Universidade de São Paulo USP

PSeg00 - Política de Segurança da USPNet

Apresentação

Este documento foi elaborado pela Comissão de Segurança da USPnet, criada com as seguintes atribuições:

O documento aborda a segurança da Rede Computacional da Universidade de São Paulo - USPnet em seus diversos aspectos, apresentando recomendações e ações que devem ser seguidas de forma a preservar o patrimônio e a informação, no que se refere aos setores computacionais e de comunicação, e a reputação da Universidade de São Paulo.

Introdução

A Rede Computacional da USP - USPnet, oferece à Universidade a possibilidade de se integrar a outros centros de ensino, pesquisa e extensão no exterior. Além disso, ela oferece recursos computacionais e de redes para acesso aos Sistemas de Informação Coorporativos - SICs.

A rede permite a transmissão de um grande volume de comunicação, tanto interno quanto externo.

Para isto, utiliza um grande número de ativos, essenciais para os negócios da Universidade. Assim, os recursos computacionais e de rede da USPnet e a informação através desses recursos precisam ser protegidos, como qualquer outro ativo importante para a Universidade. Com relação à segurança da informação, esta Política se caracterizará pela tentativa de manter a confidencialidade, a integridade e a disponibilidade da mesma, independentemente de onde ela esteja, residente em memória de máquinas e dispositivos, armazenada em disco ou em trânsito, salvaguardando a exatidão e completeza da mesma, dos métodos de processamento e garantindo que usuários obtenham acesso à informação e aos ativos correspondentes sempre que necessário e de acordo com a permissão atribuída a cada um.

1. Objetivo

Este documento tem como objetivo específico definir uma Política de Segurança para a Universidade, especialmente quanto à proteção dos seus ativos relacionados à USPnet, estabelecendo procedimentos e recomendações visando prevenir e responder a incidentes de segurança.

2. Abrangência da Segurança

A abrangência da segurança é definida pela Comissão Central de Informática - CCI, no tocante as responsabilidades dos Centros de Informática da capital e do interior sobre a USPnet.

No escopo definido pela CCI, os quesitos da Política de Segurança devem ser aplicados de maneira mandatória. Fora desse escopo, eles devem servir de recomendações, podendo ser aplicados pelas Unidades, Institutos, Departamentos ou outros setores integrantes da USP.

3. Órgãos, comissões, grupos e pessoas responsáveis pela Política de Segurança e suas atribuições

 

3.1 Comissão Central de Informática - CCI

Formular as políticas da Universidade na área de informática;

Coordenar a execução dessas políticas pelos órgãos executivos (Centros de Informática - CIs).

 

3.2 - Centros de Informática - CIs

Auxiliar a Comissão Central de Informática (CCI) a formular as diretrizes gerais de informática; * Executar as políticas de informática formuladas pela CCI.

 

3.3 Unidades de Ensino e Pesquisa, Institutos, Museus e Órgãos da Administração Central

Formular políticas de informática em consonância com as políticas da CCI e dos CIs; * Coordenar a execução das políticas formuladas por seus Setores de Informática ou, na inexistência destes, com o Centro de Informática mais próximo.

 

3.4 Consultoria Jurídica

Auxiliar a Comissão Permanente de Segurança, Unidades e Órgãos quanto aos aspectos legais. * Avaliar os incidentes de segurança causados por servidores da Universidade, recomendando as penalidades cabíveis.

 

3.5 Outros participantes da Política de Segurança

 

3.5.1 Comissão Permanente de Segurança, criada pela portaria GCCI/XXX/2004, conforme ofício CCI-023/2001

Assessorar a Comissão Central de Informática - CCI, o DI, os Centros de Informática da capital e do interior no tratamento de questões de segurança; * Manter e aprimorar a Política de Segurança vigente visando à sustentação das atividades de proteção da informação eletrônica da Universidade; * Ser o canal de comunicação entre a CJ e as Comissões e CIs dos Campi.

 

3.5.2 Grupos de Segurança

Colaborar com a Comissão de Segurança da USPnet na promoção da Política de Segurança da Universidade. * Demais atribuições conforme Portaria de criação.

 

3.5.3 Administrador de Sistemas Computacionais e de Comunicação

Pessoa indicada pela Unidade com a responsabilidade de zelar pelo cumprimento das Normas de segurança.

