Instrução Normativa Ibram nº 12, de 10 de agosto de 2022
INSTRUÇÃO NORMATIVA IBRAM Nº 12, DE 10 DE AGOSTO DE 2022
Fixa regras para a utilização do serviço de internet, no âmbito do Instituto Brasileiro de Museus.
O PRESIDENTE DO INSTITUTO BRASILEIRO DE MUSEUS - Ibram, no uso das atribuições que lhe confere o inciso IV do art. 20 do Anexo I do Decreto nº 6.845, de 7 de maio de 2009, e conforme o disposto na Instrução Normativa GSI/PR nº 1, de 27 de maio de 2020, na Portaria GSI/PR nº 93, de 26 de setembro de 2019, no Decreto nº 10.641, de 2 de março de 2021, na Resolução Normativa Ibram nº 4, de 28 de julho de 2021, e no constante do processo SEI nº 01415.002231/2021-81, resolve:
Art. 1º Fixar as regras de utilização do serviço de internet, no âmbito do Instituto Brasileiro de Museus, nos termos do Anexo desta Instrução Normativa de forma a preservar a confidencialidade, integridade e disponibilidade das informações para todo o Instituto Brasileiro de Museus - Ibram.
Art. 2º Fica revogada a Instrução Normativa nº 2, de 29 de junho de 2018, publicada no Boletim de Serviço Eletrônico em 29 de junho de 2018.
Art. 3º A presente Instrução Normativa entra em vigor em 1º de setembro de 2022.
Pedro Machado Mastrobuono
Brasília, 11 de agosto de 2022.
Este texto não substitui o publicado no BSE de 11 de agosto de 2022 (clique aqui).
ANEXO
POLÍTICA DE UTILIZAÇÃO DO SERVIÇO DE INTERNET
CAPÍTULO I
DISPOSIÇÕES GERAIS
Seção I
Regras gerais para uso de internet
Art. 1º O acesso à internet, disponibilizado aos usuários da infraestrutura de rede do Ibram, deve ser realizado para os interesses de trabalho da Autarquia.
Art. 2º O uso da internet pelos usuários da rede deverá observar a ética, o bom senso e a razoabilidade.
Art. 3º É atribuição exclusiva da Coordenação de Tecnologia da Informação - Ctinf, definir os padrões de softwares homologados para uso da internet no Ibram.
Seção II
Das definições
Art. 4º Para os efeitos deste regulamento são adotadas as seguintes definições:
I - ativo de rede - equipamento que centraliza, interliga, roteia, comuta, transmite ou concentra dados em uma rede de computadores;
II - ativos de informação - os meios de armazenamento, transmissão e processamento da informação, os equipamentos necessários a isso, os sistemas utilizados para tal, os locais onde se encontram esses meios, e também os recursos humanos que a eles têm acesso;
III - browser - programa criado para permitir a navegação pela internet; sinônimo, em inglês, para navegador de internet;
IV - certificado digital - conjunto de dados de computador, gerados por uma Autoridade Certificadora, em observância à Recomendação Internacional ITU-T X.509, que se destina a registrar, de forma única, exclusiva e intransferível, a relação existente entre uma chave criptográfica e uma pessoa física, jurídica, máquina ou aplicação;
V - códigos maliciosos - são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador (do inglês malware).
