Norma de Classificação de Informações COMITÊ DE SEGURANÇA DE INFORMAÇÕES Norma de Classificação de Informações Emissão: 05/12/97 Assunto: Política de Segurança de Informações Revisão: 05/12/97 Responsável: Comitê de Segurança de Informações Revisões 1. APRESENTAÇÃO Esta norma complementa a Política de Segurança de Informações da PETROBRAS aprovada pela Diretoria Executiva (Ata 4128, item 9, de 11/12/97), regulamentando a classificação das informações da Companhia, segundo o critério de confidencialidade. 2. OBJETIVO Definir a estrutura de classificação das informações da PETROBRAS, e orientar sobre as competências, implicações no uso e responsabilidades associadas a esta classificação. 3. ABRANGÊNCIA Esta norma se aplica a todas as informações da Companhia independente do recurso de informação usado para seu suporte (recursos da área de tecnologia da informação e outros recursos convencionais, como papel, microfilme, mapas, etc.). 4. CONCEITOS 4.1 - Todos os conceitos apresentados na Política de Segurança de Informações. 4.2 - Criptografia É a técnica de transformar um texto legível em texto incompreensível através de procedimentos matemáticos. 5. PREMISSAS BÁSICAS 5.1 - O conhecimento da informação deve ser usado apenas para os propósitos de interesse da Companhia. 5.2 - Cada usuário deve se restringir apenas às informações e aos recursos de informação aos quais está autorizado. 5.3 - Toda informação possui uma classificação quanto a sua confidencialidade. 5.4 - Toda informação possui um proprietário que é responsável por sua classificação no momento em que deu origem a ela. 5.5 - A classificação de uma informação deve ser preservada durante todo o seu processo de uso. 6. ORIENTAÇÕES GERAIS 6.1 - A classificação das informações deve ser realizada com base nas exigências de negócio da Companhia, levando-se em conta as implicações que uma determinada classificação trará para todos os seus usuários. 6.2 - Na classificação das informações deve-se evitar o exagero, adotando-se a classificação de menor grau de restrição possível, tendo em vista que um grau maior, além de retardar, desnecessariamente, o tratamento das informações, implicará em custos maiores para a sua proteção. 7. CLASSIFICAÇÃO DAS INFORMAÇÕES 7.1 - Uma informação é classificada de acordo com a sua exigência de confidencialidade como: secreta, confidencial, reservada, interna e pública. 7.2 - Toda informação que não possui uma classificação explícita quanto a sua confidencialidade deve ser considerada como reservada ao órgão. 7.3 - Informação "pessoal" não é considerada uma classificação, mas uma designação para uma informação de natureza privada (como por exemplo, dados pessoais), significando que a informação é direcionada, e que somente o destinatário pode ter acesso a ela. A designação "pessoal" pode ser usada em combinação com qualquer outra classificação de confidencialidade. 7.4 - Informação Secreta 7.4.1 - É toda informação associada a interesses relevantes da Companhia. Se revelada, pode trazer sérios prejuízos financeiros, enorme impacto ao negócio ou repercussões para a imagem da Companhia ou Governo. Estas informações requerem medidas excepcionais de controle e proteção contra acessos não-autorizados. 7.4.2 - Incluem-se nesta classificação: as informações que garantem à Companhia a obtenção de vantagens competitivas muito significantes; as que descrevem uma parte principal e muito significante dos negócios da Companhia; as que contêm estratégias e principais direções de longo prazo e as que contêm detalhes técnicos sobre um produto ou uma tecnologia. 7.4.3 - As informações secretas são, em geral, restritas aos Conselheiros, Presidente, Diretores, Titulares dos Órgãos de Contato da Companhia e empregados previamente designados que, pela natureza da função que exercem, são obrigados a conhecê-las. 7.4.4 - Toda informação secreta deve possuir controle rigoroso quanto a sua divulgação, bem como registros históricos com a identificação inequívoca dos usuários que tiveram acesso a ela. 7.4.5 - As cópias de documentos secretos devem ser pré-aprovadas pelo seu proprietário (quem deu origem ao documento) e possuir uma identificação única. 7.4.6 - Toda informação secreta deve ser guardada em local com acesso controlado, e possuir medidas de segurança física para o seu transporte, sendo necessária a autorização do proprietário para o seu transporte para fora da Companhia. 7.4.7 - Para a transmissão eletrônica de informações secretas é obrigatório o uso de criptografia, em qualquer meio de comunicação, interno ou externo à Companhia. 