Ir direto para menu de acessibilidade.
Página inicial > Administração > Conselhos > ConsUni > Resoluções > Resolução ConsUni nº 12 - 09/10/08 - Aprova as Normas de Uso e Políticas Gerais de Segurança da UFABC
Início do conteúdo da página

Resolução ConsUni nº 12 - 09/10/08 - Aprova as Normas de Uso e Políticas Gerais de Segurança da UFABC

Serviço Público Federal
FUNDAÇÃO UNIVERSIDADE FEDERAL DO ABC
Conselho Universitário

RESOLUÇÃO ConsUni nº 12


Aprova as Normas de Uso e Políticas Gerais de
Segurança da Universidade Federal do ABC (UFABC).

O CONSELHO UNIVERSITÁRIO (ConsUni) da FUNDAÇÃO UNIVERSIDADE FEDERAL DO ABC (UFABC), no uso de suas atribuições e considerando as deliberações da IV sessão ordinária, realizada no dia 23 de setembro de 2008,

RESOLVE
:

Aprovar as Normas de Uso e Políticas Gerais de Segurança que estabelecem procedimentos e recomendações com o objetivo de preservar o patrimônio e a informação, no que se refere aos setores computacionais, de comunicação e a reputação da UFABC.

Art. 1º - O normativo encontra-se anexo a essa Resolução e não é exaustivo em todas as suas normas de uso, ficando sob responsabilidade do Núcleo de Tecnologia da Informação (NTI) propor complementações, sobre novas demandas, sendo que, qualquer alteração, deverá ser submetida à aprovação deste Conselho.

Art. 2º - Esta resolução entrará em vigor na data de sua publicação no Boletim de Serviço da UFABC.

 

ADALBERTO FAZZIO
Presidente


Anexo

Normas de Uso e Políticas Gerais de Segurança

Capítulo I

Objetivos


Artigo 1º - Este normativo tem como objetivo definir um conjunto de Normas de Uso e Políticas de Segurança para dados e sistemas da Universidade, especialmente quanto à proteção dos seus ativos relacionados à Universidade Federal do ABC (UFABC), estabelecendo procedimentos e recomendações visando prevenir e responder aos incidentes de segurança, apresentando linhas gerais de recomendações e ações que devem ser seguidas de forma a preservar o patrimônio e a informação, no que se refere aos setores computacionais e de comunicação, e a reputação da UFABC.

Parágrafo Único. Este normativo não é exaustivo em todas as suas Normas de Uso e Políticas de Segurança, ficando de responsabilidade do Núcleo de Tecnologia da Informação (NTI) propor complementações, sob demanda de novos cenários de redes e recursos apresentados na UFABC. A complementação deste deverá ser submetida ao Conselho Universitário (ConsUni) da UFABC para a sua devida aprovação.

Artigo 2º - A abrangência da segurança é definida pelo Núcleo de Tecnologia da Informação (NTI), no tocante as responsabilidades das Unidades, Centros, Laboratórios ou outros setores integrantes da UFABC.

Parágrafo Único. No escopo definido pelo NTI, os quesitos das Normas de Uso e Políticas de Segurança devem ser aplicados de maneira obrigatória.

Capítulo II

Os Órgãos, grupos e pessoas responsáveis pelas Normas de Uso e Políticas de Segurança e das suas atribuições.


Artigo 3º
- Compete ao Núcleo de Tecnologia da Informação (NTI):
I - Propor Normas de Uso e Políticas Gerais de Segurança;
II - Coordenar a execução dessas políticas pelos órgãos executivos (Unidades de Ensino e Pesquisa, Centros, Laboratórios e Órgãos da Administração Central).

Artigo 4º - Competem às Unidades de Ensino e Pesquisa, Institutos, Centros e Órgãos da Administração Central:
I - Auxiliar o NTI a propor as diretrizes gerais de informática;
II - Executar as políticas de informática propostas pelo NTI

Artigo 5º
- Compete à Consultoria Jurídica auxiliar as Divisões, Unidades, Centros e Órgãos quanto aos aspectos legais, e avaliar os incidentes de segurança causados por funcionários da Universidade, recomendando as penalidades cabíveis.

