Resolução CEGOV/INSS nº 12 de 31 de Agosto de 2020

ANEXO I NORMAS DE USO DA INTERNET Art. 1º Esta norma se aplica a todos os servidores e colaboradores, vinculados direta ou indiretamente ao INSS, bem como a servidores e empregados de entidades e órgãos da Administração Pública ou privados que necessitem ou estejam autorizados a acessar a Internet a partir da rede corporativa do Instituto. Paragrafo único. Equiparam-se a usuários do INSS, para todos os efeitos, os Advogados e Procuradores Públicos Federais vinculados à Advocacia-Geral da União - AGU que atuarem na consultoria, assessoramento jurídico e na representação judicial e extrajudicial do INSS. Art. 2º Para os efeitos desta norma, ficam estabelecidos os seguintes conceitos e definições: I - autorizador: ocupantes de cargo responsáveis pela autorização da concessão de perfis de acesso para usuários finais de sua área de abrangência; II - Internet: rede mundial que interliga computadores de diferentes tipos e dimensões e permite a comunicação entre pessoas e organizações, independentemente da localização geográfica; III - Intranet: rede de computadores administrada pelo INSS, que utiliza os mesmos serviços e tecnologias disponíveis na rede mundial; IV - perfil de acesso: atributo que estabelece as categorias de sítios acessíveis e tipos de arquivos que podem ser recebidos ou transmitidos pelos usuários; V - proxy: ferramenta que desempenha a função de conexão do computador local à rede externa (Internet); VI - sítio: conjunto de informações ou serviços disponíveis na Internet ou na Intranet, organizados em páginas eletrônicas e acessíveis por meio de endereços que identificam, de forma padronizada, sua origem e conteúdo; VII - usuário: servidores, terceirizados, colaboradores, consultores, auditores e estagiários que obtiveram autorização do responsável pela área interessada para acesso aos Ativos de Informação de um órgão ou entidade da Administração Pública Federal - APF, formalizada por meio da assinatura do Termo de Responsabilidade; e VIII - VPN: Rede Privada Virtual (Virtual Private Network) construída sobre a infraestrutura de uma rede pública, possibilitando a conexão de dois computadores por meio de uma rede pública. Art. 3º O acesso pelos usuários à Internet disponibilizado pelo INSS deverá pautar-se pelas seguintes diretrizes: I - seu uso se dará exclusivamente em razão de trabalho e de acordo com os procedimentos dispostos nesta Norma; II - os recursos disponibilizados pelo INSS não poderão ser usados para quaisquer propósitos ilegais ou proibidos, que possam danificar, desativar, sobrecarregar ou prejudicar qualquer área, serviço ou conteúdo, ou interferir no uso e execução das atividades laborais de outros usuários; III - o volume de tráfego de Internet e os endereços web visitados poderão ser monitorados, visando assegurar o cumprimento desta norma; e IV - o acesso à Internet para propósitos particulares ou estranhos às atividades do INSS poderá ser bloqueado, sem prévia comunicação ao usuário e sem prejuízo das demais sanções aplicáveis. Art. 4º O acesso aos sítios da Internet para todos os usuários será realizado mediante a atribuição de perfis de acesso, distribuídos nos seguintes níveis: I - Perfil 1: Perfil Restrito, inicialmente atribuído a usuários com maior restrição de acesso à Internet, permitindo acesso somente a sítios governamentais, instituições bancárias e sítios considerados de interesse do INSS; II - Perfil 2: Perfil Básico, inicialmente atribuído a estagiários, recepcionistas e usuários externos, permitindo acesso a todos os sítios permitidos pelo Perfil 1 e a sítios de provedores de e-mail pessoal e instituições de ensino; III - Perfil 3: Perfil Padrão, para os servidores do quadro do Instituto, permitindo acesso a todos os sítios da Internet, exceto aqueles que contêm veiculação de material em áudio e vídeo; e IV - Perfil 4: Perfil