7.5 - Informação Confidencial 7.5.1 - É toda informação cujo conhecimento deve ficar limitado a um número reduzido de pessoas autorizadas. Se revelada, pode trazer grande impacto ao negócio ou repercussões para a imagem da Companhia, embaraços administrativos com funcionários ou trazer vantagens a terceiros. Estas informações requerem um alto grau de controle e proteção contra acessos não-autorizados. 7.5.2 - Incluem-se nesta classificação: as informações que garantem à Companhia a obtenção de vantagens competitivas; as que descrevem uma parte significante dos negócios da Companhia; as que contêm estratégias operacionais de longo prazo, as que são importantes para o sucesso técnico ou financeiro de um produto e aquelas que têm um impacto potencialmente sério nas políticas e práticas da Área de Recursos Humanos. 7.5.3 - As informações confidenciais são, em geral, restritas ao nível gerencial da Companhia e empregados previamente designados que, pela natureza da função que exercem, são obrigados a conhecê-las. 7.5.4 - A divulgação interna de uma informação confidencial para empregados que não pertencem à mesma função de quem a recebeu, bem como as cópias de documentos confidenciais, devem ser pré-aprovadas pelo proprietário. 7.5.5 - Toda informação confidencial deve ser guardada em local com acesso controlado, e possuir medidas de segurança física para o seu transporte, sendo necessária a autorização do proprietário para o seu transporte para fora da Companhia. 7.5.6 - Para a transmissão eletrônica de informações confidenciais é obrigatório o uso de criptografia, quando esta transmissão envolver meios públicos de comunicação . 7.6 - Informacão Reservada 7.6.1 - É toda informação cujo conhecimento e uso deve estar restrito a um grupo específico de empregados ou áreas da Companhia. Não deve ser divulgada, publicada e estar acessível a qualquer empregado ou não-empregado. 7.6.2 - Incluem-se nesta classificação: as informações que garantem à Companhia a manutenção das suas vantagens competitivas; as que descrevem uma parte dos negócios da Companhia; as que contêm estratégias operacionais de curto prazo e as que são importantes para o sucesso técnico ou financeiro de um produto. 7.6.3 - As informações reservadas são, em geral, limitadas a um órgão, divisão, setor ou grupo de trabalho e empregados que, pela natureza da função que exercem, são obrigados a conhecê-las. 7.6.4 - Na classificação de uma informação como reservada deve-se explicitar para que grupo ou propósito a informação é reservada. 7.6.5 - É permitida a divulgação interna de uma informação reservada, bem como a cópia de documentos reservados, para outros empregados, que delas necessitam para a realização de suas tarefas. 7.6.6 - Toda informação reservada deve ser guardada em local com acesso controlado, sendo necessária a autorização do proprietário para o seu transporte para fora da Companhia. 7.7 - Informação Interna 7.7.1 - É toda informação cujo conhecimento e uso está restrito exclusivamente ao âmbito interno e propósitos da Companhia, estando disponível para todos os empregados, e não-empregados autorizados a circular em suas dependências. Só devem ser reveladas ao público externo mediante autorização. 7.7.2 - Incluem-se nesta classificação: as informações sobre negociações salariais que devam ser do conhecimento dos empregados; as relativas ao desenvolvimento de programas internos da Companhia; listas para localização dos empregados na Companhia; etc... 7.8 - Informação Pública 7.8.1 - É toda informação que pode ou deve ser divulgada para o público externo à Companhia. 7.8.2 - Incluem-se nesta classificação: as informações de caráter informativo ou promocional e as informações que a Companhia é obrigada a divulgar em função da legislação vigente. 7.8.3 - Toda informação pública deve receber tratamento especial quanto a sua apresentação e conteúdo, de modo a não prejudicar a imagem da Companhia. 7.9 - Disposições Gerais 7.9.1 - Havendo justificativa de negócios, os Titulares dos Órgãos de Contato da Companhia poderão aceitar o risco de alterar a classificação de uma informação, reduzindo o seu grau de restrição, desde que tal decisão seja previamente acordada junto ao Titular do Órgão Proprietário da Informação. 7.9.1.1 - A posição gerencial de aceitar um risco, sem um plano para sua minimização ou eliminação, não é considerada uma solução de longo prazo, devendo o risco e a sua aceitação serem reavaliados, no mínimo, semestralmente, pelos órgãos envolvidos, até o retorno à situação de normalidade. 