Normal de Uso Aceitável de Ativo Página 1 NORMA DE USO ACEITÁVEL DE ATIVO Código: Versão: 0.1 Data da versão: 19/09/2023 Criado por: Intersec Solutions Aprovado por: Classificação: Histórico de Revisões Data Versão Criado por Descrição da Alteração 19/09/2023 0.1 Comitê de Segurança Documento básico 1. INTRODUÇÃO 1.1. A Norma de segurança da informação complementa Política Geral de Segurança da Informação, definindo as diretrizes para o uso aceitável de ativos de informação do Município de Cotiporã por seus usuários autorizados. 2. PROPÓSITO 2.1. Estabelecer diretrizes para o uso aceitável, entendido como seguro, dos ativos de informação do Município de Cotiporã por seus usuários autorizados. 3. ESCOPO 3.1. Esta norma obedece ao escopo definido na Política Geral de Segurança da Informação. Normal de Uso Aceitável de Ativo Página 2 4. DIRETRIZES 4.1. Uso de equipamento computacional 4.1.1. O Município de Cotiporã fornece para seus usuários equipamentos para o desempenho exclusivamente de suas atividades profissionais. 4.1.2. Todo usuário deve observar as seguintes disposições quanto ao uso de equipamentos de propriedade do Município de Cotiporã: 4.1.2.1. Os equipamentos disponibilizados com o objetivo específico de permitir aos usuários desenvolverem suas atividades profissionais são de propriedade do Município de Cotiporã, sendo expressamente proibida a utilização para fins particulares; 4.1.2.2. A alteração e/ou a manutenção de qualquer equipamento de propriedade do Município de Cotiporã é uma atribuição específica do departamento de tecnologia da informação que, a seu critério exclusivo, poderá delegar formalmente outro responsável. Demais usuários são expressamente proibidos de realizar qualquer tipo de manutenção ou modificação nos equipamentos; 4.1.2.3. Os equipamentos do Município de Cotiporã devem ser utilizados com cuidado visando garantir sua preservação e seu funcionamento adequado; 4.1.2.4. Computadores de mesa (desktops) ou móveis (notebooks) devem ser desligados no final do expediente ou sempre que um usuário estiver ausente por um período prolongado, excetuando-se quando existir uma justificativa plausível em virtude de atividades de trabalho; Normal de Uso Aceitável de Ativo Página 3 4.1.2.5. A desconexão (log off) da rede deverá ser efetuada nos casos em que o usuário não for mais utilizar o equipamento ou venha a ausentar-se por um período prolongado; 4.1.2.6. O bloqueio de tela protegido por senha deverá ser ativado sempre que o usuário se afastar do computador de mesa ou móvel que esteja utilizando; o bloqueio de tela será ativado automaticamente após 10 minutos de ociosidade no dispositivo; 4.1.2.7. Qualquer dano aos equipamentos do Município de Cotiporã será devidamente analisado pela área de tecnologia da informação. Havendo a constatação de que tal dano decorreu de ação direta ou omissão do usuário, caberá ao Município de Cotiporã exercer seu direito de reparação ao prejuízo, através da tomada das medidas cabíveis. 4.1.3. A seu critério exclusivo o Município de Cotiporã poderá permitir a utilização de equipamento particular para o desempenho de atividades profissionais, devendo eles passar por inspeção tanto do departamento de tecnologia da informação, quanto da área de segurança da informação de forma a garantir adequação aos requisitos e controles de segurança adotados pelo município; 4.1.4. Não é permitida a conexão de equipamentos particulares na rede administrativa do Município de Cotiporã, seja em segmentos cabeados ou sem fio, sem autorização prévia formal e inspeção do equipamento tanto do departamento de tecnologia da informação, quanto da área de segurança da informação. 4.2. Dispositivos de Armazenamento Removível 4.2.1. O Município de Cotiporã poderá, a seu critério exclusivo, fornecer a seus usuários dispositivos móveis ou com capacidade de armazenamento removível para execução de atividades profissionais, devendo ser observadas além das diretrizes acima, as seguintes: Normal de Uso Aceitável de Ativo Página 4 4.2.1.1. O usuário é o responsável direto pela segurança física e lógica dos dispositivos móveis sob sua guarda. Portanto, os mesmos não devem ficar fora de seu alcance em locais públicos onde haja acesso não controlado de pessoas; 4.2.1.2. Durante o deslocamento o usuário deverá estar alerta e ter uma conduta discreta, dando preferência para compartimentos de armazenamento resistentes e não chamativos e nunca deixando o dispositivo móvel desacompanhado em veículos; 4.2.1.3. A instalação de ferramentas de proteção e criptografia para dispositivos móveis é realizada pelo departamento de tecnologia da informação e é obrigatória para todos os equipamentos corporativos; 4.2.1.4. Em caso de perda ou furto de um dispositivo de armazenamento removível, o usuário deve comunicar imediatamente o departamento patrimonial para que possam ser tomadas as medidas cabíveis. 4.3. Armazenamento remoto (nuvem) 4.3.1. O Município de Cotiporã disponibiliza para seus usuários espaço para armazenamento remoto de arquivos na nuvem, através de sua solução corporativa; 4.3.2. Não é permitido o uso de qualquer outra solução de armazenamento na nuvem, que não seja a oficialmente adotada pelo município e homologada pela equipe de segurança da informação do Município de Cotiporã. 