Voltar

 

 
  • RN-020/2013

    USO DO CORREIO ELETRÔNICO CORPORATIVO - POSIC

    Homologa norma complementar à Política de Segurança da Informação e Comunicações do CNPq ¿ Uso do Correio Eletrônico Corporativo.

    O Presidente do CONSELHO NACIONAL DE DESENVOLVIMENTO CIENTÍFICO E TECNOLÓGICO - CNPq, no uso das atribuições que lhe são conferidas pelo Estatuto aprovado pelo Decreto n° 7.899, de 04/02/2013 e em conformidade com decisão do Comitê de Segurança da Informação e Comunicações em sua 6ª (sexta) reunião de 12/04/2013,


    R E S O L V E:


    Homologar norma complementar à Política de Segurança da Informação e Comunicações do CNPq - Uso do Correio Eletrônico Corporativo ¿ queestabelece um conjunto de regras para o uso adequado do correio eletrônico corporativo do CNPq.


    1. Diretrizes

    As diretrizes constantes desta norma  visam:

    a) garantir que o uso dos serviços do correio eletrônico corporativo esteja direta ou indiretamente relacionado às atividades do CNPq;

    b) assegurar que usuários estejam cientes das leis e normas relacionadas ao uso do correio eletrônico corporativo;

    c) estabelecer padrões e limites de uso de mensagens e anexos, de forma a não sofrer interrupção ou diminuição no ritmo das atividades, devido ao uso inadequado dos serviços de correio eletrônico corporativo;

    d) fornecer aos usuários orientações, descrevendo suas responsabilidades pessoais a respeito da confiabilidade, privacidade e uso adequado dos serviços do correio eletrônico corporativo.

     

    2. Conceitos e Definições

    No âmbito desta norma, considera-se:

    - Caixa postal: área de armazenamento que contém as mensagens do correio eletrônico corporativo.

    - Caixa postal individual: atribuída a uma pessoa física.

    - Caixa postal institucional: atribuída a uma unidade organizacional do CNPq.

    - Caixa postal de serviço: atribuída a uma atividade específica, exercida no âmbito de uma unidade organizacional ou por um grupo de trabalho.

    - Conta de correio eletrônico: é o endereço de correio eletrônico corporativo.

    ­- Endereço eletrônico corporativo: é aquele que pertence ao domínio @cnpq.br.

    - Identificação do usuário: é a forma como o usuário é conhecido junto ao ambiente de tecnologia da informação, ou seja, por meio do conjunto "usuário" e "senha".

    - Lista de discussão: um grupo de usuários de correio eletrônico, criado com objetivo de trocar informações relacionadas a uma determinada área ou assunto.

    - Lista de distribuição: agrupamento de diversas caixas postais em um único endereço que, uma vez inserido como destinatário de um mensagem, permite a distribuição desta mensagem a todas as caixas postais integrantes da lista.

    - Serviço de correio eletrônico corporativo: sistema de mensagens utilizado para criar, encaminhar, responder, transmitir, arquivar, manter, copiar, ler ou imprimir informações, com o propósito de estabelecer comunicações, relacionadas com as funções institucionais do CNPq, entre redes de computadores, entre pessoas e entre grupo de pessoas.

    - Titular de unidade: usuário investido em função de Direção e Assessoramento Superior (DAS) no CNPq.

    - Usuário: os servidores e estagiários do CNPq, prestadores de serviço contratados, e quaisquer demais agentes públicos ou particulares, vinculados ou não ao CNPq, que oficialmente executem atividade vinculada à atuação institucional do CNPq.


    3. Procedimentos


    3.1. O serviço de correio eletrônico corporativo tem como finalidade o envio e o recebimento de mensagens e documentos relacionados com as funções institucionais do CNPq.

    3.1.1. É admitida excepcionalmente a utilização do correio eletrônico corporativo para fins pessoais, desde que sem prejuízo ao serviço, e atendidos os demais requisitos estabelecidos.

    3.2. O acesso ao serviço de correio eletrônico corporativo deverá ser solicitado à CGETI, pelo titular da unidade  onde o usuário deverá atuar, utilizando formulário de ¿Solicitação de Acesso ao Serviço de Correio Eletrônico Corporativo¿, conforme modelo constante do Anexo I.