7.9.2 - As informações que não estão sendo usadas, mas precisam ser preservadas, devem ser guardadas em local fora do seu ambiente normal de uso, com segurança física compatível com a sua classificação original. 7.9.3 - Informaçoes classificadas como secreta, confidencial e reservada não podem ser usadas como dados de teste nas atividades de desenvolvimento e manutenção de sistemas de informação, sem autorização prévia do proprietário. 7.9.4 - O descarte de informações secretas, confidenciais e reservadas deve ser feito de forma que não seja possível recuperá-las. 8. COMPETÊNCIAS PARA CLASSIFICAÇÃO 8.1 - A classificação de uma informação é de competência do seu proprietário, qualificado em função do grau de confidencialidade exigido para ela. 8.2 - A competência para classificação deve ser exercida no momento em que a informaçao é gerada. Caso não seja o proprietário o gerador da informação, este deve ter sido instruído previamente pelo proprietário sobre como classificar a informação. 8.3 - Somente os Conselheiros, Presidente, Diretores, e Titulares dos Órgãos de Contato da Companhia podem classificar uma informação como secreta. 8.4 - Somente os gerentes da Companhia podem classificar uma informação como confidencial. 8.5 - Qualquer empregado pode classificar uma informação como reservada, desde que restrito a sua área de atuação. 8.6 - Somente os gerentes da Companhia podem classificar uma informação como interna. 8.7 - Somente os Conselheiros, Presidente, Diretores, e Titulares dos Órgãos de Contato da Companhia, assessorados pela área de comunicação institucional da Companhia, podem classificar uma informação como pública. 8.8 - A reclassificação de uma informação só pode ser feita por quem a classificou originalmente, e na sua ausência, por empregados que assumiram a sua função ou possuem nível hierárquico superior ao exigido para a sua classificação. 9. RESPONSABILIDADES 9.1 - Todas as responsabilidades descritas na Política de Segurança de Informações são aplicáveis. 9.2 - Do Comitê de Segurança de Informações 9.2.1 - Planejar e coordenar a implantação desta norma em toda Companhia. 9.3 - Dos Gerentes de Segurança de Informações 9.3.1 - Interpretar, divulgar e implantar a Norma de Classificação de Informações no âmbito do seu órgão. 9.4 - Dos Usuários 9.4.1 - Restringir-se às informações e recursos de informação para os quais está autorizado. 9.4.2 - Preservar a classificação das informações que lhe forem confiadas, principalmente no ambiente externo à Companhia, com cuidados especiais para o uso de equipamentos portáteis, conversas e leituras de documentos em viagens ou locais públicos. 9.4.3 - Reportar à gerência imediata qualquer exposição indevida e/ou riscos às informações classificadas como secreta, confidencial ou reservada. 9.4.4 - Responsabilizar-se pelos atos praticados através da sua credencial de acesso (chave e senha) aos recursos da área de tecnologia da informação. 9.5 - Dos Gerentes e Supervisores 9.5.1 - Garantir o cumprimento desta norma por parte dos usuários sob sua responsabilidade. 9.5.2 - Garantir que todos os contratos de prestação de serviços sob sua responsabilidade incluam uma cláusula de não-divulgação de informações da Companhia. 9.5.3 - Indicar os proprietários das informações da sua área de gestão. 9.5.4 - Assumir as responsabilidades de proprietário das informações da sua área de gestão, quando não houver designado um, ou a classificação da informação assim o exigir. 9.5.5 - Assegurar o fim do direito de acesso a qualquer informação com classificação diferente de pública/interna ao término do contrato/ transferência de um usuário sob a sua responsabilidade. 9.6 - Dos Proprietários 9.6.1 - Classificar as informações sob a sua responsabilidade. 9.6.2 - Estabelecer quem será o custodiante das suas informações. 9.6.3 - Assumir as responsabilidades de custodiante das suas informações, no caso da inexistência deste. 9.7 - Dos Custodiantes 9.7.1 - Controlar o acesso às informações secretas e confidenciais que lhe forem confiadas, por parte do seu pessoal com autoridade privilegiada, mantendo registros históricos sobre estes acessos. 9.7.2 - Implantar os controles e procedimentos de segurança necessários para preservar a classificação das informações que lhe forem confiadas. 9.8 - Das Gerências de Tecnologia da Informação 9.8.1 - Todas as responsabilidades dos custodiantes. 9.8.2 - Prover recursos de criptografia para a transmissão eletrônica de informações secretas e confidenciais. 9.9 - Da Área Jurídica e da Área de Contratação 9.9.1 - Garantir que os contratos celebrados com outras entidades e pessoas externas à Companhia (parceiros, clientes, prestadores de serviço, fornecedores, estagiários e contratados) contenham uma cláusula de não-divulgação de informações da Companhia, e o atendimento às recomendações aplicáveis desta norma. 