Avançado, atribuído preferencialmente a servidores do quadro do Instituto e estagiários que desempenham funções relacionadas a Comunicação Social, Desenvolvimento de Pessoas e gestores, respeitado o princípio da necessidade de conhecer e demandando designação dos Autorizadores deste Perfil, permitindo o acesso a todos os sítios da Internet, incluindo sítios que veiculam material em áudio e vídeo (streaming), sítios de compartilhamento de vídeos, blogs e redes sociais. § 1º O perfil concedido a agentes externos será de caráter temporário, com validade equivalente à vigência do trabalho a ser executado. § 2º Os processos de alteração, bloqueio, liberação e categorização de sítios, assim como a criação e/ou alterações de perfis de acesso descritos nesta Norma, quando necessários, serão definidos pela Diretoria de Tecnologia da Informação e Inovação - DTI, e publicados no Portal do INSS na Intranet. § 3º Os novos usuários que não tiverem um perfil de acesso atribuído deverão ser direcionados para uma página da Intranet contendo orientações e normas relacionadas ao acesso à Internet no INSS, definidas pela DTI. Art. 5º O acesso à Intranet e Internet a partir da rede de dados corporativa nas dependências do INSS e aos demais órgãos da Administração Pública Direta e Indireta, de qualquer das esferas de governo, será concedido exclusivamente a servidores e empregados públicos, efetivos ou ocupantes de cargo em comissão. § 1º O acesso de usuários externos das entidades que compõem o Poder Público será concedido mediante o estabelecimento em convênio, contrato, acordo de cooperação técnica ou instrumento congênere, especificamente firmados com o INSS para este fim. § 2º O gestor ou Coordenador-Geral da área responsável pelo convênio, contrato, acordo de cooperação técnica ou instrumento congênere assumirá o papel de Autorizador do serviço de acesso à Internet para os usuários externos, e deverá fundamentar as solicitações com base no instrumento. § 3º Poderão ser concedidos acessos temporários para auditores de controle interno e externo, vinculados à Controladoria-Geral da União - CGU ou ao Tribunal de Contas da União - TCU, no uso de suas atribuições. Art. 6º O acesso à Internet por terceirizados deverá ser provido pela empresa contratada. Parágrafo único. Em caráter de exceção, poderá ser concedido o acesso aos terceirizados a partir da infraestrutura de rede do INSS, desde que preenchidos os seguintes requisitos: I - o contrato de prestação de serviços deverá conter cláusula de confidencialidade e sigilo de informações preestabelecido com a Administração Pública; II - a empresa contratada deverá manter com seus funcionários Termo de Confidencialidade; III - o contrato de prestação de serviços deverá prever a necessidade de acesso à Internet a partir das dependências do INSS; e IV - o Autorizador, que para estes fins será o gestor do contrato ou o responsável pela área requisitante do serviço, deverá fundamentar as necessidades de acesso dos empregados da contratada, definindo os recursos que serão disponibilizados, endereços da Intranet e Internet necessários para o desenvolvimento das atividades e eventuais restrições a dias e horários para realização do acesso. Art. 7º A conexão de equipamentos pessoais de visitantes à rede do INSS, quando necessária e motivada pelo interesse da Administração, deverá ser previamente autorizada pelo gestor da unidade onde o equipamento será utilizado. Parágrafo único. Só será permitida a utilização da rede local por visitantes, caso seus equipamentos atendam a todos os requisitos estabelecidos pela DTI e o acesso se dará, exclusivamente, à Internet, sendo vedado o acesso ao conteúdo disponibilizado na Intranet. Art. 8º A todos os perfis de acesso descritos nesta Norma aplicam-se as restrições de acesso a sítios que: I - contenham material pornográfico ou obsceno; II - contenham material ilegal; III - disponibilizem jogos, inclusive os da Internet (on line); IV - contenham material impróprio, ofensivo, preconceituoso ou discriminatório, que façam apologia à violência, ao terrorismo e às drogas; e V - contenha e/ou divulgue conteúdo de violação de direito autoral (pirataria) e/ou execução de quaisquer tipos ou formas de fraudes. Art. 9º O processo de atribuição de acesso à Internet seguirá as seguintes diretrizes: I - a atribuição dos perfis de acesso à Internet será feita pelos Autorizadores, de forma fundamentada e respeitando o princípio da necessidade de conhecer, de acordo com a tabela abaixo: Perfil Autorizador Perfil 1, 2 e 3 Gerente de Agência da Previdência Social - APS, Gerente-Executivo, Superintendentes-Regionais, Procuradores-Regionais, Coordenadores-Gerais, Superintendentes-Regionais, Presidente do INSS, Auditor-Geral, Corregedor-Geral, Procurador-Geral da PFE-INSS, Diretores, Gestores ou Chefes da área responsável pelo Contrato ou ato administrativo similar no âmbito do INSS. Perfil 4 Chefes de Assessoria de Comunicação Social nas Superintendências-Regionais, Assessor de Comunicação Social (Administração Central), Diretor de Tecnologia da Informação e Inovação, Diretor de Gestão de Pessoas e Administração e Presidente do INSS. II - nos casos de novos usuários de rede (LDAP), criados por meio de registro de chamado técnico, quando o solicitante não indicar o perfil de acesso à internet, será atribuído o Perfil 1; III - para fins de alteração do perfil de acesso, os usuários deverão preencher o Formulário de Solicitação de Acesso à Internet (Anexo II) e providenciar a assinatura pelo Autorizador do acesso; e IV - ao registrar a solicitação, deve-se anexar o Formulário de Solicitação de Acesso à Internet (Anexo II) devidamente preenchido e assinado (pelo solicitante e Autorizador), conforme documento nato digital ou digitalizado no formato PDF. Art. 10. A solicitação para perfis de acesso em caráter temporário, realizada mediante o Formulário de Solicitação de Acesso à Internet (Anexo II), deverá conter a motivação da necessidade e a data de início e de expiração do acesso. Art. 11. As responsabilidades ficam estabelecidas na seguinte forma: I - o usuário deverá: a) preencher os requisitos e termos estabelecidos nesta Norma; b) estar devidamente autorizado a utilizar a Internet nas formas estabelecidas nesta Norma; c) fazer uso da Internet de forma responsável e segura, utilizando o acesso exclusivamente em razão de trabalho, cumprindo os procedimentos dispostos nesta norma, sem prejuízo das demais normatizações vigentes na Administração Pública Federal; e d) impedir a divulgação e compartilhamento das chaves de segurança atribuídas, que são pessoais e intransferíveis; II - o autorizador deverá: a) conceder os perfis de acesso à Internet rigorosamente de acordo com as atribuições dos usuários de sua abrangência, observando os normativos do INSS; b) verificar periodicamente o uso dos acessos concedidos e, sempre que necessário, solicitar alteração dos perfis de acesso dos usuários de sua abrangência; e c) reportar os incidentes que afetam a segurança dos ativos ou o descumprimento da Política de Segurança da Informação à Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR-INSS; III - a área responsável pela gestão de TI no INSS deverá: a) monitorar os acessos à internet e sua utilização de acordo com as diretrizes estabelecidas nesta Norma; e b) identificar os casos de mau uso da Internet e adotar uma ou mais das seguintes providências: 1. alertar o usuário, responsável pelo acesso, e o Autorizador, responsável pela concessão, acerca do uso indevido da internet; e 2. nos casos de reincidência, solicitar a revogação do acesso à internet concedido ao usuário e encaminhar a documentação que comprova a má utilização do acesso concedido à Corregedoria do INSS, para análise e adoção das medidas cabíveis. Art. 12. Configura-se