    3.2.1. A CGETI disponibilizará uma única caixa postal individual para o usuário, mediante assinatura do ¿Termo de Responsabilidade para Uso do Serviço de Correio Eletrônico Corporativo¿, conforme  modelo constante do Anexo II.

    3.2.2. O endereço eletrônico corporativo será criado de acordo com o padrão do Governo Federal, definido no e-ping.

    3.3. Os titulares das unidades organizacionais, funções e serviços do CNPq podem solicitar a criação de listas de distribuição, restritas aos seus respectivos âmbitos de atuação demonstrando a necessidade da solicitação.

    3.3.1. Toda lista de distribuição deve ter, ao menos, um usuário responsável pela administração da lista.

    3.4. Será disponibilizada para cada unidade uma caixa postal institucional para uso exclusivo em serviço.

    3.5. As caixas postais individuais, institucionais ou de serviço serão criadas com tamanho determinado pela CGETI, de acordo com a capacidade de armazenamento disponível.

    3.5.1. Quando a capacidade de armazenamento estiver próxima de ser atingida, os usuários serão automaticamente informados da impossibilidade de recebimento ou envio de mensagens, devendo promover a limpeza (exclusão ou backup de mensagens) de sua caixa postal.

    3.6. Utilizar assinatura padronizada conforme os seguintes modelos:

    3.6.1. O padrão visual de assinaturas será estabelecido pela Coordenação de Comunicação Social (COCOM). [1]

    - individual: nome completo; cargo ou função; nome do setor (por extenso); siglas da unidade e das unidades superiores; endereço; e telefones para contato.

    ­- institucional:  nome da unidade; sigla da unidade ou do serviço; siglas das unidades superiores; endereço; e telefones para contato.

     - de serviço: nome do serviço; nome e sigla da unidade;  siglas das unidades superiores; site; e telefone para contato.

    3.7. Utilizar o seguinte texto para rodapé de e-mails corporativos do CNPq:

    3.7. Utilizar o seguinte texto para rodapé de e-mails corporativos do CNPq enviados a destinatários externos: [1]

    "O emitente desta mensagem é responsável por seu conteúdo e endereçamento. Cabe ao destinatário cuidar quanto ao tratamento adequado. Sem a devida autorização, a divulgação, reprodução, distribuição ou qualquer outra ação em desconformidade com as normas internas do CNPq são proibidas e passíveis de sanção disciplinar, cível e criminal".

    "The sender of this message is responsible for its content and addressing. The receiver shall take proper care of it. Without due authorization, the publication, reproduction, distribution or the performance of any other action not conforming to CNPq internal policies and procedures is forbidden and liable to disciplinary, civil or criminal sanctions."

    3.8. É vedado o uso do serviço de correio eletrônico corporativo com o objetivo de:

    a) praticar crimes e infrações de qualquer natureza;

    b) executar ações nocivas contra outros recursos computacionais do CNPq ou de redes externas;

    c) distribuir material obsceno, pornográfico, ofensivo, difamatório, preconceituoso, racista, discriminatório, ou de qualquer forma que viole a legislação em vigor no País;

    d) disseminar anúncios publicitários, mensagens de entretenimento, mensagens do tipo ¿corrente¿, mala direta, informativos, vírus ou qualquer outro tipo de programa de computador que não seja destinado ao desempenho de suas funções ou que possam ser considerados nocivos ao ambiente de rede do CNPq;e)      disseminar mensagens que incitem o ódio e a violência, seja de forma genérica ou de forma dirigida a determinado(s) grupo(s) constituído(s);

    f) enviar mensagens com caráter eminentemente associativo, sindical, ou político-partidário, que promova campanhas ou propaganda de candidatos para cargos públicos eletivos, ou para cargos em clubes, associações e sindicatos;

    g) enviar para e-mails externos, ou não autorizados, informações sigilosas ao CNPq que estejam sob sua custódia;

    h) enviar arquivos que não tenham relação com as funções institucionais desempenhadas pelo CNPq;

    i) divulgar informações relativas ao seu trabalho no CNPq ou listas de endereços dos usuários do serviço de correio eletrônico corporativo, a terceiros, quer seja em listas de discussão, listas ou bate-papo, redes sociais ou em quaisquer outros sites ou meios de divulgação, salvo quando devidamente autorizado pela autoridade competente;

    j) executar outras atividades lesivas, tendentes a comprometer a intimidade de usuários, a segurança e a disponibilidade do sistema, ou a imagem institucional do CNPq.

