Diário Oficial do Estado de São Paulo - 03/09/2016 - link - páginas 227 e 228
A Diretoria do Conselho Regional de Farmácia do Estado de São Paulo, no uso de suas atribuições legais e regimentais, na 32ª Reunião de Diretoria Ordinária, realizada no dia 15/08/2016, item 7.1;
RESOLVE:
Art. 1º - Instituir a Política de Segurança da Informação do Conselho Regional de Farmácia do Estado de São Paulo (CRF-SP).
Art. 2º - Esta Portaria entra em vigor na data de sua publicação, revogando-se as disposições em contrário.
Pedro Eduardo Menegasso
Presidente
CRF-SP nº 14.010
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
CONSELHO REGIONAL DE FARMÁCIA DE SÃO PAULO
1. Introdução
1.1. A Política de segurança da informação, no Conselho Regional de Farmácia do Estado de SP, aplica-se a todos os usuários, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento da Entidade, ou acesso a informações do Conselho Regional de Farmácia do Estado de SP.
1.2. Todo e qualquer usuário de recursos computadorizados da Entidade tem a responsabilidade de proteger a segurança e integridade das informações e dos equipamentos de informática.
2. Definições
2.1. Usuário – todos os colaboradores, com vínculo efetivo, temporário e cargos em comissão, bem como estagiários, voluntários e prestadores de serviço que obtiverem acesso para uso dos recursos computacionais e de rede do CRF-SP.
3. Classificação da informação
3.1. É de responsabilidade do Gerente/Coordenador de cada área estabelecer, por meio escrito e com ciência inequívoca dos destinatários, os critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área de acordo com a sequência abaixo:
A. Pública
B. Interna
C. Confidencial
D. Restrita
3.2. Conceitos:
A) Informação Pública: É toda informação que pode ser acessada por usuários dos serviços da entidade, fornecedores, prestadores de serviços e público em geral.
B) Informação Interna: É toda informação que só pode ser acessada por funcionários da entidade. São informações que possuem um grau de confidencialidade que pode comprometer a imagem do CRF-SP.
C) Informação Confidencial: É toda informação que pode ser acessada por usuários dos serviços da entidade e por parceiros da entidade. A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) às atividades da entidade ou do parceiro.
D) Informação Restrita: É toda informação que pode ser acessada por usuários da entidade explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos às atividades e comprometer a estratégia de atuação da entidade.
3.3 - Todo gerente/coordenador deve orientar seus subordinados a não circularem informações e/ou mídias consideradas confidenciais e restritas, como também não deixar relatórios nas impressoras e mídias em locais de fácil acesso.
4. Missão do DTI:
4.1. Ser o gestor do processo de segurança e proteger as informações da entidade, catalisando, coordenando, desenvolvendo e implementando ações para esta finalidade.
5 Objetivo da Política de Segurança da Informação:
5.1. Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade da informação necessária para a realização das atividades do Conselho Regional de Farmácia do Estado de SP.
6 - Deveres de todos os usuários do Conselho Regional de Farmácia do Estado de SP
6.1 – São deveres de todos os usuários da rede e Sistemas de Informação do CRF-SP:
a) Considerar a informação como sendo um bem da entidade, um dos recursos críticos para a realização das finalidades institucionais, que possui grande valor para o Conselho Regional de Farmácia do Estado de São Paulo e deve sempre ser tratada profissionalmente.
b) Relatar prontamente ao DTI qualquer fato ou ameaça à segurança dos recursos, como quebra da segurança, fragilidade, mau funcionamento, presença de vírus, etc.;
c) Assegurar que as informações e dados de propriedade do CRF-SP não sejam disponibilizados a terceiros, a não ser com autorização formal por escrito do superior hierárquico;
d) Relatar para seu superior hierárquico e ao DTI o surgimento da necessidade de um novo software para suas atividades;
e) Responder pelo prejuízo ou dano que vier a provocar ao CRF-SP ou a terceiros, em decorrência da não obediência às normas aqui referidas.
7 - Permissões e senhas
7.1. Quando da necessidade de cadastramento de um novo usuário para utilização da ‘’rede’’, sistemas ou equipamentos de informática do CRF-SP, o setor de origem do novo usuário deverá comunicar esta necessidade ao DTI junto ao Departamento de Gestão de Pessoas, por meio de e-mail, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais serão restritos. O DTI fará o cadastramento e informará ao solicitante qual será a primeira senha de acesso do novo usuário, a qual deverá obrigatoriamente ser alterada no primeiro acesso.