Artigo 6º - Compete aos Alunos, Professores, Técnicos Administrativos e demais pessoas que usam os recursos computacionais e de comunicação da Universidade cumprir com as determinações das Normas de Uso e Políticas de Segurança da UFABC.

Capítulo III

Seção I


Normas e princípios gerais para uso de dados/informação e recursos computacionais da UFABC


Artigo 7º - Os membros da Universidade têm direito de acesso aos registros que lhes digam respeito.

Artigo 8º - A coleta, a inserção e a conservação, de dados ou registros, informatizados ou não, de dados pessoais relativos a opiniões políticas, filosóficas ou religiosas, origem, conduta sexual e filiação sindical ou partidária devem estar sob a égide da voluntariedade, da privacidade e da confidencialidade, podendo ser utilizados para os fins propostos para sua coleta.
§1º - É proibido usar os dados a que se refere o capítulo para discriminar ou estigmatizar o indivíduo, cuja dignidade humana deve ser sempre respeitada.
§2º - No caso de dados para fins de pesquisa, o devido uso deverá ser encaminhado e obedecido o disposto pelo respectivo Comitê de Ética da UFABC.
Artigo 9º - O acesso e a utilização de informações relativas à vida acadêmica ou funcional de outrem, por qualquer membro da Universidade, dependem de:
I - expressa autorização do titular do direito;
II - ato administrativo motivado, em razão de objetivos acadêmicos ou funcionais, devidamente justificados.

Artigo 10º - Arquivos computacionais são de uso privativo e confidencial de seu autor ou proprietário, sendo igualmente confidencial todo o tráfego na rede.

Parágrafo Único. Os administradores dos sistemas computacionais poderão ter acesso aos arquivos em casos de necessidade de manutenção ou falha de segurança.

Artigo 11º
- No que concerne ao uso dos sistemas de computação compartilhados, é vedado aos membros da Universidade:
I - utilizar a identificação de outro usuário;
II - enviar mensagens sem identificação do remetente;
III - degradar o desempenho do sistema ou interferir no trabalho dos demais usuários;
IV - fazer uso de falhas de configuração, falhas de segurança ou conhecimento de senhas especiais para alterar o sistema computacional;
V - fazer uso de meio eletrônico para enviar mensagens ou sediar páginas ofensivas, preconceituosas ou caluniosas.

Seção II

Políticas para administradores e usuários dos sistemas computacionais da UFABC


Artigo 12º - Os administradores dos sistemas computacionais da UFABC devem zelar pela segurança dos sistemas e dos dados sob os seus cuidados.

Parágrafo Único. Entende-se por "administradores de sistemas computacionais" quaisquer pessoas dos quadros docente, discente e funcional que tenham conhecimento autorizado do código de acesso e senha do super usuário, "root" ou função equivalente dos computadores em que estejam instalados esses sistemas computacionais, sejam eles de uso geral, de uso restrito a uma unidade, centro, laboratório ou grupo de pessoas, ou ainda de uso individual.

Artigo 13º - Em particular, os administradores de sistemas computacionais devem observar as seguintes normas:
I - não abrir contas de uso coletivo ou com senhas públicas;
II - suspender contas que estejam inativas por períodos superiores a 90 dias, a não ser em casos justificados;
III - cancelar contas de usuários que venham a se desligar da Universidade Federal do ABC, tais como alunos egressos, professores e funcionários exonerados, após um período considerado razoável, no máximo de 30 dias após o desligamento, para que o usuário possa preservar os seus dados e redirecionar a sua correspondência eletrônica para outro endereço;
IV - dar conhecimento deste documento a todo usuário que mantenha conta em sistemas computacionais sob sua responsabilidade;
V - desabilitar, de imediato, contas e senhas associadas a serviços de informática de uso de funcionários, alunos egressos, professores, bolsistas ou de outros usuários que venham a se desligar da Universidade, ou que sejam transferidos de um setor da Universidade para outro, excetuando-se as contas previstas no inciso III;
VI - em caso de desligamento com caráter punitivo ou litigioso, a desativação das contas e senhas mencionadas no inciso anterior deve ser feita antes do comunicado do desligamento;
VII - configurar os computadores para exigir senhas de difícil decodificação, com comprimento mínimo de oito caracteres;

