Download Decreto
nº 11.007/2021
Secretaria Municipal de Gestão
Departamento de
Gestão Tecnológica e Telecomunicações
Normatização e Política de Segurança da Informação e Comunicação da Administração Pública Municipal de Cubatão (Decreto nº 11.007/2019)
TÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1º Fica instituída a Normatização e a Políti-ca de Segurança da Administração Pública Municipal de Cubatão, com o objetivo de assegurar a continuidade, a confidencialidade, a confiabilidade, a integridade e a disponibilidade da informação produzida por meios informatizados ou digitais e acessível pela rede de comunicação de dados e voz.
Parágrafo único. Todos os agentes públicos, inclusive aqueles que exercem, ainda que transitoriamente ou sem remuneração, por eleição, nomeação, designação, contratação ou qualquer outra forma de investidura ou vínculo, mandato, cargo, emprego ou função na Administração Pública Municipal, direta e indireta, bem como todas as pessoas físicas ou jurídicas de direito privado que se sirvam dos serviços, recursos, produtos e informações digitais processadas ou disponibilizadas pela Administração Pública Municipal de Cubatão deverão obedecer e seguir as regras contidas neste Decreto a fim de isolar ou minimizar possíveis ameaças às redes e aos seus usuários em geral.
Art. 2º São diretrizes da Normatização e da Política de Segurança da Informação e Comunicação:
I - a continuidade das atividades e serviços prestados pela Administração Pública Municipal direta e indireta;
II - a preservação da autenticidade, confiabilidade, disponibilidade e integridade dos dados, informações e conhecimentos que compõem o ativo da informação da Administração Pública Municipal de Cubatão;
III - a responsabilização do usuário pelos atos que comprometam a segurança dos sistemas de informação e comunicação municipais.
Art. 3º Para efeito e interpretação deste Decreto consideram-se as seguintes definições:
I - administrador: profissional de Tecnologia da Informação e Comunicação responsável por administrar o serviço de e-mail institucional ou qualquer outro aplicativo corporativo da Administração Pública Municipal;
II - ameaça: causa potencial de um incidente indesejado, de origem natural ou artificial, acidental ou intencional, interno ou externo, que possa comprometer os ativos de informática e comunicação, tais como sistemas, processos, informações e dados – e, consequentemente, resultar em dano para a Administração Pública direta e/ou indireta;
III - aplicativo: software desenvolvido internamente ou adquirido de terceiro para o usuário final, geralmente de fácil utilização e dirigido a uma atividade específica, como editor de texto, planilha de cálculo, controle de estoque, gerenciador de e-mails ou de bases de dados;
IV - ativo: algo ou característica, tangível ou intangível, que tenha valor para a Administração Pública direta e/ou indireta e que, portanto, exija proteção, inclusive, dados, informações, sistemas de informação, meios de processamento, armazenamento e transmissão de dados e informações, bem como os locais e pessoas que têm acesso a eles;
V - autenticidade: propriedade de que a informação foi certamente produzida, expedida, modificada ou destruída por uma determinada pessoa física ou por um determinado sistema, órgão ou entidade;
VI - base de dados: sistema informatizado de armazenamento de dados, que consiste num conjunto de registros cujo objetivo é organizar e guardar dados para ulterior processamento e geração de informações;
VII - caixa postal: repositório de armazenamento de mensagens do correio eletrônico, integrante da base de dados dos servidores de correio eletrônico da Administração Pública Municipal de Cubatão;
VIII - confiabilidade: garantia de que a informação só pode ser acessada e manipulada por pessoas ou sistemas eletrônicos devidamente autorizados;
IX - confidencialidade: propriedade de que a informação não está disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizado;
X - conta: registro que identifica um usuário por meio do nome, senha e privilégios de acesso à rede ou ao aplicativo;
XI - correio eletrônico ou e-mail: é um recurso de comunicação, cujas regras de acesso e utilização devem atender às orientações deste Decreto, além das demais normas e diretrizes da Administração Pública Municipal de Cubatão;
XII - credencial: composição de usuário e senha que identifica um usuário;
XIII - dado: todo e qualquer elemento processável necessário para se gerar e/ou obter uma informação;
XIV - disponibilidade: garantia de que uma informação poderá ser sempre acessada pelas pessoas e sistemas autorizados, independentemente do momento em que é requisitada ou do local em que se encontra armazenada;
XV - domínio: nome atribuído a determinado endereço no Servidor de Nomes de Domínios (DNS), registrado diretamente sob um dos Domínios de Primeiro Nível (DPN) definidos pelo Comitê Gestor da Internet no Brasil (CGI.br);
XVI - “download”: processo de cópia local a partir de um arquivo residente em um computador remoto;
XVII - endereçamento web: localização lógica de um site na Internet, Intranet ou Extranet;
XVIII - “hardware”: o computador em si, considerado como máquina eletrônica, incluindo outros aparelhos eletrônicos a ele acoplados, como impressora, monitor de vídeo, mouse, scanner etc.;
XIX - “hiperlinks”: palavra ou endereço em destaque de uma página da internet ou mensagem de correio eletrônico que, ao ser clicado, efetua o direcionamento do usuário para outra parte do texto da mensagem ou página “web”;
XX - homologação: processo de avaliação e aprovação técnica que antecede a aquisição de equipamento ou produto de informática ou comunicação;
XXI - incidente: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de Tecnologia da Informação e Comunicação;
