instrução normativa Nº 14, de 26 de julho de 2021

O PRESIDENTE DA FUNDAÇÃO NACIONAL DO ÍNDIO, no uso das atribuições que lhe são conferidas pelo Estatuto da Funai, aprovado pelo Decreto nº 9.010, de 23 de março de 2017, resolve:

CAPÍTULO I

DISPOSIÇÕES PRELIMINARES

Art. 1º - A presente Instrução Normativa regulamenta o uso de serviços de conectividade e acesso à internet, de forma a preservar o sigilo, a integridade e a disponibilidade de informações no âmbito da FUNAI.

Parágrafo único. A presente Instrução Normativa configura instrumento complementar à Política de Segurança da Informação e Comunicações (POSIC), conforme a Portaria nº 739/PRES, de 19 de junho de 2020, devendo ser observada pelo agente público, em conjunto com os dispositivos legais pertinentes.

Art. 2º - Para ter acesso à internet da rede corporativa, o usuário deve autenticar-se por meio de login e senha, sendo permitido o acesso à internet, desde que em conformidade com os termos estabelecidos nesta instrução normativa.

Art. 3º - Para os efeitos desta norma complementar são estabelecidos os seguintes conceitos:

I - agente público: todo aquele que exerce cargo, emprego ou função na FUNAI, ainda que transitoriamente ou sem remuneração, por nomeação, designação, contratação ou qualquer outra forma de vínculo;

II - aplicações: todos os softwares utilizados na rede da Funai, sendo esses de terceiros ou desenvolvidos pela unidade de Tecnologia da Informação e Comunicação (TIC) da FUNAI;

III - autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

IV - Comitê de Governança Digital (CID): comitê instituído no âmbito dos órgãos de assistência direta e imediata, com a competência, dentre outras, de assessorar a implementação das ações de segurança da informação e comunicações;

V - equipamento computacional: servidores de rede, estações de trabalho fixas e móveis, de comunicação, de impressão, de digitalização e de armazenamento de dados;

VI - plataforma básica: softwares e aplicações que constituem a instalação padrão para os diferentes tipos de equipamentos computacionais da FUNAI;

VII - rede: equipamentos computacionais interconectados em rede que permitem o compartilhamento de recursos de TIC e disponibilização de serviços especializados;

VIII - Segurança da Informação e Comunicação (SIC): ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

IX - software: programa de computador e seus respectivos dados de configuração;

X - suporte: serviços especializados que visam apoiar o uso e solucionar os problemas e ocorrências relacionados com os recursos de TIC;

XI - usuário da rede: todo e qualquer servidor e os demais agentes públicos, ou visitante, que oficialmente executem atividade vinculada à atuação institucional e que façam uso dos recursos de tecnologia da informação, rede e telefonia, seja pelo meio cabeado ou wi-fi; e

XII - visitante: pessoa natural ou jurídica, sem vinculo com a FUNAI, que necessite de uso autorizado da rede da FUNAI.

DAS COMPETÊNCIAS E RESPONSABILIDADES

Art. 4º - Os assuntos de segurança da informação competem:

I - à Coordenação-Geral de Tecnologia da Informação e Comunicação - CGTIC:

a) administrar, gerenciar e monitorar os serviços de conectividade providos pela FUNAI;

b) propor, implementar e operacionalizar ferramentas para gestão, monitoramento e auditoria dos serviços de conectividade;

c) propor e subsidiar a elaboração de diretrizes, normas e procedimentos para os serviços de conectividade;

d) monitorar e avaliar a efetividade dos controles implementados, propondo melhorias quando pertinente;

e) propor e implementar novos controles, processos e ferramentas de prevenção e contenção de incidentes de segurança da informação;

f) comunicar previamente a todos os usuários quando da realização de paralizações dos serviços de internet e intranet para manutenção preventiva, bem como na ocorrência de eventos que causem a indisponibilidade repentina do serviço.

II - aos administradores de redes:

a) monitorar e administrar os sistemas de gestão e concessão de acessos aos sites e rede.

III - às unidades administrativas:

a) divulgar os normativos de segurança da informação para os agentes públicos no âmbito de sua jurisdição.

IV - aos chefes ocupantes de cargo ou função igual ou superior a DAS/FCPE 4:

a) divulgar e fomentar as diretrizes do uso de serviços de conectividade e acesso à internet entre os agentes públicos que lhes sejam subordinados;

b) solicitar concessões de acesso especiais.