Artigo 14º - Ao manter e usar uma conta em sistema computacional da UFABC, o usuário responsabiliza-se pela sua senha de acesso, obrigando-se a não revelá-la a terceiros, sejam pessoas vinculadas à UFABC ou não.
§1º - Excepcionalmente, a senha poderá ser repassada a pessoa vinculada à UFABC, desde que esta assine um termo de responsabilidade.
§2º - Caso a senha seja repassada sem adoção da medida prevista no parágrafo 1°, o titular da senha responderá pelo mau uso do sistema em qualquer circunstância, não podendo transferir responsabilidade a terceiros.

Artigo 15º - As chefias imediatas e os órgãos de recursos humanos e acadêmicos, ao programar ou efetivar transferências e desligamentos de pessoal, deverão informar os fatos aos órgãos de informática de suas unidades em tempo hábil para que a conta seja desabilitada no tempo adequado, conforme o caso.

Artigo 16º - Ao implementar o compartilhamento de IP por meio de computadores ou equipamentos que possuam serviços NAT ("Network Address Translatíon"), DHCP ("Dynamic Host Configuration Protocol") ou semelhantes, o usuário ou administrador, seja docente, discente ou funcionário não docente, responsabiliza-se pelos incidentes que vierem a ser registrados pelo IP compartilhado.

Parágrafo Único
. O usuário ou administrador poderá transferir a responsabilidade a terceiros caso implemente mecanismos manuais ou automáticos ("logs") que permitam identificar, pelo prazo mínimo de um ano, os usuários dos computadores por intermédio dos quais seja possível causar incidentes.

Artigo 17º - Para evitar procedimentos inadequados ou incorretos que possam gerar problemas futuros à segurança de informações e dados desta Universidade, as chefias imediatas de funcionários que lidam com processos de informática, tais como abertura de contas e gerenciamento de usuários, devem manter um controle rígido dos procedimentos de segurança e realizar reuniões periódicas com seus funcionários para manter o sistema operando em conformidade com estas normas, as demais da UFABC e eventuais normas internas.

Capítulo IV

Seção I

Normas para Uso de Computadores da UFABC


Artigo 18º
- Os diversos computadores pessoais da UFABC e sob responsabilidade dos usuários, conectados ou não rede da UFABC, devem seguir normas de forma a minimizar os problemas com relação à perda de informação e comprometimento das atividades acadêmicas, científicas e administrativas da Universidade.

Artigo 19º - As normas deste capítulo objetivam fornecer as regras para o uso de computadores pessoais da Universidade, principalmente para os conectados à rede da UFABC. Nessas regras estão descritas as responsabilidades do usuário.