XXII - informação: ativo resultante do processamento eletrônico de dados, com valor fundamental para a tomada de decisões, necessitando assim de proteção adequada;
XXIII - informática: área do conhecimento que abrange computadores, software e hardware em geral, análise e desenvolvimento de sistemas, e tudo o que se relaciona ao emprego e uso de tecnologia da informação e comunicação;
XXIV - integridade: garantia de consistência na manipulação de uma informação, de forma a não permitir que seja alterada ou adulterada por um acesso ilegal ou irregular;
XXV - lista de distribuição: agrupamento de diversas caixas postais eletrônicas em um único endereço eletrônico que, uma vez inserido como destinatário de uma mensagem, permite a distribuição desta a todas as caixas postais integrantes da lista;
XVI - “login”: processo de acesso ao serviço do correio eletrônico por meio de credenciais;
XXVII - “peopleware”: pessoas que fazem uso de computador no seu dia a dia, incluindo aí não só os simples usuários, mas também os técnicos de teleinformática e analistas de sistemas;
XXVIII - perfil: conjunto de atributos e parâmetros necessários que identificam e caracterizam um determinado usuário para o sistema operacional, rede ou aplicativo;
XXIX - plano de contingência: descrição das medidas a serem tomadas pela Administração Municipal de Cubatão, incluindo a ativação de processos manuais, para fazer com que seus processos críticos voltem a funcionar perfeitamente ou em um estado minimamente aceitável, o mais rápido possível, evitando paralisações prolongadas;
XXX - plano de continuidade dos negócios: documentação dos procedimentos e informações necessários para que os órgãos da Administração Pública direta e/ou indireta mantenham seus ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo, em um nível previamente definido, em casos de incidentes;
XXXI - ponto-a-ponto: comunicação direta entre dois computadores clientes, que só enviam e recebem dados entre si, sem a necessidade de um servidor entre eles;
XXXII - protocolo: convenção, regra, procedimento ou padrão que controla e possibilita uma conexão, comunicação e transferência de dados entre dois sistemas computacionais;
XXXIII - quebra de segurança: ação ou omissão, intencional ou acidental, que resulta no comprometimento da segurança da informação e da comunicação;
XXXIV - replicação ou “backup”: manutenção de cópias idênticas de um mesmo dado em locais diferentes, em mais de um sistema ou meio de armazenamento;
XXXV - sala cofre: sala fortificada que provê um local seguro de invasões e outras ameaças, projetada para resistir a vários tipos de catástrofes, tais como altas temperaturas, inundações, cortes bruscos de energia, gases corrosivos, explosões etc.;
XXXVI - sala segura: sala que proporciona um ambiente seguro, com maior garantia no armazenamento de informações eletrônicas, por possuir gerador próprio, instalação elétrica independente, paredes especiais, piso elevado, ar condicionado, detecção e extinção automática de incêndios, iluminação apropriada, sinalização de emergência, monitoramento contínuo do ambiente etc.;
XXXVII - servidor: computador dedicado a oferecer serviços, recursos, dados e informações para outros computadores da rede, estes denominados clientes;
XXXVIII - sistema: um conjunto de elementos materiais ou ideais que permite a integração dos três componentes básicos da Tecnologia da Informação e Comunicação: hardware, software e peopleware;
XXXIX - “site”: área identificável dentro de um servidor “web” que pode ser acessada e visitada por outros computadores da rede de dados interna e/ou externa;
XL - “SLA” ou acordo de nível de serviço: documento que apresenta metas, termos de execução, prazos para suporte técnico, etc., com vistas a uma boa prestação de serviços na área de Tecnologia da Informação e Comunicação;
XLI - “SLA-DGTT”: SLA definido pelo Departamento de Gestão Tecnológica e Telecomunicações em Norma Complementar e preparado segundo a complexidade dos procedimentos e/ou serviços disponibilizados ao usuário;
XLII - “software”: todo e qualquer conjunto ideal de instruções compreendidas e executadas por um computador - tais como sistemas operacionais, linguagens de programação e programas aplicativos -, independentemente da função, tamanho, forma, metodologia, linguagem ou qualquer outra característica identificável;
XLIII - “spam”: envio simultâneo de uma grande quantidade de mensagens de correio eletrônico, para destinatários diversos e sem a solicitação e/ou autorização prévia destes, geralmente destinadas a oferta de produtos e serviços, correntes, notícias falsas e outros tipos de conteúdo;
XLIV - termo de responsabilidade e compromisso: documento assinado pelo usuário concordando em contribuir com a disponibilidade, integridade, confidencialidade e autenticidade das informações a que tiver acesso, bem como assumindo responsabilidades em decorrência de tal acesso;
XLV - usuário: qualquer pessoa física ou órgão da Administração Pública que utilize, em suas tarefas profissionais, equipamentos de informática e/ou telefonia, sistemas informatizados, bases de dados, aplicativos, recursos disponíveis na rede de comunicação de dados e voz, ou qualquer outro serviço, recurso ou produto disponibilizado pelo Departamento de Gestão Tecnológica e Telecomunicações;
XLVI - vulnerabilidade: conjunto de fatores internos ou causa potencial de um incidente, que podem resultar em risco para um sistema ou para toda a Administração Pública direta e/ou indireta, os quais podem ser evitados por uma ação interna de segurança da informação;
XLVII - “web”: protocolos e aplicativos especialmente projetados e desenvolvidos para serem acessados por softwares de navegação na Internet, Intranet ou Extranet.