9.10 - Da Área de Auditoria Interna 9.10.1 - Realizar avaliações independentes para determinar o grau de cumprimento desta norma por parte dos órgãos da Companhia, custodiantes e gerências de tecnologia da informação. 9.11 - Da Área de Segurança Interna 9.11.1 - Controlar o acesso e movimentação de pessoas na Companhia, adotando medidas para preservação do patrimônio físico dos recursos de informação, conforme a classificação das informações que contêm. 10. Penalidades 10.1 - O manuseio, divulgação ou uso indevido de informações da Companhia, é considerado falta grave e implicará na aplicação de sanções disciplinares. 10.2 - A norma N20-06 e o procedimento P20-06-01 de Administração de Recursos Humanos estabelecem os tipos de penalidades e respectivas competências para a sua aplicação. 11. Disposições Transitórias 11.1 - Esta norma deve ser complementada com a elaboração de procedimentos específicos, para o manuseio de cada um dos tipos de recursos de informação que servem de suporte ao armazenamento e transporte das informações. 11.2 - Até que os procedimentos específicos tenham sido elaborados e divulgados, todas as informações atuais da Companhia devem ser consideradas como reservadas ao órgão Proprietário, com as devidas implicações e responsabilidades desta classificação. Políticas e Diretrizes Consulte o endereço: http://www.serinf.petrobras.com.br/politicas/politica.htm POLÍTICA DE USO DA INTERNET O documento apresenta as políticas de uso da Internet na Companhia Autores:CONET Data de publicação ou última atualização: 10/02/00 Responsável: Conet Ramal: 42736 INTRODUÇÃO A Internet é uma rede mundial de computadores que contém milhões de páginas de informação, muitas delas com material ofensivo ou inapropriado, sendo difícil evitar, ao menos, algum contato com este material durante o uso da Internet. Um usuário possuidor de um endereço de "e-mail" na Internet pode receber mensagens não solicitadas contendo material ofensivo. Os serviços gratuitos existentes na Internet para armazenamento de dados, coletam informações sobre os usuários, e, ainda que possuam uma política de privacidade, não há qualquer garantia de que esses dados e informações não serão expostos. Além disso, diversas páginas da Internet contem códigos maliciosos que podem causar a destruição de dados dos usuários e exposição da sua estação de trabalho à invasões por terceiros. Por esses motivos, a PETROBRAS não pode se responsabilizar pelo material visto, carregado ou recebido por seus usuários através da Internet, devendo entretanto, garantir a confidencialidade das suas informações. Para minimizar esses riscos, o uso da Internet na PETROBRAS é regulamentado através desta política. OBJETIVO DO ACESSO À INTERNET Através da sua rede, a PETROBRAS provê o acesso à Internet com o objetivo de agilizar e otimizar seus processos de trabalho. Este serviço envolve recursos físicos e financeiros da Companhia, cabendo a todos os usuários zelar para que tais recursos sejam usados no atendimento estrito dos interesses da PETROBRAS. ABRANGÊNCIA DA POLÍTICA Esta política se aplica a todos os empregados, contratados ou quaisquer pessoas autorizadas pela PETROBRAS, aqui tratados genericamente por "usuários", sempre que fizerem uso da Internet através da rede da PETROBRAS. CONDIÇÕES PARA ACESSO A permissão para que determinado usuário acesse a Internet, é fornecida pelo Órgão em que o mesmo está lotado, ou para o qual presta serviços. Em casos excepcionais essa permissão somente poderá ser concedida pela CONET. Além disso, deverão ser atendidos os requisitos mínimos de configuração e capacidade da rede estabelecidos nas "Diretrizes para Uso da Infra-Estrutura da Internet". DISPOSIÇÕES GERAIS 5.1. Quanto à responsabilidade pelos acessos As credenciais de acesso à Internet são pessoais e intransferíveis, cabendo ao usuário manter sigilo sobre a sua senha. Todo e qualquer acesso feito através das credenciais do usuário são de sua total responsabilidade. 5.2. Quanto à segurança das informações A não ser que expressamente autorizado, todo usuário é proibido de enviar, transmitir, distribuir ou armazenar na Internet, informação proprietária, "emails" internos, dados, segredos comerciais ou quaisquer outras informações pertencentes à PETROBRAS. É responsabilidade de todo usuário conhecer e cumprir as normas e procedimentos derivados da Política de Segurança de Informações da PETROBRAS. 