Seção II

Normas para o Usuário


Artigo 20º
- O usuário é responsável por todas as atividades no computador pessoal. Portanto, ele deve agir de acordo com as regras observando as seguintes normas:
I - Sempre utilizar identificação de usuário e senha de acesso no computador pessoal;
II - Responsabilizar-se pelo equipamento (hardware), mantendo-o nas suas perfeitas condições de uso, na forma como lhe foi entregue, independente do recebimento do termo de responsabilidade;
III - Responsabilizar-se pelo software (sistema operacional, utilitários, aplicativos e arquivos criados/instalados no microcomputador);
IV - Somente instalar "software" licenciado;
V - Instalar software livre ou arquivos, desde que não prejudiquem a performance do equipamento ou da rede, e não comprometam a imagem da Universidade;
VI - Somente implantar serviços de WWW, E-mail e FTP em seus computadores pessoais quando for estritamente necessário, comunicando o administrador de rede e ficando responsável pelas medidas de segurança e atualizações destes sistemas.
VII - Não remover equipamentos dos locais onde foram instalados, exceto sob autorização do superior imediato ou administrador, mesmo para os notebooks. Uma vez removidos, o serviço de patrimônio deverá ser comunicado (conforme lei n. 8.112);
VIII - Notificar imediatamente ao administrador da rede as ocorrências com o computador, quer seja invasão, dano ou roubo.
IX - Informar ao administrador da rede sobre equipamentos pessoais trazidos para o Campus.
Artigo 21º - É de responsabilidade dos usuários:
I - Fazer back-up (cópia de segurança) dos arquivos pessoais instalados em seu computador pessoal.
II - Estar ciente do manual de boas práticas divulgado pelo NTI.

Seção III

Normas do Administrador


Artigo 22º
- Cabe ao administrador dos recursos seguir as seguintes normas:
I - Disponibilizar ao usuário "patches" atualizados e antivírus para que o usuário faça a instalação e atualização em seus computadores pessoais.
II - Ter acesso aos arquivos do computador pessoal do usuário quando for indispensável para manutenção do sistema, falhas de segurança, quando o usuário solicitar sua ajuda ou por ordem superior.
III - Colaborar para garantir a funcionalidade dos serviços do computador do usuário ou informar ao usuário onde adquirir a manutenção adequada.
IV - Cadastrar o computador pessoal do usuário em domínios ou sub-domínios existentes na rede da Unidade.

Capítulo V

Normas para uso de contas de Correio Eletrônico


Artigo 23º - Este capítulo estabelece as diretrizes para uma boa utilização do correio eletrônico dentro da Universidade, tendo em vista os objetivos definidos pela Normas de Uso e Políticas de Segurança, tendo abrangência em toda a Universidade, e sendo mandatória para todos da UFABC.

Parágrafo Único. Também é do escopo deste capítulo a regulamentação de serviços do tipo "listas de discussão" baseados no protocolo "Simple Mail Tranfer Protocol" (SMTP).

Artigo 24º - Por sistema de correio eletrônico entende-se: sistemas, programas, servidores que se utilizam do protocolo SMTP para funcionar. Engloba desde o software cliente do usuário, que fará o envio e recebimento de mensagens (e-mails), até os servidores de correio eletrônico disponibilizados pela UFABC.

Seção I

Regras e Normas para o Usuário


Artigo 25º - São deveres dos usuários:
I - Não utilizar o sistema de correio eletrônico para spam;
II - Configurar seu software de correio eletrônico para que ao enviar um e-mail, o mesmo possa retornar a sua conta caso haja algum problema na entrega;
III - Não utilizar o sistema de correio eletrônico para enviar correntes, pirâmides, boatos, e outros;

Artigo 26º
- São responsabilidades dos usuários:
I - O titular da conta tem total responsabilidade pelo uso da mesma;
II - O mau uso de uma conta por terceiros será responsabilidade de seu titular, sujeitando-o às penalidades cabíveis;
III - É de exclusiva responsabilidade do usuário o conteúdo de seus arquivos;

Seção II

Regras e Normas para o Administrador


Artigo 27º - São deveres do Administrador:
I - O Administrador deve verificar periodicamente a conta "postmaster", para detectar eventuais problemas que possam estar ocorrendo no servidor e na entrega de e-mail dos usuários;
II - É obrigatória a criação das contas "security" e "abuse" nos servidores de domínio;
III - Seguir a Norma para Difusão de E-mails criada pelo NTI, quando do envio de e-mails em grandes quantidades para docentes, funcionários e/ou alunos da Universidade;
IV - Configurar o servidor de correio eletrônico de maneira a evitar problemas do tipo "open-relay", "open-proxy", "formmail" e outros;
V - Criar mecanismos automáticos de detecção de "spam";
VI - Checar periodicamente o servidor correio eletrônico para determinar se existem endereços de e-mail inválidos nas listas disponibilizadas pelo servidor. Se a lista for administrada por outra pessoa, o Administrador deve contatá-la para que seja feita a remoção desses endereços inválidos.

