Este documento foi elaborado pela Comissão de Segurança da USPnet, criada com as seguintes atribuições:
O documento aborda a segurança da Rede Computacional da Universidade de São Paulo - USPnet em seus diversos aspectos, apresentando recomendações e ações que devem ser seguidas de forma a preservar o patrimônio e a informação, no que se refere aos setores computacionais e de comunicação, e a reputação da Universidade de São Paulo.
A Rede Computacional da USP - USPnet, oferece à Universidade a possibilidade de se integrar a outros centros de ensino, pesquisa e extensão no exterior. Além disso, ela oferece recursos computacionais e de redes para acesso aos Sistemas de Informação Coorporativos - SICs.
A rede permite a transmissão de um grande volume de comunicação, tanto interno quanto externo.
Para isto, utiliza um grande número de ativos, essenciais para os negócios da Universidade. Assim, os recursos computacionais e de rede da USPnet e a informação através desses recursos precisam ser protegidos, como qualquer outro ativo importante para a Universidade. Com relação à segurança da informação, esta Política se caracterizará pela tentativa de manter a confidencialidade, a integridade e a disponibilidade da mesma, independentemente de onde ela esteja, residente em memória de máquinas e dispositivos, armazenada em disco ou em trânsito, salvaguardando a exatidão e completeza da mesma, dos métodos de processamento e garantindo que usuários obtenham acesso à informação e aos ativos correspondentes sempre que necessário e de acordo com a permissão atribuída a cada um.
Este documento tem como objetivo específico definir uma Política de Segurança para a Universidade, especialmente quanto à proteção dos seus ativos relacionados à USPnet, estabelecendo procedimentos e recomendações visando prevenir e responder a incidentes de segurança.
A abrangência da segurança é definida pela Comissão Central de Informática - CCI, no tocante as responsabilidades dos Centros de Informática da capital e do interior sobre a USPnet.
No escopo definido pela CCI, os quesitos da Política de Segurança devem ser aplicados de maneira mandatória. Fora desse escopo, eles devem servir de recomendações, podendo ser aplicados pelas Unidades, Institutos, Departamentos ou outros setores integrantes da USP.
Formular as políticas da Universidade na área de informática;
Coordenar a execução dessas políticas pelos órgãos executivos (Centros de Informática - CIs).
Auxiliar a Comissão Central de Informática (CCI) a formular as diretrizes gerais de informática; * Executar as políticas de informática formuladas pela CCI.
Formular políticas de informática em consonância com as políticas da CCI e dos CIs; * Coordenar a execução das políticas formuladas por seus Setores de Informática ou, na inexistência destes, com o Centro de Informática mais próximo.
Auxiliar a Comissão Permanente de Segurança, Unidades e Órgãos quanto aos aspectos legais. * Avaliar os incidentes de segurança causados por servidores da Universidade, recomendando as penalidades cabíveis.
Assessorar a Comissão Central de Informática - CCI, o DI, os Centros de Informática da capital e do interior no tratamento de questões de segurança; * Manter e aprimorar a Política de Segurança vigente visando à sustentação das atividades de proteção da informação eletrônica da Universidade; * Ser o canal de comunicação entre a CJ e as Comissões e CIs dos Campi.
Colaborar com a Comissão de Segurança da USPnet na promoção da Política de Segurança da Universidade. * Demais atribuições conforme Portaria de criação.
Pessoa indicada pela Unidade com a responsabilidade de zelar pelo cumprimento das Normas de segurança.
Cumprir com as determinações da Política de Segurança da USPnet.
Considera-se como segurança da informação a preservação da autenticidade, confidencialidade, integridade e disponibilidade da informação da Universidade.
A segurança pode ser enfocada sob dois aspectos: física e lógica.
Adota-se como segurança física o relacionado à proteção de edificações, infra-estrutura e equipamentos, reduzindo as ameaças que possam colocar em risco o bom funcionamento dos sistemas.
Como segurança lógica, entende-se a segurança dos dados corporativos e acadêmicos da Universidade armazenados nos servidores institucionais, tais como: servidores de E-mail, DNS, Web, servidores administrativos e de serviços à comunidade. Incluem-se ainda os dados gerados e armazenados em microcomputadores de uso pessoal.
O Centro de Informática, Instituto ou Unidade de Ensino e Pesquisa deve avaliar as infrações ocorridas no âmbito de sua responsabilidade através de uma Comissão instituída. Cabe ainda a esses Órgãos aplicar ou recomendar as penalidades para cada caso.
Os documentos que integram a Política de Segurança da USPnet são:
PSeg01 - Norma de Segurança da USPnet. Criado em 04/11/2002. Última revisão em 16/09/2004
PSeg02 - Norma para Utilização de Recursos Computacionais. Criado em 04/11/2002. Última revisão em 16/09/2004
PSeg03 - Norma para Uso de Correio Eletrônico. Criado em 08/11/2002. Última revisão em 16/09/2004
PSeg04 - Norma para Computadores Pessoais.Criado em 11/11/2002. Última revisão em 16/09/2004
PSeg05 - Norma para Uso das Salas de Usuários e Pró-Aluno Oferecidas pela Universidade. Criado em 08/11/2002. Última revisão em 16/09/2004
PSeg06 - Norma de Uso de Serviços de Acesso Discado. Criado em 08/11/2002. Última revisão em 16/09/2004 Criado em 04/11/2002
PSeg07 - Norma de Uso de Serviços SSH. Criado em 08/11/2002. Última revisão em 08/04/2003
PSeg08 - Norma de Uso de Serviços Telnet. Criado em 08/11/2002. Última revisão em 08/04/2003
PSeg09 - Norma de Uso de Serviços FTP. Criado em 08/11/2002. Última revisão em 08/04/2003
PSeg10 - Norma para Utilização de Rede. Criado em 13/11/2002. Última revisão em 08/04/2003
PSeg11 - Norma de Contingência e Continuidade do Negócio. Criado em 04/11/2002. Última revisão em 16/09/2004
PSeg12 - Norma para Uso do DNS. Criado em 04/11/2002. Última revisão em 16/09/2004
PSeg13 - Norma para Uso de Serviços e Servidores WWW. Criado em 04/11/2002. Última revisão em 21/04/2003
PSeg14 - Norma para Redes Móveis. Criado em 08/11/2002. Última revisão em 06/05/2003
ASeg01 - Anexo Pontuação dos ativos (Técnica GUTA) . Criado em 04/11/2002. Última revisão em 08/04/2003.
ASeg02 - Formulário para Codificação de Ativos. Criado em 04/11/2002. Última revisão em 08/04/2003.
ASeg03 - Anexo de Estruturação de Ativos. Criado em 04/11/2002. Última revisão em 08/04/2003.
ASeg04 - Anexo Padrão para criação de documentos. Criado em 08/11/2002. Última revisão em 08/04/2003.
ASeg05 - Glossário da Política de Segurança para a USPnet . Criado em 18/11/2002. Última revisão em 08/04/2003.
Código de Ética - Princípios éticos para o uso de computadores da USP.
Portaria GR 3361 - Inclusão de referências ("links") nas páginas eletrônicas do serviço www da Internet da Universidade de São Paulo.
Portaria GR 3662 - Administradores e usuários dos sistemas computacionais da USP.
Resolução CCI 02 - Normas para registro de sub-domínios da USPnet.
Resolução CCI 03 - Norma para difusão de e-mails para o quadro de docentes e funcionários.