V - aos agentes públicos ou visitantes:

a) cumprir as diretrizes e orientações das normas de segurança da informação, assim como apoiar o desenvolvimento e a identificação de novas necessidades.

CAPÍTULO II

DAS DISPOSIÇÕES GERAIS

Art. 5º - Esta Instrução Normativa abrange todos os agentes públicos e visitantes que necessitem da concessão de acesso à internet através dos serviços de conectividade providos pela FUNAI.

Art. 6º - O acesso à internet, concedido ao usuário da rede, é pessoal e intransferível, sendo seu titular o único e total responsável pelas ações e danos causados à FUNAI e a terceiros pelo seu uso, cabendo direito a ampla defesa e o contraditório.

Parágrafo único. O acesso à internet é restrito à esfera profissional com conteúdo relacionado às atividades desempenhadas pela FUNAI, observando sempre a conduta compatível com a moralidade administrativa e o interesse público.

Art. 7º - A concessão de conta e senha de acesso aos serviços de conectividade devem seguir as normas de acesso lógico pré-estabelecidas pela unidade de TIC.

§ 1º As contas de usuários terão níveis de acesso distintos, conforme a necessidade dos serviços e de acordo com os perfis definidos pela unidade de TIC:

§ 2º Toda alteração de nível de acesso somente será realizada mediante solicitação formal pelo gestor de área/setor do usuário, contendo a devida justificativa que será avaliada pela unidade de TIC, podendo ser negada em caso de risco ou vulnerabilidade à segurança e integridade da rede da FUNAI.

§ 3º Caso haja bloqueio instituído a algum conteúdo, o usuário poderá solicitar sua liberação com a devida justificativa, mediante solicitação formal à unidade de TIC.

§ 4º É vedado o uso de ferramentas para captura de informações de acesso restrito.

Art. 8º - A unidade de TIC proverá os meios para disponibilização do serviço de conexão à internet, sempre se pautando pela implementação dos mecanismos de segurança adequados à proteção de rede.

Parágrafo único. É vedado o uso de provedores de acesso de internet e intranet ou de qualquer outra forma de conexão não autorizada para a internet no ambiente da FUNAI, salvo casos previstos por uso de canais homologados pela unidade de TIC.

Art. 9º -Todo acesso a conteúdo na internet poderá ser monitorado e auditado pela unidade de TIC, salvaguardando os registros de acesso de forma criptografada.

§ 1º Os registros de acesso estão disponíveis exclusivamente aos servidores da unidade de TIC, sendo vedado o acesso por demais servidores e/ou agentes públicos.

§ 2º É vedada a cópia de parte ou a totalidade dos arquivos de registros de acesso, exceto para os casos previstos em Lei.

Art. 10º - É atribuição exclusiva da área de TIC homologar os softwares definidos como viáveis e seguros para o uso da internet.

Parágrafo único. A utilização de qualquer serviço ou software de internet deverá ser avaliado quanto à sua necessidade por autoridade competente, que deverá considerar os aspectos de segurança da informação, os direitos autorais, o consumo de recursos tecnológicos e o comprometimento de outros serviços.

DO GERENCIAMENTO DE ACESSO A CONTEÚDOS E SERVIÇOS

Art. 11º - É vedado o acesso a páginas classificadas como conteúdo considerado ofensivo, ilegal ou impróprio, além do acesso a:

I - sites constantes em lista relacionada a risco de vírus e demais vulnerabilidades;

II - pornografia, pedofilia, preconceitos, vandalismo;

III - arquivos que apresentem vulnerabilidade de segurança ou possam comprometer, de alguma forma, a segurança e a integridade da rede da FUNAI;

IV - uso de proxy anônimo ou similares;

V - acesso a jogos on-line e derivados;

VI - uso recreativo da internet em horário de expediente;

VII- acesso a salas de bate-papo (chats), exceto aqueles definidos como ferramenta de trabalho homologada pela unidade de TIC;

VIII - acesso a rádio e TV em tempo real, exceto os canais corporativos;

IX - uso de IM (Instant Messenger) não homologado ou autorizado;

X - redes sociais e streaming de vídeo/áudio, observadas as exceções permitidas conforme perfis de usuários consoante disposto em tabela do art. 7º;

XI - acesso a outros conteúdos notadamente fora do contexto institucional;

XII - divulgação de informações confidenciais por meio de correio eletrônico, grupos ou listas de discussão, sistemas de mensageria ou bate-papo, blogs, microblogs ou ferramentas semelhantes;

XIII - envio a destino externo de qualquer software licenciado à FUNAI ou dados de sua propriedade ou de seus usuários, salvo expressa e fundamentada autorização do responsável pela sua guarda;

XIV - utilização de softwares de compartilhamento de conteúdos na modalidade peer-to-peer (PZP);

XV - contorno ou tentativa de contorno às políticas de bloqueios automaticamente aplicadas pelas ferramentas sistêmicas da FUNAI; e

XVI - tráfego de quaisquer outros dados em desacordo com a lei ou capazes de prejudicar o desempenho dos serviços de TIC.