7.2. As senhas de acesso à rede expirarão automaticamente em até 60 (sessenta) dias. É de exclusiva responsabilidade do usuário a alteração da própria senha, sempre que solicitado. É imprescindível utilizar senhas de difícil adivinhação (letras, números, caracteres especiais, maiúsculo e minúsculo) com pelo menos 6 dígitos e mantê-las em sigilo. A digitação errada da senha por 6 (seis) vezes seguidas bloqueará automaticamente o usuário, que terá seu acesso à rede negado e só poderá ser regularizado após solicitação expressa de um superior.
7.3. Nenhuma senha deve ser revelada, (acesso à rede funcional, computadores, internet ou e-mail funcional). Qualquer ocorrência com o computador logado, será de responsabilidade do “login” do usuário logado no momento em questão. A estação de trabalho deve ser bloqueada, bem como a sessão de e-mail funcional, toda vez em que o usuário se ausentar.
7.4. Nenhum equipamento que não tenha sido configurado, instalado ou autorizado expressamente pela Gerência do DTI poderá ser conectado à rede do CRF-SP, sob nenhuma circunstância. Da mesma forma, é vedado a todos os usuários autorizar ou ceder a terceiros a utilização dos computadores ligados à rede do CRF-SP sob qualquer circunstância, ficando responsável pelo uso em caso de cessão.
7.5. Aos funcionários e estagiários do Conselho Regional de Farmácia do Estado de SP fica proibido o uso de quaisquer equipamentos de tecnologia, como computadores, tablets, notebooks, netbooks e similares de propriedade particular nas dependências da Autarquia.
7.6. Quando houver o desligamento de um colaborador, o Departamento de Recursos Humanos ficará responsável por solicitar, em todos os casos e com a maior brevidade possível, o bloqueio/desbloqueio e/ou exclusão do login e conta de e-mail, além de solicitar, se necessário, cópia e/ou guarda dos arquivos, e-mails e equipamentos utilizados pelo colaborador. Fica ressalvado o dever do gestor do colaborador em comunicar imediatamente ao DTI, quando houver a necessidade de bloqueio rápido em razão da atividade exercida e conveniência do bloqueio.
8. Uso de equipamentos eletrônicos de propriedade da Autarquia
8.1. Os usuários que tiverem direito ao uso de equipamentos (computadores, tablets, notebook, netbooks, smartphones, 3G, etc.), de propriedade do Conselho Regional de Farmácia do Estado de SP, devem estar cientes de que:
a) Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo a realização de atividades profissionais ou vinculadas às finalidades institucionais do CRF-SP.
b) A proteção do recurso computacional de uso dos usuários é de responsabilidade do próprio usuário e departamento.
c) É de responsabilidade de cada usuário e departamento assegurar a integridade do equipamento, a confidencialidade e a disponibilidade da informação nele contida.
d) Não são permitidas alterações, exclusões ou inserções de arquivos na configuração do equipamento recebido/utilizado sem a prévia autorização por escrito do DTI.
e) Todo gerente/coordenador deve orientar seus subordinados a utilizar Mídias Externas (Pendrive, CD, DVD, HD Externo, etc.) da forma correta, fazendo sempre que possível a verificação da existência de vírus antes da utilização em equipamentos da rede de computadores do Conselho Regional de Farmácia do Estado de São Paulo, inclusive Mídias Externas de terceiros. O uso dessas Mídias pode ser bloqueado mediante solicitação do gerente/coordenador responsável pelo colaborador ou pelo Departamento de Tecnologia de Informação para segurança da rede.
9. Uso do correio eletrônico (e-mail) e sistema de mensagem instantânea
9.1. O uso do e-mail funcional e sistema de mensagem instantânea é restrito à finalidade institucional vinculada ao desempenho das respectivas funções, não sendo permitido ao usuário a utilização para propósitos particulares.
9.2. O CRF-SP se reserva no direito de monitorar, automaticamente, o tráfego efetuado através das suas redes de comunicação, incluindo o acesso à Internet e o uso do Correio Eletrônico, a fim de garantir a utilização eficiente e adequada dos respectivos recursos.