Artigo 28º - Quanto às listas de discussões:
I - O Administrador deve configurar o servidor de listas para que o Usuário não possa executar determinados comandos (por exemplo, "who" para listar todos os usuários que façam parte da lista).
II - O Administrador deve configurar um tamanho máximo para todas as mensagens que circulem através do servidor de listas.
III - O Administrador deve remover endereços inscritos em listas de discussão, caso eles estejam retornando.
IV - O Administrador deverá criar listas de discussões livre e listas de discussões institucionais mediadas.
V - No que se refere a listas livres, estas não serão controladas, e o Administrador deve configurar o servidor de listas para que em todos os emails que circulem por ela seja incluída informação ao Usuário de como ele deve proceder para se descadastrar da lista, contatar um Administrador, receber outras informações, etc.
VI - No que se refere a listas institucionais mediadas, o acesso à configuração do servidor de listas e principalmente a seus inscritos deve ser rigorosamente controlado e limitado apenas ao Administrador (ou dono) da lista. O Administrador do servidor de lista de discussão pode delegar a outras pessoas (Usuários que pertençam a Universidade) a administração de uma determinada lista. Essa pessoa ficará encarregada da sua manutenção (inclusão/remoção de usuários, moderação, etc.).

Seção III

Sobre a difusão de e-mails


Artigo 29º - Centros e Órgãos da Universidade poderão manter cadastros próprios com e-mails dos discentes, funcionários e docentes da UFABC, com o objetivo de enviar mensagens institucionais, com uso moderado.
Parágrafo Único - Esses cadastros não poderão conter dados pessoais dos discentes, funcionários e docentes da UFABC.

Sessão IV

Das infrações e penalidades


Artigo 30º - São consideradas infrações no uso dos recursos computacionais oferecidos:
I - Fornecer as senhas de acesso a externos, utilizar a senha de outro usuário sem seu consentimento e devida autorização;
II - Utilizar os recursos oferecidos com fins comerciais não autorizados explicitamente;
III - Utilizar software ou procedimentos para conseguir acesso não autorizado a recursos ou informações, ou para degradar o desempenho, ou para colocar fora de operação sistemas computacionais locais ou remotos;
IV - Armazenar arquivos de conteúdo ilegal ou considerados abusivos;

Artigo 31º - No caso de identificação de irregularidades, o usuário terá seu acesso bloqueado e problemas dessa natureza serão encaminhados ao Comitê de Ética da UFABC.

Capítulo VI

Normas para Utilização da Rede

Seção I

Normas para o Usuário


Artigo 32º - usuário deve seguir as seguintes normas:
I - Somente acessar outro computador conectado à rede se possuir autorização para tal ou se o serviço alvo permitir acesso público;
II - Quando utilizar alguma rede de dados externa o usuário deve observar as suas normas.
III - Não interceptar ou tentar interceptar a transmissão de dados através da rede, exceto quando autorizado explicitamente pelo superior hierárquico, com prévio conhecimento do NTI.
IV - Não desenvolver, manter, usar ou divulgar meios que possibilitem a violação da rede de computadores da Universidade.
V - Não colocar um hub ou switch em um ponto de rede para ampliar o número de pontos de rede da sala ou laboratório sem autorização e devida configuração do NTI.