como uso indevido da Internet: I - acessar a Internet disponibilizada pelo INSS sem estar devidamente autorizado, conforme estabelecido nesta Norma; II - não manifestar concordância com as regras estabelecidas nesta Norma e nas demais aplicáveis; III - fazer uso dos recursos de Internet disponibilizados pelo INSS para fins alheios ao trabalho, em discordância com os procedimentos dispostos nesta Norma, sem prejuízo de demais normatizações vigentes na Administração Pública Federal; IV - utilizar os serviços extrapolando os privilégios do perfil de acesso que lhe foi designado; V - divulgar e/ou compartilhar as chaves de segurança, que são pessoais e intransferíveis, permitindo a utilização por terceiros do perfil que lhe foi atribuído; VI - praticar atos de comercialização de produtos e serviços, em proveito próprio ou de terceiros, que não atendam os interesses do INSS; VII - utilizar recursos ou dispositivos para acesso a computadores ou redes externas ao INSS com o objetivo de obter informações não autorizadas ou provocar a interrupção de serviços de rede; VIII - utilizar modem ou dispositivo de rede que interligue a rede interna do INSS a outras redes ou à Internet; IX - expor, armazenar, distribuir, editar, gravar ou compartilhar, através do uso dos recursos computacionais e de comunicação do INSS, arquivos estranhos às atividades do INSS e não autorizados pela chefia imediata; X - realizar qualquer atividade que apoie ou facilite o vazamento de dados; XI - baixar arquivos ou programas da Internet que contrariem as diretrizes da POSIN vigente; e XII - utilizar proxy não disponibilizado pelo INSS. Art. 13. O acesso à Internet é passível de registro e monitoração, incluindo quaisquer dados transmitidos pela rede do INSS. § 1º Em casos de quebra de segurança da informação por meio de recursos de tecnologia da informação, a ETIR-INSS deverá ser imediatamente acionada, para tomar as providências necessárias a fim de sanar as causas, podendo até mesmo determinar a restrição temporária do acesso às informações e/ou ao uso dos recursos de tecnologia da informação do INSS; § 2º As ocorrências de mau uso do acesso à Internet não previstas nesta norma, assim como os casos de dúvidas em relação à aplicação das disposições aqui estabelecidas, deverão ser encaminhadas à DTI para registro, análise e avaliação da necessidade de alterações de acordo com o processo de governança em vigência no INSS; § 3º O descumprimento desta Norma poderá acarretar ao usuário as penalidades previstas nas políticas e procedimentos internos e/ou, na forma da lei, responsabilidade administrativa, civil e criminal. Art. 14. Esta Norma deverá ser atualizada periodicamente, não excedendo o prazo máximo de 3 (três) anos. ANEXO II FORMULÁRIO DE SOLICITAÇÃO DE ACESSO À INTERNET Informações do Usuário Nome: Login de Rede: Matrícula: CPF: Lotação: Código do Setor: Telefone: ( ) E-mail: ________________________________________@inss.gov.br ________________________________________@agu.gov.br □ Perfil 1 Data de expiração: □ Perfil 2 □ Perfil 3 □ Perfil 4 □ Terceirizados Contrato nº ou Convênio Data de expiração Descreva abaixo a justificativa e quais páginas devem ser acessadas pelo usuário terceirizado: __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ Declaro ter conhecimento e estar de acordo com as regras estabelecidas na Norma de Uso da internet do INSS (Resolução nº 12/CEGOV/INSS, de 1 de setembro de 2020) e demais normas aplicáveis. _______________ , ____ de ___________ de ______. Local e Data Informações do Autorizante Nome: Lotação: Código do Setor: Telefone: ( ) E-mail: _______________________________________@inss.gov.br _______________________________________@agu.gov.br ___________________________________________ Assinatura e Carimbo do Solicitante Autorizo a concessão de Acesso Internet ________________ , _____ de ______________ de _____. Local e Data