ESCOLA INTEGRADA DEPUTADO MORAES SOUZA SESI

PSI- POLITICA DE SEGURANA DA INFORMAO

V.1.0

ABRIL 2013

POLTICA DE SEGURANA A INFORMAO PSI

APRESENTAO Este documento foi elaborado para definio das aes de Segurana da Informao que visem: proteo dos sistemas de informao contra a negao de servio a usurios autorizados, assim como contra a intruso, e a modificao desautorizada de dados ou informaes armazenadas, em processo ou em trnsito, abrangendo inclusive, a segurana dos recursos humanos, da documentao e do material presente na rea e instalaes da ESCOLA INTEGRADA DEPUTADO MORAES SOUZA. A PSI estabelece diretrizes definindo normas, procedimentos e instrues nos mbitos estratgico, ttico e operacional respectivamente, conforme a Norma ABNT 21:204.01-010.

INTRODUO

A Escola Integrada Deputado Moraes Souza composta pelo Prdio Administrativo, 5 blocos educacionais, 1 bloco Laboratorial e Biblioteca.

A Rede da Escola Integrada Deputado Moraes Souza oferece recursos computacionais e de redes para acesso aos Sistemas Integrados de Gesto do Sistema FIEPI, permitindo a transmisso de um mdio volume de transmisso de comunicao, tanto interno quanto externo. Assim, os recursos computacionais e de rede da Escola Integrada Deputado Moraes Sousa e a informao atravs desses recursos precisam ser protegidos. Esta politica de segurana dever proporcionar um ambiente computacional que se caracterize pela tentativa de manter a confidencialidade, integridade, legalidade e disponibilidade das informaes, independentemente de onde elas estejam. Sua eficincia est diretamente ligada adequao de suas diretrizes pela instituio. A Poltica de segurana da informao, na Escola Integrada Deputado Moraes Souza, aplica-se a todos os funcionrios, prestadores de servios, sistemas e servios, incluindo trabalhos executados externamente ou por terceiros, que utilizem o ambiente de processamento da escola, ou acesso a informaes pertencentes escola. Todo e qualquer usurio de recursos computadorizados da escola tem a responsabilidade de proteger a segurana e a integridade das informaes e dos equipamentos de informtica. A violao desta poltica de segurana qualquer ato que: Exponha a Escola a uma perda monetria efetiva ou potencial por meio do Comprometimento da segurana dos dados /ou de informaes ou ainda da perda de equipamento. Envolva a revelao de dados confidenciais dos alunos e servidores. Envolva o uso de dados para propsitos ilcitos.

OBJETIVO

Este documento tem como objetivo especfico definir Uma Poltica de Segurana para a Escola Integrada Deputado Moraes Souza, Estabelecendo procedimentos e recomendaes visando garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informao necessria para a o bom funcionamento da Instituio de Ensino visando prevenir e responder a incidentes de segurana. A segurana pode ser enfocada sob dois aspectos: fsico e lgico. Adota-se como segurana fsica o relacionado proteo de edificaes, infraestrutura e equipamentos, reduzindo ameaas que possam colocar em risco o bom funcionamento dos sistemas. Como segurana Lgica, entende-se a segurana dos dados administrativos, didticos, educacionais e dos alunos armazenados nos servidores institucionais. MISSO DO SETOR DE TECNOLOGIA DA INFORMAO Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informao necessria para a realizao do bom funcionamento da Escola. Ser o gestor do processo de segurana e proteger as informaes da organizao, catalisando, coordenando, desenvolvendo e/ou implementando aes para esta finalidade. CLASSIFICAO DA INFORMAO de responsabilidade do Supervisor de cada rea estabelecer critrios relativos ao nvel de confidencialidade da informao (relatrios e/ou mdias) gerada por sua rea de acordo com a tabela abaixo: 1 Pblica 2 Interna 3 Confidencial 4 Restrita Conceitos: Informao Pblica: toda informao que pode ser acessada por Usurios da organizao, clientes , fornecedores, prestadores de servios e Pblico em geral. Informao Interna: toda informao que s pode ser acessada por Funcionrios da organizao. So informaes que possuem um grau de confidencialidade que pode comprometer a imagem da organizao. Informao Confidencial: toda informao que pode ser acessada por usurios da organizao e por parceiros da organizao. A divulgao no autorizada dessa informao pode causar impacto (financeiro, de imagem ou