    3.9. As caixas postais individuais, institucionais ou de serviço terão limites de envio de mensagens em determinados intervalos de tempo estipulados pela CGETI, com o propósito de prevenir a inclusão dos endereços IP dos servidores do CNPq em blacklists, evitar a diminuição da reputação dos endereços IP e manter a qualidade do serviço de correio eletrônico, considerando-se, também, a capacidade das redes de comunicação de dados interna e de conexão com a Internet.

    3.10. O envio de mensagens institucionais em massa deve ser realizado pela COCOM através dos recursos disponibilizados pela CGETI, devendo a transmissão ser realizada por canais (servidores, endereços IP, etc) distintos daqueles utilizados para o funcionamento padrão das caixas postais individuais, institucionais ou de serviço.

    3.11. É vedada a utilização para fins institucionais de serviços de correio eletrônico, tais como caixas postais, listas de discussão ou ferramentas de envio de e-mail em massa, distintos daqueles fornecidos pela CGETI. [1]


    4. Deveres do Usuário


    4.1. Os usuários do serviço de correio eletrônico corporativo são responsáveis por qualquer atividade desenvolvida com o uso de sua conta e pelas suas consequências.

    4.1.1. A conta da unidade ou de serviço será de responsabilidade de todos que a compartilhem.

    4.2. Manter o sigilo e a não divulgação da sua senha de acesso ao correio eletrônico corporativo, que é pessoal, intransferível e de responsabilidade única do usuário.

    4.2.1. O proprietário poderá autorizar, por escrito, o acesso de terceiros à sua caixa postal individual, em caráter excepcional e por necessidade de serviço.

    4.3. Trocar sua senha de acesso ao serviço de correio eletrônico corporativo sempre que houver indícios de sua descoberta por terceiros, dando imediata ciência à CGETI ou ao responsável por sua unidade, para que sejam tomadas medidas para apuração formal do fato.

    4.4. Proceder regularmente à limpeza da sua caixa postal, evitando o acúmulo de mensagens ou arquivos desnecessários.

    4.5. Não divulgar seu e-mail corporativo a terceiros visando o recebimento de mensagens particulares.


    5. Privacidade


    5.1. Fica assegurado aos usuários o sigilo de conteúdo de sua caixa postal, incluindo e-mails e arquivos anexos.

    5.1.1. A CGETI reserva-se o direito de bloquear conteúdos e usuários, permanentemente ou temporariamente, e eliminar e-mails e arquivos, em casos nos quais a segurança dos recursos de Tecnologia da Informação e Comunicações do cnpq seja ameaçada.

    5.1.2. À CGETI reserva-se o direito de acessar o conteúdo das mensagens tramitadas por meio do serviço de correio eletrônico corporativo mediante prévio procedimento administrativo cercado de garantias constitucionais, quando houver indícios de descumprimento desta Resolução Normativa ou nas hipóteses previstas em lei.

    5.1.2.1. Nenhuma informação sigilosa obtida neste processo, exceto as ligadas à violação específica das normas, poderá ser utilizada sob qualquer pretexto.

    5.1.2.2. As informações contidas nos ambientes de resguardo (backup) deverão ser mantidas até a decisão acerca do procedimento de que trata o caput.


    6. Competências


    6.1. Compete à Coordenação Geral de Tecnologia da Informação ¿ CGETI:


    a) disponibilizar o serviço de correio eletrônico corporativo, diretamente ou mediante contrato;

    b) zelar pelo atendimento aos princípios da segurança, integridade, sigilo e disponibilidade dos serviços e dados transmitidos por meio do sistema de correio eletrônico corporativo do CNPq;

    c) prover meios tecnológicos necessários à adequada utilização do serviço;

    d) definir padrões e requisitos para cadastramento, concessão, utilização, suspensão ou exclusão das contas de correio eletrônico corporativo e listas de distribuição, atendendo as diretrizes definidas por esta norma;