4.4. Identificação digital 4.4.1. O Município de Cotiporã poderá, a seu critério exclusivo, fornecer certificados digitais para usuários para execução de atividades profissionais específicas, devendo ser observadas as seguintes diretrizes: Normal de Uso Aceitável de Ativo Página 5 4.4.1.1. Cabe exclusivamente ao usuário a conservação de seu certificado digital, independentemente do equipamento que o suporte, bem como de qualquer tipo de senha ou meio de autenticação relacionado ao mesmo. 4.4.1.2. O usuário deverá informar a equipe de tecnologia da informação sobre quaisquer eventos ou suspeitas relativas ao comprometimento de sua senha e/ou o uso indevido de seu certificado digital; 4.4.1.3. O usuário desligado ou em processo de desligamento terá o certificado digital expedido pelo Município de Cotiporã imediatamente revogado; 4.4.1.4. É de responsabilidade da área de tecnologia da informação prover a atualização de todos os pontos de verificação com as respectivas listas de revogação. 4.5. Equipamentos de impressão e reprografia 4.5.1. O uso de equipamentos de impressão e reprografia (fotocopiadoras) deve ser feito exclusivamente para a impressão/reprodução de documentos que sejam de interesse do Município de Cotiporã ou que estejam relacionados com o desempenho das atividades profissionais do usuário. 4.5.2. O usuário deve observar as seguintes disposições específicas quanto ao uso de equipamentos de impressão e reprografia: 4.5.2.1. O usuário deve retirar imediatamente da impressora ou fotocopiadora os documentos que tenha solicitado a impressão, transmissão ou cópia que contenham informações do Município de Cotiporã, classificadas como de uso interno ou confidencial; 4.5.2.2. A impressão ou cópia de documento em suporte físico deve ser limitada à quantidade exata necessária para a tarefa determinada; Normal de Uso Aceitável de Ativo Página 6 4.5.2.3. Não será admissível, em nenhuma hipótese, o reaproveitamento de páginas já impressas e contendo informações classificadas como confidenciais ou pessoais, devendo as mesmas ser descartadas de acordo com os procedimentos adotados pelo Município de Cotiporã. 4.6. Segurança física 4.6.1. As instalações de processamento das informações do Município de Cotiporã serão mantidas em áreas seguras, cujo perímetro é fisicamente isolado contra o acesso não autorizado, os danos e quaisquer interferências de origem humana ou natural. 4.6.2. O usuário deve observar as seguintes disposições específicas quanto à segurança física: 4.6.2.1. Crachás de identificação, inclusive temporários, são pessoais e intransferíveis. Sob nenhuma circunstância será permitido o seu compartilhamento; 4.6.2.2. Enquanto em áreas sensíveis, os colaboradores devem portar crachás de identificação que exibam claramente seu nome e foto. Terceiros autorizados devem portar crachás temporários identificando claramente que eles não são colaboradores do Município de Cotiporã; 4.6.2.3. Excetuando-se quando formalmente autorizado, terceiros nunca devem ser deixados sozinhos em áreas sensíveis; 4.6.2.4. É proibida qualquer tentativa de se obter ou permitir o acesso a indivíduos não autorizados a áreas sensíveis do Município de Cotiporã; 4.6.2.5. É resguardado ao Município de Cotiporã o direito de inspecionar malas, maletas, mochilas e similares, assim como quaisquer equipamentos, incluindo Normal de Uso Aceitável de Ativo Página 7 dispositivos móveis, antes de permitir a entrada ou saída de colaboradores ou terceiros de áreas sensíveis; 4.6.2.6. É resguardado ao Município de Cotiporã o direito de monitorar seus ambientes físicos. Para isso será utilizado sistema de circuito fechado de televisão em áreas comuns. As imagens obtidas serão armazenadas e protegidas contra qualquer tipo de manipulação indevida; 4.6.2.7. Os documentos classificados como internos ou confidenciais, após manuseados, não deverão ser deixados expostos em cima de mesas, assim, ao se ausentar cabe usuário o dever de mantê-los guardados ou descartá-los de acordo com os procedimentos determinados pelo município; 4.6.2.8. Não é permitido consumir qualquer tipo de alimento, bebida ou fumar em áreas apontadas como sensíveis. 5. PAPÉIS E RESPONSABILIDADES 5.1. SEGURANÇA DA INFORMAÇÃO 5.1.1. É responsabilidade da Gerência de Segurança da Informação: 5.1.1.1. Estabelecer e manter atualizados os procedimentos complementares a esta norma; 5.1.1.2. Comunicar ao CILGPD eventuais tentativas, bem-sucedidas ou não, de desvio de conduta dos termos dessa norma. 6. SANÇÕES E PUNIÇÕES Normal de Uso Aceitável de Ativo Página 8 6.1. Sanções e punições serão aplicadas conforme previsto na Política Geral de Segurança da Informação. 7. REVISÕES 7.1. Esta norma é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação. 8. GESTÃO DA NORMA 8.1. A presente norma é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Gestão do Município de Cotiporã. 8.2. A presente norma foi aprovada no dia 19/09/2023. Ivelton Mateus Zardo Prefeito de Cotiporã Joana Inês Citolin Zanovello Secretaria de Administração