9.3. As mensagens devem ser escritas em linguagem profissional, sendo proibidas aos usuários formas de expressão que comprometam a imagem do Conselho Regional de Farmácia do Estado de São Paulo e que sejam contrárias à legislação vigente e aos princípios éticos deste Conselho.
9.4. O uso do correio eletrônico é pessoal e o usuário é responsável pelo conteúdo de toda mensagem enviada pelo seu endereço de e-mail.
9.5. É terminantemente proibido o envio de mensagens que:
a) Possuam conteúdo impróprio, ofensivo, ilegal, discriminatório e similares.
b) Contenham declarações difamatórias, linguagem ofensiva, façam apologia ao terrorismo, drogas, violência e agressividade (racismo, preconceito, etc.);
c) Possam trazer prejuízos a outras pessoas;
d) Sejam hostis e inúteis ou veiculem conteúdo de violação de direito autoral (pirataria, etc.);
e) Sejam relativas a ‘’correntes’’, de conteúdos pornográficos, caráter sexual ou equivalentes;
f) Possam prejudicar a imagem da entidade;
g) Possam prejudicar a imagem de outros órgãos, entidades, empresas ou afins;
h) Sejam incoerentes com as políticas do Conselho Regional de Farmácia do Estado de São Paulo.
9.6. Para incluir um novo usuário no correio eletrônico, a respectiva Gerência deverá fazer um pedido formal ao DTI, que providenciará a inclusão do referido.
9.7. A utilização do ‘’e-mail’’ deve ser criteriosa, evitando que o sistema fique congestionado. Em caso de congestionamento no sistema de correio eletrônico o DTI fará auditorias no servidor de correio e nas estações de trabalho dos usuários, visando à identificação do motivo que o ocasionou.
9.8. Não será permitido o uso de software de e-mail, mensagens instantâneas e correio eletrônico não homologados pelo DTI. O DTI poderá bloquear o recebimento de e-mails provenientes desses sites.
9.9. É proibido o envio de e-mails para mais de 20 (vinte) destinatários externos, bem como qualquer envio que caracterize uma “corrente” ou “spam”.
9.10. É proibido o envio e abertura dos anexos de mensagens que contenham arquivos com código executável (arquivos com extensão .exe, .com, .bat, .pif, .js, .vbs, .hta, . src, .cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança de acordo com os critérios estabelecidos pelo Departamento de Tecnologia da Informação - DTI.
9.11. Contas com inatividade por um período igual ou superior a 60 (sessenta) dias poderão ser bloqueadas.
9.12. Não é permitido o acesso à caixa postal de outro usuário, exceto em casos previamente autorizados de forma fundamentada pela Gerência/Coordenação e homologados pelo DTI.
10. Cópia de segurança (backup) de arquivos
10.1. Cópias de segurança dos dados de sistemas locais e servidores de rede são de responsabilidade do DTI.
10.2. Todos os trabalhos desenvolvidos em virtude do desempenho das funções no CRF-SP pelos usuários deverão ser mantidos nos servidores da entidade (Rede). O Backup de arquivos porventura gravados fora dos servidores é de responsabilidade de cada usuário. O DTI não é responsável pela gravação, backup e suporte a documentos ou equipamentos pessoais, arquivos de música, fotos ou vídeo armazenados nos servidores ou nas máquinas locais instaladas na Sede ou nas Seccionais – e estarão sujeitos a ser removidos sem informação prévia.
10.3. O CRF-SP se reserva o direito de monitorar os documentos existentes na rede e decidir como tratá-los, visando à manutenção da estabilidade dos recursos técnico-operacionais, segurança e eficiência do Sistema.
10.4. Tendo em vista que existe um limite de espaço para armazenamento de arquivos nas pastas da rede, é de responsabilidade de cada usuário/ departamento administrar o conteúdo de suas pastas dentro do limite estabelecido.
11. Segurança e integridade dos dados
11.1. O gerenciamento do (s) bancos (s) de dados é responsabilidade exclusiva do DTI, assim como a manutenção, alteração e atualização de equipamentos e programas.
11.2. Nenhum documento pode ser copiado ou transferido para âmbito externo do CRF-SP sem que tenha sido devidamente autorizado pelos superiores hierárquicos de quem praticou o ato.