    e) manter, em local seguro e restrito, dados de auditoria acerca da utilização do serviço;

    f) manter, em local seguro e restrito, cópia de segurança dos arquivos de servidores de correio eletrônico corporativo, para garantir a recuperação de mensagens em caso de danos ao ambiente de rede;

    g) manter proteção contra vírus e mensagens não solicitadas (spam) nos servidores de correio eletrônico corporativo;

    h) suspender o acesso à conta do usuário do correio eletrônico corporativo quando constatado o uso indevido dos recursos, dando imediata ciência ao usuário, bem como o encaminhamento ao responsável pela apuração formal;

    i) restringir a transmissão de arquivos que, em tese, possam significar comprometimento do serviço;

    j) monitorar e filtrar todas as mensagens enviadas ou recebidas via programas de antivírus, anti-phishing, anti-spam, e demais ferramentas de proteção disponíveis e, caso violem alguma regra de configuração, excluí-las automaticamente ou mantê-las em quarentena; 

    k) garantir a recuperação de mensagens, no caso de danos ao ambiente operacional;

    l) divulgar esta RN aos usuários, sendo responsável por sua permanente atualização;

    m) capacitar, sempre que necessário, os usuários para o uso seguro da ferramenta de correio eletrônico corporativo;

    n) efetuar o bloqueio da conta de e-mail, em até 2 (dois) dias úteis após a data do registro, pelas áreas gestoras, de exclusões e afastamentos de usuários. No caso de servidor aposentado, o bloqueio será efetuado 6 (seis) meses após a data do registro do afastamento;

    o) efetuar a exclusão da conta de e-mail, bem como das mensagens armazenadas após 30 (trinta) dias da data do bloqueio da conta por motivo de exclusão ou afastamento do usuário;

    p) efetuar o bloqueio de caixas postais individuais, institucionais ou de serviço após 120 (cento e vinte) dias de inatividade, entendendo-se por inatividade o prazo desde a última autenticação do usuário nos serviços de correio. [1]


    6.2. Compete à Coordenação-Geral de Administração e Finanças - CGADM informar a CGETI, em até 2 (dois) dias úteis, as ocorrências sobre desligamentos ou licenças de funcionários de empresas prestadoras de serviço que estejam atuando sob sua supervisão, que importem a necessidade de suspensão temporária ou a revogação definitiva da permissão de acesso às contas de correio eletrônico corporativo.

    6.2. Compete a Coordenação de Recursos Logísticos (COLOG) informar a CGETI, em até 2 (dois) dias úteis, as exclusões ou afastamentos de funcionáriosde empresas prestadoras de serviço que estejam atuando no CNPq, que importem a necessidade de suspensão temporária ou a revogação definitiva da permissão de acesso às contas de correio eletrônico corporativo. [1]

    6.3. Compete ao titular da unidade organizacional do CNPq solicitar à CGETI o bloqueio do acesso à conta institucional ou de serviço do usuário transferido para outra unidade do CNPq.

    6.4. Compete ao titular da unidade organizacional do CNPq solicitar à CGETI o bloqueio ou a extinção da conta de serviço ou listas de distribuição sob sua responsabilidade.

    6.5. Compete a Coordenação Geral de Recursos Humanos (CGERH) informar a CGETI, em até 2 (dois) dias úteis, as exclusões ou afastamentos de servidores e estagiários, que importem a necessidade de suspensão temporária ou a revogação definitiva da permissão de acesso às contas de correio eletrônico corporativo. [1]


    7. Disposições Finais


    7.1. O usuário que fizer uso de forma indevida ou não-autorizada dos recursos de tecnologia da informação, em desacordo com os termos desta Resolução Normativa, fica sujeito à aplicação das penalidades previstas no Título IV, Capítulo V da Lei nº 8.112, de 11 de dezembro de 1990, sem prejuízo de outras eventualmente aplicáveis.

    7.2. Os casos omissos e as dúvidas com relação a esta RN serão submetidos ao Comitê de Segurança da Informação e Comunicações.

    7.3. Esta Resolução Normativa entra em vigor 90 (noventa) dias a partir da data da sua publicação e ficam revogadas todas as disposições em contrário.