VI - incidente - evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação;
VII - incidente de segurança - qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores;
VIII - informação classificada - informação sigilosa em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, classificada como ultrassecreta, secreta ou reservada conforme procedimentos específicos de classificação estabelecidos na legislação vigente;
IX - informação pessoal - informação relacionada à pessoa natural identificada ou identificável, relativa à intimidade, vida privada, honra e imagem;
X - informação sigilosa - informação submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, e aquela abrangida pelas demais hipóteses legais de sigilo;
XI - infraestrutura de rede - composta pela rede de computadores e todos os sistemas Ibram que se encontram ou que vierem a ser homologados para o desempenho de suas atividades e ações, tais como: Office 365, Sistema Eletrônico de Informações - SEI, Programa de Gestão, Tainacan, ATOM, Koha, Donato;
XII - internet - rede global composta pela interligação de inúmeras redes, que conecta mais de 500 milhões de usuários, provendo comunicação e informações das mais variadas áreas de conhecimento;
XIII - proxies externos - termo utilizado para definir as soluções intermediárias entre o usuário e seu servidor. Assim, desempenha a função de conexão do computador (local) à rede externa (Internet); como os endereços locais do computador não são válidos para acessos externos, cabe ao proxy enviar a solicitação do endereço local para o servidor, traduzindo e repassando-a para o seu computador; impede que usuários externos acessem diretamente recursos existentes na rede interna ou saibam onde estão localizados;
XIV - rede de computadores - conjunto de computadores, interligados por ativos de rede, capazes de trocar informações e de compartilhar recursos, por meio de um sistema de comunicação;
XV - rede local Ibram - grupo de computadores e dispositivos periféricos que compartilham uma linha de comunicação comum ou link sem fio com um ou mais servidores dentro do espaço físico do Ibram;
XVI - redes sociais - estruturas sociais digitais compostas por pessoas ou organizações conectadas por um ou vários tipos de relações, que partilham valores e objetivos comuns;
XVII - vírus - seção oculta e auto-replicante de um software de computador, geralmente utilizando lógica maliciosa, que se propaga pela infecção (isto é, inserindo uma cópia sua e se tornando parte) de outro programa; não pode se auto-executar, ou seja, necessita que o seu programa hospedeiro seja executado para se tornar ativo;
XVIII - virtual private network (VPN) - refere-se à construção de uma rede privada utilizando redes públicas (por exemplo, a internet) como infraestrutura; esses sistemas utilizam criptografia e outros mecanismos de segurança para garantir que somente usuários autorizados possam ter acesso à rede privada e que nenhum dado seja interceptado enquanto estiver passando pela rede pública; e
XIX - vulnerabilidade - conjunto de fatores internos ou causa potencial de um incidente indesejado, que podem resultar em risco para um sistema ou por uma organização, os quais podem ser evitados por uma ação interna de segurança da informação.
Seção III
Permissão de acesso à internet
Art. 5º A todo usuário da rede local do Ibram é facultado o acesso à internet em conformidade com os termos estabelecidos nesta norma.
Seção IV
Cancelamento e bloqueio do acesso à internet
Art. 6º O acesso à internet pelo usuário da rede será obrigatoriamente cancelado quando do seu desligamento do Instituto, ao final do contrato ou de qualquer outro ato jurídico que mantenha vínculo com a Autarquia.
Art. 7º O cancelamento, o bloqueio e o desbloqueio do acesso à internet seguem as orientações previstas na Política de Segurança da Informação - POSIN do Ibram.
Seção V
Uso da internet
Art. 8º O acesso à internet concedido ao usuário da rede do Ibram é pessoal e intransferível, sendo seu titular o único e total responsável pelas ações e danos causados à Autarquia.
Art. 9º O acesso à internet quando realizado pela rede local disponibilizada pela Ctinf por meio do browser homologado e disponibilizado nas estações de trabalho do Ibram ou equipamentos portáteis, não poderá ser feito via proxies externos, não homologados, que permitam burlar as regras de acesso estabelecidas.
Art. 10. O usuário da rede deverá utilizar a internet de forma a não causar tráfego desnecessário na rede local do Ibram e demais redes de outras instituições.
Art. 11. Todo serviço disponibilizado na internet, antes de ser disponibilizado na rede local do Ibram, deverá ser avaliado quanto à sua necessidade pelo Comitê de Segurança da Informação, após a avaliação e emissão de relatório técnico fornecido pela Ctinf, que deverá considerar os aspectos de segurança da informação, consumo de recursos tecnológicos e comprometimento de outros serviços.
Seção VI
Vedações na utilização da internet
Art. 12. É vedado:
I - o acesso a sites com códigos maliciosos e vírus de computador;
II - o acesso a sites com materiais e conteúdos inapropriados, tais como: ofensivos, obscenos, pornográficos, sexualmente sugestivos, abusivos, discriminatórios, difamatórios, ameaçadores e de ódio;
III - o acesso a sites que infrinjam a Lei nº 7.716, de 5 de janeiro de 1989;
IV - o acesso a sites que infrinjam as leis de propriedade intelectual;
V - o acesso a sites que infrinjam as leis de privacidade;
VI - o acesso a sites ou quaisquer aplicações com finalidades comerciais ou particulares;
VII - realizar download de arquivos que não estejam relacionados às necessidades de trabalho do Ibram, em especial, arquivos que contenham materiais ilegais ou que não respeitem os direitos autorais;
VIII - acessar jogos online, exceto nos casos em que tais ações sejam condizentes com atividades de trabalho do Ibram; e
IX - assistir a programas, a filmes, a vídeos e a séries, independentemente do canal no qual estejam veiculados, exceto nos casos em que tais ações sejam condizentes com as atividades de trabalho do Ibram.