 

3.5.4 Alunos, Servidores e demais pessoas que usam os recursos computacionais e de comunicação da Universidade

Cumprir com as determinações da Política de Segurança da USPnet.

4. Segurança da Informação

Considera-se como segurança da informação a preservação da autenticidade, confidencialidade, integridade e disponibilidade da informação da Universidade.

5. Aspectos da Segurança

A segurança pode ser enfocada sob dois aspectos: física e lógica.

Adota-se como segurança física o relacionado à proteção de edificações, infra-estrutura e equipamentos, reduzindo as ameaças que possam colocar em risco o bom funcionamento dos sistemas.

Como segurança lógica, entende-se a segurança dos dados corporativos e acadêmicos da Universidade armazenados nos servidores institucionais, tais como: servidores de E-mail, DNS, Web, servidores administrativos e de serviços à comunidade. Incluem-se ainda os dados gerados e armazenados em microcomputadores de uso pessoal.

6. Penalidades

O Centro de Informática, Instituto ou Unidade de Ensino e Pesquisa deve avaliar as infrações ocorridas no âmbito de sua responsabilidade através de uma Comissão instituída. Cabe ainda a esses Órgãos aplicar ou recomendar as penalidades para cada caso.

7. Documentos da Política de Segurança

Os documentos que integram a Política de Segurança da USPnet são:

 

7.1 Normas de Serviços

PSeg01 - Norma de Segurança da USPnet. Criado em 04/11/2002. Última revisão em 16/09/2004

PSeg02 - Norma para Utilização de Recursos Computacionais. Criado em 04/11/2002. Última revisão em 16/09/2004

PSeg03 - Norma para Uso de Correio Eletrônico. Criado em 08/11/2002. Última revisão em 16/09/2004

PSeg04 - Norma para Computadores Pessoais.Criado em 11/11/2002. Última revisão em 16/09/2004

PSeg05 - Norma para Uso das Salas de Usuários e Pró-Aluno Oferecidas pela Universidade. Criado em 08/11/2002. Última revisão em 16/09/2004

PSeg06 - Norma de Uso de Serviços de Acesso Discado. Criado em 08/11/2002. Última revisão em 16/09/2004 Criado em 04/11/2002

PSeg07 - Norma de Uso de Serviços SSH. Criado em 08/11/2002. Última revisão em 08/04/2003

PSeg08 - Norma de Uso de Serviços Telnet. Criado em 08/11/2002. Última revisão em 08/04/2003

PSeg09 - Norma de Uso de Serviços FTP. Criado em 08/11/2002. Última revisão em 08/04/2003

PSeg10 - Norma para Utilização de Rede. Criado em 13/11/2002. Última revisão em 08/04/2003

PSeg11 - Norma de Contingência e Continuidade do Negócio. Criado em 04/11/2002. Última revisão em 16/09/2004

PSeg12 - Norma para Uso do DNS. Criado em 04/11/2002. Última revisão em 16/09/2004

PSeg13 - Norma para Uso de Serviços e Servidores WWW. Criado em 04/11/2002. Última revisão em 21/04/2003

PSeg14 - Norma para Redes Móveis. Criado em 08/11/2002. Última revisão em 06/05/2003

 

7.2 Anexos da Política de Segurança

ASeg01 - Anexo Pontuação dos ativos (Técnica GUTA) . Criado em 04/11/2002. Última revisão em 08/04/2003.

ASeg02 - Formulário para Codificação de Ativos. Criado em 04/11/2002. Última revisão em 08/04/2003.

ASeg03 - Anexo de Estruturação de Ativos. Criado em 04/11/2002. Última revisão em 08/04/2003.

ASeg04 - Anexo Padrão para criação de documentos. Criado em 08/11/2002. Última revisão em 08/04/2003.

ASeg05 - Glossário da Política de Segurança para a USPnet . Criado em 18/11/2002. Última revisão em 08/04/2003.

 

7.3 Outros documentos de interesse da Política de Segurança

Código de Ética - Princípios éticos para o uso de computadores da USP.

Portaria GR 3361 - Inclusão de referências ("links") nas páginas eletrônicas do serviço www da Internet da Universidade de São Paulo.

Portaria GR 3662 - Administradores e usuários dos sistemas computacionais da USP.

Resolução CCI 02 - Normas para registro de sub-domínios da USPnet.

Resolução CCI 03 - Norma para difusão de e-mails para o quadro de docentes e funcionários.