5.3. Quanto ao respeito à propriedade intelectual É responsabilidade de cada usuário zelar pelo respeito à propriedade intelectual de programas, artigos, imagens ou qualquer outra informação obtida na Internet, e atender às exigências de "copyright" ou do autor do material. 5.4. Quanto à prevenção contra vírus Qualquer arquivo copiado para dentro da Companhia deve ser testado quanto à existência de vírus, sendo o autor da cópia responsável pela verificação. 5.5. Quanto ao tráfego na rede O "download" de grandes volumes de dados e uso de serviços que impliquem altos volumes de transmissão, ainda que para fins profissionais, devem ser evitados, ou deslocados para horários de menor tráfego na rede. 5.6. Quanto ao uso do "E-mail" O usuário deverá usar linguagem cortês e profissional na comunicação via "e-mail", e verificar os anexos que enviar, quanto à existência de vírus, uma vez que sua conta está associada ao domínio da Companhia. O uso de contas de "e-mail" externas, para redirecionamento de comunicação interna, é uma prática não aceita pela PETROBRAS, em função da exposição das mensagens internas, cabendo aos administradores de Correio da Companhia, a responsabilidade pela implementação de medidas que impeçam a utilização desse recurso. O "e-mail" não deve ser usado para a transmissão de grandes volumes de dados. A PETROBRAS estabelecerá limites para o tamanho das mensagens enviadas e recebidas via "e-mail". Para fins legais, a PETROBRAS manterá as mensagens de "e-mail" apagadas pelo prazo de 60 (sessenta dias) contados da data de sua eliminação pelo usuário, findo o qual, não será mais possível a sua recuperação. 5.7. Quanto à publicação de páginas na Internet Páginas institucionais da Companhia, ou de quaisquer de seus Órgãos, só podem ser publicadas na Internet com autorização do Conselho Webtorial, subordinado à CONET. É vedado o uso dos recursos da Companhia para a elaboração, publicação e manutenção de páginas pessoais dos usuários na Internet. 5.8. Quanto ao custo do serviço O custo associado à operação e manutenção do serviço de acesso à Internet será debitado aos Órgãos da Companhia, proporcionalmente ao volume de uso de cada um, com base nos registros de utilização dos seus usuários. 5.9. Quanto ao uso em caráter particular A PETROBRAS admite o uso da Internet em caráter particular, desde que o mesmo seja ocasional, e que: não interfira no desempenho profissional do usuário ou de qualquer outro; não seja predominante no perfil de acesso do usuário; não prejudique o desempenho da rede da Companhia; não viole as leis, nem as políticas, normas e o Código de Ética da Companhia; não comprometa a imagem e os recursos da Companhia. Independente do volume de tráfego gerado, o uso particular é expressamente proibido, incluindo-se os seguintes casos, sem porém se limitar aos mesmos: operações de venda; oferta de serviços; atividades de caráter político-partidário; pregação religiosa; participação em "correntes"; operações que acarretem alto volume de transmissão; propagandas comerciais ou pessoais; participação em "chats"; obtenção, armazenamento e repasse de material de conteúdo pornográfico; obtenção e uso de "cracks" e "serial numbers" para "abertura" de "sharewares"; obtenção e uso de versões "piratas" de "software"; uso de serviços de anonimato para navegação e envio de mensagens; uso de falsas credenciais no envio de "e-mail" a partir da rede interna; uso de serviços de "free-mail" para envio de mensagens ofensivas; tentativas não autorizadas de violação de sistemas de segurança; obtenção e propagação intencional de "virus" e "trojan horses"; obtenção e uso não autorizado de ferramentas de monitoração ("sniffers") e softwares para obtenção de senhas. A expressão de opiniões pessoais em grupos de discussão, ou em qualquer tipo de comunicação que não seja de caráter estritamente particular, deve sempre ser acompanhada da nota: "As opiniões aqui expressas são de exclusiva responsabilidade do autor, não refletindo obrigatoriamente a posição da PETROBRAS". 5.10. Monitoração dos Acessos A PETROBRAS tem o direito de monitorar e registrar toda e qualquer atividade da Internet em sua rede, de modo a salvaguardar seus interesses no que diz respeito à segurança de suas informações e à utilização adequada dos recursos de sua propriedade. Essa monitoração inclui os acessos às páginas, arquivos baixados ou enviados, e todas as comunicações enviadas ou recebidas via Internet por seus usuários. No caso específico de mensagens, a correspondência somente poderá ser violada, por solicitação da DIVIN ou de órgão público com poder para tal. 5.11. Filtros de Bloqueio A PETROBRAS tem o direito de utilizar "softwares", ou outros meios, que permitam a identificação e o bloqueio do acesso à páginas e serviços da Internet que contenham material ofensivo ou não alinhado aos seus interesses. Adicionalmente, poderão ser estabelecidos filtros para identificação e/ou bloqueio de mensagens, que possam conter vírus, que ultrapassem determinado tamanho, que contenham determinadas palavras-chave, que contenham material promocional, ou "correntes" dirijidas a muitos usuários. 