Seção VII
Outras vedações e/ou liberações
Art. 13. É de responsabilidade da Ctinf garantir os serviços de transferência e compartilhamento de arquivos com informações do Ibram na internet de forma segura.
Art. 14. O usuário sempre deverá certificar-se da procedência do site, verificando, quando cabível, o certificado digital do mesmo, principalmente para realizar transações eletrônicas via internet, digitando o endereço do site diretamente no browser da estação de trabalho, nunca clicando em um link existente em uma página ou em uma mensagem de correio eletrônico desconhecidas ou pouco confiáveis.
Art. 15. A Ctinf deverá homologar softwares ou serviços de mensagens instantâneas, de voz, de videoconferência e de transferência de arquivos via internet.
Art. 16. É vedado aos usuários disponibilizar informações de propriedade do Ibram em sites da internet sem observar sua classificação e o público a que se destina.
Art. 17. Fica liberado o acesso a sítios eletrônicos de governo, de órgãos de ensino e pesquisa, de organismos internacionais, sites de pesquisa da internet, jornais e revistas de cunho cultural e educativo, órgãos técnicos normativos e demais sites de interesse institucional.
Art. 18. As categorias de acesso à internet são divididas em:
I - acesso padrão: sites governamentais, de grande mídia e bancários;
II - acesso mídias: engloba o acesso padrão e às principais redes sociais, tais como: Facebook, Instagram, Youtube e Twitter; e
III - acesso completo: engloba o acesso padrão e a mídias, com exceção dos sites que contenham conteúdos inapropriados, conforme explicitado no art. 12, e permite a realização de downloads específicos, tais como os de arquivos executáveis.
Art. 19. Para liberação de acesso às redes sociais e demais sítios eletrônicos será necessária a requisição fundamentada via chamado técnico, aberto pelo dirigente da unidade - Chefe de Gabinete da Presidência, Procurador-Chefe, Auditor-Chefe, Chefe do Núcleo de Relações Institucionais, Diretor de Departamento, Coordenador-Geral, Diretor de Museu ou Chefe de Representação Regional.
Art. 20. As solicitações de liberação a sítios eletrônicos bloqueados serão submetidas à Ctinf que fará a análise técnica em relação à verificação do conteúdo e vulnerabilidades de segurança, emitindo seu parecer para deliberação no âmbito do Comitê de Segurança da Informação.
CAPÍTULO II
MONITORAMENTO
Art. 21. O acesso à internet pelos usuários da rede do Ibram deverá ser monitorado pela Ctinf para fins de verificação e controle do volume de dados trafegados.
Art. 22. A Ctinf quando demandada, produzirá relatórios gerenciais com informações que possibilitem a tomada de decisão sobre o volume e a demanda de uso da Internet no Ibram.
Art. 23. As informações monitoradas têm relação com os endereços acessados e horários e serão processadas com parâmetros gerais, não personalizados.
Art. 24. Para fins de auditoria, sindicâncias investigativas e processos administrativos, o Presidente e os Coordenadores-Gerais, Diretores, Dirigentes, membros de Comissões de Sindicância e Comitê de Ética poderão solicitar, via processo, relatório com as informações de acesso da internet de quaisquer usuários, nas seguintes situações:
I - suspeita de descumprimento das regras previstas na Política de Segurança da Informação - POSIN em vigor e demais normas correlatas; e
II - necessidade de visualizar os sites acessados e horário de acesso.
CAPÍTULO III
DISPOSIÇÕES FINAIS
Art. 25. Os usuários da rede deverão informar à área de gestão de incidentes acerca dos incidentes que afetam a segurança dos ativos ou o descumprimento das regras previstas na Política de Segurança da Informação - POSIN.
Art. 26. Em casos de quebra de segurança da informação por meio de recursos de tecnologia da informação, a área de gestão de incidentes deverá ser imediatamente acionada, através do Portal CATI, para tomar as providências necessárias ao saneamento das causas, inclusive determinar a restrição temporária de acesso às informações e/ou uso dos recursos de tecnologia da informação do Ibram.
Art. 27. Os usuários da rede que descumprirem as regras estabelecidas por esta Instrução Normativa terão seu acesso à rede bloqueado até a apuração de responsabilidades.
Art. 28. Os casos omissos serão resolvidos pelo Comitê de Governança Digital.