operacional) ao negcio da organizao ou ao negcio do parceiro. Informao Restrita: toda informao que pode ser acessada somente por usurios da organizao explicitamente indicado pelo nome ou por rea a que pertence. A divulgao no autorizada dessa informao pode causar srios danos ao negcio e/ou comprometer a estratgia de negcio da organizao. Todo Gerente/Supervisor deve orientar seus subordinados a no circularem informaes e/ou mdias consideradas confidenciais e/ou restritas, como tambm no deixar relatrios nas impressoras, e mdias em locais de fcil acesso, tendo sempre em mente o conceito mesa limpa, ou seja, ao terminar o trabalho no deixar nenhum relatrio e/ou mdia confidencial e/ou restrito sobre suas mesas. DADOS DOS FUNICIONRIOS A Escola Integrada Deputado Moraes Souza se compromete em no acumular ou manter intencionalmente Dados Pessoais de Funcionrios alm daqueles relevantes para a Instituio. Todos os Dados Pessoais de Funcionrios que porventura sejam armazenados, sero considerados dados confidenciais. Dados Pessoais de Funcionrios sob a responsabilidade da Escola Integrada Deputado Moraes Souza no sero usados para fins diferentes daqueles para os quais foram coletados. Dados Pessoais de Funcionrios no sero transferidos para terceiros, exceto quando exigido pelo Sistema FIEPI, e desde que tais terceiros mantenham a confidencialidade dos referidos dados, incluindo-se, neste caso a lista de endereos eletrnicos (e-mails) usados pelos funcionrios da Escola Integrada Deputado Moraes Souza Por outro lado, os funcionrios se comprometem a no armazenar dados pessoais nas instalaes da empresa, sem prvia e expressa autorizao por parte da diretoria. Mesmo que seja autorizado o armazenamento destes dados, a escola no se responsabiliza por eles, nem tampouco pelo seu contedo e pela segurana. Tais dados jamais podero ser armazenados nos diretrios dos Servidores de escola, e jamais podero fazer parte da rotina de backup da escola.

ADMISSO E DEMISSO DE FUNCIONRIOS / TEMPORRIOS / ESTAGIRIOS O setor de Recrutamento e Seleo de Pessoal da escola dever informar ao setor de Informtica, toda e qualquer movimentao de temporrios e/ou estagirios, e admisso/demisso de funcionrios, para que os mesmos

possam ser cadastrados ou excludos no sistema da escola. Isto inclui o fornecimento de sua senha("password") e registro do seu nome como usurio no sistema (user-id), pelo setor de Informtica. Cabe ao setor solicitante da contratao a comunicao ao setor de Informtica sobre as rotinas a que o novo contratado ter direito de acesso. No caso de temporrios e/ou estagirios dever tambm ser informado o tempo em que o mesmo prestar servio escola, para que na data de seu desligamento possam tambm ser encerradas as atividades relacionadas ao direito de seu acesso ao sistema.No caso de demisso, o setor de Recursos Humanos dever comunicar o fato o mais rapidamente possvel Informtica, para que o funcionrio demitido seja excludo do sistema . Cabe ao setor de Recursos Humanos dar conhecimento e obter as devidas assinaturas de concordncia dos novos contratados em relao Poltica de Segurana da Informao da Escola Integrada Deputado Moraes Souza. Nenhum funcionrio, estagirio ou temporrio, poder ser contratado, sem ter expressamente concordado com esta poltica. TRANSFERNCIA DE FUNCIONRIOS / TEMPORRIOS / ESTAGIRIOS Quando um funcionrio for promovido ou transferido de seo ou gerncia, o setor de cargos e salrios dever comunicar o fato ao Setor de Informtica, para que sejam feitas as adequaes necessrias para o acesso do referido funcionrio ao sistema informatizado da Escola. PROGRAMAS ILEGAIS A empresa respeita os direitos autorais dos programas que usa e reconhece que deve pagar o justo valor por eles, no recomendando o uso de programas no licenciados nos computadores da escola. terminantemente proibido o uso de programas ilegais (Sem licenciamento ) na Escola. Os usurios no podem, em hiptese alguma, instalar este tipo de "software" (programa) nos equipamentos da Escola, mesmo porque somente o pessoal da rea de Ti tem autorizao para instalao de programas previamente autorizados dentro da poltica de segurana da escola. Periodicamente, o Setor de Informtica far verificaes nos dados dos servidores e/ou nos computadores dos usurios, visando garantir a correta aplicao desta diretriz. Caso sejam encontrados programas no autorizados, estes devero ser removidos dos computadores. Aqueles que instalarem em seus computadores de trabalho tais programas no autorizados, se responsabilizam perante a escola por quaisquer problemas ou prejuzos causados oriundos desta ao, estado sujeitos as sanses previstas neste documento.