5.12. Violações As violações desta política poderão resultar em perda dos privilégios de acesso e, dependendo da gravidade do assunto, em ações disciplinares, que poderão incluir o desligamento do usuário da Companhia e processos civis e criminais. Cabe à CONET zelar pelo cumprimento desta política comunicando os desvios observados, conforme o grau de reincidência, às seguintes entidades: inicialmente, para o usuário, com cópia para o gerente imediato; em seguida, para o órgão de lotação do usuário. DISPOSIÇÕES FINAIS Dúvidas sobre a aplicação e interpretação desta política, bem como sugestões para o seu aperfeiçoamento devem ser dirigidas para a Comissão de Gestão para Uso da Internet (CONET). CONET - 10.02.2000 Serviço de FTP Externo INTERNET Definir as características e regulamentar a utilização do Serviço de FTP Externo Autores:CONET Data de publicação ou última atualização:12/09/96 Responsável: Conet Ramal: 42736 1-OBJETIVO DAS DIRETRIZES Definir as características e regulamentar a utilização do Serviço de FTP Externo. 2-ARQUITETURA E SEGURANÇA O serviço de FTP externo compreende a utilização de áreas de dados, com acesso via INTERNET, residentes em um servidor instalado em rede especial separada da RIC pelo firewall, conhecida como "zona desmilitarizada", com o objetivo de permitir a troca de arquivos com o público externo. Existirão 2 tipos de áreas de dados caracterizadas conforme o objetivo e o tipo de acesso permitido para o público externo: . Área Pública (FTP anônimo) Esta área é única e tem por objetivo disponibilizar dados da Companhia para o público em geral. O público externo poderá, apenas, ler e copiar os arquivos colocados a sua disposição. . Área Privada (FTP identificado) Esta área é vinculada aos projetos oficiais da Companhia que exijam o intercâmbio de dados entre a PETROBRAS e outras instituições. Será criada uma área privada para cada projeto. Somente o público externo selecionado pela Companhia poderá ler, copiar e gravar arquivos conforme o interesse da Companhia. 3-ADMINISTRA- ÇÃO E DISPONIBILIDADE DO SERVIÇO O servidor onde será disponibilizado o serviço de FTP externo será administrado pelo SERINF, denominado nestas diretrizes, como provedor do serviço. Este serviço será disponibilizado inicialmente no servidor de WWW da Companhia, após a implantação dos novos firewalls. 4-PROCEDIMENtTOS PARA UTILIZAÇÃO DO SERVIÇO 4.1 - Pré - requisitos Para a utilização das áreas de dados do serviço de FTP Externo é necessário que o empregado responsável pelos arquivos tenha sido previamente autorizado a transferir arquivos para fora da Companhia através do serviço de FTP PUT. 4.2 - Área Pública (FTP anônimo) Os arquivos destinados ao público externo em geral serão colocados na área de FTP anônimo pelo provedor do serviço, a partir do recebimento de solicitação do gerente responsável pelos arquivos. Essa solicitação deverá ser encaminhada ao provedor do serviço através de DIP contendo as seguintes informações: · descrição do arquivo (seu conteúdo); · público a que se destina; · prazo para se manter o arquivo; · tamanho do arquivo; · nome, endereço de correio, telefone e e:mail do empregado da Companhia responsável pelo arquivo para contato junto ao provedor do serviço; · código orçamentário para débito correspondente à expansão do servidor para manutenção do serviço. 4.3 - Área Privada (FTP identificado) Esta área será criada pelo provedor do serviço a partir do recebimento de solicitação do gerente responsável pelo projeto, encaminhada através de formulário próprio, contendo as seguintes informações: · identificação do projeto (deve ser um projeto formal) a que se destina; · identificação das instituições envolvidas; · endereço IP e nome do domínio destas entidades; · prazo para se manter a área; · tamanho desta área; · nome, endereço de correio, telefone e e:mail do empregado da Companhia responsável pelos área para contato junto ao provedor do serviço; · código orçamentário para débito correspondente à expansão do servidor para manutenção do serviço. Será criada apenas uma área por projeto e apenas uma conta interna para um empregado. Poderão ser criadas tantas contas externas quantas forem as instituições, com privilégios de leitura somente ou leitura e gravação, conforme a solicitação. Os arquivos serão colocados na área privada diretamente pelo empregado responsável por esta área, que será igualmente responsável pela segurança de suas informações. Recomenda-se que as informações sejam trocadas de forma criptografada e que, uma vez extraídas, sejam eliminadas. Os arquivos armazenados nesta área deverão estar no formato compactado. 