Art. 4º Em sua relação com os usuários em geral, os analistas e técnicos do Departamento de Gestão Tecnológica e Telecomunicações, inclusive funcionários contratados e/ou terceirizados, têm o dever de bem orientar e esclarecer as dúvidas levantadas, mantendo sempre uma postura profissional e diligente, sem prejuízo da correta aplicação deste Decreto.
Art. 5º O horário padrão para acesso interno à rede de comunicação de dados da Prefeitura Municipal de Cubatão será durante o horário oficial de expediente, nos dias úteis de segunda à sexta-feira.
§ 1º O acesso externo à rede interna de comunicação de dados da Prefeitura, disponível vinte e quatro horas por dia, nos sete dias da semana, estará limitado à manutenção remota realizada pelos profissionais técnicos lotados no Departamento de Gestão Tecnológica e Telecomunicações, e, em caso de extrema necessidade, pelos servidores públicos previamente autorizados por seus respectivos órgãos a realizarem tal acesso, com o aval e sob a orientação do referido Departamento.
§ 2º Para fins de auditoria interna, todo acesso externo à rede de comunicação de dados da Prefeitura deverá ser automaticamente registrado pelo próprio sistema operacional e/ou aplicativo acessado.
§ 3º O acesso à Página Oficial na Internet, ao Portal da Transparência e ao Webmail, bem como a quaisquer outros aplicativos instalados nos servidores “web” da Prefeitura Municipal de Cubatão deverão ser aceitos vinte e quatro horas por dia, nos sete dias da semana, salvo motivo de força maior e períodos de manutenção corretiva.
§ 4º Caberá ao Departamento de Gestão Tecnológica e Telecomunicações, após cuidadoso estudo técnico, no qual se levará em conta o perfil dos usuários, as características dos dados processados e a amplitude das informações geradas, definir o acesso público ou restrito aos aplicativos “web”, bem como o modo de sua disponibilização.
§ 5º São modos de disponibilização dos aplicativos “web”:
I - internet: aplicativos e informações acessíveis na Internet, de forma pública ou restrita aos usuários cadastrados, previamente qualificados;
II - extranet: aplicativos e informações acessíveis na Internet, de forma restrita aos servidores públicos e funcionários contratados ou terceirizados previamente autorizados, vedado o acesso aos menores aprendizes;
III - intranet: aplicativos e informações acessíveis na rede de comunicação de dados interna, mediante servidores “web”, de uso dos servidores públicos e funcionários contratados ou terceirizados, e, quando autorizados, pelos menores aprendizes.
Art. 6º Os usuários da rede de comunicação de dados da Administração Municipal de Cubatão só terão acesso a ela por meio dos computadores instalados nos seus respectivos órgãos de origem.
Parágrafo único. Em caso de extrema necessidade e mediante requisição da Secretaria Municipal de Gestão, o Departamento de Gestão Tecnológica e Telecomunicações, por meio do Serviço de Telefonia e Rede, poderá habilitar para o usuário acesso seguro e criptografado à rede interna a partir de outros computadores, internos ou externos.
Art. 7º Todos os documentos e informações armazenados eletronicamente na rede de comunicação de dados da Administração Pública Municipal serão classificados de acordo com a Lei de Acesso à Informação (Lei nº 12.527, de 18 de novembro de 2011), atentando-se ainda para outras legislações aplicáveis, como o Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014) e a Lei geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018).
Art. 8º No processo de homologação, seleção e implantação de softwares e sistemas operacionais o Departamento de Gestão Tecnológica e Telecomunicações deverá dar preferência a softwares livres e documentos abertos, em obediência à Lei Municipal nº 2.886, de 15 de dezembro de 2003.