PERMISSES E SENHAS

Todo usurio para acessar os dados da rede da ESCOLA INTEGRADA DEPUTADO MORAES SOUSA, devera possuir um login e senha previamente cadastrados pelo pessoal de TI. Quem deve fornecer os dados referente aos direitos do usurio o responsvel direto pela sua chefia, que deve preencher uma ficha e entreg-la ao departamento de RH. Quando da necessidade de cadastramento de um novo usurio para utilizao da "rede", sistemas ou equipamentos de informtica da escola, o setor de origem do novo usurio dever comunicar esta necessidade ao setor de TI, por meio de memorando ou e-mail, informando a que tipo de rotinas e programas o novo usurio ter direito de acesso e quais sero restritos. A rea de TI far o cadastramento e informar ao novo usurio qual ser a sua primeira senha, a qual dever, obrigatoriamente, ser alterada imediatamente aps o primeiro login e aps isso a cada 45 (quarenta e cinco) dias. Por segurana, a rea de TI recomenda que as senhas tenham sempre um critrio mnimo de segurana para que no sejam facilmente copiadas, e no possam ser repetidas. Todos os usurios responsveis pela aprovao eletrnica de documentos (exemplo: pedidos de compra, solicitaes e etc) devero comunicar ao Setor de TI qual ser o seu substituto quando de sua ausncia da escola para que as permisses possam ser alteradas (delegao de poderes). Quando houver necessidade de acesso para usurios externos, sejam eles temporrios ou no, a permisso de acesso devera ser bloqueada to logo este tenha terminado o seu trabalho e se houver no futuro nova necessidade de acesso, dever ento ser desbloqueada pelo pessoal de TI. BACKUP (COPIA DE SEGURANA DOS DADOS ) Todos os dados da empresa devero ser protegidos atravs de rotinas sistemticas de Backup. Cpias de segurana do sistema integrado e servidores de rede so de responsabilidade do Setor Interno de TI e devero ser feitas diariamente. Ao final de cada ms tambm dever ser feita uma cpia de segurana com os dados de fechamento do ms, do Sistema Integrado. As copias devero ser feitas em mdias removveis e devero abranger todos os dados da escola, que devero estar nos servidores. As copias devero ser protegidas por senhas para evitar que pessoas no autorizadas tenham acesso a estes dados em caso de perda ou roubo da mdia. As Copias devero ser feitas de forma escalonada em Midas diferentes para cada dia da semana. As mdias devero ser armazenadas em local seguro, fora das instalaes do setor de TI para evitar perda de dados em casos sinistros. Semanalmente, no final do expediente de sexta feira um conjunto de backup devera ser enviado para um local externo em outro endereo a ser definido pela diretoria. Neste local devera haver permanentemente um conjunto completo de backup capaz de restaurar todos os dados da empresa em caso de sinistro.

O conjunto de backup armazenado externamente dever sofrer rodzio semanal com um dos conjuntos de backup ativo. Validao do Backup Mensalmente o backup devera ser testado pelo pessoal de Ti, voltando-se parte ou todo o contedo do backup em um HD previamente definido para este fim . SEGURANA E INTEGRIDADE DOS DADOS O gerenciamento do(s)banco(s) de dados responsabilidade exclusiva do Setor de Ti, assim como amanuteno, alterao e atualizao de equipamentos e programas. PROPRIEDADE INTELECTUAL de propriedade da ESCOLA INTEGRADA DEPUTADO MORAES SOUZA, todos os designs, criaes ou procedimentos desenvolvidos por qualquer funcionrio durante o curso de seu vnculo empregatcio com a ESCOLA INTEGRADA DEPUTADO MORAES SOUZA. RESPONSABILIADE DOS GERENTES / SUPERVISORES Os gerentes e supervisores so responsveis pelas definies dos direitos de acesso de seus funcionrios aos sistemas e informaes da Escola, cabendo a eles verificarem se os mesmos esto acessando exatamente as rotinas compatveis com as suas respectivas funes, usando e conservando adequadamente os equipamentos, e mantendo cpias de segurana de seus arquivos individuais, conforme estabelecido nesta poltica. O Setor de Informtica far auditorias peridicas do acesso dos usurios s informaes, verificando:

ao; ou informao;

USO DE ANTIVRUS Todo arquivo em mdia proveniente de entidade externa da ESCOLA INTEGRADA DEPUTADO MORAES SOUZA deve ser verificado por programa antivrus. Todo arquivo recebido / obtido atravs do ambiente Internet deve ser verificado por programa antivrus.Todas as estaes de trabalho devem ter um antivrus instalado. A atualizao do antivrus ser automtica, agendada pelo setor de Informtica, via rede. O usurio no pode em hiptese alguma, desabilitar o programa antivrus instalado nas estaes de trabalho.

PENALIDADES As penalidades podero advir resultantes de incidentes de segurana. Nestes casos o setor de tecnologia da informao informar atravs de relatrios para a direo da escola para que esta julgue se necessrio a penalidade.

Parnaba, ___ de __________ de ______.

______________________ Diretor

________________________ Supervisor de Informtica

______________________ Funcionrio