5-RESPONSABILI- DADES 5.1 - Compete ao Provedor do Serviço Garantir a disponibilidade do serviço. Acompanhar o nível de utilização dos recursos do servidor de FTP Externo e em caso de necessidade, promover a expansão dos recursos, debitando o valor correspondente proporcionalmente nos centros de custos fornecidos. Manter arquivadas todas as solicitações para uso da área pública. Encaminhar as solicitações de uso de áreas privadas para a CONET, para fins de registro. 5.2 - Compete aos Órgãos Atender as recomendações, pré-requisitos e procedimentos estabelecidos para a utilização do serviço de FTP Externo. Garantir os recursos necessários (principalmente área em disco) para as suas aplicações. Proteger adequadamente as informações colocadas nas áreas privadas, utilizando recursos de criptografia quando conveniente. Manter atualizadas junto ao provedor do serviço as informações sobre os responsáveis pelos arquivos das áreas pública e privadas, bem como sobre os usuários autorizados ao acesso das áreas privadas. Diretrizes da Intranet Tem por objetivo regulamentar e padronizar a disseminação do uso da Intranet no Sistema Petrobras para apoio a suas atividades operacionais e corporativas Autores:CONET Data de publicação ou última atualização:00/05/98 Responsável: Conet Ramal: 42736 1- OBJETIVO DAS DIRETRIZES Estas Diretrizes têm por objetivo regulamentar e padronizar a disseminação do uso da Intranet no Sistema Petrobras para apoio a suas atividades operacionais e corporativas. A Intranet tem como objetivos básicos disseminar informações relacionadas com as atividades dos órgãos da Companhia, ser fator de integração entre os diversos órgãos e contribuir para o aumento da produtividade. 2- ARQUITETURA E SEGURANÇA A Intranet é constituída por informações armazenadas em servidores corporativos e setoriais, e que podem ser acessadas através dos serviços descritos a seguir: Os servidores da Intranet só podem ser acessados por clientes conectados à RIC. As páginas e arquivos que necessitarem ser acessados externamente, deverão ser replicados no servidor institucional (site Petrobras - www.petrobras.com.br, ou em servidores internos protegidos pelos dispositivos de segurança da rede (Extranet). Será de responsabilidade do administrador do servidor, corporativo ou setorial, zelar pelos direitos de propriedade dos dados disponibilizados. 2.1- Serviços WEB (WWW) Os servidores web poderão residir em máquinas corporativas, sob responsabilidade do Serinf, ou em máquinas setoriais, sob responsabilidade dos demais órgãos, As informações de interesse corporativo poderão residir tanto nos servidores corporativos como nos setoriais. Informações de interesse restrito a um órgão devem, preferencialmente, residir em servidores setoriais. Todas as páginas de informação devem seguir as Normas de Desenvolvimento de Páginas Corporativas . A Home Page corporativa - PetroNet - cujo endereço é "petronet.petrobras.com.br", é administrada pelo Serinf. As Home Pages setoriais deverão ter o endereço: www.[orgao].petrobras.com.br, onde [orgao] corresponde à unidade de origem. 2.2- Transferência de Arquivos Os servidores de FTP poderão residir em máquinas corporativas sob a responsabilidade do Serinf, ou em máquinas setoriais soba a responsabilidade dos órgãos. Os arquivos recebidos por FTP devem, obrigatoriamente, ser submetidos a exame para a detecção de vírus, antes de seu uso. Arquivos que contenham dados de acesso restrito devem ser protegidos por meio de senha e/ou criptografados. Os arquivos disponíveis nos servidores de FTP da Intranet deverão estar associados a um responsável, a quem caberá responder pelo conteúdo e direitos de uso. 2.3 - E-mail A troca de mensagens na Companhia deve ser feita utilizando-se o Correio Eletrônico corporativo, considerando-se que a troca de mensagens nesse ambiente é mais segura e eficiente. O e-mail da Intranet ("mailto") somente deverá ser ativado na própria página, para comunicação com o responsável pela sua manutenção. 