     

    Anexos:

    I  ¿ Solicitação de acesso ao Serviço de Correio Eletrônico Corporativo.

    II ¿ Termo de Responsabilidade para Uso do Correio Eletrônico Corporativo.

     

    Brasília, 13 de junho de 2013.

    GLAUCIUS OLIVA


    REFERÊNCIAS NORMATIVAS:

    ­- Lei n° 8.112, de 11 de dezembro de 1990, dispõe sobre o regime jurídico dos servidores públicos civis da União, das autarquias e das fundações públicas federais.

    - Instrução Normativa GSI-PR n. 01 de 13 de junho de 2008, que disciplina a gestão de segurança da informação e comunicações na administração Pública Federal, direta e indireta,e dá outras providências. Gabinete de Segurança Institucional ¿ Presidência da República.

    ­- Lei nº 12.527, de 18 de novembro de 2011, regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal.

    ­- Lei n° 12.737, de 30 de novembro de 2012, dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências.

    - RN-033/2012, de 23 de outubro de 2012, aprova a Política de Segurança da Informação e Comunicações ¿ PoSIC do CNPq.

    - Portaria PO-163/2013, de 14 de maio de 2013, reconstitui o Comitê de Segurança da Informação e Comunicações - CSIC no CNPq.

     


    Anexo I

     

    SOLICITAÇÃO DE ACESSO AO SERVIÇO DE CORREIO ELETRÔNICO CORPORATIVO

     

    Solicito o acesso ao serviço de correio eletrônico corporativo do CNPq para o usuário:

     

    Nome:

    CPF n°:

    Matrícula n°:

    Cargo ou função:

    Lotação:

    Empresa Prestadora de Serviço:

    Responsável pela caixa postal:
    (caso de caixa postal institucional ou lista de distribuição)

    Justificativa para a liberação de acesso:

     

    Brasília, _____ de __________________ de __________

     

    __________________________________

    Assinatura e carimbo (Titular da unidade)

     

    ANEXO II

     

    TERMO DE RESPONSABILIDADE

    PARA USO DO CORREIO ELETRÔNICO CORPORATIVO

     

    Pelo presente instrumento, eu,________________________________________________CPF n° _____________________ Matrícula n° _________________________,perante o CNPq, me comprometo assumir as responsabilidades pela utilização do serviço de correio eletrônico corporativo, em consonância com os princípios constitucionais da legalidade, impessoalidade, moralidade, publicidade e eficiência, por meio de critérios que evitem os riscos à Segurança da Informação e Comunicações, que comprometam a disponibilidade, integridade, confidencialidade e autenticidade dos ativos de informação do CNPq.

    Atuando em conformidade coma Lei nº 12.527, de 18 de novembro de 2011, a Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008 e suas Normas Complementares e a Política de Segurança da Informação e Comunicações - PoSIC do CNPq, declaro que para a manutençãodosigilode informações cuja divulgação possa causar risco ou dano à segurança da sociedade ou do Estado, devo:

    a) tratar as informações sob restrição de acesso que me forem fornecidas, como patrimônio do CNPq e preservar o seu sigilo, de acordo com a legislação vigente, sem divulgá-las a terceiros;

    b) não praticar quaisquer atos que possam afetar o sigilo, a integridade das informações sob restrição de acesso, a imagem da organização e que invadam a privacidade pessoal e organizacional;

    c) não do CNPq, exceto mediante autorização da autoridade competente copiar, reproduzir ou divulgar, por qualquer meio ou modo, informações sob restrição de acesso

    Estou ciente que atos indevidos serão passíveis de sanções administrativas, civis e penais caso haja quebra da segurança das informações disponibilizadas.

    Declaro, nesta data, ter ciência e estar de acordo com este Termo de Responsabilidade, comprometendo-me a respeitá-lo e cumpri-lo plena e integralmente, além de manter sempre verossímeis os dados da instituição e de minha área de competência.

     

    Brasília, _____ de __________________ de __________

     

     

    __________________________________

    Assinatura e carimbo (Usuário)                                

     

    Nota:

    [1] Redação dada pela RN-035/2014, de 1º de setembro de 2014.

                                               

     
    Ler na íntegra