Seção II

Normas para o Administrador


Artigo 33º
- Cabe ao administrador zelar pelo bom funcionamento da rede observando o seguinte:
I - Caso haja necessidade eminente, fazer uso de ferramentas para monitorar a rede da Unidade.
II - Comunicar imediatamente ao NTI a ocorrência de invasões ("hackers", "lammers", "crackers", etc.), tomando as medidas de desconexão da rede e correção das falhas.
III - Proteger os serviços de rede utilizando ferramentas apropriadas, como "firewall", "Proxy", Sistemas de Detecção de Intrusão, etc,
IV - O administrador deve dividir as redes muito grandes em sub-redes, cada uma protegida por um perímetro de segurança.
V - Comunicar o uso de outras ferramentas como NAT ("Network Adress Translation") para o NTI cuidando do gerenciamento dos "logs" e responsabilizando-se pela identificação do usuário na eminência de alguma atividade tida como ilícita.
VI - Comunicar ao NTI da instalação ou adoção de redes Wireless.
VII - Consultar o NTI sobre a criação de "VPNs".
VIII - Bloquear e notificar ao NTI sobre os serviços que possam comprometer o desempenho da rede ou infringir qualquer item da norma.
IX - Fazer a atualização de "patches" e erratas nos equipamentos de rede (switches, hubs e roteadores).
X - Não fornecer a empresas ou instituições informações sobre número IP ou nome de usuários em caso de reclamação ou denúncia; a solicitação deve sempre ser feita por vias formais (ofícios, protocolados, etc).
XI - Limitar ao máximo a divulgação de informações de roteamento, faixa de IP, servidores, equipamentos de rede, entre outros, a terceiros.
XII - Não desenvolver, manter, usar ou divulgar meios que possibilitem a violação de rede de computadores da Universidade.
XIII - Consultar o NTI quando tiver dúvidas.

Capítulo VII

Normas para uso de Serviços de Acesso Remoto


Artigo 34º
- Por serviços de acesso remoto entende-se qualquer serviço disponibilizado para o acesso aos serviços da rede local da UFABC a partir de um computador remoto, englobando desde o software cliente usuário, o qual faz conexão com os computadores da Universidade, até os servidores de VPN, SSH, FTP e assemelhados, disponibilizados pelo NTI ou demais unidades da UFABC.

Seção I

Normas para o usuário


Artigo 35º - São normas do Serviço de Acesso Remoto:
I - Ser aluno, devidamente autorizado pelo professor responsável, ou técnico administrativo da Universidade, devidamente autorizado pelo seu superior hierárquico;
II - Cadastrar nome de usuário e senha junto ao NTI;
III - Efetuar a configuração da máquina de acesso conforma instruções do NTI.
Artigo 36º - É vedado aos usuários:
I - usar a conexão de acesso remoto para fins de rede de compartilhamento de arquivos tipo P2P ("peer-to-peer"), transmissão de e-mails não solicitados ou de propaganda ("spam"), transmissão de softwares mal-intencionados (vírus, "trojans", "worms", "spywares" e assemelhados), acesso a pornografia ou conteúdo considerado ilegal pela legislação vigente, download de softwares ou arquivos sem licença do proprietário (pirata) e ocultação da própria identidade ("Proxy").
II - usar a conexão para qualquer outra finalidade não autorizada pelo NTI.
III - compartilhar o acesso à rede da UFABC com usuários não autorizados, por qualquer meio, inclusive através de compartilhamento por meio físico, ou através da divulgação de nome de usuário e senha.

Seção II

Normas para o Administrador


Artigo 37º - São deveres do administrador:
I - manter a disponibilidade do serviço.
II - prevenir o acesso indevido à rede de compartilhamento dos arquivos de acesso restrito da UFABC.
III - prevenir qualquer tipo de uso não autorizado da rede através de ferramentas adequadas ("Proxy", "firewall", "ACLs", etc).
IV - Manter registro ("log") de acessos.

Capítulo VIII

Disposições Finais


Artigo 38º - Nos casos omissos, caberá ao Núcleo de Tecnologia da Informação - NTI, propor norma regulamentadora.

Artigo 39º - As normas aqui previstas não são exaustivas, podendo ser complementadas ou modificadas por outras posteriores.

Artigo 40º - Este Normativo entra em vigor na data de sua aprovação pelo ConsUni e posterior publicação da Resolução e este Normativo no Boletim de Serviço da UFABC.




Registrado em: Resoluções
Fim do conteúdo da página