2.4 - Serviços de Groupware Os serviços associados aos serviços de Groupware (Conferência Eletrônica, Conference Room, etc.) podem residir em máquinas corporativas ou setoriais. Os responsáveis pelos servidores de Groupware administrarão os serviços no que diz respeito a controle de acesso, identificação, autenticação, etc. Para cada serviço deve ser indicado um responsável que estipulará regras de utilização. 3 - RESPONSABILIDADES 3.1 - Compete à CONET: A competência da CONET está definida no seu regimento interno. 3.2 - Compete ao SERINF: Coordenar o planejamento estratégico e tecnológico dos serviços disponibilizados na Intranet; Especificar, gerenciar e manter os serviços de uso corporativo; Pesquisar, avaliar e recomendar produtos para utilização na Intranet, provendo o suporte necessário às Gerências de Informática; Auditar a utilização da rede, tomando medidas corretivas sempre que necessário; Manter atualizada a PetroNet, em articulação com os órgãos, Assessorar os órgãos no desenvolvimento de serviços para Intranet. 3.3 - Compete aos Órgãos: Providenciar a aquisição e a instalação da infra-estrutura necessária para a utilização dos serviços; Capacitar os usuários na utilização dos serviços; Criar e manter atualizadas as informações de sua responsabilidade apontadas pela PetroNet e páginas setoriais; Informar ao SERINF as páginas que deverão ser referenciadas diretamente pela PetroNet; Divulgar e cumprir as Diretrizes e Normas aprovadas pela CONET, Administrar os servidores setoriais e os respectivos serviços. PADRÕES ESPECIFICADOS Ao efetuar a conexão com a rede local, automaticamente estará disponível no Windows Explorer (Windows 95) os seguintes drives de rede: U: - Home Directory => Área disponível para cada usuário, de uso exclusivo para o correio Lotus Notes, onde apenas este terá privilégio de leitura e escrita. V: - Organograma => Área contendo diretórios que representam as gerências da E&P. Cada diretório de gerência possui dois subdiretórios - PUBLICO e RESTRITO. Características do diretório PUBLICO: Ela fornecerá informações provenientes de sua gerência para as demais. a) qualquer usuário da rede tem privilégio de leitura dos arquivos; b) o privilégio de escrita será dado a um grupo específico de pessoas lotadas na gerência. Este grupo deve ser definido pelo gerente. Características do diretório RESTRITO: a) todos os usuários lotados na gerência possuem privilégio de leitura e escrita; b) o gerente pode definir um grupo de usuários com privilégio apenas de leitura no diretório. Obs.: O diretório RESTRITO deve ser usado para arquivos de interesse comum na gerência, enquanto o PUBLICO deve conter os arquivos que esta gerência quer disponibilizar para todos. S: - Scratch => Área onde todos os usuários têm privilégio de leitura e escrita. Esta área deve ser utilizada para transferência de arquivos e para arquivos de permanência temporária, sendo importante alertar que todos os usuários poderão ler os arquivos que estejam ali. Assim sendo, arquivos de conteúdo confidencial NÃO devem ser colocados na área scratch. Todos os arquivos existentes na área scratch serão apagados automaticamente após 7 dias sem uso. P: - Produção => Área criada para atender as necessidades de segurança não contempladas nas anteriores. Aqui são criados diretórios com características de proteção especiais, permitindo constituir grupos de usuários (independentemente da lotação) com privilégios de leitura e/ou escrita. Cada diretório (comumente chamado serviço) possui um administrador, que é o responsável pela definição dos privilégios de acesso, determinando quem pode fazer o quê. Geralmente são colocadas aplicações desenvolvidas na Petrobras. X: - Aplicativos => Área onde estão os aplicativos utilizados na rede local da E&P-BC (Word, Excel, PowerPoint, Emuladores IBM e VAX, CorelDraw, entre outros). R: - Remoto (disponível apenas para Windows 95) => Drive que contém pastas representando áreas de servidores que estão fora da rede local . As pastas estão dispostas segundo a estrutura organizacional da E&P e da Companhia. Inicialmente, estão disponíveis as áreas SCRATCH dos servidores das Unidades Operativas. Novas áreas serão cadastradas a partir da necessidade dos usuários, através de SOT on-line (código 2010). É importante observar que a permissão de acesso às áreas restritas (privilégio de leitura/escrita) será definida pela equipe de suporte da localidade onde se encontra o servidor remoto. K: - Kits => Área onde estão os kits de instalação de softwares, manuais, apostilas, palestras, ou seja, arquivos que não sofrem atualização diária, tendo uma regra menos rigorosa de backup. --------------------------------------------------------------------------------