACAN, tero as seguintes regras para as senhas com privilgios de administrador: 1. O custodiante deste ativo ter a senha com privilgios de administrador; 2. O proprietrio deste ativo ter senha com privilgios de leitura total e irrestrito ao Sistema Operacional e nas aplicaes que este servidor suportar (Ex. Banco de Dados, Servios Internet etc); 3. O proprietrio do ativo poder ter acesso com privilgios de administrador sempre que precisar. Para tal, necessrio solicitar formalmente ao custodiante que conceda este acesso, informando sempre o perodo desejado e as tarefas que sero executadas, caso seja um servidor em produo; 4. Todas as Gerncias do PRODERJ que manipulam os ativos do tipo servidor, sejam como custodiantes ou proprietrios, tero acesso a um inventrio destes ativos, que estar disponvel em meio magntico e conter informaes atualizadas sobre os responsveis por cada servidor. 42 Formao de Contas e Senhas As senhas para administradores devero ser fortes e conter no mnimo 10 caracteres, sendo obrigatrio o uso de letras maisculas, minsculas e caracteres numricos e especiais ($, %, &,...). Para aqueles ambientes que no suportarem o mnimo de 10 caracteres, devero ser utilizados o limite mximo que o ambiente permitir; Os sistemas e aplicaes devero prover algum mecanismo ou instruo que garanta que s sejam aceitas senhas com a formao acima citada; As contas com privilgio de administrador no podero conter em sua formao algo que as identifique como sendo uma conta de administrador. (Ex. Admin, Adm, Administrador, Administrator, pradmin etc);

Dever ser criada uma ou mais contas, sem nenhum privilgio, com formao que possa identific-la como sendo uma conta de administrador. Essas contas devero ser constantemente submetidas auditoria, com o propsito de se verificar as tentativas de utilizao das mesmas; Devero ser evitadas as composies de senhas com seqncias numricas (123...) e/ou alfabticas (abc...), alm de senhas de fcil deduo (nome da mquina, nome do usurio, data de nascimento...). 43 Tempo de vida de contas e senhas Dever ser guardado um histrico composto de, pelo menos, das 8 (oito) ltimas senhas; A conta dever ser bloqueada aps a 5 (quinta) tentativa de login; O tempo de vida das senhas dever obedecer aos seguintes critrios: Administrador de Servidores e de Domnio validade de, no mximo, 90 (noventa) dias, devendo ser forada a troca no primeiro login aps esse perodo; Administrador Local Vlida por tempo indeterminado. 44 Reinicializao de senhas Em caso de necessidade de utilizao de Senha de Administrador, a mesma dever ser reinicializada aps o uso, segundo os procedimentos descritos nas Disposies Gerais; Caso haja suspeita do comprometimento de uma senha, esta dever ser reinicializada. 45 Disposies Gerais Os sistemas e aplicaes devero ter algum mecanismo que impea a exibio na tela de login do ltimo usurio a acess-los; Os sistemas e aplicaes devero ter algum mecanismo que impea a mesma conta de estar ativa, simultaneamente, em mais de uma estao; Os sistemas e aplicaes devero ter algum mecanismo que impea a exibio automtica, na tela de login, da senha referente ao respectivo login em uso; A senha dever ser mantida em sigilo pelo administrador durante o perodo de uso. O administrador ser responsabilizado, conforme previsto na legislao, pelo mau uso da mesma; Em caso de desligamento ou remanejamento de usurios, as reas responsveis pela administrao das contas devero realizar a troca das senhas de administrador, tanto para ativos do tipo estao quanto servidor; Os ativos do tipo servidor ou estao de trabalho devero ter, no mximo, trs contas com privilgio de administrador; Os acessos realizados e as falhas nas tentativas de logon devero ser auditados. 46 Legislao Decreto n 2.479 de 08 de maro de 1979 (Regulamento do Estatuto dos Funcionrios Pblicos Civis do RJ) Lei Federal n 8.159 de 08 de janeiro de 1991 (Dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados) Decreto Federal n 4.553 de 27 de dezembro de 2002 (Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado) Lei Federal n 9.610 de 19 de fevereiro de 1998 (Dispe sobre o Direito Autoral) Lei Federal n 9.279 de 14 de maio de 1996 (Dispe sobre Marcas e Patentes) Lei Federal n 3.129 de 14 de outubro de 1982 (Regula a Concesso de Patentes aos autores de inveno ou descoberta industrial) Lei Federal n 10.406 de 10 de janeiro de 2002 (Institui o Cdigo Civil) Decreto-Lei 2.848, de 7 de dezembro de 1940 (Institui o Cdigo Penal) Lei Federal n 9.983 de 14 de julho de 2000 (ALTERA O DECRETO-LEI 2.848, DE 7 DE DEZEMBRO DE 1940 - CDIGO PENAL E DA OUTRAS PROVIDENCIAS) Decreto n 3.505 de 13 de junho de 2000 (INSTITUI A POLTICA DE SEGURANA DA INFORMAO NOS RGOS E ENTIDADES DA ADMINISTRAO PUBLICA FEDERAL) Decreto n 26.209 de 19 de abril de 2000 (Cria a Delegacia de Represso aos Crimes de Informtica DRCI e d outras providncias) Obs: Na medida de suas competncias, outras legislaes podero ser aplicadas matria, de acordo com o caso concreto.

TERMO INDIVIDUAL DE RESPONSABILIDADE

Pelo

presente
o

instrumento,

eu,

_____________________________________,

matrcula/identidade n __________________, perante o Centro de Tecnologia da Informao e Comunicao do Estado do Rio de Janeiro - PRODERJ, na qualidade de usurio dos recursos de processamento da informao do PRODERJ, declaro estar ciente e concordar com a Poltica de Segurana da Informao composta por suas Diretrizes Gerais, Normas, Procedimentos e Instrues, que esto disponveis na INTRANET, seo Poltica de Segurana (http://intranet) . Declaro, tambm, estar ciente de que os acessos por mim realizados internet, bem como o contedo das mensagens enviadas atravs do Correio Eletrnico corporativo so monitorados automaticamente. Declaro, ainda, estar ciente das minhas responsabilidades descritas nas normas da Poltica de Segurana da Informao e que, a no observncia desses preceitos, implicar na aplicao das sanes previstas nas Diretrizes Gerais desta Poltica.

Rio de Janeiro, _____ de _____________________de ________.

______________________________________ (Assinatura)