Parágrafo único. A unidade de TIC editará ato classificando os tipos de páginas proibidas pela FUNAI.

Art. 12º - Quanto ao acesso a serviços:

I - os serviços de redes sociais e aplicativos de compartilhamento de conteúdo deverão ter o acesso solicitado pelo gestor de área ou setor do usuário, o qual é corresponsável pelas ações dos servidores e agentes públicos no âmbito de sua unidade;

II - os serviços de streaming terão seus acessos limitados a critério do gestor de área ou setor do usuário;

III - os serviços de raspagem de dados (web scraping) e redes de registro distribuído (blockchain) são permitidos para fins corporativos;

IV - o acesso a repositórios de armazenamento em nuvem é restrito ao ambiente corporativo e serviços contratados pela FUNAI e será liberado mediante solicitação do chefe, pelo gestor de área ou setor do usuário, assim como pela unidade de TIC, sendo obrigatório o registro dos acessos de forma criptográfica.

Art. 13º - A ocorrência de qualquer hipótese de má utilização da internet deverá ser comunicada de imediato à unidade de TIC.

Parágrafo único. Comprovada a utilização irregular, o usuário envolvido terá o seu acesso à internet bloqueado pela unidade de TIC, sendo comunicado o fato à chefia imediata, podendo incorrer em processo administrativo disciplinar e nas sanções legalmente previstas em lei, assegurados o direito ao contraditório e a ampla defesa.

Art. 14º - A intranet deverá ser utilizada como mecanismo oficial de divulgação de notícias e disponibilização de serviços de caráter institucional.

§ 1º As aplicações a serem disponibilizadas na Intranet devem ser previamente analisadas, homologadas e aprovadas pela unidade de TIC.

§ 2º O acesso aos serviços de intranet deve ser realizado mediante autenticação da conta do usuário, sendo todos os acessos realizados passíveis de auditoria, que, quando realizada, constituirá um histórico de acessos, podendo ser consultado a critério da instituição.

Art. 15º - As contas de serviços utilizadas em servidores de rede, backup, correio eletrônico, banco de dados e aplicações devem ser utilizadas somente para execução de ações ligadas à sua natureza, de forma automática, sem intervenção manual através de logon / acesso.

Art. 16º - As contas com privilégio de administração de rede devem ser utilizadas somente para execução das atividades correspondentes à administração do ambiente conforme as responsabilidades atribuídas, em equipamentos previamente definidos.

Parágrafo primeiro. As variáveis necessárias para acesso e administração de tais contas devem ser de conhecimento restrito aos administradores dos equipamentos de rede e chefia respectiva.

Art. 17º - Os problemas técnicos verificados pelos usuários, ocorridos durante o acesso aos serviços de Internet e Intranet, devem ser imediatamente comunicados à unidade de TIC para que sejam solucionados.

Art. 18º - Quando do desligamento de servidor ou usuário ativo da FUNAI, este deverá ser comunicado à unidade de TIC para que se proceda ao cancelamento de suas credenciais de acesso.

DAS SANÇÕES E PENALIDADES

Art. 19º - Os servidores e os demais agentes públicos ou particulares que não zelarem pela implementação e execução das diretrizes descritas nesta instrução normativa serão responsabilizados em caso de vazamento, total ou parcial, de informações sensíveis decorrentes de seus atos.

§ 1º A violação ou a não adesão a esta norma será considerado um incidente de segurança da informação e acarretará a aplicação das penalidades previstas em lei.

§ 2º Os usuários da rede que descumprirem as regras estabelecidas por esta Norma poderão, a critério da Administração, ter seu acesso à rede bloqueado até a apuração de responsabilidades.

DISPOSIÇÕES FINAIS

Art. 20º - Esta Instrução Normativa entra em vigor 7 (sete) dias após a sua publicação.

MARCELO AUGUSTO XAVIER DA SILVA

Este texto não substitui o original publicado nos veículos oficiais (Diário Oficial da União - DOU e Boletim de Serviço - BS).