11.3. Nenhum Sistema pode ser distribuído para fora da Autarquia, incluindo terceirizados, consultores e/ ou fornecedores.
12. Programas
12.1. Os softwares homologados e instalados nos computadores e servidores de rede são de propriedade exclusiva do CRF-SP, sendo proibidas as cópias integrais, ou mesmo as parciais.
12.2. É terminantemente proibida a desinstalação ou instalação de programas nos computadores do CRF-SP pelos usuários sem o consentimento por escrito do DTI e de seu superior hierárquico imediato.
12.3. A instalação e utilização de programas ilegais (PIRATAS) ou não-licenciados é terminantemente proibida, eis que constitui crime contra a propriedade intelectual, de acordo com a Lei nº 9.609/1998. Os usuários devem permanecer cientes de que, periodicamente, o DTI fará a verificação nos dados dos servidores e nos computadores dos usuários, visando garantir a correta aplicação desta diretriz.
12.4. Nenhum usuário terá acesso de “administrador” em suas estações de trabalho.
13. Uso do ambiente Web (Internet)
13.1. O acesso à Internet será autorizado para os usuários que necessitarem destes recursos para o desempenho das suas atividades profissionais no Conselho Regional de Farmácia do Estado de SP. Sítios Eletrônicos que não contenham informações que agreguem conhecimento profissional, estritamente vinculadas ao desempenho do trabalho não devem ser acessados, entendendo-se como acesso indevido, sujeito às sanções disciplinares, civis e criminais, aquele relacionado aos temas elencados no item 9.5.
13.2. O uso da Internet será monitorado podendo ocorrer a geração de relatórios sob demanda.
13.3. A definição dos funcionários que terão permissão para uso (navegação) da Internet será de acordo com o Gestor do respectivo Departamento.
13.4. Não é permitido instalar quaisquer programas provenientes da Internet nos microcomputadores do Conselho Regional de Farmácia do Estado de SP, sem expressa anuência por escrito do DTI.
13.5. Os usuários devem se assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licenças de uso ou patentes de terceiros.
13.6. Durante a utilização na Internet, é proibida a visualização, transferência (downloads), cópia ou qualquer outro tipo de acesso a sítios eletrônicos:
a) De estações de rádio ou qualquer conteúdo sob demanda (streaming), sem a prévia comunicação ao DTI;
b) De conteúdo pornográfico ou com caráter sexual;
c) Que defendam atividades ilegais;
d) Que menosprezem, depreciem ou incitem o preconceito em geral;
e) Que promovam a participação em salas de discussão de assuntos não relacionados às atividades do Conselho Regional de Farmácia do Estado de São Paulo;
f) Que promovam discussão pública sobre atividades do Conselho Regional de Farmácia do Estado de São Paulo, a menos que autorizado pela respectiva Gerência;
g) Que possibilitem a distribuição de informações de nível ‘’Confidencial’’ e “Restrita”.
h) Que permitam a transferência (downloads) de arquivos e/ou programas ilegais, bem como o acesso a sites de Proxy e a software peer-to-peer (P2P);
i) Que permitam a visualização de vídeos que possam comprometer o link ou a rede do CRF-SP, sem a prévia comunicação ao DTI.
14. Penalidades
14.1. O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações:
a) Advertência formal;
b) Suspensão;
c) Rescisão do Contrato de Trabalho por justa causa, nos termos do artigo 482, da Consolidação das Leis do Trabalho;
d) Ação disciplinar ou processo civil e/ou criminal.
e) Ressarcimento de todos custos diretos e indiretos que venha a dar causa.
15. CONSIDERAÇÕES FINAIS
15.1. Declaro, ainda, estar ciente de que:
a) A Política de segurança da Informação pode ser atualizada a qualquer tempo, independentemente de notificação prévia, conforme as necessidades da entidade. Eventuais alterações na política serão comunicadas e divulgadas por e-mail e disponibilizadas de forma permanente na intranet.
b) É de minha responsabilidade manter-me atualizado quanto às alterações na política e cumprir as normas estabelecidas.
c) A não observância de qualquer dos preceitos descritos na íntegra desta Política implicará na aplicação das sanções previstas no mencionado documento ou outras previstas na Consolidação das Leis do Trabalho (Decreto-Lei 5.452/1953).
